Bezpečnosť oddelených sietí

Fy­zic­ké od­de­le­nie po­čí­ta­čo­vej sie­te je jed­no z mož­ných rie­še­ní, ako za­bez­pe­čiť veľ­mi cit­li­vé sie­te. Od­de­le­né sie­te vy­uží­va­jú pre­važ­ne bez­peč­nos­tné zlož­ky. Náj­de­me ich zvy­čaj­ne v ar­má­de, po­li­caj­ných zlož­kách či taj­ných služ­bách. No aj ce­lý rad ko­mer­čných or­ga­ni­zá­cií dis­po­nu­je ta­ký­mi­to sie­ťa­mi. Ide nap­rík­lad o sie­te v prie­my­sel­ných pod­ni­koch, kde ria­dia po­čí­ta­če vý­rob­ný pro­ces. Zá­klad­ná my­šlien­ka je od­de­liť fi­rem­nú sieť ale­bo jej časť od inter­ne­tu tak, aby ne­bo­lo mož­né ko­mu­ni­ko­vať akým­koľ­vek spô­so­bom pria­mo. Na pr­vý poh­ľad je to ideál­ne rie­še­nie na do­siah­nu­tie bez­peč­nos­ti dát na ta­kej­to sie­ti. Je to však nao­zaj tak, že dá­ta v od­de­le­ných sie­ťach sú bez­peč­né?

Aj od­de­le­né sie­te mô­žu byť na­pad­nu­té, ak sa ne­dodr­ží množ­stvo zá­sad tý­ka­jú­cich sa pou­ží­va­nia a za­bez­pe­če­nia ta­kej­to sie­te. Aj tu sa uka­zu­je, že bez­peč­nosť sa ne­tý­ka len jed­né­ho kom­po­nen­tu, ale o ce­lé­ho ra­du vrs­tiev, kto­ré v ko­neč­nom dôs­led­ku roz­ho­du­jú o bez­peč­nos­ti. Poz­ri­me sa pre­to na niek­to­ré zá­sad­né po­žia­dav­ky na od­de­le­nú sieť, aby sme ju moh­li po­va­žo­vať za bez­peč­nú.

„Kam ne­ve­dú drô­ty, tam sa pac­ke­ty ne­dos­ta­nú."
(Ci­tát nez­ná­me­ho bez­peč­nos­tné­ho kon­zul­tan­ta.)

Fy­zic­ká bez­peč­nosť
Tým, že sme sa roz­hod­li na­šu sieť fy­zic­ky od­de­liť od inter­ne­tu, sme za­brá­ni­li to­mu, aby sa útoč­ník ve­del do sie­te pri­po­jiť vzdia­le­ne. Zá­ro­veň však tre­ba za­bez­pe­čiť to, aby sa k prís­tu­po­vým bo­dom sie­te nik­to ne­dos­tal fy­zic­ky. Fy­zic­ké za­bez­pe­če­nie pri roz­sia­hlej­ších sie­ťach je ťaž­šia úlo­ha. Útoč­ník mô­že osob­ne pre­nik­núť do bu­do­vy a pri­po­jiť svoj po­čí­tač do od­de­le­nej sie­te. Mož­no si aj pres­ta­viť, že útoč­ník do sie­te pri­po­jí len ma­lý bez­drô­to­vý sme­ro­vač, kto­rý niek­de scho­vá (pod stôl ale­bo za skri­ňu). Za­is­te­nie fy­zic­kej bez­peč­nos­ti ob­jek­tov, kde sa prí­poj­né bo­dy na­chá­dza­jú, je pre­to kľú­čo­vé. Kon­tro­la po­hy­bu za­mes­tnan­cov aj náv­štev bu­de vy­ža­do­vať zvý­še­nú po­zor­nosť. Pro­ti ne­le­gál­ne­mu pri­po­je­niu cu­dzo­ro­dých za­ria­de­ní sa mož­no brá­niť niek­to­rou z tech­ník Network Ac­cess Con­trol. Mô­že­te vy­užiť nap­rík­lad ove­ro­va­nie 802.1x, kto­ré však mô­že pred­sta­vo­vať prob­lém na star­ších sys­té­moch ale­bo na sys­té­moch, kto­ré ne­do­vo­ľu­jú in­šta­lo­vať roz­ši­ru­jú­ci sof­tvér. Ďal­šia mož­nosť je uzam­knu­tie por­tov na pre­pí­na­či na kon­krét­ne MAC ad­re­sy (port se­cu­ri­ty), ale aj tam sa mô­žu vy­skyt­núť prob­lé­my. Zá­kla­dom je mať pre­pí­na­če, kto­ré tie­to kon­fi­gu­rá­cie umož­ňu­jú.

Bez­drô­to­vé tech­no­ló­gie - veľ­ký prob­lém
Ako sme už naz­na­či­li v pred­chá­dza­jú­com od­se­ku, útoč­ní­ko­vi, kto­rý fy­zic­ky pre­nik­ne k sie­ti, mô­že sta­čiť dos­lo­va pár mi­nút na to, aby do niek­to­ré­ho zo sie­ťo­vých por­tov pri­po­jil ho­ci bez­drô­to­vý sme­ro­vač a veľ­mi ľah­ko a efek­tív­ne tak vy­tvo­ril bez­drô­to­vé pre­mos­te­nie do od­de­le­nej sie­te. Je te­da zrej­mé, že ci­tát na za­čiat­ku nep­la­tí tak úpl­ne dos­lo­va. Tým, kto nám spus­tí bez­drô­to­vý „most", ne­mu­sí byť len útoč­ník zvon­ku, ale aj niek­to zo za­mes­tnan­cov or­ga­ni­zá­cie. Ne­mu­sí sa tak stať vždy s úmys­lom poš­ko­diť bez­peč­nosť, mô­že ísť čis­to len o ľud­skú po­hodl­nosť. Pou­ží­va­te­lia i ad­mi­nis­trá­to­ri pre­vádz­ky si ob­čas chcú uro­biť ži­vot jed­no­duch­ším a do sie­te tak za­pá­ja­jú po­dob­né bez­drô­to­vé za­ria­de­nia. Nap­rík­lad pre­to, aby ne­mu­se­li cho­diť cez chod­bu, keď pot­re­bu­jú nie­čo nas­ta­viť. Mos­tom do od­de­le­nej sie­te mô­že byť aj bež­ný pre­nos­ný po­čí­tač so za­pnu­tým Wi-Fi ale­bo blue­toot­ho­vým roz­hra­ním. A ani tu ne­mu­sí ísť o úmy­sel na­rú­šať bez­peč­nosť, ale len ne­ve­do­mé sprá­va­nie bež­né­ho pou­ží­va­te­ľa. Pro­ti ne­le­gál­ne nain­šta­lo­va­ným bez­drô­to­vým vstu­pom sa mož­no brá­niť mno­hý­mi spô­sob­mi. Pr­vá vrstva bez­peč­nos­ti by ma­la byť ur­či­te na úrov­ni fy­zic­ké­ho por­tu, ako sme už spo­me­nu­li. Na úrov­ni jed­not­li­vých kon­co­vých sta­níc je vhod­né nas­ta­viť fi­rewallo­vé po­li­ti­ky tak, aby ne­bo­lo mož­né ko­mu­ni­ko­vať cez bez­drô­to­vé adap­té­ry a zá­ro­veň cez adap­té­ry fy­zic­ky. Na­ko­niec sa mož­no vy­ba­viť de­tek­tor­mi bez­drô­to­vých sie­tí, či už vo for­me špe­cia­li­zo­va­ných za­ria­de­ní, ale­bo v po­do­be ma­lých PDA so sof­tvé­rom na vy­hľa­dá­va­nie, nap­rík­lad aj skry­tých sie­tí. Exis­tu­jú ko­mer­čné de­tek­to­ry v po­do­be jed­noú­če­lo­vých za­ria­de­ní či špe­ciál­nych ka­riet Wi-Fi do po­čí­ta­čov. Jed­no­du­chý de­tek­tor si mož­no pos­ta­viť z kva­lit­nej bez­drô­to­vej kar­ty a star­šie­ho po­čí­ta­ča s OS Li­nux a sof­tvé­ru, ako je nap­rík­lad Kis­met. Ne­za­bú­daj­me, že tech­no­ló­gií Wi-Fi je veľ­ké množ­stvo a tre­ba mať vy­ba­ve­nie, kto­ré za­chy­tí všet­ky dos­tup­né štan­dar­dy, a to aj na za­ká­za­ných ka­ná­loch.

Raz v od­de­le­nej sie­ti, ino­ke­dy za­se v inter­ne­te
Čas­tý prob­lém je pri­pá­ja­nie za­ria­de­nia, kto­ré sa pri­pá­ja do inter­ne­tu, do od­de­le­nej sie­te. Ak do­chá­dza k strie­da­vé­mu za­pá­ja­niu no­te­boo­ku z jed­nej do dru­hej sie­te, strá­ca tak od­de­le­nosť sie­te prak­tic­ký zmy­sel. Mož­no si veľ­mi ľah­ko pred­sta­viť, že útoč­ník sa za­me­ria prá­ve na tie­to no­te­boo­ky. Po­da­rí sa mu ich kom­pro­mi­to­vať a vy­ba­viť vhod­ným útoč­ným sof­tvé­rom tak, aby no­te­book v prí­pa­de za­po­je­nia do od­de­le­nej sie­te zís­ka­val in­for­má­cie a po pri­po­je­ní do ve­rej­nej sie­te ich od­ov­zdal útoč­ní­ko­vi. Je ne­vyh­nut­né, aby do sie­te bo­li za­po­je­né iba le­gál­ne za­ria­de­nia a zá­ro­veň tým­to za­ria­de­niam bo­lo zne­mož­ne­né, aby sa moh­li pri­po­jiť do inej ako vlas­tnej sie­te. To mož­no opäť do­siah­nuť pot­reb­nou po­li­ti­kou osob­né­ho fi­rewal­lu. Prík­la­dom ta­ké­ho­to úto­ku bol červ Stuxnet, kto­rý na­pá­dal po­čí­ta­če s vý­vo­jo­vým pros­tre­dím na ov­lá­da­nie prie­my­sel­ných po­čí­ta­čov a cez ne po­tom in­fi­ko­val up­ra­ve­ným ov­lá­da­cím prog­ra­mom prie­my­sel­ný po­čí­tač. Tu je, sa­moz­rej­me, otáz­ka, ako za­bez­pe­čiť vý­me­nu dát me­dzi od­de­le­nou sie­ťou a „zvyš­kom sve­ta". Vy­mie­ňať by sa ma­li len dá­to­vé sú­bo­ry. Ale ani to nie je zá­ru­kou bez­peč­nos­ti, pre­to­že dá­to­vé sú­bo­ry tiež mô­žu niesť útoč­né kó­dy. Pre­to by v od­de­le­nej sie­ti ma­la exis­to­vať pro­ce­dú­ra na ich kon­tro­lu. Sú­bor sa mô­že na na­pad­nu­tom stro­ji zdať v po­riad­ku, až pres­kú­ma­ním na ne­na­ka­ze­nom sys­té­me sa da­jú od­ha­liť je­ho mo­di­fi­ká­cie.

Čo s ví­rus­mi, čer­va­mi a ďal­šou há­ve­ďou?
Naj­sil­nej­ší vek­tor ší­re­nia v dneš­nej do­be je ne­po­chyb­ne webo­vé pros­tre­die. Pre­važ­ná väč­ši­na ne­bez­peč­né­ho kó­du sa dos­tá­va do sta­níc stiah­nu­tím z webu či na­pad­nu­tím pre­hlia­da­ča cez ich zra­ni­teľ­nosť. Dru­hý vek­tor je stá­le eš­te elek­tro­nic­ká poš­ta. No ob­jem škod­li­vé­ho kó­du ší­re­ný cez e-mai­lo­vú služ­bu kle­sá. V od­de­le­nej sie­ti nás tie­to dva vek­to­ry trá­piť ne­mu­sia, os­tá­va nám tak ďal­ší v po­ra­dí, a to vy­me­ni­teľ­né mé­diá, v pr­vom ra­de USB flash dis­ky. Kon­tro­la či blo­ká­cia vy­me­ni­teľ­ných mé­dií je te­da dô­le­ži­tá sú­časť ob­ra­ny. V sú­čas­nos­ti sa väč­ši­na škod­li­vé­ho kó­du po na­pad­nu­tí stro­ja bu­de sna­žiť ko­mu­ni­ko­vať do inter­ne­tu. Cie­ľom úto­kov je zvy­čaj­ne vy­ťa­že­nie dát, prí­pad­ne pro­ce­so­ro­vé­ho vý­ko­nu. Dá­ta sa zís­ka­va­jú z na­pad­nu­tých sys­té­mov a od­osie­la­jú ma­ji­te­ľo­vi úto­ku. V od­de­le­nej sie­ti ten­to kla­sic­ký prís­tup ne­po­chyb­ne zly­há.

Tren­dom dneš­ných ne­bez­peč­ných kó­dov je však ich vy­so­ká špe­cia­li­zá­cia. Úto­ky sú pí­sa­né pre kon­krét­nu obeť. Je te­da mož­né, že star­šie ploš­né hroz­by zly­ha­jú, ale mo­der­né, na­pí­sa­né pria­mo na na­šu sieť, mô­žu byť po­ten­ciál­ne ús­peš­né. Ne­bez­peč­ný kód mô­že vy­užiť prá­ve spo­me­nu­té po­chy­be­nia ako bez­drô­to­vý „most" či no­te­book pri­pá­ja­ný do oboch sie­tí. Nik­dy sa nes­po­lie­haj­te na to, že ne­bez­peč­ný kód do na­šej sie­te ne­mô­že pre­nik­núť. Anti­mal­vé­ro­vá ochra­na má zmy­sel ako ďal­šia vrstva bez­peč­nos­ti. De­tek­cia ne­bez­peč­né­ho kó­du vnút­ri na­šej sie­te je znám­kou to­ho, že os­tat­ná ochra­na zly­ha­la. Z rov­na­ké­ho dô­vo­du je dob­ré mať in­šta­lo­va­né sie­ťo­vé sys­té­my pre­ven­cie na­ru­še­nia. Kaž­dá ďal­šia vrstva po­sil­ňu­je cel­ko­vú úro­veň ochra­ny. V niek­to­rých prí­pa­doch ne­mož­no na kon­co­vej sta­ni­ci na­sa­diť aký­koľ­vek bez­peč­nost­ný sof­tvér, po­tom je sie­ťo­vý sys­tém pre­ven­cie na­ru­še­nia ne­vyh­nut­nou sú­čas­ťou na do­siah­nu­tie as­poň ur­či­tej úrov­ne bez­peč­nos­ti.

Ne­bez­peč­ný kód ne­mu­sí mať za úlo­hu vy­niesť zo sie­te iba in­for­má­cie, ale mô­že byť pí­sa­ný tak, aby spô­so­bil ško­dy na dá­tach ale­bo nap­rík­lad vo vý­ro­be.

Zá­pla­ty
Zá­pla­to­va­nie v od­de­le­ných sie­ťach je rov­na­ko ne­vyh­nut­né ako v sie­ťach ko­mu­ni­ku­jú­cich s inter­ne­tom. Dô­vo­dy na ap­li­ko­va­nie pra­vi­del­ných zá­plat sú veľ­mi po­dob­né ako v prí­pa­de pou­ží­va­nia anti­mal­vé­ro­vých rie­še­ní. Škod­li­vý kód, kto­rý vnik­ne do od­de­le­nej sie­te, sa bu­de chcieť ší­riť rov­na­ko ako v akej­koľ­vek sie­ti a bu­de zneu­ží­vať zra­ni­teľ­nos­ti v ap­li­ká­ciách či ope­rač­ných sys­té­moch. Zá­pla­ta je te­da ďal­šia ob­ran­ná vrstva, kto­rá má za úlo­hu blo­ko­vať ší­re­nie útoč­ných kó­dov. Pro­ce­dú­ra ak­tua­li­zá­cií ap­li­ká­cií a ope­rač­ných sys­té­mov bu­de vy­ža­do­vať veľ­mi prís­ny re­žim a doh­ľad. V tom­to prí­pa­de sa ne­vyh­ne­me pre­su­nu spus­ti­teľ­ných sú­bo­rov z inter­ne­to­vej zó­ny do od­de­le­nej zó­ny. Ten­to pro­ces by sa mo­hol stať ter­čom úto­ku.

Zá­ver
Fy­zic­ké od­de­le­nie pri­ná­ša ok­rem zvý­še­nia bez­peč­nos­ti aj ce­lý rad ob­me­dze­ní pre pou­ží­va­te­ľov. Vždy tre­ba veľ­mi dob­re zvá­žiť, čo nám opat­re­nie pri­ná­ša a čo nám zá­ro­veň be­rie. Ur­či­te ne­mož­no fy­zic­ky od­de­le­né sie­te po­va­žo­vať za bez­peč­né len z to­ho dô­vo­du, že k nim ne­ve­dú pria­mo „drô­ty". Na to, aby bo­la sieť nao­zaj bez­peč­ná, tre­ba uro­biť ce­lý rad kro­kov a pou­žiť množ­stvo tech­no­ló­gií. Kaž­dý dob­re za­bez­pe­če­ný sys­tém sa skla­dá z mno­hých vrs­tiev bez­peč­nos­ti. Fy­zic­ké od­de­le­nie sie­te je len jed­na z nich. Väč­ši­na zá­sad, kto­ré sme tu spo­me­nu­li, pla­tí aj pre sie­te, kto­ré sú „iba" za fi­rewallom. V od­de­le­nej sie­ti sú však mož­no eš­te dô­le­ži­tej­šie, pre­to­že ich po­ru­šo­va­ním strá­ca­me tú nák­lad­ne za­pla­te­nú vý­ho­du od­de­le­nej sie­te.

Tvr­de­nie, že „kam ne­ve­dú drô­ty, sa pac­ke­ty ne­dos­ta­nú", je mož­no čias­toč­ne prav­di­vé, ale v ko­neč­nom dôs­led­ku sa­mo od­de­le­nie ne­rie­ši kva­lit­nú kom­plexnú bez­peč­nosť.

Mar­tin Me­du­na
Autor pra­cu­je ako bez­peč­nost­ný kon­zul­tant, Sym­an­tec.