Twoja firma jest tak bezpieczna jak Twoja sieć informatyczna

Przedsiębiorstwa nie skupiają się już tak mocno na bezpieczeństwie obiektów czy maszyn. Dzisiejszą wartością w firmach są ludzie i dane przez nich wytwarzane. To właśnie te dane są celem ataków cyberprzestępców. To właśnie na nich przedsiębiorcy skupiają największą uwagę, aby nie zostały wykradzione lub zaszyfrowane. Przestępcy wiedzą, że to znacznie prostsze i mniej ryzykowne niż fizyczna kradzież maszyn czy innego dobytku firmy.

W poprzednich artykułach opisaliśmy wiele różnych metod kradzieży, włamania lub pozyskania takich danych. Infrastruktura informatyczna często jest bardzo złożona i składa się z wielu elementów. Każde urządzenie podłączone do sieci może zostać zhakowane, może posiadać jakąś podatność dzięki której haker włamie się do sieci firmowej i dostanie się do naszych danych. Przedstawiliśmy różne rodzaje ataków takich jak malware, błędy w oprogramowaniu czy socjotechnika.

W tym artykule poruszymy podstawowe zabezpieczenia jakie powinniśmy uruchomić w naszej sieci, o których często zapominamy instalując nowy sprzęt. Istnieje wiele sposobów na sparaliżowanie naszej infrastruktury, podsłuchanie transmisji czy podłączenie nieautoryzowanych urządzeń.

Rodzaje ataków sieciowych:

1.       Ataki DoS (ang. Denial of Service) są to ataki polegające na odcięciu zasobów takich jak serwer, usługa, czy strona web etc. Zwykle wykonane poprzez wykonanie ogromnej liczby zapytań w tym samym czasie, co powoduje zawieszenie serwera lub jego spowolnienie.

DDos (Distributed DoS) - wykonane przez grupę komputerów często zainfekowanych złośliwym oprogramowaniem.

a.       Ping of Death - sposób ataku na serwer internetowy za pomocą wysłania zapytania ping (ICMP Echo Request) w pakiecie IP o rozmiarze większym niż 65 535 bajtów. Zapytanie to jest niezgodne ze specyfikacją protokołu IP i powodowało błędy w starszej generacji systemów windows.

b.       Smurf - ten typ ataku polega na wysyłaniu bardzo dużej liczby zapytań (ICMP). Atak ten polega na technice fałszowania zapytań ping (ICMP Echo Request), poprzez zamianę adresu źródła tych zapytań na adres atakowanego serwera. Tak spreparowane pakiety ping, wysyłane są na adres rozgłoszeniowy sieci zawierającej wiele komputerów. Pakiety zostają rozesłane do wszystkich aktywnych systemów w sieci, co powoduje przesłanie przez nie pakietów ICMP Echo Reply na sfałszowany wcześniej adres źródłowy atakowanej ofiary. Np. w sieci o 255 hostach zwielokrotnia to każde zapytanie 255 razy.

c.       SYN flood - atak polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Podczas takiego ataku serwer, który otrzymał pakiet z flagą SYN na port, który jest otwarty, odpowiada na każdy pakiet zgodnie z zasadami protokołu TCP wysyłając pakiet z ustawionymi flagami synchronizacji (SYN) i potwierdzenia (ACK) do komputera, który w tym wypadku nie istnieje, istnieje, ale nie zamierzał nawiązywać połączenia z atakowanym hostem lub jest to komputer atakującego, który specjalnie nie odpowiada. Powoduje to przesyłanie dużych ilość danych i obciąża łącze sieciowe.

d.       Teardrop ten typ ataku korzysta z dużych pakietów, które są niepoprawnie pofragmentowane. Klient zawiesza się próbując połączyć wybrane pakiety w jeden. Problem dotyczył starszych systemów takich jak systems Windows 3.1x, Windows 95, Windows NT oraz Linux kernel wcześniejsze niż 2.1.63.

2.       ARP spoofing - atak sieciowy w sieci Ethernet pozwalający atakującemu przechwytywać dane przesyłane w obrębie segmentu sieci lokalnej. Przeprowadzony tą metodą atak polega na rozsyłaniu w sieci LAN odpowiednio spreparowanych pakietów ARP zawierających fałszywe adresy MAC. W efekcie pakiety danych wysyłane przez inne komputery w sieci zamiast do adresata trafiają do osoby atakującej pozwalając jej na podsłuchiwanie komunikacji.

3.       DNS spoofing - technika phishingu polegająca na wykonaniu przez atakującego przesłania do serwera DNS fałszywej informacji kojarzącej nazwę domeny z adresem IP. Serwer DNS zapamiętuje ją na pewien czas (do kilku godzin) i zwraca klientom zapamiętany adres IP, czego skutkiem jest przeniesienie na fałszywą stronę.

Znamy już typy różnych ataków sieciowych, teraz pokażemy jak się przed nimi bronić:

- Firewall nowej generacji – za pomocą takiego urządzenia możemy filtrować ruch z/do Internetu oraz pomiędzy poszczególnymi podsieciami, możemy zastosować silniki antymalware’owe, sondy IPS oraz inne mechanizmy wykrywające zagrożenie. Dobrze skonfigurowany firewall jest w stanie skutecznie zablokować większość ataków DoS.

- dedykowany WAF czyli Web Aplication Firewall chroni przed atakami usługi wystawione w Internecie. Pozwala zabezpieczyć podatną na ataki aplikację bez ingerencji w nią samą.

- system kontroli dostępu NAC odpowiedzialny jest za sprawdzanie, czy urządzenia mogą łączyć się z siecią. W wyniku takiego działania urządzenia mogą otrzymać dostęp lub odmowę dostępu do sieci. Taką kontrolę dostępu zapewnia standard 802.1X, którego głównymi funkcjami jest uwierzytelnienie i autoryzacja wszystkich urządzeń podłączanych do sieci firmowej.

Na przełącznikach możemy uruchomić wiele funkcjonalności poprawiających bezpieczeństw w sieci:

- Port Security to rodzaj zabezpieczenia, który umożliwia powiązanie określonego adresu MAC z interfejsem, co może skutecznie uniemożliwić atakującemu podłączenie swojego urządzenia. Dzięki odpowiedniej konfiguracji tej funkcjonalności, zabezpieczymy sieć w taki sposób, że tylko jeden komputer będzie mógł korzystać z danego portu. Port security chroni nas przed atakami typu ARP spoofing, MAC flooding czy SYN flood.

- DHCP Snooping -  polega na przypisaniu do konkretnego portu zaufanego serwera DHCP, a co za tym idzie, uniemożliwi podłączenie nieautoryzowanego serwera DHCP, do któregoś z innych portów.

- Dynamic ARP Inspection funkcjonalność, która chroni nas przed atakami typu ARP spoofing i DHCP snooping. Weryfikuje pakiety ARP zawierające fałszywe adresy MAC.

Oczywiście ochrona przed cyberatakami obejmuje wiele obszarów i wymaga kompleksowych działań, dlatego powyższe sugestie to tylko wybrane, najistotniejsze elementy, które zabezpieczą sieć firmową. Należy również pamiętać o programach antywirusowych na stacjach roboczych i serwerach, o poprawnej konfiguracji zapory sieciowej czy o regularnym monitorowaniu i przeglądaniu infrastruktury informatycznej pod kątem wykrytych podatności i aktualizacji.

Nie zapominajmy także o naszych użytkownikach, którzy powinni odbywać regularne szkolenia z zakresu cyberbezpieczeństwa. Jeśli zastosujemy się do powyższych wskazówek to prawdopodobnie oni będą stanowić najsłabsze ogniwo w sieci firmowej, ale to już temat na kolejny artykuł.

DK