Systemy kontroli dostępu do zasobów sieciowych

Kradzież czyjegoś mienia jest zjawiskiem powszechnym, występującym zarówno w przeszłości jak również w czasach obecnych i szczytem optymizmu byłoby wierzyć że kiedykolwiek ulegnie to zmianie. Praktycznie każdy zamyka drzwi na klucz wychodząc z domu, zamykamy również swoje samochody, często dodatkowo wyposażone w system alarmowy. Kiedy nie możemy czegoś zamknąć to przynajmniej staramy się, mówiąc kolokwialnie mieć to na oku. Informacje przechowywane w przedsiębiorstwach, instytucjach rządowych nierzadko posiadają ogromną wartość a utrata tych danych lub dostanie się w niepowołane ręce może oznaczać duże straty finansowe, utratę wizerunku a czasem nawet konsekwencje prawne. Bazy danych kontrahentów, dokumenty zawierające wyniki kosztownych badań czy opracowania nowatorskich rozwiązań oraz wiele innych danych mogą stać się łupem złodzieja kiedy dostęp do zasobów sieci komputerowej nie jest należycie zabezpieczony. W większości przypadków sieci komputerowe są chronione przed nieautoryzowanym dostępem na styku z Internetem, jednak dostęp w ramach sieci lokalnej nie jest w żaden sposób zabezpieczony. Aby uzyskać dostęp do sieci przewodowej wystarczy podłączyć się kablem sieciowym do gniazdka w ścianie a dostęp do sieci bezprzewodowej wymaga jedynie znajomości klucza, który często nie stanowi tajemnicy.

Zapobiec takiej sytuacji można stosując standard 802.1.x. Mechanizm ten blokuje niemal całkowicie dostęp do sieci chronionej, zarówno w ramach sieci przewodowej jak bezprzewodowej i umożliwia połączenie dopiero po poprawnym uwierzytelnieniu autoryzowanej osoby hasłem, zainstalowanym w komputerze certyfikatem albo kartą elektroniczną. Dodatkowo można stosować polityki, w ramach których każdy użytkownik otrzymuje dostęp jedynie do wybranych zasobów sieciowych. Technologię tę można wzbogacić o funkcjonalność NAP (Network Access Protection) wchodzącą w skład funkcjonalności systemów Windows Server (począwszy od wersji 2008). NAP umożliwia dokonania sprawdzenia kondycji systemu komputera pod kątem posiadania najnowszych poprawek zabezpieczeń systemu Windows, aktualnego i działającego oprogramowania antywirusowego, antyszpiegowskiego oraz włączonej zapory ogniowej (Firewall). Jeżeli kontrola kondycji systemu wykaże że któreś z powyższych nie jest spełnione, przydzielony zostaje dostęp do wydzielonej sieci (tzw. „kwarantanna) i następuje próba automatycznej naprawy. Kiedy wszystkie wymagane elementy są włączone i aktualne komputer otrzymuje dostęp do właściwych zasobów.

Dodatkowym zabezpieczeniem z pewnością może okazać się protokół Kerberos wchodzący w skład usług Microsoft Active Directory. Protokół ten co prawda nie zapewnia ochrony przed dostępem do sieci, jednak umożliwia przydzielanie wybranym osobom uprawnień w dostępie do plików, usług i baz danych. Użytkownik może posiadać uprawnienia tylko do odczytu dla danego zasobu, prawo do modyfikacji, usuwania danych, uruchamiania plików wykonywalnych – wszystkie razem, wybrane lub żadne z powyższych. Stosując jednocześnie standard 802.1x i protokół Kerberos w ramach usług AD można osiągnąć całkiem przyzwoity poziom bezpieczeństwa.

Aby lepiej zapobiegać wyciekom danych można pójść o krok dalej i zaimplementować jeden z systemów DLP (Data Lost Protection). Systemy te posiadają mechanizmy, dzięki którym możliwe jest wymuszenie szyfrowania nośników danych tak ażeby odczyt był możliwy tylko na komputerach w organizacji Dostępna jest również kontrola treści i dokumentów wysyłanych pocztą elektroniczną, czy nawet skanowanie plików na komputerach i serwerach na obecność określonych słów lub fraz, a także powiadamianie wybranych odbiorców o próbach naruszenia polityk bezpieczeństwa przez pracownika w przypadku np. gdy próbuje skopiować określone dane.

Wielu pracowników, ze względu na pełnione funkcje potrzebuje dostępu do wybranych zasobów sieci komputerowej będąc poza biurem. Aby zapewnić  taką możliwość stosuje się szyfrowane połączenia a technologia ta nosi nazwę VPN (Virtual Private Network). Użytkownik pracujący w terenie, za pomocą komputera przenośnego, posiadającego dostęp do Internetu oraz wyposażonego w odpowiednie oprogramowanie (VPN Client) może nawiązać połączenie z siecią firmową i pracować tak, jakby był podłączony w biurze. Aby uzyskać połączenie należy się uwierzytelnić wpisując login i hasło dane przesyłane poprzez Internet są szyfrowane. Istnieją również rozwiązania umożliwiające uzyskanie zdalnego dostępu do zasobów sieci komputerowej poprzez przeglądarkę internetową. Technologia ta nie wymaga posiadania dodatkowego oprogramowania (VPN Client) i daje możliwość dostępu do plików, usług terminalowych oraz serwisów WEB-owych (obsługa przez przeglądarkę internetową).

Zdarzają się również sytuacje, w których pojawia się konieczność udzielenia dostępu zdalnego osobom spoza organizacji, np. na potrzeby serwisu sprzętu czy implementacji nowych rozwiązań. Przeważnie dostęp realizowany jest za pomocą pulpitu zdalnego (RDP), interfejsu linii poleceń (SSH) bezpośrednio lub poprzez połączenie VPN. Chociaż samo połączenie jest szyfrowane i zabezpieczone przed nieautoryzowanym dostępem, to zawsze istnieje możliwość że pracownik firmy zewnętrznej w ramach udzielonego połączenia dokona kradzieży danych, spowoduje awarię poprzez błędy konfiguracyjne albo po prostu wykona usługę w 15 minut żądając później zapłaty za 4 godziny pracy. Istnieje technologia, dzięki której można monitorować udostępnione połączenia a funkcjonalność taką zapewnia System FUDO firmy Wheel Systems. Administrator sieci chronionej może w czasie rzeczywistym wyświetlać udostępniony pulpit zdalny i dokonać rozłączenia sesji jeśli nastąpi taka potrzeba. FUDO rejestruje oraz zapisuje w pamięci masowej takie elementy połączenia jak obraz, wszystkie instrukcje wprowadzone klawiaturą i myszką lub za pomocą plików wykonywalnych oraz daje możliwość kontroli zmian przed ich zatwierdzeniem przez pracownika zewnętrznego.

Wszystkie wyżej opisane technologie były wielokrotnie implementowane przez zespół inżynierów ITNS Polska w najprzeróżniejszych scenariuszach, zarówno w ramach środowisk testowych jak i wdrożeniach produkcyjnych. W przypadku takich rozwiązań jak standard 802.1x oraz VPN posiadamy doświadczenia z wykorzystywaniem urządzeń i oprogramowania takich producentów jak: Microsoft, Cisco, HP, Barracuda, Fortinet i innych. Bazując na zdobytej wiedzy i doświadczeniu oferujemy swoim klientom pomoc w doborze właściwych rozwiązań, tworzenie projektów dostosowanych dla indywidualnych potrzeb oraz wdrażanie wybranych technologii. Na potrzeby większych projektów tworzymy środowiska testowe dla zapewnienia optymalizacji stosowanych rozwiązań i minimalizacji ryzyka negatywnego wpływu na poprawne działanie środowiska produkcyjnego. Każde wdrożenie wieńczone jest sporządzeniem szczegółowej dokumentacji powykonawczej oraz kiedy jest taka potrzeba, szkoleniem dla administratorów.