Bezpieczeństwo komputerowe ma wiele aspektów. Gdy spojrzymy na przykład na komunikację zachodzącą w sieci poprzez pryzmat modelu ISO OSI, zauważymy, że w każdej warstwie mamy do czynienia z różnymi zagrożeniami. Administratorzy często więc pytają o to, które elementy sieci szczególnie chronić i jakimi metodami. Przyjrzyjmy się, jakie zabezpieczenia oferuje w tym zakresie otwarta platforma Linux.

Zaczyna się od ołówka

Decydując się na konkretne rozwiązanie, musimy wziąć pod uwagę wiele czynników. Po pierwsze powinniśmy wiedzieć, jak wygląda nasza sieć. Brzmi banalnie, ale w wielu przypadkach trzeba zacząć od kartki papieru, na której naszkicujemy schemat sieci. Zaznaczmy miejsce styku z Internetem, rozmieszczenie przełączników, połączenia do serwerów oraz grupy stacji roboczych. Jeżeli nasz LAN podzielony jest na segmenty, zaznaczmy na schemacie zakresy adresów i bramy poszczególnych segmentów. Po utworzeniu podstawowego schematu zastanówmy się, gdzie umieścić zabezpieczenia. Jeżeli chcielibyśmy kontrolować ruch wchodzący do sieci Internet i wychodzący z niej, urządzenie zabezpieczające powinno znajdować się w miejscu styku LAN i Internetu. Jeżeli dodatkowo zamierzamy kontrolować ruch w sieci LAN oraz między DMZ a Internetem, możemy wykorzystać możliwość przechwytywania pakietów i ich kontroli za pomocą wielu interfejsów sieciowych.

Wybierając rozwiązanie zabezpieczające, powinniśmy zbadać, jakie rodzaje protokołów używamy w naszej sieci, jaka jest liczba i wydajność połączeń, rodzaj, wielkość i liczba pakietów, które mają być analizowane przez system zabezpieczeń. Ponadto powinniśmy określić miejsca styku z sieciami obcymi oraz Internetem, zakres DMZ (DeMilitarized Zone) oraz usługi sieciowe dostępne z Internetu.

Pakiety przepływające przez maszynę działającą pod kontrolą Linuksa mogą zostać sprawdzone na kilku etapach „obróbki” danych. W wypadku typowych routerów najczęściej korzystamy z inspekcji w łańcuchu FORWARD.

Do ochrony sieci możemy wykorzystać sprzęt (np. serwer z kilkoma kartami sieciowymi) pracujący pod kontrolą Linuksa. Większość producentów ma w ofercie produkty wspierające ten system (mające odpowiednie sterowniki). W przypadku routingu, filtracji i analizy ruchu wyłącznie LAN<->WAN możemy zaopatrzyć się w średniej klasy sprzęt PC. Natomiast planując routing, filtrację i analizę ruchu LAN<->LAN, powinniśmy uwzględnić większe zagęszczenie ruchu sieciowego oraz zapewnić większą przepustowość. Przede wszystkich będziemy więc potrzebowali sprzętu z szybszym procesorem i z większą pojemnością pamięci operacyjnej.

Filtr dla sieci

Gdy dysponujemy już bezpiecznym systemem (patrz: artykuł "Ochrona spod znaku Pingwina", IT w Administracji 2009, nr 10), możemy dodać kilka funkcji kontrolujących ruch sieciowy w urzędzie. Będziemy do tego potrzebowali firewalla, czyli w tym przypadku filtr pakietów oparty na zdefiniowanych przez administratora regułach.

[...]

Autor jest wieloletnim menedżerem Działu Integracji Systemów. Obecnie jest audytorem bezpieczeństwa systemów sieciowych oraz trenerem kadr IT w sektorze administracji publicznej. Specjalizuje się w zabezpieczeniach systemów i aplikacji oraz projektowaniu wielopoziomowych rozwiązań bezpieczeństwa.