Manažer bezpečnosti: Integrace sítě má zelenou

Náš manažer se nedávno snažil popsat několik problémů, které odhalil při úvodním hodnocení bezpečnostních ohledů souvisejících s propojením sítí při sloučení jeho společnosti s jedním konkurentem. Nyní již může shrnout, co bylo potřeba podniknout, aby byly tyto problémy odstraněny.



Náš manažer se nedávno snažil popsat několik problémů, které odhalil při úvodním hodnocení bezpečnostních ohledů souvisejících s propojením sítí při sloučení jeho společnosti s jedním konkurentem. Nyní již může shrnout, co bylo potřeba podniknout, aby byly tyto problémy odstraněny...

Podle analýzy se jako největší slabiny ukázaly nedostačující antivirová ochrana, chybějící bezpečnostní patche, nulová pravidla pro použití hesel a nezabezpečené bezdrátové access pointy. Všechny tyto problémy mě přiměly odložit schválení a zprovoznění společné sítě na bázi protokolu MPLS (Multiprotocol Label Switching) mezi hlavním sídlem nově připojené společnosti v Connecticutu a naším hlavním datovým centrem.

Zjistili jsme také, že vzdálené kanceláře v Německu, Singapuru a Malajsii byly připojeny k virtuální privátní síti prostřednictvím běžného internetového připojení od místních poskytovatelů internetu. VPN připojení běžela mezi firewalem SonicWall na vzdálených pracovištích a firewalem od Symantecu instalovaném v centrále v Connecticutu. Potřeboval jsem získat bezpečnostní konfiguraci těchto tří vzdálených firewallů pro zhodnocení bezpečnostní politiky v jednotlivých místech. Byl jsem ale schopen učinit vyhodnocení pouze v případě Singapuru, který vypadal, že je v pořádku, ale v Německu a Malajsii jsem se k potřebným informacím nedokázal dostat, jelikož tamější provideři nespolupracovali.

Neměl jsem tedy na vybranou musel jsem tyto firewally vyhodnotit jako podezřelé a zařadit je na seznam věcí, u nichž je potřeba přijmout nějaká opatření, než jsem mohl povolit zprovoznění MPLS spoje.

Abych mohl toto dilema vyřešit, poslal jsem do Connecticutu jednoho ze svých bezpečnostních specialistů, aby vyměnil firewall od Symantecu za zařízení SSG-550 od firmy Juniper Networks. Tato nová řada firewallů je velmi dobrá plní nejen funkci standardních firewallů, ale zároveň nabízí i antivirovou ochranu, prevenci před vniknutím či filtrování obsahu a může sloužit rovněž jako VPN koncentrátor. Tento firewall od Juniperu je podle mne ideální platformou pro středně velké až velké kanceláře, které mají být vzdáleně připojeny (což bude i budoucí pobočka v Connecticutu), protože není nutné kupovat zařízení pro všechna jednotlivá pracoviště zvlášť. Abyste si udělali představu o tom, nakolik se situace v budoucnu zjednoduší, popíši zde seznam řešení, která jsme v minulosti pro vzdálený přístup každé kanceláře potřebovali. Šlo o firewally 204 nebo 208 od firmy Juniper NetScreen, zařízení pro filtrování webu a caching od společnosti Blue Coat Systems, dále produkty společnosti Juniper určené pro detekci a ochranu před vniknutím do sítě (IDS/IPS) nebo senzor Snort, a nakonec ještě Contivity VPN koncentrátor od Nortelu. Výměna firewallů v Connecticutu proběhla úspěšně a firewally od SonicWallu jsme i v jejich vzdálených kancelářích vyměnili za firewally řady 50 od Juniperu.

Když jsem se pak zaměřil na slabiny v antivirové ochraně a softwaru, nařídil jsem, aby na všech serverech i uživatelských počítačích byl nakonfigurován systém Trend Micro OfficeScan, aktualizovaný o nejnovější patche a nastavený na automatickou aktualizaci. Původní firma nepoužívala služby automatického stahování patchů realizované prostřednictvím System Management Serveru od Microsoftu, což znamenalo, že každý počítač musel být nastavován individuálně, a to mohlo nějakou chvíli trvat.

Kromě centrály v Connecticutu má kupovaná firma ještě velkou kancelář i v Novém Mexiku. V těchto dvou lokalitách pracovali dva IT specialisté, kteří se starali o 200 zaměstnanců. Pro urychlení procesu jsem na obou místech najal externí spolupracovníky, aby nám pomohli. Dostali pokyny k aktualizaci počítačů, což představovalo instalaci antivirového programu od Trend Micro, update bezpečnostních patchů a také zprovoznění automatizace aktualizací tak, aby byly počítače uvedeny do vyhovujícího stavu. Během týdne jsme dosáhli 95 % požadovaných úprav a nastavení, což jsem považoval za úspěch.

Nechal jsem je rovněž nastavit pravidla pro doménová hesla, aby odpovídala našim firemním IT standardům. Uživatelé si mohli dříve libovolně zvolit jakékoliv heslo a zhruba 65 % těchto hesel bylo možné odhalit během jedné hodiny.
Další na řadě byly bezdrátové access pointy. Ty byly dříve připojeny k interní síti společnosti a podporovaly SSID společně se sdíleným WEP klíčem. Naše vnitrofiremní pravidla stanovují, že access point je připojen k oddělené virtuální síti a uživatelé se pro přístup na internet i intranet připojují právě přes VPN. Používáme také technologie WPA (Wi-Fi Protected Access) a TKIP, což představuje mnohem robustnější standard ohledně šifrování. Původní access pointy, které firma používala, současné bezpečnostní standardy nepodporují. Jelikož bezdrátové připojení využívalo jen pár lidi, jednoduše jsem access pointy nechal odpojit. Bezdrátová síť bude znovu nainstalována, až náš tým nainstaluje access pointy Cisco Aironet 1200, které našim požadavkům vyhovují.

Poslední komplikace Samozřejmě, že v IT nic nejde podle plánů, a to platí i pro proces odstraňování nedostatků. Právě v okamžiku, kdy se zdálo, že všechno jde jako po másle, oznámilo vedení společnosti propuštění 85 zaměstnanců kupované společnosti. To je ve firmě se 400 zaměstnanci poměrně zásadní úbytek, takže jsem musel navíc ještě přijít s plánem, jak zajistit ukončení přístupu do sítě všem odcházejícím zaměstnancům, a že nebude možný jakýkoliv pokus o krádež duševního vlastnictví firmy. Naštěstí nám analýza připojované sítě ukázala dost na to, abychom si udělali představu o tom, jak se do ní dá vstoupit od fyzického přístupu až po připojení přes telefonní modemy a proto jsme byli schopni účinně zamezit přístupu k síti během několika hodin po ohlášení výpovědí.

Konečně jsem dal svému týmu pokyn k zprovoznění MPLS spoje. Síťoví technici mě popoháněli, abych jim dal závěrečné povolení, ale já jsem počkal na to, až bude vytvořen pevný základ pro bezpečné připojení. Dokud však nedojde k úplnému propojení sítí, budu celý proces bedlivě sledovat, neboť jsme si vědomi všech rizik. Například pokud by se do připojované sítě dostal nějaký zákeřný kód, snadno by si našel cestu i do zbytku toho, co je dnes jednotnou firemní sítí.










Komentáře