[ Pobierz całość w formacie PDF ]

wiązania bankowości internetowej. Niemal cała struktura sieci była stworzona przez
sprzedawc¹ sprz¹tu komputerowego, który, jak tego si¹ można byÅ‚o domyÅ›lać, okre-
Å›liÅ‚ wyraznie mark¹ ruterów, przeÅ‚Ä…czników, a także zapór sieciowych i urzÄ…dzeÅ„ sÅ‚u-
żących do wykrywania włamań.
Chociaż trudno byÅ‚o jej cokolwiek zarzucić z punktu widzenia dost¹pnoÅ›ci, jednak
struktura sieci powodowała pewne problemy, które nie były związane z komponentami
(tj. z urzÄ…dzeniami). Serwery sieciowe, do których klienci mieli bezpoÅ›redni dost¹p,
miaÅ‚y także bezpoÅ›rednie poÅ‚Ä…czenie z wewn¹trznymi serwerami baz danych i kom-
puterem centralnym (mainframe), gdzie przechowywane i przetwarzane były wszystkie
żądania przychodzÄ…ce od użytkowników kont. Mimo że pomi¹dzy serwerami siecio-
wymi a serwerami wewn¹trznych baz danych staÅ‚ firewall, używane oprogramowanie
wymuszaÅ‚o otwarty dost¹p do baz danych. Efekt byÅ‚ taki, że pomimo fizycznej obec-
ności w rzeczywistości zapora sieciowa była bezużyteczna. Lepszym rozwiązaniem
byÅ‚oby ustawienie w tym miejscu serwera poÅ›redniczÄ…cego (proxy), dzi¹ki któremu
zapora sieciowa mogÅ‚aby skutecznie ograniczać ruch pomi¹dzy serwerami sieciowy-
mi a bazami danych i niemożliwe byłoby bezpośrednie połączenie (patrz rysunek 2.2).
W przypadku ewentualnego ataku na serwery sieciowe, napastnik nie mógłby dostać
si¹ dalej, tj. do serwerów z bazami danych zawierajÄ…cymi krytyczne informacje ani do
komputera centralnego lub do wewn¹trznej sieci korporacyjnej.
Z przytoczonego przykładu można wyciągnąć dwa wnioski. Po pierwsze, nigdy nie
pozwalaj sprzedawcy sprz¹tu na projektowanie struktury twojej sieci bez nadzoru i oce-
ny ze strony niezależnych konsultantów. Po drugie, nigdy nie zakładaj, że architektura
jest bezpieczna, nawet gdy z punktu widzenia topologii sieci nic jej nie można zarzucić.
Przed uznaniem struktury za bezpiecznÄ… oprogramowanie, dost¹pność danych i usÅ‚ug
należy poddać testom.
Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 41
Rysunek 2.2. Wymagania funkcjonalne mogą ograniczyć efektywność wewnętrznej zapory sieciowej
Testy penetracyjne
Testy penetracji sieci równie dobrze mogłyby zostać umieszczone w sekcji monitoro-
wanie i wykrywanie włamań, ale z uwagi na fakt, że zwykle są one wymagane przez
zespoły dokonujące audytu (a nie administratorów), zostały umieszczone w tej sekcji.
W dużym skrócie testy te polegają na przeprowadzeniu prób włamania do systemu.
Zespół specjalistów na różne sposoby sprawdza skuteczność działania mechanizmów
42 Bezpieczeństwo w sieci
zabezpieczających sieć: próbują oni ataków z zewnątrz (z Internetu) lub od wewnątrz
(ze stanowisk fizycznie znajdujÄ…cych si¹ w siedzibie firmy), wykorzystujÄ… Å‚Ä…czność
komutowaną i łącza partnerskie, a czasami nawet korzystają z metod inżynierii społecz-
nej (tzw. social engineering). W tym momencie testy stajÄ… si¹ naprawd¹ ciekawe. Każdy
z nich ma odrobin¹ inny charakter. Wartość i znaczenie każdego z nich także jest inne.
Poszukiwanie słabych punktów  skanowanie sieci
Pierwszy typ testu zwany jest czasami skanowaniem systemu. Tego rodzaju testy wy-
konywane sÄ… najcz¹Å›ciej przy użyciu zautomatyzowanego narz¹dzia, które skanuje
komputery macierzyste w sieci, sprawdza wyst¹powanie znanych luk programowych
lub systemowych i przygotowuje specjalne raporty. Dzi¹ki takiemu skanowaniu do-
wiesz si¹, czy przypadkiem ktoÅ› bez twojej wiedzy nie uruchomiÅ‚ nowego serwera lub
usługi (na przykład łączności telnetowej), która nie powinna być uruchamiana. Ponadto
uzyskasz informacje o wszystkich nietypowych konfiguracjach (np. oprogramowania
serwerowego Windows NT), w których nie zastosowano niezb¹dnych pakietów Se-
rvice Pack lub uaktualnień. Jeżeli testy tego rodzaju wykonywane są regularnie (np.
co miesiąc lub co kwartał), dają ci coś w rodzaju niepewnego odczucia, że drzwi do
twojej sieci nie sÄ… szeroko otwarte dla każdego, kto ma ochot¹ wejść.
Odnajdywanie słabości sieci  testy [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • dona35.pev.pl