Samostatný projekt pro zabezpečení sítě

Vzhledem k dosti omezeným zdrojům musí naše manažerka zvládnout spoustu věcí sama. Telefonát v ní ale vzbudí dojem,...


Vzhledem k dosti omezeným zdrojům musí naše manažerka zvládnout spoustu věcí
sama. Telefonát v ní ale vzbudí dojem, že je součástí týmu.

Několik posledních týdnů bylo frustrujících a užitečných zároveň. Dala jsem si
za cíl nakonfigurovat Intrusion-Detection System (IDS), přičemž jsem využila
aplikaci Snort běžící pod Linuxem. Pokud jde o bezpečnostní nástroje a
zařízení, máme toho v našem prostředí velmi málo a já sama mám na nákup
takových systémů zpravidla jen malý (nebo vlastně nulový) rozpočet. Projekt s
IDS byl prvním krokem k tomu, abychom mohli detekovat potenciálně škodlivý
síťový provoz s co možná nejnižšími náklady.
Vzhledem k tomu, že jsem to osobně nikdy nedělala (neboť před tím jsem řídila
inženýry, kteří věděli, jak na to) a v současnosti nemám žádný personál, který
by byl zběhlý v oblasti bezpečnosti a na nějž bych se mohla spolehnout, byla
jsem na vážkách, ale současně i vzrušená. Udělala jsem několik kroků k tomu,
abych se dobře připravila. Našla jsem dokumenty detailně popisující veškeré
nezbytné kroky. Řekla jsem si, že když nic jiného, mohla bych následovat
instrukce popsané v těchto materiálech. Navíc jsem si koupila a přečetla knihu
The Tao of Network Security Monitoring: Beyond Intrusion Detection, jejímž
autorem je Richard Bejtlich (Addison Wesley Professional, 2004).
Také jsem se setkala s přítelem a kolegou, který pracuje jako CISSP a ředitel
informační bezpečnosti v malé firmě a o němž jsem věděla, že podobný systém po
mnoho let využíval. Zkoušela jsem pracovat i sama s manuálem, ale rychle jsem
jej odložila až jako referenci na dobu, kdy bude systém nakonfigurován a poběží.

Hloupé frustrace
Systém je nyní v pracovním režimu a generuje spoustu dat. Výzvu tedy
představuje nutnost tato data analyzovat, abychom jim porozuměli. Při celém
procesu se vyskytlo tolik malých nezdarů, že v tento moment pociťuji jenom
úlevu nad tím, že systém zřejmě běží. Musela jsem překonat něco, co označuji za
"hloupé" frustrace.
Měla jsem například potíže při stahování enormního objemu image souborů systému
Red Hat Fedora Core 3 a při jejich vypalování na CD ve správném formátu. Po
mnoha pokusech a více než deseti CD, která se nedala nabootovat, pro mě můj
kolega vytvořil sadu CD, která jsem mohla použít.
Jakmile byl operační systém Linux nainstalován, uvědomila jsem si, že si
nedokážu vzpomenout na příkazy linuxového prostředí bash, tak jsem si jako
tahák vytiskla jejich tabulku. Naštěstí alespoň na příkazy textového editoru vi
jsem se rozpomněla rychle. Při instalaci dodatečného softwaru potřebného pro
běh systému jsem postupovala krok za krokem podle instrukcí a poté rebootovala.
Zdálo se ale, že se systém v určitém bodě zpomalil, takže jsem procházela
zprávy typu newsgroups určené pro linuxové nováčky a hledala řešení. Nikdy jsem
však přesné řešení nenašla, takže jsem dospěla k závěru, že jsem něco musela
udělat špatně a provedla jsem reboot s použitím záchranného CD.
Pak už šly věci z kopce, neboť jsem byla nucena manuálně editovat různé
konfigurační soubory na základě rad, které jsem našla on-line. Mé úsilí ovšem
skončilo katastrofou a musela jsem celý systém reinstalovat. Naštěstí to
napodruhé šlo už mnohem rychleji a byla jsem schopná určit i malé omyly, jichž
jsem se při prvním pokusu dopustila, a napravit je.
Konečně jsem dospěla k tomu, abych mohla vidět varovná hlášení IDS přes HTTP a
využít Secure Shell k tomu, abych se do systému dostala vzdáleně. V poslední
minutě jsem si uvědomila, že jsem měla pouze jednu síťovou kartu (Network
Interface Card, NIC). Já jsem fakt hloupá! Musíte mít totiž dvě.
Jedna síťová karta běží v režimu označovaném jako promiscuous mode (přijímány
jsou všechny pakety přenášené po médiu) a nemá svoji IP adresu. Jejím úkolem je
přijímat provoz ze span portu přepínače, k němuž je připojena. Další síťová
karta je pak nezbytná pro vzdálenou administraci systému a je připojena k
management portu přepínače. Poohlédla jsem se tedy po druhé kartě, vypnula
systém, nainstalovala ji a opět jsem systém spustila. Vše pracovalo.
Manažeři do hloubky
Zatímco jsem pracovala na nasazení IDS, hodně jsem přemýšlela i o roli manažera
informační bezpečnosti. Všimla jsem si, že v některých firmách se od
bezpečnostního manažera neočekává, aby měl hluboké technické znalosti, spíše by
měl mít rafinované manažerské schopnosti. Vždycky jsem věřila, že techničtí
manažeři potřebují mít dostatek hlubších vědomostí, aby byli schopni podpořit
svůj personál, když ztratí klíčového zaměstnance nebo když situace vyžaduje
ruce a oči někoho navíc.
To ale znamená velmi vysoké požadavky, když pomyslíte na šíři používaných
bezpečnostních zařízení: VPN koncentrátory, firewally, routery a switche,
mechanismy pro kontrolu přístupů a autentizaci, systémy typu intrusion
detection či prevention, antivirus, antispam atd. V ideálním světě by stačilo
mít zaměstnance s rozmanitými schopnostmi, kteří by si mohli vzájemně předávat
zkušenosti a jeden druhého postupně proškolit.
Já jsem nyní v situaci, kdy v naší agentuře zcela postrádám personál s
odbornými znalosti týkající se bezpečnosti a jsou zde jen zaměstnanci s trochou
znalostí o síti. Je to pro mě současně dobrá i špatná zpráva.
Na jedné straně zažívám dny plné frustrace, neboť vím, že vše závisí jenom na
mně.
Na druhé straně ale prožívám i dny čisté radosti, když pátrám po řešení na
problémy s výkonem sítě či s bezpečností a poté je implementuji.
Poslední týden byl pro mě obzvláště dobrý, neboť jsem obdržela telefonát od
ředitele informační bezpečnosti ministerstva, jehož součástí je i naše
agentura. Ředitel chtěl zahrnout moje příspěvky do plánů pro obnovu po havárii.
Také si uvědomil, že jako CISSP bych mohla být schopná spolupracovat s jedním z
jeho zaměstnanců, který je rovněž CISSP.
Společně bychom, jak navrhoval, mohli vytvořit strukturu týmu pro reakce na
bezpečnostní incidenty a hledat v rámci sítě celostátní organizace řešení
bezpečnostních problémů, jako je porušování pravidel přijatelného využití
síťových zdrojů (například prohlížením či stahováním pornografie).
To bylo poprvé, co jsem slyšela, že se vůbec někdo z kterékoliv státní agentury
skutečně pokoušel být proaktivní, pokud jde o zabezpečení sítí jednotlivých
agentur. Byla jsem nadšená, když jsem zjistila, že před lety prošli stejnou
cestou, jakou jdu nyní já, a byli rádi, že se mohou podělit o své zkušenosti. V
tom momentě jsem pocítila, že sem opravdu patřím.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.