Skrytá skulina oddaluje spuštění VPN

Drobná chyba v osobním firewallu znamená, že firma nemůže spustit VPN. Alternativní řešení přinášejí vyšší n


Drobná chyba v osobním firewallu znamená, že firma nemůže spustit VPN.
Alternativní řešení přinášejí vyšší náklady i další problémy.
Nedávno jsem změnil místo a teď se snažím proniknout do množství projektů,
které v mém novém zaměstnání běží. Nejdůležitějším z nich je plán na realizaci
virtuální soukromé sítě (VPN). Naše firma má totiž mnoho zaměstnanců na cestách
a další chtějí pracovat z domova.
Dosud tito lidé používají ISDN nebo dial-upové připojení. Ceny za spojení v
hotelech (odpovídající běžným hovorům) jsou velmi vysoké a ani paušál za
pronájem linky plus minutové poplatky pro zaměstnance doma nejsou nejlevnější.
Pokud bych mohl spolu s naším týmem pro bezpečnost umožnit uživatelům využití
stávajících širokopásmových připojení k internetu, výkonnost by se zvýšila a
náklady naopak snížily.
Mnoho uživatelů kvůli rychlému přístupu do firmy připojuje své firemní
notebooky přímo k internetu již nyní, ale jejich systémy jsou často infikovány
viry a červy, které se pak šíří po interní podnikové síti. VPN by proto měla
dramatickým způsobem zlepšit bezpečnost a současně ušetřit peníze.
Bohužel je však tento projekt rozpracován již 18 měsíců a stále není funkční.
To mě vyvedlo z míry, protože jsem zvyklý realizovat projekty v tříměsíčním
cyklu.

Velký problém
Do spuštění dnes zbývají tři týdny což není mnoho, a my ještě musíme vyřešit
jeden veliký problém. Náš IT tým dal dohromady softwarový balíček pro
notebooky, zahrnující nástroj pro připojení k VPN a bezpečnostní produkty
včetně antivirového softwaru a osobního firewallu. Takže i když bude notebook
připojen přímo k internetu, firewall bude blokovat veškerý příchozí a odchozí
provoz vyjma VPN.
To zní skvěle, ale při testování jsme zjistili, že firewall se spouští jako
služba při startu systému a vypíná se, pokud uživatel vypne počítač. Protože
síťový software funguje jako vrstva nad Windows, stroje uživatelů jsou
nechráněny nejméně 30 sekund při startu a ukončování systému.
V nejhorším případě trvalo více než dvě minuty, než se firewall zavedl a začal
fungovat. Proč ochrana nefunguje ještě před spuštěním síťových služeb? Nebo
proč se síť nespustí nenakonfigurovaná a až po zavedení ochrany se
nezkonfiguruje?

Nejhorší možný případ
Nechci jmenovat konkrétního dodavatele softwaru, chci jeho lidem dát čas, aby
chybu opravili. Jsem si jistý, že podobný problém postihuje i produkty jiných
výrobců, takže by možná bylo dobré zkontrolovat, zda se to netýká i vás.
Protože přípravy na nasazení tohoto konkrétního produktu již značně pokročily,
členové týmu se nehodlali vzdát. Místo toho chtěli přidat další vrstvu ochrany.
Namísto USB ADSL modemů využívaných k širokopásmovému připojení chtěli všem
zakoupit ADSL router, který obsahuje hardwarový firewall. Ten je zabudován do
firmwaru daného routeru a spouští se v okamžiku, kdy se router připojí k
internetu, takže počítač uživatele je neustále chráněn.
Mým úkolem je odsouhlasit, že nastavení routeru jsou v pořádku. A to nehodlám
udělat. Ano, konfigurace je dobrá, překlad síťových adres (NAT) je zapnut,
takže interní počítače jsou skryté, a firewall je nastaven tak, aby blokoval
všechna příchozí spojení. A to není vše.
Bezpečnostní tým dokonce ochránil nastavení heslem, takže změna konfigurace je
pro uživatele obtížná. Ale bezpečnostní skupina by to neměla schválit jen kvůli
tomu, že technicky celá věc funguje. Router je mnohem dražší než oprava
bezpečnostní chyby v osobním firewallu nebo nahrazení vadného softwaru jiným a
lepším.

Rizika vzdáleného přístupu
Při zvažování, jaké řešení bude nejlepší, je třeba brát v úvahu všechny
související okolnosti. Moc dobře si například uvědomuji, že uživatelé se budou
chtít nabourat do přiděleného směrovače a změnit jeho konfiguraci, aby jejich
děti mohly hrát hry po internetu. Pro on-line hraní je navíc typicky vyžadováno
povolení příchozích připojení. Konfigurace se tedy změní k horšímu, ale my o
tom nebudeme vědět, neboť nemáme nástroje pro centrální nastavování a
monitorování změn v nastaveních vzdálených hardwarových nebo softwarových
firewallů.
Většina našich zaměstnanců má doma více počítačů, takže by ke hraní zřejmě
nepoužívali své pracovní notebooky. Ale jsem přesvědčen, že všichni by
připojili své vlastní počítače k našim routerům. Lákadlo firmou placeného
širokopásmového připojení je jednoduše neodolatelné.
Navíc firewall a NAT na routeru chrání pouze před vnějšími riziky
přicházejícími z internetu, všechny domácí počítače by ale měly nerušený
přístup k firemním laptopům.
A ještě je zde problém se služebními cestami. Vím, že zaměstnanci s notebookem
nebudou vozit ještě firewall, aby ho zapojili předtím, než připojí v hotelu
počítač k internetu.

Kudy dál
Musím ocenit, že se IT týmu nakonec podařilo nalézt opravdu miniaturní
hardwarový firewall je velký zhruba jako polovina kreditní karty a nabízí
neustálou ochranu připojení. Bohužel však při testování tahle věcička
zkratovala jedno z našich síťových zařízení takovým způsobem, že se z něj
vyvalil dým, což dalo slovu firewall zcela nový význam. A nás to přece jen
poněkud odradilo od jeho používání.
Pokud by se nám podařilo donutit výrobce osobního firewallu opravit pořadí
spouštění služeb tak, aby se jeho produkt spustil dříve než ostatní síťový
software, ušetřili bychom spoustu peněz, zvýšili bezpečnost a mohli nabídnout
přístup v širším rozsahu možných prostředí. Jediným argumentem proti se zdá být
18 měsíců jeho nečinnosti.
Zdá se, že by to mohla být zajímavá zkouška, jaký je přístup mého nového
zaměstnavatele k bezpečnosti. S výrobcem softwaru bych se měl setkat příští
týden. Dám vědět, jak jsme pokročili. Nakoupíme stovky drahých routerů, nebo se
podaří napravit problém přímo u zdroje? Uvidíme.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.