Málem jsme si udělali díru do zabezpečení sítě

Právě jsme odmítli žádost o zřízení síťového spojení s jedním naším dodavatelem. Nebyl totiž schopen garantova...


Právě jsme odmítli žádost o zřízení síťového spojení s jedním naším
dodavatelem. Nebyl totiž schopen garantovat jeho bezpečnost.
Tak již je to půl hodiny, co jsem řekl své definitivní ne v odpověď na jednu z
těch typů žádostí, které nepřipouštějí negativní stanovisko. Zatím nikdo
nezačal dělat rozruch, takže mi to protentokrát možná prošlo.
Naše firma má celkem tři hlavní oddělení, která opravdu produkují příjmy. Jedno
z těchto oddělení přitom produkuje více než polovinu veškerého příjmu
společnosti, a ujišťuji vás, že v ročním vyjádření je to pořádná hromada peněz.
V důsledku toho si lidí z tohoto oddělení každý ve firmě považuje, a když o
něco požádají, obvykle to dostanou.
Jejich nejnovější žádost byla přání, aby se zřídilo přímé síťové spojení se
systémy dodavatele. Nebudu se příliš šířit o tom, co vlastně síť dělá, ale není
sporu o tom, že existují oprávněné obchodní důvody pro zřízení takového
napojení a že data, která by po takové lince proudila, jsou velmi důležitá.
Žádost o zřízení linky byla vznesena ve formě projektu a věc byla svěřena
projektovému manažerovi. Všechny nezbytné kroky a schvalovací procedury byly
učiněny a linka je prakticky před spuštěním. Servery budou nainstalovány tuto
sobotu a neděli a provede se příslušná úprava na firewallu tak, aby linka mohla
touto ochrannou "zdí" procházet.
Hádejte, kdy jsem poprvé slyšel o celém projektu: Bylo to v pátek, v deset
hodin dopoledne. Vypadalo to, jako bych tu již dlouho nebyl a projektový
manažer neměl před dnešním ránem ani potuchy o mé existenci. Není divu, že se
celá věc vyvinula tak, jak vám to líčím. Nezbylo mi, než se smířit se situací a
považovat tuto záležitost za problém absolutní priority.
Změna na firewallu
Žádost směrem k mé osobě spočívá v tom, že se musí do firewallu přidat
pravidlo, které povolí průchod spojením inicializovaným z bezpečnostně
nejistého serveru patřícímu třetí straně. Spojení by bylo navazováno se
skupinou našich pracovních stanic v rámci naší interní podnikové sítě, přičemž
by nedocházelo k žádné formě ověření identity iniciátora takovýchto relací.
Pro ty čtenáře, kteří nemají jasnou představu, co to vlastně firewall je,
uvádím následující přirovnání. Úloha firewallu (česky cosi jako protipožární
stěna) je velmi podobná funkční náplni vyhazovače v nočním klubu. Vyhazovač má
sadu pravidel, která říkají, koho může pustit dovnitř, a navíc má seznam
specifických návštěvníků, kteří mají právo být vpuštěni přednostně bez ohledu
na to, zda je před vchodem fronta, nebo není a jak je dlouhá. Pokud máte smůlu
a nesplňujete pravidla pro vstup a pokud nejste na seznamu vybraných hostů, pak
se do klubu jednoduše nedostanete.
Žádost spojená s projektem je ekvivalentní tomu, abych kohosi zapsal do seznamu
vybraných hostů ("je to můj dobrej kámoš Pepa") a v důsledku toho kdokoli, kdo
by tvrdil, že je "Pepa", by se dostal dovnitř. A protože firewall je mnohem
hloupější než i ten nejblbější vyhazovač, dostal by se dovnitř i za okolností,
že by se podle počítačových kritérií dostavil ve stavu analogicky
odpovídajícímu člověku se šíleným leskem v očích a se zakrvácenou motorovou
pilou v rukách jste "Pepa", tak prosím, račte dál.
Horší, než se zdá
Existuje mnoho způsobů, jak tento problém vyřešit, ale zase jich není tak
mnoho, aby se daly aplikovat v několika hodinách před předpokládaným začátkem
zkoušek naostro. Mohli bychom jednoduše věřit, že bezpečnostní opatření na
straně oněch externích serverů funguje a že mají zaveden mechanismus, pomocí
něhož dovolí přístup pouze pověřeným osobám (je to ekvivalentní tomu, že
příchozí, který o sobě tvrdí, že je "Pepa", musí tuto svou identitu umět nějak
jednoznačně prokázat doufám, že moji analogii nenapínám až přespříliš). A
můžeme se pojistit tím, že omezíme přístup skrze firewall tak, že všechna
spojení se dostanou pouze na jednu jedinou dodavatelem dodanou aplikaci.
Obě tato opatření aplikovaná současně nejsou sice zdaleka to "pravé ořechové",
ale alespoň něco se udělalo a získal se čas k zavedení nějakého lepšího
systému, aniž bychom ohrozili nebo přinejmenším omezovali chod obchodního
oddělení, které zřejmě takové spojení opravdu potřebuje.
Poté, co jsem si pohovořil s příslušným dodavatelem, se však dokonce ani tato
prvoplánová opatření nezdají být rozumná. Nemáme naprosto žádnou kontrolu nad
dodavatelovými servery, a když jsem se jich zeptal, zda mají na svých serverech
zaveden nějaký bezpečnostní systém, jejich odpověď byla rychlá a stručná:
nemáme.
Pokud tedy linku nainstalujeme, nejenže ohrozíme bezpečnost této konkrétní
služby, ale současně s tím probouráme do naší bezpečnostní hradby velkou
postranní díru, která bude znamenat riziko pro celý podnik.
Proto jsem nakonec řekl své ne na návrh modifikovat náš firewall. Podal jsem k
tomu vysvětlení, v jehož rámci jsem uvedl několik důvodů svého rozhodnutí. Řekl
jsem též obchodnímu oddělení, co bude potřeba změnit, aby dostali povolení
procházet skrze firewall, a slíbil jsem jim, že náš tým síťových pracovníků
začne pracovat na jedné z možných alternativ. Naštěstí umím říci své "ne" velmi
pozitivním způsobem (je to trik, který každý zkušený konzultant dobře ovládá).
Ale ve svém důsledku jsem konec konců řekl své ne rovněž lidem, kteří mě platí
za moji práci. Brzy se ukáže, zda se projektový manažer začne snažit svůj
projekt vylepšit, aby měl atributy profesionálního díla, nebo zda se bude
snažit "ukecat" vedení podniku tak, aby moje zamítnutí projektu prostě nebylo
bráno v úvahu.
V dobách předtím, než jsem nastoupil u mého současného zaměstnavatele, bych se
cynicky vsadil, že moje negativní rozhodnutí bude okamžitě zamítnuto. Ale tento
podnik mě neustále překvapuje tím, jak mnoho opravdu dobrých lidí zaměstnává
takže možná přece jen nakonec bude muset projektový manažer zpátky k rýsovacímu
prknu a celou věc nějak vylepšit. Hodiny pomalu plynou a zatím se nikdo nijak
neozval. Tak jsem opravdu zvědav, jak to dopadne.
Tvrdě proti virům
Protože si libuji v sebebičování, zahájil jsem tento týden nový instalační
proces. V současné době naše protivirová ochrana sestává z protivirových
skenerů na pracovních stanicích a serverech. Dále pak máme skener na naší SMTP
bráně (gateway) umístěné na ředitelství, která zpracovává veškerou příchozí a
odchozí internetovskou poštu.
Skenery nepracují příliš dobře, hlavně proto, že máme potíže s dohledem nad
produkty v mnohonárodním prostředí. Vypadá to tak, že přinejmenším polovina
našich protivirových skenerů instalovaných na stolních počítačích je v
kteroukoli chvíli zastaralá.
V současné době se snažíme tuto situaci nějak napravit, ale do té doby, než se
nám to podaří, rád bych viry nachytal dřív, než se dostanou do jednotlivých
stolních počítačů.
Podle mé zkušenosti dnes naprostá většina virů přichází prostřednictvím
e-mailu. Míním tím viry nakažené přílohy a rovněž viry typu VBS.LoveLetter
(virus "I Love You"), které se prostřednictvím elektronické pošty šíří
automaticky.
Náš protivirový skener na SMTP bráně se stará o veškerou naši služební
elektronickou poštu, ale nevšímá si lidí, kteří používají webové poštovní
služby, jako je například Hotmail firmy Microsoft. Ačkoli jsme zablokovali
přístup k většině těchto služeb na našem proxy serveru (učinili jsme tak po
maléru s virem I Love You), zdá se, že uživatelé vidí blokádu spíše jako výzvu
k tomu, aby ji nějak obešli, než jako opatření, které je diktováno opatrností.
A tak nám tento zákaz s potěšením neustále nějak obcházejí.
Řešení spočívá v tom, že se budou realizovat virové kontroly na webových proxy
serverech tak, aby veškerý HTML a FTP provoz byl skenován na přítomnost virů.
Začal jsem vyhodnocovat několik navzájem si konkurujících výrobků, jako jsou
například eSafe, MIMESweeper a InterScan VirusWall, a teprve potom jsem
zjistil, že naše ředitelství koupilo komerční verzi programu VirusWall. Doufám,
že si před koupí udělali nějaký průzkum toho, co je k dostání. Nicméně, již se
nedá nic dělat; alespoň že koupili globální licenci, takže nyní máme programy
zadarmo.
Naštěstí jeden z našich techniků na svém dřívějším pracovišti pracoval s
programy VirusWall. Od něho mám jednak špatné zprávy, jednak dobré zprávy.
Špatné zprávy: Říká, že po určitou dobu byly havárie programu VirusWall hlavním
důvodem, pro který byli technici voláni k naléhavé práci uprostřed noci. A
jakoby to nestačilo, když havaruje VirusWall, vezme se sebou také připojení k
Internetu. Dobré zprávy: Náš technik tvrdí, že zná hlavní varovné příznaky
blížící se havárie tohoto programu a že umí napsat určité skripty, které
situaci ohlídají a varují předem, že se chystá katastrofa. Uvidíme, jak se mu
bude dařit v naší síti.


Stručný slovníček užívaných termínů
SMTP gateway: využívá Simple Mail Transfer Protocol, což je část sady protokolů
TCP/IP, která umožňuje výměnu e-mailových zpráv s dalšími účastníky připojenými
k Internetu.
Firewall: sestává z hardwaru a softwaru, který leží mezi dvěma sítěmi, jako
např. mezi interní podnikovou sítí a poskytovatelem internetovských služeb
(ISP). Firewall chrání vaši síť tím, že blokuje nežádoucí přístupy do ní (ze
strany externích uživatelů a služeb), a současně zakazuje, aby byly z podnikové
sítě odesílány zprávy adresované určitým subjektům mimo její dosah, například
konkurenčním firmám apod.
0 2743 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.