Podstawy bezpieczeństwa sieci to krytyczne elementy sieci lub systemu cyberbezpieczeństwa. Powinny być wdrożone we wszystkich sieciach, zarówno domowych, firmowych, jak i w Internecie. Aby ochrona była skuteczna, musi obejmować zarówno sieci przewodowe, jak i bezprzewodowe oraz powinna się składać z zapór ogniowych, programów antywirusowych, systemów wykrywania włamań, mechanizmów kontroli dostępu itd.
Bezpieczeństwo sieci to skomplikowany temat obejmujący wiele technologii, których konfiguracja czasami też jest bardzo złożona.
Kwestią bezpieczeństwa jest oddzielenie tego, co znajduje się w sieci od punktów końcowych lub systemów hostów, które są z nią połączone. Technologia ochrony zarówno sieci, jak i punktów końcowych obejmuje kontrolę dostępu i szyfrowanie, ale w przypadku sieci dochodzą jeszcze sprawy segmentacji i bezpieczeństwa ona obwodzie.
Bezpieczeństwo sieci to tylko część układanki, która głównie dotyczy urządzeń chroniących samą sieć. Zapora sieciowa może być samodzielnym urządzeniem działającym obok sprzętu sieciowego, takiego ja routery, przełączniki, lub programem zainstalowanym na tym samym fizycznym urządzeniu, które pełni funkcję routera i przełącznika. W sieciach działają zapory, systemy wykrywania włamań (IDS), systemy zapobiegania włamaniom (IPS), urządzenia do obsługi wirtualnych sieci prywatnych (VPN), systemy zapobiegania wyciekom danych itd.
Funkcją sieci jest łączenie ze sobą systemów. To dzięki niej możemy przeglądać strony w sklepie Amazon lub robić zakupy przez Internet w pobliskim warzywniaku. Systemy końcowe też wymagają ochrony i nazywa się to bezpieczeństwem punktów końcowych. Do urządzeń z tej kategorii zaliczają się laptopy, tablety, telefony, jak również urządzenia należące do Internetu rzeczy (IoT).
Mogą to być termostaty, kamery, lodówki, blokady drzwi, żarówki, pompy basenowe, inteligentne kołdry itd. Te urządzenia także wymagają ochrony, ale nie wszystkie są na tyle zaawansowane technologicznie, aby mogły zawierać zaporę albo program antywirusowy. Jeśli punktem końcowym jest żarówka, to jej bezpieczeństwo najpewniej zależy od zabezpieczeń sieci.
Kontrola dostępu to podstawa. W firmach zazwyczaj jest określana mianem systemu zarządzania tożsamością i dostępem (IAM). Kontrolowanie dostępu to nic nowego. Ludzie robią to w budynkach od czasu zamontowania pierwszego zamka w drzwiach ponad sześć tysięcy lat temu. Dziś kontroluje się dostęp do sieci, komputerów, telefonów, aplikacji, stron WWW i plików.
Technikę kontroli dostępu zasadniczo dzieli się na cztery elementy określane akronimem IAAA:
Spośród wszystkich elementów IAAA uwierzytelnianie może być dziś najważniejsze. W większości systemów wciąż najpopularniejszym rozwiązaniem są hasła. Niestety nie zapewniają one zbyt wysokiego poziomu bezpieczeństwa, ponieważ można je łatwo złamać.
Odkrycie krótkiego hasła nie sprawi hakerowi wielkiego trudu. Jedną z metod łamania haseł jest tzw. technika „brute force”, polegająca na wypróbowywaniu po kolei wszystkich możliwych kombinacji. Innym sposobem jest łamanie haseł za pomocą programu odtwarzającego wszystkie hasła, dla których algorytm wyznaczania wartości skrótu zwraca taką samą wartość.
Obecnie stosuje się trzy rodzaje lub czynniki uwierzytelniania: Oto one:
Najlepszym wyborem jest uwierzytelnianie dwuskładnikowe (2FA), czasami nazywane też uwierzytelnianiem wieloskładnikowym (MFA). Zalecamy jego stosowanie w celu kontroli dostępu do kont osobistych, np. w portalu Amazon lub Facebook.
Takie aplikacje, jak Google Authenticator są bezpłatne i stanowią o wiele lepszą opcję niż wiadomości SMS przesyłane na telefon. National Institute of Standards and Technology (NIST) odradza używanie wiadomości SMS.
Uwierzytelnianie 2FA zalecamy także do biur, ale w firmach tego typu decyzje są podejmowane na poziomie definiowania zasad bezpieczeństwa lub przez zarząd. Pod uwagę brane są takie czynniki, jak rodzaj zasobów, klasyfikacja danych, poziom ryzyka oraz luki w zabezpieczeniach.
Segmentacja sieci zwiększa poziom bezpieczeństwa przez kontrolę przepływu danych między różnymi sieciami. Najczęściej do jej realizacji wykorzystuje się wirtualne sieci lokalne (virtual local area networks – VLAN). Istnieje wiele wariantów tego schematu, takich jak wirtualne prywatne sieci LAN (PVLAN), wirtualne rozszerzalne sieci LAN (VXLAN) itd. Sieć VLAN zajmuje warstwę połączenia z danymi, czyli drugą w modelu OSI (open system interconnect). Większość administratorów sieci mapuje protokół podsieci IP do VLAN.
Routery umożliwiają przepływ ruchu między sieciami VLAN zgodnie z konfiguracją. Jeśli komuś zależy na kontroli, to podstawę stanowi konfiguracja routera.
Inną opcją, dostępną w środowisku chmurowym, jest tzw. wirtualna chmura prywatna (virtual private cloud – VPC). W jej przypadku kontrola ruchu wchodzącego i wychodzącego także odbywa się przez konfiguracje.
Aby prawidłowo skonfigurować sieci VLAN i VPC oraz kontrolować ich ruch, należy dokładnie poznać wymogi firmy w zakresie obciążenia procesów roboczych.
Zabezpieczanie obrzeży opiera się na fakcie, że istnieje ściśle określona granica między wewnętrzną/zaufaną i zewnętrzną/niezaufaną siecią. Jest to tradycyjna konfiguracja, sięgająca korzeniami czasów, kiedy sieć i centrum danych znajdowały się w jednym budynku. W takim przypadku router łączy sieć wewnętrzną z zewnętrzną. Do kontroli ruchu przechodzącego przez ten router wystarczy podstawowa konfiguracja listy kontroli dostępu (access control list – ACL).
Można też zwiększyć poziom bezpieczeństwa na obwodzie przez dodanie zapór sieciowych oraz systemów IDS i IPS. Więcej informacji na ich temat znajduje się na stronie poświęconej środkom bezpieczeństwa sieci.
Szyfrowanie umożliwia ukrycie wrażliwych danych i komunikacji przed niepowołanymi oczami. Za pomocą szyfrowania można chronić pliki na dysku twardym, sesje bankowe, dane przechowywane w chmurze, wrażliwe wiadomości e-mail oraz wiele innych zasobów. Kryptografia umożliwia weryfikację integralności danych i uwierzytelnianie źródła danych.
Szyfrowanie zalicza się do dwóch podstawowych rodzajów kryptografii: symetrycznej i asymetrycznej.
Jest jeszcze wyznaczanie skrótów. Choć nie jest to metoda szyfrowania, powinno zostać opisane właśnie w tym miejscu. Algorytm wyznaczania skrótów pobiera wiadomość i oblicza wartość zwaną skrótem (ang. hash) na podstawie stanowiących jej treść bitów. Bity mogą reprezentować dane, dźwięk lub wideo. Proces wyznaczania skrótów w żaden sposób nie zmienia wartości danych. Dla porównania, szyfrowanie zmienia dane do nieczytelnej postaci.
Wyznaczanie wartości skrótu dostarcza dowodu, że bity wiadomości pozostały niezmienione, a więc pozwala się upewnić co do ich integralności i niezmienności formatu. Tylko wyznaczanie wartości skrótu chroni przed przypadkową modyfikacją danych.
Kiedy skrót zostaje zaszyfrowany przy użyciu prywatnego klucza asymetrycznego, stanowi to dowód, że żaden haker nie zmodyfikował treści. Wprowadzenie szkodliwych zmian jest niemożliwe bez znajomości klucza prywatnego.
Jeśli klucz nie został ujawniony, to można mieć pewność, że skrót został obliczony przez osobę, która jest w posiadaniu klucza prywatnego. Może to być klucz asymetryczny, który czasami nazywa się kluczem prywatnym lub asymetrycznym kluczem prywatnym.
Ochrona danych oraz materiałów dźwiękowych i wideo przesyłanych przez sieć bezprzewodową jest trudna. Transmisja bezprzewodowa polega na emitowaniu sygnału, który znajdujący się w zasięgu haker może z łatwością przechwycić. Istnieją standardy szyfrowania dla sieci bezprzewodowych, ale większość z nich została już w taki czy inny sposób złamana.
Te standardy to WEP, WPA, WPA2 oraz WPA3.
Bezpieczeństwo sieci to skomplikowany temat. To niekończąca się wojna na spryt z hakerami. Więcej informacji znajduje się na stronie poświęconej środkom bezpieczeństwa sieci.
Zawsze dobrze jest mieć certyfikaty bezpieczeństwa. Na początek świetnym wyborem jest CompTIA Security+ lub System Security Certified Practitioner ((ISC)2® SSCP). Bardziej zaawansowany certyfikat wymagający odrobinę wiedzy technicznej to Certified Information System Security Professional ((ISC)2® CISSP). Dodatkowo można podejść do egzaminów dla dostawców, na przykład egzaminów ze znajomości usług chmurowych AWS, GCP lub Azure.
Powiązane artykuły