Chráníme data klientů co nejlevněji

Naše manažerka bezpečnosti uvádí do praxe vládní nařízení o ochraně osobních dat. Ve svém posledním přísp...


Naše manažerka bezpečnosti uvádí do praxe vládní nařízení o ochraně osobních
dat.


Ve svém posledním příspěvku jsem popsala, jak jsem byla vyzvána provést analýzu
finančního dopadu návrhu zákona, jenž se týkal soukromí a který měl být
zanedlouho předložen zákonodárnému sboru našeho státu. Očekává se, že tento
návrh bude v brzké době schválen a stane se z něj platný zákon. A jakmile k
tomu dojde, státní organizace (jako ta, v níž pracuji) i soukromé firmy se
stanou zodpovědnými za jakékoliv prozrazení či únik osobních údajů jednotlivců.
Navzdory mému závěru, že dodržení tohoto zákona by jen v naší organizaci
vyžadovalo investici několika set tisíců dolarů, můžeme očekávat, že možná
žádné dodatečné prostředky pro dodržení takového nařízení neobdržíme. Jak se
mám tedy vyrovnat s ochranou osobních informací, které jsou uloženy v našich
databázích či serverech a procházejí naší sítí?
Žádné jednotlivé hardwarové zařízení nebo softwarová aplikace vhodné zřejmě
nebude. Nejlepší možností, kterou mám, je využít open source nástroje a
současný hardware tak, abych nakonfigurovala a nainstalovala systém pro detekci
narušení IDS (Intrusion-Detection System). IDS nám umožní monitorovat průniky
do sítě či útoky a prozkoumat rizika, že data, jako jsou čísla sociálního
zabezpečení, odejdou či projdou naší sítí jako prostý text. Alespoň pro začátek.

Práce svépomocí
Ve všech mých předchozích zaměstnáních v soukromých firmách jsem řídila lidi,
kteří takové systémy konfigurovali a instalovali. Ačkoliv jsem analyzovala data
z těchto systémů, dávala informace do vzájemných vztahů s výstupy z jiných
zdrojů, rozdávala pokyny podřízeným a schvalovala plány vztahující se k
rozmístění síťových prvků, monitorovacích zařízení, firewallů, VPN
koncentrátorů a dalších bezpečnostních systémů, nikdy jsem nevybudovala takové
řešení holýma rukama a nenasadila je sama do provozu. Nejsem si v rámci našeho
úřadu vědoma nikoho, kdo by před tím touto cestou šel.
Avšak mohlo by to být i tím, že pravá ruka neví, co dělá levá - státní
organizace jsou poměrně značně autonomní, a ačkoliv se už objevují snahy o
zlepšení spolupráce a shromažďování vědomostí v oblasti bezpečnosti, nezdá se,
že by pro to existoval nějaký strategický plán. Takže lidé jako já se jen tak
potácejí ode zdi ke zdi a pokoušejí se jednat správně.
Jsem trochu nerozhodná. Můžu to udělat? Abych si osvojila práci se softwarem,
který jsem zvolila - Fedora Core 3 od společnosti Red Hat, Snort, MySQL a Base,
stejně jako Apache, SSL a PHP - budu se muset spoléhat na své zatím málo
používané znalosti unixových a linuxových systémů stejně jako na návody a
osvětové články napsané těmi, kdo mají v těchto oblastech mnohem více
zkušeností než já. Mohu své problémy také konzultovat v diskusních skupinách či
zavolat některým ze svých mnoha přátel a kolegů. A vím, že pomoc bude pohotově
k dispozici i ze strany open source komunity, snad nejlépe spolupracující
skupiny lidí na naší planetě.

Konkrétní software...
Pro ty z vás, kteří nejste obeznámeni s těmito konkrétními softwarovými
produkty, nabízím několik základních informací: Fedora Core 3 je volně dostupná
linuxová distribuce Red Hatu. Snort lze popsat jako odlehčené síťové IDS
schopné provádět analýzu provozu v reálném čase a vytvářet záznamy paketů
procházejících IP sítí. ("Analýza v reálném čase" je poněkud nepřesné označení.
Typ IDS, který zamýšlím vybudovat, je pasivní systém - bude sledovat síťový
provoz a bude schopen posílat varování, pokud budou porušena určitá pravidla.
Bude však záviset na lidské obsluze, která hlášením bude věnovat pozornost a
patřičně reagovat. Naproti tomu Intrusion-Prevention System je nasazen v režimu
in-line a na základě konfigurovatelné sady pravidel buď provoz bezprostředně
pustí, nebo odmítne.)
Snort je také schopen provádět analýzu protokolů či prohledávat/porovnávat
obsah a může být využit i pro detekci různých typů útoků, jako jsou přetečení
zásobníku, skenování skrytých portů, útoky typu CGI (Common Gateway Interface)
či analýza protokolu Server Message Block. Pro popis provozu, který by měl být
sbírán, využívá jazyk založený na pravidlech, a disponuje možností varování v
reálném čase.
MySQL je víceuživatelský, multithreadový SQL databázový server, který je
dodáván i jako součást balíku Fedora. PHP představuje široce využívaný
univerzální skriptovací jazyk, jenž je velmi vhodný pro vývoj webu. Součástí
balíku Fedora Core 3 je rovněž software pro webové servery Apache využívající
pro zabezpečení protokol SSL (Secure Sockets Layer).
Řešení Base (Basic Analysis and Security Engine) je založeno na kódu projektu
ACID (Analysis Console for Intrusion Databases) a dnes je často doporučován i
jako náhrada za něj. Tato aplikace poskytuje webové uživatelské rozhraní pro
dotazování a analýzu varovných hlášení, přicházejících z výše zmíněného IDS
systému Snort.

... a hardware
Jakmile jsem si vybrala software, musela jsem nalézt vhodný hardware, schopný
provozovat jej a provádět monitoring a analýzu sítě. Musela jsem ovšem brát to,
co bylo k dispozici. Našla jsem si nevyužívaný desktop firmy Dell. Měl 80GB
pevný disk, 256 MB paměti, síťovou kartu pro gigabitový Ethernet a 1,6GHz CPU.
Podle toho, co jsem četla, by to mělo být dostatečné, ale nemohu to garantovat,
dokud systém neotestuji v reálném čase.
Rozhodla jsem se, že sama se budu zabývat pouze monitorováním narušení a
průniků v centrále naší organizace a nikoliv v pobočkách. Tím se sníží počet
potřebných senzorů a zjednoduší se i jejich rozmístění. Už jsem požádala, aby
byl na primárním přepínači nakonfigurován span port, a otestovala jsem jej s
využitím softwaru Ethereal pro analýzu paketů. Vím, že to není dokonalý scénář,
ale znovu podotýkám - jsem teprve na začátku a je to lepší než nic.
Řešíte podobné problémy jako C. J. Kellyová? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu: bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.