Kúpiť si zámok na dvere domu už nestačí

29.10.2015

Bezpečnosť. Extrémne podceňovaný prvok v oblasti informačných technológií. I v bežnom živote sa každý z nás snaží svoj majetok ochrániť a zabezpečiť pred prípadným zneužitím, či odcudzením.

V súčasnosti majú nemalú hodnotu i informácie. Rozlišujeme priamu hodnotu, ide napr. o výpisy z banky, ďalej nepriamu hodnotu, kde patria informácie o konkurenčných projektoch. Ďalším typom je spoločenská – tzv. sociálna hodnota informácií, kedy hovoríme napríklad o fotografiách z dovolenky. Bez rozdielu, či ide o súkromnú osobu, alebo o firmu, bezpečnosť je kľúčový faktor sieťovej infraštruktúry.

Slovo firewall v minulosti predstavovalo magické „zaklínadlo“ na riešenie každého problému bezpečnosti. Avšak ako už nestačí kúpiť si zámok na dvere domu, tak firewall nestačí na pokrytie potrieb zabezpečenia bezpečnosti menších a stredných firiem. Zámerne nespomíname veľké, nakoľko tie majú vybudovaný komplexný systém bezpečnostných pravidiel. Do popredia sa nám tak dostáva moment rozhodovania medzi cenou informácie a cenou bezpečnosti. Zamestnávať človeka len na špecifickú vec je veľmi nákladné, ale zanedbať bezpečnosť môže byť ešte nákladnejšie. Keď využívame služby ako zapojenie do internetu, požičanie auta alebo čokoľvek iné, prečo nemať aj bezpečnosť ako službu? Dostanete k dispozícii tím špičkových odborníkov a špičkové zariadenia, ktoré naplnia vaše požiadavky. Navyše, ak ich nepotrebujete neustále na 100 %, tak si ich môžete len "prenajať".

Pozrime sa na oblasti, ktoré by mala mať pod kontrolou každá malá a stredná firma. Väčšina je už notoricky známa, len si ich vymenujeme a skúsime sa sústrediť na tie novšie, ktoré sa postupne dostávajú do popredia záujmu firiem.

Firewall je najzákladnejší bezpečnostný prvok na ochranu firemnej siete z verejného internetu a na kontrolu všetkých externých prístupových bodov (portov). Firewall vytvára hranicu medzi internou a externou sieťou. Riadi sa účinným pravidlom - čo nie je povolené, je zakázané.

Route/NAT mód a Transparent mód
Ak zavádzame novú sieť, prípadne ak máme možnosť zmeniť zapojenie pôvodnej, je vhodné riešenie Route/NAT mód, pretože ho poskytuje každé bežné zariadenie. Na druhej strane, ak potrebujeme zaradiť bezpečnostný prvok do funkčnej sieťovej štruktúry, je výhodnejšie využiť podporu transparentného módu, kedy sa zariadenie tvári ako L2 bridge, ale zároveň vykonáva kontrolu.

IPS - Intrusion Prevention Systems predstavuje systém pre detekciu a prevenciu prienikov. Kontroluje prechádzajúce spojenia a prechádzajúce pakety. Využíva funkcionalitu stavového firewall.

Antivírus asi netreba predstavovať. Dokonalý antivírus so 100 % úspešnosťou neexistuje. Je vhodné mať niekoľko stupňovú kontrolu - napríklad antivírus na lokálnom PC a zároveň i antivírus na vstupnej bráne do siete.

Spam filter. Nevyžiadaná pošta predstavuje vážny problém internetovej komunikácie. Až 90 % tvorí nevyžiadaná pošta, ktorá zaťažuje čas užívateľa pri rozlišovaní a zaťažuje systémové zdroje na serveroch.

IPsec & SSL VPN. Čoraz populárnejšie je pracovať z domu. Väčšina manažérov, aj keď sú mimo kancelárie, potrebujú sa pripojiť na firemnú sieť a „skontrolovať“ beh firmy. Vzhľadom k tomu, že toto spojenie prebieha cez verejnú sieť, je nevyhnutné, aby bolo zabezpečené. Veľmi populárne je použitie protokolu IPsec, no i toto riešenie má svoje úskalia. Obrovskou nevýhodou je podpora tohto protokolu na hraničných smerovačoch, čo napríklad predstavuje problém pri pripojení cez mobil. Ideálnou alternatívou je použitie SSL VPN. Základným rozdielom je vrstva, na ktorej oba typy pracujú - tretia vrstva (IPsec) a šiesta vrstva (SSL) a často ešte využívajúca port 443, čo predstavuje menší problém pri prechode rôznymi druhmi firewall-ov.

Aplication control - čo si predstaviť pod týmto pojmom? Nie každému je známy. Jednoducho povedané, zamestnávateľ, či majiteľ firmy uprednostňuje, aby sa jeho zamestnanci na 100 % venovali len svojej pracovnej činnosti. Človek je tvor vynaliezavý a svoj pracovný čas si spríjemňuje rôznymi aktivitami napr.: návšteva sociálnych sietí. Riešením môže byť ich blokovanie. Avšak na svete existujú stovky podobných služieb, podobnej funkcionality a ani skúsený administrátor nie je schopný všetky ustriehnuť. 

P2P siete, ak by aj existoval maximálne zodpovedný užívateľ, ktorý kontroluje obsah sťahovaných súborov, stále je tu možnosť preťaženia internetového pripojenia zdieľaním už stiahnutých súborov.

Instant Messaging, nielen Facebook sa dá využiť na „mrhanie časom“.

Storage/Backup, javí sa ako neškodná záležitosť, ale asi najväčší problém predstavuje únik firemných dát. Game, Bootnet ...
Ani zďaleka sme nevymenovali všetky hlavné kategórie, ktoré môže správca kontrolovať. Bez online aktualizácií by nebolo možné sledovať ich a zabrániť možným bezpečnostným rizikám.  

Web filter je riešenie, ktoré zabezpečuje povoliť/zakázať prezeranie stránok rozdelených na kategórie podľa obsahu. Toto riešenie umožňuje:
1. ochrániť firemnú sieť návštevou potenciálnych nebezpečných stránok, ktoré často obsahujú škodlivý kód.
2. blokovať/monitorovať stránky, na ktorých zamestnanci trávia priveľa času a aby sa zamestnanci počas pracovnej doby venovali pracovným záležitostiam.
3. ideálne riešenie pre školy, kde je možné zabrániť návšteve nevhodného obsahu, ako sú napr. porno stránky, stránky o drogách, extrémistické zoskupenia a pod.

Internet je obrovským zdrojom informácii, uľahčuje nám prácu, štúdium a komunikáciu zo svetom, preto v tomto prípade neodporúčame držať sa pravidla „čo nie je povolené je zakázané“.  Preto je vhodné pri použití takéhoto filtra vždy mať on-line zdroj databázy, ktorý nám zabezpečí neustály update jednotlivých potenciálnych rizikových zdrojov.

Active Directory predstavuje individuálne nastavenie na základe užívateľov, alebo skupín užívateľov. Keďže veľká časť firiem využíva na prístup do svojej siete AD, je vhodné, aby bezpečnostný prvok umožňoval toto prepojenie a firmy nemuseli komplikovane rozlišovať pripojenie každého užívateľa. Ako príklad uvedieme Facebook. Pre väčšinu pracovníkov je síce zablokovaný, ale ak má firma svoj profil a marketingové oddelenie prostredníctvom neho komunikuje so zákazníkmi, tak im ho nemôžeme zakázať.

Škálovateľnosť je považovaná za najdôležitejšiu vlastnosť celého riešenia informačnej bezpečnosti ako služby. Poskytovateľ služby musí byť schopný pružne reagovať na potreby firmy. Zabezpečenie väčších výkonnostných parametrov je len otázka krátkeho času, kedy je dodávateľ schopný pružne navýšiť výkonné prostriedky potrebné pre bezproblémový chod firemnej siete.
 
Marek „cibco“ Heriban
Presales Team Leader, BENESTRA

Naša služba Služba Managed Security pokrýva všetky tieto oblasti - navyše ju poskytujeme teraz ešte výhodnejsie.

Späť