Ochronić sieć

Utrata danych lub blokada dostępu to podstawowe problemy użytkowników sieci lokalnych spowodowane przez komputerowych włamywaczy. W zapobieganiu atakom mogą pomóc sprzętowe firewalle.

Utrata danych lub blokada dostępu to podstawowe problemy użytkowników sieci lokalnych spowodowane przez komputerowych włamywaczy. W zapobieganiu atakom mogą pomóc sprzętowe firewalle.

Zapewnienie bezpieczeństwa jest jednym z najważniejszych zadań administratorów sieci komputerowych. Korzystanie z "wyjścia na świat" ma niewątpliwie wiele zalet. Porozumiewanie się z innymi użytkownikami Internetu, przesyłanie danych, dostęp do ogromnych zasobów informacji są już nieodzowną częścią działalności wielu instytucji czy przedsiębiorstw. Ale Internet pozostaje również źródłem potencjalnych zagrożeń. Źle zabezpieczona sieć przyłączona do globalnej pajęczyny będzie łatwym łupem hakerów. Utrata danych może zaś oznaczać zaprzepaszczenie wyników nawet wielomiesięcznej pracy. Podobne bywają skutki kradzieży poufnych informacji, często przechowywanych na twardych dyskach użytkowników sieci. Dostęp do takich danych i ich ujawnienie oznacza nierzadko ogromne straty dla przedsiębiorstwa.

Osoby odpowiedzialne za infrastrukturę sieci komputerowej mają obowiązek minimalizować ryzyko szkód powstałych w wyniku ataku hakerów na sieć lokalną. Dobrze zabezpieczony intranet powinien się oprzeć komputerowym włamywaczom. Pomagają w tym firewalle, czyli elementy ochrony umieszczane na styku dwóch sieci, takich jak Internet i firmowy intranet. Firewalle umożliwiają kontrolę komunikacji między tymi sieciami i eliminację niepożądanej transmisji danych. Na naszym rynku znaleźć można wiele sprzętowych rozwiązań, które pozwalają na efektywne zabezpieczenie lokalnych sieci. Inwestycja w zabezpieczenia (np. w postaci firewalla) obciąży budżet firmy, instytucji czy użytkowników osiedlowej sieci, ale ewentualne straty w wyniku działalności hakerów mogą być wielokrotnie wyższe. Technologia firewalli pozwala na wyeliminowanie większości zagrożeń związanych z korzystaniem z Sieci.

Produkty

Oferta rynkowa sprzętowych firewalli jest bardzo bogata. Popularnością cieszą się zwłaszcza produkty firm: 3Com, Zyxel, Cisco, Nokia, Linksys, Watchguard, RAD Guard, Computer Associates, Allied Telesyn. Poszczególne firewalle różnią się nie tylko technologią, ale i formą. Postanowiliśmy przyjrzeć się bliżej rozwiązaniom proponowanym przez poszczególnych wytwórców sprzętu.

Rozszyfrowujemy skróty

<font color="red">DES (Data Encryption Standard) - jedna z popularniejszych metod szyfrowania danych. Ten rodzaj szyfrowania symetrycznego stanowi standard uznany przez organizację ANSI i jest często stosowany w rozwiazaniach sprzętowych i programowych.

<font color="red">DHCP (Dynamic Host Configuration Protocol) - jeden z protokołów sieciowych. Jego stosowanie umożliwia automatyczne przydzielanie adresów klientom sieciowym (komputerom w sieci lokalnej) przez serwer DHCP

<font color="red">DoS (Denial of Services) - typ ataku. Powoduje blokadę komputerów w sieci lub blokadę dostarczanych przez nie usług. Włamania DoS mogą sparaliżować część lub całość sieci. Najbardziej znane techniki to: rekonfiguracja SNMP, Ping of Death (wykorzystanie niepoprawnie zbudowanych pakietów ICMP), atak SYN (przeciążenie próbami połączeń), "zalanie" komunikatami ICMP (przeciążenie żądaniami echa), Smurf, przeadresowywanie DNS. Większość firewalli wykrywa ataki DoS zapobiega im.

<font color="red">IPSec - protokół udostępniający usługi szyfrowanego transportu, który nie wymaga stosowania połączonej sesji lub tunelu.

<font color="red">NAT (Network Adress Translation, translacja adresów sieciowych) - mechanizm umożliwiający współdzielenie pojedynczego adresu IP. Stosowanie NAT pozwala na ukrywanie informacji związanych z wewnętrznymi hostami sieci. Gdy dane są transmitowane przez firewall, następuje zamiana adresów wewnętrznych hostów sieci lokalnej na pojedynczy adres IP.

<font color="red">VPN (Virtual Private Networks, wirtualne sieci prywatne) - sieć dwukierunkowych kanałów transmisji łącząca sieci lokalne. Do przekazania danych używane są sieci publiczne, jak Internet. Podstawowe techniki tworzenia wirtualnych sieci prywatnych opierają się na szyfrowaniu całej zawartości pakietów (tzw. bezpieczny rękaw) lub pola danych w pakietach (tzw. bezpieczny tunel). Czas działania ustalonych kanałów VPN obejmuje zazwyczaj tylko okres transmisji danych między sieciami.

Ze względu na bogactwo dostępnych na rynku rozwiązań nasza prezentacja sprzętowych firewalli nie moźe być kompletna. Zainteresowanym zakupem polecamy zapoznanie się z "Przeglądem produktów sieciowych", w którym zawarte jest m. in. szczegółowe omówienie firewalli (jego elektroniczną wersję można znaleźć w witrynach internetowych PC World oraz Networld, www.networld.com.pl/pps). Warto też zajrzeć do dokumentacji udostępnianej na stronach internetowych poszczególnych producentów.

3Com

Office Connect Internet Firewall 25

Office Connect Internet Firewall DMZ

Office Connect Internal FIrewall DMZ obsługuje sieci do 100 użytkowników.

Office Connect Internal FIrewall DMZ obsługuje sieci do 100 użytkowników.

Firewalle z serii Office Connect zostały zaprojektowane do niewielkich sieci biurowych (do 100 użytkowników) i zastosowań domowych. Chronią przed atakami DoS oraz nieautoryzowanym dostępem do lokalnej sieci. Oferują mechanizm translacji adresów NAT i automatyczne przydzielanie adresów z zastosowaniem protokołu DHCP. Monitorowanie wykorzystania Internetu umożliwia blokowanie połączenia z witrynami określonego typu (np. stron z pornografią) lub zawierającymi określone słowa w adresie internetowym. Instalacja firewalla (wykorzystano tu technikę plug and play) jest bardzo prosta. Specjalny filtr pozwala na wykorzystywanie przygotowanej, automatycznie odświeżanej listy kontrolowanych witryn, pogrupowanych w określone kategorie.

Urządzenie Office Connect Internet Firewall 25 może być wykorzystane w sieci mającej do 25 użytkowników, natomiast model DMZ obsługuje sieci mające do 100 użytkowników. Modele Office Connect obsługują dostęp poprzez VPN (Virtual Private Networks).

SuperStack 3 Firewall

SuperStack 3 firmy 3Com.

SuperStack 3 firmy 3Com.

Do większych sieci i takich, w których muszą być wykorzystywane wydajne VPN, przeznaczony jest kolejny produkt firmy 3Com - SuperStack 3, wyposażony w procesor RISC Strong-ARM 233. Zastosowano sprzętową akcelerację wspomagającą dostęp VPN. Stosowanie wirtualnych sieci prywatnych może być alternatywą dla mniej bezpiecznego zdalnego dostępu dial-up. Firewall umożliwia zastosowanie w VPN protokołu IPSec, a także takich standardów szyfrowania jak 168-bitowy 3DES, 56-bitowy DES i 56-bitowy ARC4.

Firewalle firmy 3Com mogą być ustawiane z poziomu przeglądarki internetowej. Wszystkie modele są prekonfigurowane, tak by odpierać ataki typu DoS. Internet Firewall DMZ i SuperStack3 wykorzystują mechanizm DMZ (Demilitarized Zone). Specjalny port umożliwia osobom z zewnątrz bezpieczny dostęp do witryny firmy i zasobów FTP czy e-commerce publicznie dostępnego serwera.

W przypadku wszystkich produktów 3Com administrator jest powiadamiany o zagrożeniu e-mailem. Szczegółowe dzienniki i raporty informują o rodzaju próby włamania, stopniu zagrożenia oraz danych umożliwiających identyfikację hakera.


Zobacz również