Implementacja bezpiecznej infrastruktury sieciowej

19 lipca 2010, swamper

Wdrażanie dobrych rozwiązań zabezpieczających poufne dane i urządzenia w przedsiębiorstwie nie należy do prostych zadań. Jest to proces długotrwały i ciągły. Od początku istnienia systemu informatycznego administrator ma na co dzień do czynienia z aspektami bezpieczeństwa jakie musi zrozumieć, opanować i wdrożyć by osłonić przedsiębiorstwo przed nowymi zagrożeniami i nie zostać zwolnionym z pracy.

W celu zapewnienia spójnego, dobrze zaplanowanego i udokumentowanego wdrożenia można wykorzystać model SDLC (ang. Systems Development Life Cycle) stosowany w inżynierii oprogramowania i inżynierii systemowej. Przechodząc przez kolejne fazy projektu i wdrożeń łatwiej jest administratorom ogarnąć projekt jako całość. Zaletą zastosowania modelu SDLC jest jego dokładność opisanych zadań do realizacji przypadających na konkretną fazę w pięciu podstawowych etapach.

  • planowania
  • analizy
  • projektowania
  • implementacji
  • zarządzania

Zaletą stosowania etapów jest podział pracy pomiędzy pracowników, specjalistów, przykładowo etapem analizy powinni zajmować się firmowi analitycy przy współpracy projektantów, a fazą implementacji i zarządzania – administratorzy.

Ważnym czynnikiem każdego systemu informatycznego jest konstrukcja polityki bezpieczeństwa zgodnej z wewnętrznymi regulacjami prawnymi firmy oraz krajowymi ustawami.

Po skutecznej implementacji całe wdrożenie winno być dobrze udokumentowane wraz z narysowaniem schematu topologicznego całej sieci. Jest to krytyczny czynnik długotrwały, tudzież w razie zmiany pracownika (administratora), łatwo jest mu się odnaleźć w nowym systemie niż jak miałby wszystko analizować od początku. Zajęłoby mu to dużo czasu, podczas gdy podatność nieaktualizowanego systemu rosłaby z każdym nowym zagrożeniem.

W projekcie zaprezentowano przykłady konfiguracji z routerów i przełączników firmy Cisco. Zastosowana konfiguracja zapewnia ochronę przed atakami opisanymi w rozdziałach wcześniejszych co zostanie zweryfikowane w testach penetracyjnych (rozdział 5.).

4.1. Zastosowanie modelu SDLC w projekcie

Cykl Życia Rozwoju Systemu SDLC (ang. Systems Development Life Cycle) w inżynierii systemowej i inżynierii oprogramowania jest procesem tworzenia lub modyfikowania systemu stosując modelowanie i metodologię, której ludzie używają by zbudować owy system. Metodologie tworzą fundament podstaw w procesie planowania i kontrolowania etapu tworzenia systemu. Model SDLC jest więc procesem logicznym używanym przez różnych analityków systemu (w tym analityków bezpieczeństwa informacji) by stworzyć system oparty na swoich założeniach. Wynikiem pracy z modelem SDLC powinien być wysokiej jakości system informatyczny, który spełnia lub przekracza oczekiwania klienckie wpływając pozytywnie na czas planowania i estymowany koszt wdrożenia.

Model SDLC składa się z pięciu głównych etapów potrzebnych do tego, aby w pełni zrealizować założenia projektowe i wymagania klienckie. Są nimi: faza planowania, analizy przydatności, projektowania, implementacji i konserwacji systemu. Istnieje wiele modeli opartych o ogólny model SDLC. W dzisiejszych czasach rozwiniętych technologii i różnorodności rozwiązań sprzętowych i programowych w planowaniu powinny zostać wykorzystane dwa modele w sposób scalony. Model wodospadowy i model spiralny powinny ze sobą całkowicie współdziałać, zwłaszcza jeżeli chodzi o budowanie bezpiecznego systemu informatycznego, który wymaga stałego rozwoju i opieki.

Założeniami modelu wodospadowego jest inkrementująca przepływność danej z kolejnych faz. Należy przejść po kolei każdą fazę, której wynik wykorzystuje się w następnej i tak do końca. Powoduje to stworzenie gruntownego podkładu pod skalowalny, funkcjonalny system informatyczny. Natomiast założeniem modelu spiralnego jest ciągły rozwój systemu. W modelu spiralnym fazy ze sobą są powiązane cyklicznie. Tzn. po przejściu przez fazę konserwacji po pewnym czasie może nastąpić powrót do fazy planowania w celu zapewnienia stuprocentowej funkcjonalności w sposób nieprzerwalny.

W obu modelach występują oczywiście te same fazy i ich założenia wewnętrzne są jednakowe. Różnica wynika, że jeden model stanowi fundament dla drugiego, zapewniającego ciągłą skalowalność i rozwój.[12]


Schemat modelu wodospadowego na podstawie ogólnego modelu SDLC.
Rys. 4.1.1. Schemat modelu wodospadowego na podstawie ogólnego modelu SDLC. (Źródło: Opracowanie własne.)

Jak widać na rys. 4.1.1. poszczególne fazy modelu wodospadowego zawierają kolejne tematy jakie należy zrealizować zanim przejdzie się do kolejnej fazy. Jest to swoiste ułatwienie dające analitykowi, projektantowi i administratorowi pojęcie o zakresie ich obowiązków wykonawczych. W lewych górnych rogach każdej fazy zostały opisane tytułowo, główne fazy wynikające z definicji modelu ogólnego SDLC.

Schemat modelu spiralnego na podstawie ogólnego modelu SDLC.
Rys. 4.1.2. Schemat modelu spiralnego na podstawie ogólnego modelu SDLC. (Źródło: Opracowanie własne.)

Model spiralny jest szczególnie ważny w przypadku budowania trwale zabezpieczonej infrastruktury sieciowej przedsiębiorstwa informatycznego. Bezpieczeństwo jest w dzisiejszych czasach krytycznym czynnikiem prawidłowej pracy systemu informatycznego, z uwagi na fakt, że powstaje każdego dnia nowe zagrożenie. W raz z nowym zagrożeniem istnieje ryzyko, że system będzie na niego podatny. Przeprowadzając testy penetracyjne wykorzystując w ich planowaniu model spiralny zapewnia się w przedsiębiorstwie prawidłowy przepływ faz, co usprawnia pracę.

W skrócie zostaną opisane kolejne fazy modelu SDLC wraz z krokami z modelu wodospadowego, gdyż tematem publikacji nie jest projektowanie infrastruktury sieciowej, a jedynie wdrażanie konkretnych metodologii związanych z bezpieczeństwem systemu informatycznego.

  1. Faza planowania

Służy do stworzenia wysoko-poziomowego spojrzenia na projekt z właściwej perspektywy wraz z określeniem celów jakie mają zostać zrealizowane. Z zasady faza planowania jest wykorzystywana do przedstawienia projektu wyższej grupie trzymającej władze w celu pozyskania funduszy na realizację projektu.

Złożona jest z dwóch kroków:

  • kategoryzacja potrzeb bezpieczeństwa – odpowiada na pytanie czy dane rozwiązania będą potrzebne w przedsiębiorstwie.
  • wstępne sporządzenie analizy ryzyka – nawiązuje do kategoryzacji potrzeb, jednak skupia się na fakcie, czy opłaca się wkładać w cały projekt fundusze, czy może istnieje inny, łatwiejszy, a przede wszystkim tańszy sposób jego realizacji. Przedstawia się tutaj głównie argumenty mogące przekonać zarząd w celu pozyskania funduszy.
  1. Faza analizy

Faza analizy jest często nazywana fazą określenia wymagań. Po zatwierdzeniu projektu przez zarząd musi nastąpić dogłębna analiza w jaki sposób projekt będzie musiał być realizowany, oraz potwierdzić jego opłacalność sporządzając szczegółowy kosztorys w którym oblicza się także możliwość wystąpienia zagrożenia, oraz jak nowe rozwiązanie projektowe może wpłynąć na zmniejszenie jego szkodliwości bądź je wykluczyć.

Analiza określenia wymagań jest najważniejszą fazą z punktu widzenia ekonomicznego. Jest wyjściem do wszystkich pozostałych faz.

Składa się z siedmiu kroków:

  • sporządzenie analizy ryzyka – jest rozwinięciem z kroku drugiego fazy planowania. Zawiera szczegółowe dane nt. opłacalności rozwiązania. Analiza ryzyka składa się z dwóch mniejszych analiz stanowiących całość (analiza ilościowa i jakościowa). Stosowane są tutaj następujące wzory:
    • analiza ilościowa:
      ALE = AV * EF * ARO
    • analiza jakościowa:
      SLE = AV * EF

Poprzez analizę ilościową rozumie się określenie wartości ryzyka włożonych w projekt funduszy względem wystąpienia ogólnie pojętego zagrożenia.

ALE (ang. Annualized Loss Expectancy) – uśredniona roczna wartość strat przewidywana jeżeli przedsiębiorstwo nie zainwestuje funduszy w projekt.

AV (ang. Asset Value) – ogólny koszt zakupionego sprzętu i jego utrzymania.

EF (ang. Exposure Factor) – procentowa strata zainwestowanych funduszy gdy wystąpi zagrożenie.

ARO (ang. Annualized Rate of Occurence) – uśredniona roczna liczba zagrożeń jakimi może zostać system dotknięty.

Poprzez analizę jakościową rozumie się określenie konkretnych wartości ryzyka w przypadku wystąpienia pojedynczego zagrożenia.

SLE (ang. Single Loss Expectancy) – określa wartość funduszy jaką firma może stracić za każdym razem gdy wystąpi zagrożenie.

  • analiza wymagań funkcjonalnych – określenie przydatności rozwiązań, oraz ich prawidłowe zaplanowanie. Które rozwiązanie będzie spełniało swoją rolę, a które z projektu należy wykluczyć.
  • analiza szczegółowych rozwiązań bezpieczeństwa – szczegółowa analiza w propozycji konkretnych rozwiązań z zakresu bezpieczeństwa i ich przydatności na podstawie ich funkcjonalności względem zwykłego użytkownika, który będzie korzystał z systemu.
  • sporządzenie kosztorysu i raportu – należy zebrać wszystkie czynniki do których realizacji będą potrzebne fundusze (urządzenia, media transmisyjne, opłacenie projektantów, wdrożeniowców). Należy również stworzyć raport porównujący analizę ryzyka do wartości z kosztorysu.
  • ustalenie kroków postępowania – krok ten stanowi wyznacznik w jakich okolicznościach czasowych kolejne etapy implementacji będą realizowane, oraz należy zdefiniować jakie to będą etapy.
  • określenie etapów implementacji – jest to szerzej opisany krok poprzedni z dokładnymi fragmentami opisującymi kolejne kroki na etapie wdrażania bezpieczeństwa do systemu.
  • rozważanie skuteczności zaproponowanych rozwiązań – krok stanowi meritum poprzednich kroków, wyznaczając opłacalność realizacji projektu.
  1. Faza projektowania

Faza projektowania jest częściowo kopią ostatnich kroków z fazy analizy. Wdrożenie rozwiązania jest nie stanowi problemu, lecz by rozwiązanie było skalowalne i funkcjonalne należy zatroszczyć się o jego właściwe zaprojektowanie. Dlatego początkowe kroki są powtarzane w celu upewnienia się, że rozwiązania naprawdę mogą przynieść pożądany efekt.

Faza składa się z czterech kroków, które są dokumentami:

  • inspekcja i akceptacja rozwiązań – jak wyżej, krok ma zapewnić prawidłowość rozwiązania i w tym celu jest poświadczany przez wszystkie osoby biorące udział w etapie projektowania, które przedstawiają dokument projektowy zarządowi w celu ostatecznego zatwierdzenia.
  • zadbanie o spójność systemu – jest to krok przedstawiający rozwiązania projektowe pracownikom przedsiębiorstwa bezpośrednio w przyszłości z nim związanymi, np. administratorzy będą odpowiedzialni za nieprzerwalną pracę systemu, więc muszą się z nim zapoznać i także go zaakceptować poprzez weryfikację własną.
  • poświadczenie prawidłowości rozwiązań – każdy z projektantów musi poświadczyć własnym podpisem, że projekt, który zostanie przez nich realizowany jest projektem chronionym prawnie i wszelkie konsekwencje wynikające z zaniedbań na etapie jego tworzenia, będą stanowiły podstawę do obarczenia tym faktem projektantów.
  • zatwierdzenie implementacji – ostateczna weryfikacja wszystkich dokumentów i podpis osoby zarządzającej przedsiębiorstwem, bądź odpowiedzialnej za przydział funduszy.
  1. Faza implementacji

Faza implementacji stanowi wdrożenie projektu w rzeczywistość.

  • konfiguracja, kontrola i zarządzanie – jest to normalny tryb pracy systemu informatycznego po wykonaniu kroków instalacyjnych i konfiguracyjnych.
  • obserwacja systemu – krok stanowi monitoring świeżo zaimplementowanego systemu informatycznego. Pomimo wieloetapowego potwierdzania wszystkich prawidłowości projektowych zawsze może się wydarzyć coś niespodziewanego. Dlatego przeprowadza się czasową obserwację systemu, czy działa według swoich założeń. Należy napisać na tym etapie gruntowną dokumentację techniczną stanu faktycznego.
  1. Faza konserwacji/zarządzania

Dochodząc do fazy konserwacji/zarządzania można poświadczyć, że wszystkie poprzednio zrealizowane fazy przebiegły pomyślnie, więc system informatyczny może zacząć normalnie pracować w warunkach produkcyjnych. Na tym etapie należy pamiętać o wszystkich czynnikach bezpieczeństwa i jakie należy wykonywać kroki postępowania w celu jego zapewnienia, które określa sporządzony dokument polityki bezpieczeństwa.

  • zabezpieczanie i archiwizacja poufnych danych
  • konserwacja urządzeń
  • usuwanie sprzętu, dokumentów i nośników

4.1.1. Dokumentacja techniczna

Dokumentacja techniczna jest papierowym dokumentem służącym do szybkiego odnalezienia danego fragmentu sieci, urządzenia, parametru technicznego z urządzenia, że w razie wystąpienia błędu, usterki, zagrożenia, administrator mógł szybciej zlokalizować usterkę i ją naprawić.

Dobra dokumentacja techniczna powinna zawierać przede wszystkim rysunki, zgodnie z tezą, że „zdjęcie wyraża tysiąc słów”. Na jednym rysunku (najlepiej wielkoformatowym) powinna się znaleźć topologia fizyczna (czyli sposób połączenia wszystkich urządzeń). Jeżeli sieć nie jest zbyt rozległa i nie powoduje, że dane na rysunku się zlewają można połączyć także ją z topologią logiczną, czyli z adresacją i liczbą hostów przypadających na sieć.


Adresacja w topologii fizycznej sieci zastosowanej w projekcie.
Rys. 4.1.1.1. Adresacja w topologii fizycznej sieci zastosowanej w projekcie. (Źródło: Opracowanie własne.)

Rysunki topologii logicznej i fizycznej pozwalają osiągnąć większą skuteczność w rozwiązywaniu problemów związanych z warstwą fizyczną i łącza danych modelu OSI.

W przypadku osiągnięcia większej skuteczności na wyższych warstwach proponuje się opisanie rysunku topologii logicznej, usługami jakie zostały zaimplementowane na poszczególnych urządzeniach.

Tak w przypadku błędnego routingu i adresacji można w krótkim czasie zlokalizować problem warstwy sieciowej. W przypadku oznaczonej kontroli dostępu – w warstwie transportowej i usług serwerowych w warstwach wyższych.


Schemat co zostało zaimplementowane na poszczególnych urządzeniach.
Rys. 4.1.1.2. Schemat co zostało zaimplementowane na poszczególnych urządzeniach. (Źródło: Opracowanie własne.)

Przy konstrukcji dokumentacji należy także pamiętać o tekście, które powinny najpierw powielać dane z rysunków, a następnie je rozszerzać.

Przez rozszerzenie rozumie się ogólny opis działania usługi i jej przydatności w systemie informatycznym oraz wklejenia plików konfiguracyjnych. Dokumentacja, tak jak przedsiębiorstwo – powinna się rozwijać. W przypadku zmian w dokumencie należy je zapisywać z datami modyfikacji i zachowywać wszystkie stare wersje w zamkniętym pomieszczeniu, niedostępnym dla otoczenia. [6]

4.1.2. Polityka bezpieczeństwa

W rozdziale 3. traktującym o zagrożeniach często jest wspomniane hasło polityki bezpieczeństwa. W przedsiębiorstwie jest to bardzo ważny dokument przedstawiany każdemu pracownikowi w celu zapoznania się z jego obowiązkami związanymi ze stanowiskiem komputerowym oraz z danymi z jakimi pracuje. Polityka bezpieczeństwa powołuje się na akty prawne takie jak ustawy o ochronie danych osobowych i informacji niejawnych oraz rozporządzenia dotyczące przetwarzania danych poufnych i warunków technicznych systemów informatycznych. Jest to dokument elastyczny, tzn. każdy dział lub inna forma podziału między pracownikami może zostać w niej osobno opisana. Każdy pracownik musi się podpisać pod polityką bezpieczeństwa, że się z nią zapoznał i zna wszelkie konsekwencje jakie grożą z tytułu nie stosowania się do zasada tegoż dokumentu. Dobra polityka bezpieczeństwa powinna być zaopatrzona także w raport zdarzeń i wykaz osób zapoznanych z polityką. Usprawnia to prace logistyczne.

Zostaje przedstawiony wzór dokumentu polityki bezpieczeństwa jaki powinien być stworzony w przedsiębiorstwie.

WZÓR POLITYKI BEZPIECZEŃSTWA

WSTĘP

Poniższy dokument jest zgodny z aktami prawnymi:

  1. Ustawa z dnia 29.08.1997r. O ochronie danych osobowych (tekst jednolity Dz. U. Nr 101, z 2002 r., poz. 926)
  2. Ustawa o ochronie informacji niejawnych z 22.01.1999 r. (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami),
  3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Niniejszy dokument reguluje sprawy ochrony danych osobowych zawierających się w informatycznym systemie wykorzystywanym w lokalnej sieci komputerowej oraz zbiorów danych w postaci dokumentacji papierowej w przedsiębiorstwie XXX.

Opisane zostały reguły wyznaczające granice dopuszczalnego zachowania się wszystkich użytkowników systemu informatycznego przedsiębiorstwa XXX. Dokument w szczególności zwraca uwagę na konsekwencje dla osób, które przekroczą opisane granice. Polityka bezpieczeństwa wskazuje także sposób postępowania w sytuacji naruszenia bezpieczeństwa informacji w systemach informatycznych. Potrzeba opracowania dokumentu wynika z § 3 rozporządzenia Prezesa Rady Ministrów z dnia 25 lutego 1999 roku w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18 póz. 162) oraz § 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, póz. 1024).

ZASADY OGÓLNE

  1. Dokument określa tryby postępowania dla przypadków, gdy:
    1. Zostało stwierdzone naruszenie zabezpieczeń systemu komputerowego
    2. Zawartość zbioru danych, ujawnione metody pracy, sposób działania konkretnego programu mogą wskazywać na naruszenie zabezpieczeń.
  2. Dokument jest skierowany do wszystkich pracowników przedsiębiorstwa XXX.
  3. Stosowanie się do postanowień tego dokumentu ma zapewnić właściwą reakcję i udokumentowanie przypadków, w których zostało stwierdzone naruszenie bezpieczeństwa jak i zapewnić właściwy tok postępowania w celu przywrócenia normalnej pracy.

OPIS ZAGROŻEŃ NARUSZAJĄCYCH ZASADY POLITYKI BEZPIECZEŃSTWA

  1. Podział zagrożeń:
    1. Losowe zewnętrzne – przerwy w zasilaniu, kataklizmy. Ciągłość pracy systemu zostaje naruszona lecz nie następuje wyciek poufnych danych
    2. Losowe wewnętrzne – nieświadome pomyłki administratorów, operatorów, przypadkowe awarie sprzętowe . Ciągłość pracy systemu zostaje naruszona i może nastąpić wyciek poufnych danych
    3. Celowe zagrożenia zamierzone – naruszenie poufności danych, nieuprawniony dostęp do systemu.
  2. Przypadki uzasadnionego podejrzenia stwarzania zagrożeń dla systemu informatycznego:
    1. Sytuacje losowe – pożar, powódź, katastrofa, terroryzm
    2. Niewłaściwe warunki środowiskowe – wilgotność, temperatura, wibracje, wstrząsy, wyładowania elektryczne
    3. Umyślne awarie sprzętu i oprogramowania
    4. Ujawnienie poufnych danych osobom niepowołanym
    5. Nieprzypadkowa zmiana założonego rytmu pracy w sieci komputerowej
    6. Próba naruszenia integralności danej lub systemu
    7. Pojawienie się komunikatu alarmowego
    8. Naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa stanowiska pracy
    9. Stwierdzone nieprawidłowości w zakresie przechowywania i zabezpieczania miejsc z poufnymi danymi – biurka, szafki, nośniki tradycyjne, nośniki

ZABEZPIECZANIE POUFNYCH DANYCH

§ 1 Cele i zasady ogólne

Administrator jest zobowiązany do stosowania środków technicznych w celu zapewnienia ochrony przetwarzanym poufnych danych w systemie informatycznym przedsiębiorstwa XXX, w szczególności:

  • zapobiegnięcie wycieku danych do rąk osób niepowołanych
  • zapobiegnięcie przetwarzaniu danych, w sposób który narusza ustawę oraz zmianę, utratę bądź uszkodzenie danych
  • zabezpieczanie danych przed udostępnianiem osobom niepowołanym

§ 2 Cele i zasady ochrony ogólnej

Celem wprowadzonych do niniejszej polityki bezpieczeństwa jest ochrona danych poufnych eksploatowanych w systemie informatycznym przedsiębiorstwa XXX.

Zabezpieczenia w szczególności tyczą się:

  • zabezpieczenie danych przed dostępem osób niepowołanych na etapie jej wykorzystywania (wprowadzanie, aktualizacja, wyświetlanie, drukowanie)
  • zabezpieczenie danych zarchiwizowanych na nośnikach zewnętrznych
  • przestrzeganie procedur niszczenia niepotrzebnych dokumentów papierowych oraz nośników z danymi.
  • ochrona systemu bezpieczeństwa przed dostępem fizycznym osób nieupoważnionych do pomieszczeń, w których znajdują się urządzenia systemu informatycznego
  • monitorowanie systemu bezpieczeństwa
  • wyznaczenie ścisłego zakresu obowiązków pracowników w szczególności w sektorze dotyczącym bezpieczeństwa danych

Sposoby zabezpieczeń są określone za pomocą:

  • ograniczenia fizycznego dostępu do pomieszczeń z urządzeniami wykorzystywanymi w systemie informatycznym
  • zdefiniowanie programowych grup użytkowników, nazw oraz haseł
  • stosowanie kryptograficznych metod ochrony danych, które są oferowane na pulpicie użytkownika
  • przeprowadzanie archiwizacji danych na nośnikach optycznych lub magnetycznych z ich ochroną w oddzielnym pomieszczeniu lub budynku
  • w pomieszczeniach ze sprzętem komputerowym zainstalowane są systemy alarmowe i przeciwpożarowe
  • za całość polityki bezpieczeństwa odpowiada szef działu bezpieczeństwa przedsiębiorstwa XXX

§ 3 Zabezpieczanie danych

Wprowadzone zostały następujące metody zabezpieczeń:

  • na pracowniczych stacjach roboczych wprowadzono wysoki poziom zabezpieczeń
  • pomieszczenia zawierające urządzenia przetwarzające poufne dane i kartoteki osobowe zostały zabezpieczone właściwym okratowaniem, systemem alarmowym, przeciwpożarowym i  miernikiem właściwego poziomu parametrów klimatycznych
  • w razie wystąpienia awarii zasilania lub zakłóceń sieci elektroenergetycznej serwera i urządzeń przetwarzających poufne dane zostały zabezpieczone systemami podtrzymującymi napięcie
  • uruchomienie stacji roboczych wymaga podania hasła BIOS’u
  • zalogowanie się do systemu wymaga podania nazwy użytkownika i hasła
  • każdy użytkownik systemu ma przydzielone prawa dostępu uprawniające go do wykonywania operacji związanych ze swoją pracą.
  • w razie nieudanego logowania następuje czasowe zawieszenie konta użytkownika
  • logowanie w systemie jest możliwe jedynie w godzinach pracy
  • administrator i szef działu bezpieczeństwa mają stosowne uprawnienia do definiowania kont pracowników i haseł
  • w celu zabezpieczenia dostępu z zewnątrz do sieci lokalnej przedsiębiorstwa stosuje się system ściany ogniowej i szyfrowanie w wirtualnej sieci prywatnej
  • każda stacja robocza jest zaopatrzona w aktywny pakiet antywirusowy pracujący w czasie rzeczywistym. Za krytyczne aktualizacje odpowiada administrator.
  • urządzenia serwerowe zostały zaopatrzone w mechanizm wykrywania i prewencji intruzów
  • dostęp do danych przez pracowników wyznaczany jest przez administratora
  • wykonane kopie bezpieczeństwa zabezpieczone w innym pomieszczeniu może otwierać jedynie szef działu bezpieczeństwa przedsiębiorstwa XXX

§ 4 Monitoring zabezpieczeń

Do monitorowania zabezpieczeń systemu informatycznego zobowiązani są administrator systemu i szef działu bezpieczeństwa.

Do ich obowiązków w zakresie monitoringu zabezpieczeń należą:

  • okresowe badanie stanu zabezpieczeń pod względem testów penetracyjnych
  • okresowa analiza kopii bezpieczeństwa pod względem ich przydatności w razie powstania potrzeby odtwarzania danych
  • ewidencja i kontrola nośników optycznych i magnetycznych
  • kontrola częstotliwości zmiany haseł przez pracowników
  • przedstawienie rocznych raportów z zakresu przeprowadzonych kwartalnych kontroli

§ 5 Szkolenia z zakresu bezpieczeństwa

Podstawowe szkolenie z zakresu bezpieczeństwa jest obowiązkowe i obejmuje wszystkich pracowników przedsiębiorstwa XXX.

Tematyka szkoleń obejmuje zagadnienia:

  • przepisy i wewnętrzne instrukcje dotyczące postępowania z chronionymi danymi, archiwizacją i przechowywania nośników
  • przepisy i wewnętrzne instrukcje dotyczące niszczenia wydruków i nośników.
  • zakres obowiązków pracownika i sposobów ochrony stanowiska pracy

§ 6 Archiwizacja danych

  1. Archiwizacja danych w systemie informatycznym przebiega w trybie tygodniowym
  2. Kopie awaryjne z programów z których korzystają pracownicy wykonywane są codziennie. Za wykonanie kopii awaryjnej odpowiedzialny jest operator danej stacji roboczej
  3. Kopie bezpieczeństwa winny być przechowywane w szafie pancernej. Osobą upoważnioną do wglądu do kopii bezpieczeństwa jest szef działu bezpieczeństwa przedsiębiorstwa XXX.

§7 Zasady niszczenia wydruków papierowych i nośników danych

  1. Nośniki optyczne wychodzące poza obszar przedsiębiorstwa nie powinny zawierać danych poufnych
  2. Nośniki optyczne przed wyrzucenie nim powinny być zniszczone fizycznie poprzez przecięcie, przełamanie
  3. Wydruki papierowe zawierające poufne dane winny być zniszczone fizycznie poprzez wykorzystanie niszczarki i/lub spalenie w piecu

SPOSOBY POSTĘPOWANIA W PRZYPADKU NARUSZENIA ZASAD BEZPIECZEŃSTWA

  1. Każdy pracownik przedsiębiorstwa XXX, który był uczestnikiem naruszenia zasad bezpieczeństwa powinien przekazać tę informację szefowi działu bezpieczeństwa, lub administratorowi pod jego nieobecność w trybie natychmiastowym
  2. W razie braku obecności szefa działu bezpieczeństwa lub administratora systemu pracownik zobowiązany jest powiadomić bezpośredniego przełożonego
  3. Zanim szef działu bezpieczeństwa lub administrator systemu przybędą na miejsce zajścia zdarzenia pracownik jest zobowiązany:
    1. Podjąć czynności niezbędne w celu powstrzymania wycieku poufnych danych wynikającego z zajścia zdarzenia, w tym ustalenie możliwego sprawcy
    2. Wstrzymanie swojej bieżącej pracy zabezpieczając własne stanowisko
    3. Zabezpieczenie miejsca zdarzenia
    4. Zastosowanie się do innych regulaminów i instrukcji, jeżeli takowe odnoszą się do zaistniałego zdarzenia
    5. Nie opuszczać miejsca zdarzenia bez uzasadnionej potrzeby do czasu przybycia szefa działu bezpieczeństwa, administratora lub bezpośredniego przełożonego chyba, że istnieje zagrożenie życia
  4. Szef działu bezpieczeństwa przeprowadza ścisłą dokumentację zaistniałego zdarzenia i sporządza raport według ustalonego wzoru, który powinien zawierać:
    1. Wskazanie osoby powiadamiającej o zaszłym zdarzeniu
    2. Wskazanie innych osób zaangażowanych w zdarzenie
    3. Wskazanie czasu i miejsca zgłoszenia zdarzenia oraz czasu i miejsca zajścia zdarzenia
    4. Określenie możliwych okoliczności zajścia zdarzenia

OBOWIĄZKI SZEFA DZIAŁU BEZPIECZEŃSTWA

  1. Przeprowadzanie ścisłego nadzoru nad przestrzeganiem instrukcji zawartych w tym dokumencie
  2. Przeprowadzanie ścisłego nadzoru nad zabezpieczaniem sprzętu oraz pomieszczeń związanych z prawidłowym działaniem systemu informatycznego
  3. Przeprowadzanie ścisłego nadzoru nad zabezpieczaniem oraz legalnością stosowanego oprogramowania
  4. Przeciwdziałanie dostępowi do systemu osobom nieupoważnionym
  5. Podejmowanie działań w celu zapewnienia właściwej ochrony danych
  6. Badanie i raportowanie naruszeń bezpieczeństwa w systemie informatycznym
  7. Przeprowadzanie ścisłego nadzoru nad naprawami, konserwacją i likwidacją urządzeń komputerowych
  8. Definiowanie grup użytkowników, haseł dostępu i przydziału praw dostępu
  9. Przeprowadzanie testów penetracyjnych w celu ustalenia aktualnego poziomu bezpieczeństwa w przedsiębiorstwie
  10. Przeprowadzanie aktualizacji oprogramowania na stacjach roboczych poza tymi wykonywanymi automatycznie
  11. Przeprowadzanie ścisłego nadzoru nad właściwą konserwacją i usuwaniem urządzeń i nośników komputerowych

DODATKOWY ZAKRES OBOWIĄZKÓW DLA PRACOWNIKA PRZEDSIĘBIORSTWA

  1. Pracownik jest zobowiązany dbać o bezpieczeństwo powierzonych mu poufnych danych, ich właściwą archiwizację i przechowywanie, a w szczególności:
    1. Chronić poufne dane przed dostępem osób niepowołanych
    2. Chronić dane przed nieumyślnym zniszczeniem, lub modyfikacją
    3. Chronić powierzone nośniki optyczne oraz wydruki przed dostępem osób niepowołanych oraz przed nieumyślnym zniszczeniem
    4. Utrzymywać w tajemnicy powierzone nazwy użytkownika, hasła, częstości ich zmian oraz szczegóły techniczne wynikające z czytania tego dokumentu
  2. Zabrania się pod rygorem odpowiedzialności karnej i służbowej pracownikowi:
    1. Ujawniać poufne dane
    2. Kopiować poufne dane bez przewidzianych w tym celu instrukcji lub wykraczając poza zakres swoich obowiązków
    3. Przetwarzać dane w sposób nieodpowiedni, zabroniony zakresem obowiązków

WZÓR OŚWIADCZENIA

  • Imię i nazwisko pracownika:
  • Miejscowość, data:
  • Adres:

OŚWIADCZENIE

  1. Własnoręcznym podpisem oświadczam, że jako pracownik przedsiębiorstwa XXX zapoznałem się z dokumentem polityki bezpieczeństwa oraz, że znana jest mi treść przepisów o ochronie danych osobowych, oraz o odpowiedzialności karnej z nią związaną.
  2. Zobowiązuje się jednocześnie do przestrzegania zasad opisanych w dokumencie oraz nie będę:
    1. Ujawniać poufnych danych eksploatowanych przeze mnie w przedsiębiorstwie
    2. Ujawniać szczegółów technologicznych regulowanych przez wewnętrzne instrukcje i regulaminy
    3. Ujawniać szczegółów zawartych w dokumencie polityki bezpieczeństwa
    4. Przekazywać osobom niepowołanym nośniki optyczne lub wydruki
    5. Kopiować, przetwarzać lub usuwać dane w sposób niezgodny z opisanymi dla mnie instrukcjami
  3. Zobowiązuje się także do:
    1. Dbanie o środowisko pracy, swoje stanowisko oraz poszanowanie dla innych pracowników przedsiębiorstwa
    2. Informowania szefa działu bezpieczeństwa, administratora lub bezpośredniego przełożonego o zaistniałym zdarzeniu naruszającym zasady bezpieczeństwa w przedsiębiorstwie
    3. Wykonywania czynności zawartych we wszystkich instrukcjach i regulaminach przedstawionych mojej osobie.

Podpis pracownika

Podpis przełożonego

WZÓR WYKAZU

WYKAZ OSÓB ZAPOZNANYCH Z POLITYKĄ BEZPIECZEŃSTWA

Lp. Imię i nazwisko Stanowisko Data Podpis

WZÓR RAPORTU

RAPORT Z NARUSZENIA ZASAD BEZPIECZEŃSTWA W PRZEDSIĘBIORSTWIE

  1. Data (dd.mm.rr):
    Godzina (gg:mm):
  2. Osoba powiadamiająca o zaistniałym zdarzeniu (imię i nazwisko, stanowisko pracy, nazwa użytkownika (jeżeli obowiązuje)) :
  3. Lokalizacja zdarzenia (nr pokoju, ewentualna nazwa pomieszczenia):
  4. Rodzaj naruszenia bezpieczeństwa oraz towarzyszące okoliczności:
  5. Przyczyny wystąpienia zdarzenia:
  6. Podjęte działania zapobiegawcze:
  7. Podjęte postanowienie wyjaśniające:
  • (data, podpis Szefa Bezpieczeństwa Informatycznego)

(Źródło: Opracowanie własne na podstawie: http://bip.trzcinsko-zdroj.pl/unzip/1084.dhtml 31.05.2009r)

4.2. Realizacja projektu ochrony infrastruktury sieciowej przedsiębiorstwa

Niżej opisana konfiguracja jest częścią składową urządzeń produkcyjnych stosowanych w realnej topologii. Stanowi odzwierciedlenie faktycznego stanu konfiguracyjnego z niewielkimi wyjątkami zagrażającymi przedsiębiorstwie. Dlatego zmienione zostały wszelkie hasła, adresy IP oraz porty. Konfiguracje na wielu urządzeniach powtarzają się, dlatego kroki te zostały pominięte, a jedynie opisane jako odnośnik do konfiguracji powyżej. Tam, gdzie występowały zmiany przy tej samej usłudze – zostały one opisane.

Konfiguracja dotyczy urządzeń z rysunku topologii użytkowej (rys. 4.1.1.2 z rozdziału 4.1.1)

KONFIGURACJA ROUTERA A
  • zabezpieczenie logowania:
A(config)#security passwords min-length 10 Ustala minimalną długość haseł na 10 znaków.
A(config)#service password-encryption Włącza usługę prostego szyfrowania haseł w konfiguracji.
A(config)#enable secret level 15 ciscocisco Ustawia hasło trybu uprzywilejowanego na ciscocisco.
A(config)#security authentication failure rate 3 log Zezwalaj na 3 możliwe nieudane próby logowania.
A(config)#login block-for 30 attempts 3 within 15 Jeżeli w ciągu 15sek. wystąpią 3 nieudane próby logowania to blokuj możliwość logowania na 30sek. Tryb Cichy.
A(config)#login delay 5 Opóźnienie między losowaniami ustawione na 5sek.
A(config)#access-list 1 permit host 100.0.0.2 log Ruch z hosta 100.0.0.2 sklasyfikowany jako dozwolony.
A(config)#login quiet-mode access-class 1 Zezwolenie hostowi z listy 1 na logowanie pomimo Trybu Cichego.
A(config)#login on-success log every 1 Jeżeli ktoś się zalogował to należy zalogować tę informację.
A(config)#login on-failure log every 1 Jeżeli komuś nie udało się zalogować to należy zalogować tę informację
A(config)#username admin privilege 15 secret ciscocisco Tworzy konto użytkownika admin z hasłem trybu uprzywilejowanego ciscocisco w lokalnej bazie danych.
A(config-line)#transport input ssh Zastępuje usługę Telnet usługą SSH.
A(config-line)#login local Zezwolenie na logowanie za pomocą lokalnej bazy danych.
A(config)#crypto key generale rsa Generacja szyfrowania asymetrycznego RSA i włączenie protokołu SSH 1.9.
A(config)#ip ssh version 2 Włączenie protokołu SSH 2.0.
A(config)#ip ssh time-out 60 Ustawienie czasu oczekiwania prompta na 60sek.
A(config)#ip ssh authentication-retries 3 Zezwolenie na trzy maksymalne nieudane logowania.
A(config)#ip ssh logging events Logowanie zdarzeń związanych z protokołem SSH.
A(config)#ip ssh maxstartups 5 Zezwolenie na 5 konkurentnych zalogowań jednocześnie.
A(config)#banner motd # NIEAUTORYZOWANY DOSTEP SUROWO WZBRONIONY # Ustalenie wiadomości powitalnej widocznej przed zalogowaniem.
  • zabezpieczenie konfiguracji i systemu operacyjnego:
A(config)#copy running-config startup-config Skopiowanie konfiguracji z pamięci RAM do pamięci NVRAM.
A(config)#secure boot-image Zabezpieczenie systemu IOS w pamięci Flash routera.
A(config)#secure boot-config Zabezpieczenie konfiguracji z NVRAM do pamięci Flash routera.
  • przesyłanie wiadomości i zalogowanych zdarzeń do serwera Syslog:
A(config)#logging on Włączenie logowania systemowego.
A(config)#logging 12.0.0.2 Przesyłanie wiadomości do serwera Syslog na adres 12.0.0.2.
A(config)#logging trap notifications Przesyłanie wiadomości tylko z poziomu piątego i poniżej.
  • wyłączenie niepotrzebnych usług:
A(config)#no ip http server Wyłączenie usługi WWW.
A(config)#no ip ftp-server Wyłączenie usługi FTP.
A(config)#no ip bootp server Wyłączenie protokołu BOOTP.
A(config)#no ip finger Wyłączenie narzędzia FINGER.
A(config)#no ip source-route Obrona przed atakiem IP Source-Routing.
A(config)#no ip redirects Obrona przed atakiem IP Source-Routing.
A(config)#no ip gratuitous-arp Obrona przed MAC Spoofing.
A(config)#no ip domain-lookup Wyłączenie usługi translacji nazw domen.
A(config-if)#no ip unreachables Częściowa obrona przed atakiem DoS/DDoS.
A(config-if)#no ip directed-broadcasts Częściowa obrona przed atakiem DoS/DDoS.
A(config)#no service pad Wyłączenie usługi PAD.
A(config)#no service tcp-small-services Wyłączenie usługi TCP-S-Services.
A(config)#no service udp-small-services Wyłączenie usługi UDP-S-Services.
A(config)#no snmp-server Wyłączenie protokołu SNMP.
  • zabezpieczenie protokołu NTP:
A(config)#no snmp-server Wyłączenie protokołu SNMP.
A#clock set 15:30:30 1 june 2009 Zdefiniowanie prawidłowego czasu na routerze.
A(config)#ntp master 1 Zdefiniowanie źródła rozgłoszeń czasu NTP.
A(config)#ntp authenticate Włączenie autentykacji protokołu NTP.
A(config)#ntp authentication-key 1 md5 KLUCZYK Zdefiniowanie klucza MD5 autentykacji na wartość KLUCZYK
A(config)#ntp max-associations 3 Synchronizowanie maksymalnie trzech asocjacji.
A(config)#ntp trusted-key 1 Zdefiniowanie, który klucz jest zaufany.
A(config)#ntp logging Logowanie zdarzeń związanych z protokołem NTP do serwera Syslog.
  • opcjonalna konfiguracja 802.1x (autentykacji maszyny po porcie):
A(config)#aaa new-model Włączenie logowania mechanizmem AAA, wymaganym do prawidłowego działania autentykacji dot1x
A(config)#aaa authentication login default local Umożliwienie prawidłowego logowania do routera po włączeniu mechanizmu AAA.
A(config)#aaa authentication dot1x default group radius local Zdefiniowanie autentykacji protokołu dot1x do serwera Radius, lub gdy coś się z nim stanie – za pomocą lokalnej bazy danych.
A(config)#dot1x system-auth-control Włączenie autentykacji 802.1x
A(config-if)#dot1x port-control auto Zdefiniowanie roli portu na transmisję ramek EAPoL.
A(config)#dot1x guest-vlan supplicant Przeniesienie użytkownika nie obsługującego EAPoL do VLANu z ograniczonymi zasobami.
A(config)#dot1x auth-fail max-attmepts 3 Po 3 nieudanych próbach logowania przenosi użytkownika do VLANu restrykcyjnego.
A(config)#dot1x host-mode single-host Oznaczenie portu jako samotnego.
A(config)#dot1x guest_vlan 6 Zdefiniowanie VLANu z ograniczonymi zasobami.
A(config)#dot1x auth-fail vlan 7 Zdefiniowanie VLANu restrykcyjnego.
KONFIGURACJA PRZEŁĄCZNIKA A
  • zabezpieczenie logowania – tak samo jak router A.
  • zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
  • przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A.
  • konfiguracja port-security (powtórzyć dla każdego interfejsu stacji roboczej):
A_SW(config-if)#switchport port-security Włączenie uslugi port-security.
A_SW(config-if)#switchport port-security maximum 1 Zdefiniowanie maksymalnej dozwolonej liczby adresów MAC na port przełącznika na 1.
A_SW(config-if)#switchport port-security violation shutdown Zdefiniowanie reakcji na podłączenie komputera z innym adresem MAC niż ten w tablicy CAM.
A_SW(config-if)#switchport port-security mac-address sticky Dynamiczna nauka adresu MAC do tablicy CAM pierwszego wpiętego komputera.
A_SW(config-if)#switchport mode access Zdefiniowanie trybu access dla interfejsu.
A_SW(config-if)#switchport access vlan 2 Przypisanie portu do VLAN2.
  • konfiguracja protokołu VTP:
A_SW(config)#vtp mode server Ustawienie trybu pracy protokołu VTP jako serwer na tym przełączniku.
A_SW(config)#vtp domain FIRMA Ustawienie domeny protokołu VTP na FIRMA.
A_SW(config)#vtp password 0x011A Ustawienie hasła dla przesyłanych pakietów VTP na 0x011A
A_SW(config)#vtp version 2 Ustawienie wersji protokołu VTP na 2.
  • zabezpieczenie protokołu STP i DTP:
A_SW(config)#spanning-tree mode rapid-pvst Ustawienie trybu pracy na Rapid-PVST.
A_SW(config)#spanning-tree vlan 2-5 priority 0 Ustawienie na sztywno priorytetu 0 co zapobiegnie nowej elekcji przełącznika głównego.
A_SW(config)#spanning-tree portfast bpduguard enable Włączenie usługi BPDU Guard.
A_SW(config-if)#spanning-tree guard root Włączenie usługi Root Guard.
A_SW(config-if)#switchport trunk Zmiana trybu portu na trunk.
A_SW(config-if)#switchport nonegotiate Wyłączenie protokołu DTP.
A_SW(config-if)#switchport trunk native vlan 10 Zdefniowanie VLAN’u natywnego na 10.
  • zabezpieczenie przed atakami DHCP i ARP Spoofing:
A_SW(config)#ip dhcp snooping vlan 2 Włączenie usługi DHCP Snooping dla VLAN2.
A_SW(config)#ip dhcp snooping information option Włączenie usługi DHCP Snooping dla agenta DHCP Relay.
A_SW(config)#ip dhcp snooping limit rate 3 Ustawienie limitu pakietów DHCP na 3 w ciągu sekundy
A_SW(config-if)#ip dhcp snooping trust Ustawienie interfejsu zaufanego dla serwera DHCP.
A_SW(config)#ip arp inspection vlan 2 Włączenie usługi DAI dla VLAN2.
A_SW(config)#ip arp inspection validate src-mac Klasyfikacja portu na podstawie źródłowego adresu fizycznego.
A_SW(config-if)#ip arp inspection trust Ustawienie interfejsu zaufanego dla przełącznika.
KONFIGURACJA ROUTERA B
  • zabezpieczenie logowania – tak samo jak router A.
  • zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
  • przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A.
  • wyłączenie niepotrzebnych usług – tak samo jak router A.
  • zabezpieczenie protokołu NTP w trybie klienckim:
A(config)#ntp server 10.0.0.1 prefer Zdefiniowanie źródła rozgłoszeń czasu NTP z którego będą pobierane informacje czasowe.
A(config)#ntp authenticate Włączenie autentykacji protokołu NTP.
A(config)#ntp authentication-key 1 md5 KLUCZYK Zdefiniowanie klucza MD5 autentykacji na wartość KLUCZYK
A(config)#ntp trusted-key 1 Zdefiniowanie, który klucz jest zaufany.
A(config)#ntp logging Logowanie zdarzeń związanych z protokołem NTP do serwera Syslog.
  • stworzenie mechanizmu Router-on-a-Stick w celu poprawnego routingu pomiędzy VLAN’ami przełączników:
B(config)#interface fastethernet 0/1.2 Utworzenie podinterfejsu w interfejsie fizycznym Fa0/1.
B(config-subif)#encapsulation dot1Q 2 Wskazanie enkapsulacji 802.1q dla VLAN2.
B(config-subif)#ip address 192.168.1.1 255.255.255.224 Zdefniowanie podsieci dla VLAN2.
B(config)#interface fastethernet 0/1.3 Utworzenie podinterfejsu w interfejsie fizycznym Fa0/1.
B(config-subif)#encapsulation dot1Q 3 Wskazanie enkapsulacji 802.1q dla VLAN3.
B(config-subif)#ip address 192.168.1.33 255.255.255.192 Zdefniowanie podsieci dla VLAN3.
B(config)#interface fastethernet 0/1.4 Utworzenie podinterfejsu w interfejsie fizycznym Fa0/1.
B(config-subif)#encapsulation dot1Q 4 Wskazanie enkapsulacji 802.1q dla VLAN4.
B(config-subif)#ip address 192.168.1.97 255.255.255.128 Zdefniowanie podsieci dla VLAN4.
  • zdefiniowanie puli adresów DHCP (operacje powtórzyć dla VLAN3 i VLAN4 analogicznie):
B(config)#ip dhcp pool PULA_2 Zdefiniowanie nazwy puli.
B(dhcp-config)#network 192.168.1.0 255.255.255.224 Zdefiniowanie zakresu adresów w puli.
B(dhcp-config)#dns-server 100.0.0.1 Zdefiniowanie lokalizacji serwera DNS.
B(dhcp-config)#default router 192.168.1.1 Zdefiniowanie bramki domyślnej dla puli.
B(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.1 Wyłączenie adresu interfejsu z puli automatycznego przydziału.
KONFIGURACJA PRZEŁĄCZNIKA B
  • Zabezpieczenie logowania – tak samo jak router A.
  • Zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
  • Przesyłanie wiadomości i zdarzeń do serwera Syslog – tak samo jak router A.
  • Konfiguracja port-security – tak jak na przełączniku A.
  • Konfiguracja protokołu VTP – tak jak na przełączniku A.
  • Zabezpieczenie protokołu STP i DTP – tak jak na przełączniku A.
  • Zabezpieczenie przed atakami DHCP i ARP Spoofing – tak jak na przełączniku A.
  • Obrona przed niekontrolowanym sztormem rozgłoszeniowym:
B_SW(config)#interface range fastethernet 0/2 – 23 Zdefiniowanie zasięgu interfejsów.
B_SW(config-if)#storm-control broadcast level 70 Zdefiniowanie procentowego poziomu obciążenia łącza pakietami rozgłoszeniowymi.
B_SW(config-if)#storm-control action shutdown Ustalenie standardowej akcji na przekroczenie procentowego poziomu obciążenia.
  • wprowadzenie restrykcji dostępu hosta 192.168.1.5 do reszty VLAN2.
B_SW(config)#access-list 101 permit ip host 192.168.1.5 any Zdefiniowanie ruchu do wyłączenia.
B_SW(config)#vlan access-map MAPA 10 Zdefiniowanie mapy dostępu z numerem sekwencyjnym 10.
B_SW(config-vacm)#match ip address 101 Badanie pakietów sklasyfikowanych w ACL 101.
B_SW(config-vacm)#action drop Zdefiniowanie akcji DROP dla pakietu sklasyfikowanego do ACL 101.
B_SW(config)#vlan access-map MAPA 20 Zdefiniowanie mapy dostępu z numerem sekwencyjnym 20.
B_SW(config-vacm)#action forward Zdefiniowanie akcji PERMIT dla pakietów bez klasyfikacji.
B_SW(config)#vlan filter MAPA vlan-list 2 Implementacja VACL MAPA do VLAN2.
KONFIGURACJA ROUTERA C
  • zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
  • przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A.
  • wyłączenie niepotrzebnych usług – tak jak na routerze A,
  • zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B.
  • zabezpieczenie logowania za pomocą AAA:
C(config)#aaa new-model Włączenie logowania AAA.
C(config)#tacacs-server host 12.0.0.2 key KLUCZYK single-connection Zdefiniowanie adresu serwera TACACS+ z kluczem szyfrowania KLUCZYK oraz, że każda transakcja AAA nie jest osobnym połączeniem, tylko całością.
C(config)#aaa authentication login default group tacacs local Zdefiniowanie podstawowego mechanizmu logowania do serwera TACACS+, a jak zawiedzie to z lokalnej bazy danych.
C(config)#aaa authentication enable default group tacacs enable Zdefiniowanie podstawowego mechanizmu logowania do trybu uprzywilejowanego do serwera TACACS+, a jak zawiedzie to za pomocą starej komendy enable.
C(config-line)#login authentication default Przypisanie metody autentykacji do terminala.
C(config)#aaa authentication username-prompt USER: Zdefiniowanie prompta nazwy użytkownika.
C(config)#aaa authentication password-prompt PW: Zdefiniowanie prompta hasła użytkownika.
KONFIGURACJA ROUTERA D
  • zabezpieczenie logowania – tak samo jak router A.
  • zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
  • przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A.
  • wyłączenie niepotrzebnych usług – tak jak na routerze A,
  • zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B.
  • konfiguracja tunelu VPN między routerem D, a routerem E:
D(config)#crypto isakmp enable Włączenie szyfrowania za pomocą fazy ISAKMP.
D(config)#crypto isakmp policy 1 Zdefiniowanie polityki szyfrowania fazy ISAKMP.
D(config-isakmp)#authentication pre-share Zdefiniowanie metody autentykacji na PSK.
D(config-isakmp)#encryption aes 128 Zdefiniowanie metody szyfrowania pakietu na AES 128-bit.
D(config-isakmp)#group 2 Zdefiniowanie metody szyfrowania asymetrycznego na DH 1024-bit.
D(config-isakmp)#hash md5 Zdefiniowanie algorytmu haszującego na MD5.
D(config-isakmp)#lifetime 86400 Zdefiniowanie czasu wygaśnięcia połączenia na 24h.
D(config)#crypto isamkp key KLUCZYK address 30.0.0.1 Zdefiniowanie hasła symetrycznego na KLUCZYK i wskazanie adresu docelowego.
D(config)#crypto ipsec transform-set TSET1 ah-md5-hmac esp-aes 128 Zdefiniowanie zestawu transformat fazy IPsec na szyfrowanie AES 128-bit i haszowanie MD5.
D(cfg-crypto-trans)#mode tunnel Zdefiniowanie szyfrowania całych pakietów.
D(config)#crypto ipsec security-association life time seconds 3600 Zdefiniowanie czasu wygaśnięcia tunelu IPsec na 1h.
D(config)#access-list 101 permit ip 10.0.0.0 0.0.0.7 30.0.0.0 0.0.0.255 Wskazanie adresu źródłowego i docelowego.
D(config)#crypto map MAPA 10 ipsec-isakmp Zdefiniowanie krypto mapy z numerem sekwencyjnym 10 posługującej się negocjacją dwóch faz.
D(config-crypto-map)#match address 101 Sklasyfikowanie ruchu z ACL 101.
D(config-crypto-map)#set peer 30.0.0.1 Ustawienie celu na 30.0.0.1.
D(config-crypto-map)#set transform-set TSET1 Wskazanie transformaty.
D(config-if)#crypto map MAPA Przypisanie krypto mapy do interfejsu.
  • konfiguracja innowacyjnej strefowej ściany zaporowej (ang. Zone-Based Firewall):
D(config)#zone security INTERNET Zdefiniowanie strefy INTERNET
D(config)#zone security LAN Zdefiniowanie strefy LAN
D(config-if)#zone-member security INTERNET Przypisanie strefy INTERNET do interfejsu zewnętrznego.
D(config-if)#zone-member security LAN Przypisanie strefy LAN do interfejsu wewnętrznego.
D(config)#class-map type inspect match-any CM1 Sklasyfikowanie ruchu do inspekcji.
D(config-cmap)#match protocol tcp Klasyfikacja ruchu TCP.
D(config-cmap)#match protocol http Klasyfikacja ruchu http.
D(config)#class-map type inspect match-any CM2 Sklasyfikowanie drugiego ruchu do inspekcji.
D(config-cmap)#match protocol icmp Klasyfikacja ruchu ICMP.
D(config)#access-list 102 permit 20.0.0.0 0.0.0.255 any Zdefiniowanie puli do klasyfikacji.
D(config)#class-map type inspect match-any CM3 Sklasyfikowanie trzeciego ruchu do inspekcji.
D(config-cmap)#match address 102 Klasyfikacja ACL 102.
D(config)#policy-map type inspect PM1 Zdefiniowanie nazwy dla polityki wykonawczej.
D(config-pmap)#class type inspect CM1 Sklasyfikowanie ruchu CM1 dla polityki.
D(config-pmap-c)#inspect Wykonanie akcji inspekcji na ruchu TCP i HTTP z wewnątrz.
D(config-pmap)#class type inspect CM3 Sklasyfikowanie ruchu CM3 dla polityki.
D(config-pmap-c)#pass Wykonanie akcji PERMIT na ruchu z ACL 102.
D(config-pmap)#class type inspect CM2 Sklasyfikowanie ruchu CM2 dla polityki.
D(config-pmap-c)#drop Wykonanie akcji DROP dla ruchu ICMP.
D(config)#zone-pair security LAN_INTERNET source LAN destination INTERNET Powiązanie ze sobą stref tworząc parę.
D(config-sec-zone-pair)#service-policy type inspect PM1 Przypisanie polityki wykonawczej do pary stref.

UWAGA: Konfigurację należy przeanalizować także dla pary odwrotnej (INTERNET_LAN), gdyż nie jest to ta sama klasyfikacja. Jednak z uwagi na fakt, że strefa INTERNET jest strefą zewnętrzną, to wszystkie połączenia z niej przychodzące winny być zablokowane, poza tymi które zostały nawiązane wewnątrz firmy, stąd nie zostaje tutaj opisana konfiguracja.

KONFIGURACJA ROUTERA E
  • zabezpieczenie logowania – tak samo jak router A.
  • zabezpieczenie konfiguracji i systemu operacyjnego – tak samo jak router A.
  • przesyłanie wiadomości i zdarzeń do serwera Syslog – tak jak router A.
  • wyłączenie niepotrzebnych usług – tak jak na routerze A,
  • zabezpieczenie protokołu NTP w trybie klienckim – tak jak na routerze B.
  • konfiguracja tunelu VPN między routerem E, a routerem D – analogicznie jak na routerze D.
  • implementacja podglądania nawiązywanych połączeń TCP:
E(config)#ip tcp intercept mode intercept Badaj stan połączenia zanim zostanie wysłany pakiet ACK.
E(config)#access-list 103 permit any any Klasyfikacja ruchu.
E(config)#ip tcp intercept list 103 Badaj ruch z ACL 103.
  • implementacja mechanizmu IPS – obrony przez złośliwym oprogramowaniem:
E(config)#ip ips sdf location flash://256MB.sdf Zdefiniowanie lokalizacji do pliku z sygnaturami.
E(config)#ip ips notify SDEE Zdefiniowanie akcji zgłaszania zdarzeń do lokalnego serwera logów SDEE.
E(config)#ip ips name IPSRULE Zdefiniowanie nazwy dla sygnatur IPS
E(config)#ip ips fail-closed Brak zezwolenia na ruch pakietów podczas kompilacji nowych sygnatur.
E(config-if)#ip virtual-reassembly Utworzenie dynamicznej listy kontroli dostępu dla pakietów, które zostały pofragmentowane.
E(config-if)#ip ips IPSRULE in Zdefiniowanie kierunku działania sensora IPS na interfejsie.
  • implementacja starego mechanizmu ściany ogniowej:
E(config)#ip inspect name BADAJ_TCP tcp Zdefiniowanie inspekcji pakietów TCP.
E(config)#ip inspect name BADAJ_HTTP http Zdefiniowanie głębokiej inspekcji pakietów HTTP.
E(config)#ip inspect name ICMP_E icmp router-traffic Zdefiniowanie inspekcji dla pakietów ICMP generowanych przez router.
E(config-if)#ip inspect BADAJ_TCP in Badanie pakietów TCP w kierunku wchodzącym.
E(config-if)#ip inspect BADAJ_HTTP out Badanie pakietów http w kierunku wychodzącym.

Powyższa konfiguracja urządzeń stanowi optymalną formę zabezpieczenia systemu informatycznego na czas teraźniejszy. Niektóre sposoby konfiguracji cechują się dużą skalowalnością, dlatego zostały zaimplementowane (VPN, ZFW, STP). [7]

4.3. Skuteczny monitoring i zarządzanie

Monitoring w przedsiębiorstwie jest obowiązkowym czynnikiem zapewniającym właściwy poziom zabezpieczeń, nie tylko systemu informatycznego. Realizowany jest na dwóch płaszczyznach: monitorowania pomieszczeń oraz monitorowania zasobów systemu informatycznego.

Monitorowanie pomieszczeń powinno przebiegać całodobowo pod nadzorem pracownika ochrony. Skuteczne monitorowanie pomieszczeń szczególnie wrażliwych na możliwość wycieku, bądź uszkodzeń danych powinno być realizowane przez kilka kamer, w tym kamerę noktowizyjną. W przypadku zainstalowania w pomieszczeniach czujników temperaturowych, nie jest wymagane instalowanie drogiej kamery termowizyjnej, gdyż czujnik wykryje i zaraportuje wszelkie nieprawidłowości.

Monitoring komputerowy jest znacznie bardziej skomplikowany. Urządzeń oznaczonych jako te, które należy monitorować w przedsiębiorstwie jest dużo. Nie jest to kilka ważnych pomieszczeń, które można obserwować na osobnych monitorach. Także każde urządzenie inaczej rejestruje zdarzenia. Ważne jest by standaryzować sposób raportowania i wyznaczyć właściwy jego poziom. Wpływa to na efektywność pracy administratora przeglądającego logi z urządzeń. Nie musi on marnować czasu na znane komunikaty systemu, które są jedynie zdarzeniami informacyjnymi. Służy do tego narzędzie Syslog, zbierające informacje z urządzeń do jednego miejsca.

Istnieje siedem poziomów wiadomości Syslog:

  • Poziom 0: Niebezpieczeństwo
  • Poziom 1: Alarmy
  • Poziom 2: Błędy krytyczne
  • Poziom 3: Błędy
  • Poziom 4: Ostrzeżenia
  • Poziom 5: Notyfikacje – poziom standardowy
  • Poziom 6: Informacje
  • Poziom 7: Debugowanie

Każdy poziom odpowiada również wystąpieniu zagrożenia w systemie. Jeżeli jest to poziom 0 to nastąpiło poważne naruszenie zasad bezpieczeństwa i systemowi grozi uszkodzenie. Jeżeli poziom 0 jest największym zagrożeniem, to poziom 7 oczywiście jest najmniejszym.

Przykładem dobrego narzędzia Syslog jest darmowy serwer Kiwi centralizujący zbieranie informacji z urządzeń i ułatwiający ich przeglądanie za pomocą filtrów.


Zrzut ekranu z programu Kiwi Syslog.
Rys. 4.3.1. Zrzut ekranu z programu Kiwi Syslog. (Źródło: http://kiwi-syslog-daemon.smartcode.com/screenshot.html (01.06.2009 r.)

Standardowo w urządzeniach Cisco poziom informacji Syslog jest ustawiony na Notyfikacje, czyli w konsoli pojawiają się wszystkie zmiany interfejsów, zapisy plików konfiguracyjnych i inne podobne rzeczy. W przypadku przeglądania logów przez administratora, takie notyfikacje są dla niego zbędne, aczkolwiek zależy w jakim celu logi są przeglądane. Być może administratorowi zależy na badaniu osiągnięć swoich łącz i sieci, więc wtedy zdecyduje się na poziom 6, lub 7. Jednak narzędzie Syslog nie jest efektywne w realizacji powyższego zadania ze względu, że nie posiada graficznej reprezentacji danych, statystyk, a jedynie przekazane informacje z urządzeń logujących.

Przykładem dobrego narzędzia do monitorowania działania sieci jest narzędzie LStat.


Zrzut ekranu z programu LStat.
Rys. 4.3.2. Zrzut ekranu z programu LStat. (Źródło: Opracowanie własne.)

Narzędzie Lstat jest darmowe. Instalacja odbywa się w systemie operacyjnym Linux, a konkretnie na serwerze dostępowym dla użytkowników sieci i Internetu.

Narzędzie Lstat poza rozwiązaniem instalacji na serwerze można zrealizować poprzez metodę SPAN lub RSPAN (ang. Remote Switch-Port Analyzer). Metoda SPAN polega na kopiowaniu całego ruchu z wyznaczonego interfejsu (bądź interfejsów) sieciowego na wyznaczony interfejs docelowy z którego ten ruch może być zebrany i określony statystykami. Różnica między trybem SPAN, a RSPAN jest taka, że ten drugi można realizować zdalnie.


Schemat trybu SPAN i RSPAN kopiowania ruchu z interfejsów.
Rys. 4.3.3. Schemat trybu SPAN i RSPAN kopiowania ruchu z interfejsów. (Źródło: Opracowanie własne.)

KONFIGURACJA RSPAN:
LEWY(config)#vlan 30 Przejście do konfiguracji VLAN30.
LEWY(config-vlan)#remote-span Włączenie trybu RSPAN dla VLAN30.
LEWY(config)#monitor session 1 source interface FastEthernet0/1 – 3 Wskazanie portów źródłowych z których będzie kopiowany ruch.
LEWY(config)#monitor session 1 destination remote vlan 30 reflector-port FastEthernet0/12 Wskazanie portu przekazującego ruch docelowy z VLAN30.
PRAWY(config)#monitor session 1 source remote vlan 30 Wskazanie portu źródłowego, w przypadku RSPAN jest to źródłowy VLAN30.
PRAWY(config)#monitor session 1 destination interface FastEthernet0/10 Wskazanie portu docelowego na który przekazywany będzie ruch.

Jeżeli jednak istnieje potrzeba monitorowania większej liczby użytecznych parametrów sieci i urządzeń to należy zainstalować narzędzie NetFlow skonstruowane specjalnie do monitorowania zdarzeń z urządzeń firmy Cisco.


Zrzut ekranu z programu NetFlow pokazujący różnorodność pakietów w transmisji.
Rys. 4.3.4. Zrzut ekranu z programu NetFlow pokazujący różnorodność pakietów w transmisji. (Źródło: Opracowanie własne.)

W celu efektywnego monitoringu urządzeń Cisco za pomocą programu NetFlow warto jest wprowadzić dodatkową konfigurację na urządzenia:

C(config-if)#ip route-cache flow Włącza interfejs wysyłający pakiety na port NetFlow.
C(config)#ip flow-export destination 192.168.9.101 9996 Określenie celu i portu gdzie mają zmierzać pakiety diagnostyczne.
C(config)#ip flow-export source FastEthernet 0/1 Określenie jakie porty będą przedstawiane w NetFlow.
C(config)#ip flow-export version 5 Stosowanie NetFlow w wersji 5.
C(config)#ip flow-cache timeout active 1 Zmiana czasu aktywności rozsyłania pakietów diagnostycznych na minutę.
C(config)#ip flow-cache timeout inactive 15 Odcinanie pakietów diagnostycznych, które się ukończyły rozsyłać w czasie 15sek.
C(config)#snmp-server ifindex persist Zezwolenie na używanie globalnych nazw interfejsów zamiast adresów IP.
C#show ip flow export Pokazuje aktualną konfigurację NetFlow.
C#show ip cache flow Pokazuje ile i jakie pakiety są eksportowane do serwera NetFlow.

Z powyższej konfiguracji jasno wynika, że narzędzie NetFlow wymaga działającego serwera SNMP, co oznacza stworzenie podatności w sieci na atak.

Zarządzanie za pomocą protokołu SNMP w systemie informatycznym można zrealizować na dwa sposoby:

  • zarządzanie w paśmie (ang. In-band) – ruch zarządzający przebiega przez sieć produkcyjną co stanowi zagrożenie jej działaniu i zwiększa obciążenie łącz.
  • zarządzanie poza pasmem (ang. Out-of-band) – polega na odseparowaniu ruchu zarządzającego poza sieć produkcyjną do osobnej podsieci stojącej za szyfrowanym tunelem z fizycznym połączeniem dostępowym do każdego urządzenia za pomocą konsoli. Zmniejsza to obciążenie łącz, jednak jest znacznie droższe w implementacji gdyż wymaga zupełnie nowego sektora z urządzeniami przekazującymi ruch zarządzający do serwerów.

Z założenia, protokołu SNMP nie powinno się stosować w sieci przedsiębiorczej. Jeżeli już istnieje szeroka potrzeba zdalnego zarządzania to należy stosować protokół SNMP w wersji 3 z szyfrowaniem DES-56. Jednak jest to już stary rodzaj szyfru, który bardzo łatwo złamać. Nie mniej, żeby działała aplikacja NetFlow należy używać protokołu SNMP ustalając hasło MD5 oraz łańcuchy hasłowe typu ODCZYT (ro).

Nigdy nie należy używać łańcuchów typu ZAPIS, gdyż złamanie prostego hasła umożliwia zdalną rekonfigurację parametrów sieci.W kolejnym rozdziale dotyczącym testowania zabezpieczeń zostaną wykorzystane narzędzia Kiwi Syslog i LStat w celu pokazania efektywności zaimplementowanych sposobów bezpieczeństwa w fizycznie działającej sieci.

Komentarze na statycznych stronach zostały wyłączone. Zapraszamy do komentowania na forum.