WPROWADZENIE

Współczesna infrastruktura komputerowa właściwie każdego przedsiębiorstwa wymaga uważnego rozważenia szeregu problemów ogólnie nazywanych kwestią bezpieczeństwa sieci komputerowych. Słowo "bezpieczeństwo" jest trochę mylące, gdyż należy tu mówić nie tylko o sprawach bezpieczeństwa danych ale także o innych aspektach ekonomicznych. Niniejsze wprowadzenie usiłuje w zwarty sposób przedstawić powyższe problemy przed późniejszym szczegółowym ich omówieniem w dalszej części niniejszej oferty.

Na wstępie chcemy zaznaczyć że na pewno nie wszystkie przedsiębiorstwa stoją przed koniecznością czynienia istotnych inwestycji w zakresie bezpieczeństwa sieci komputerowych. W niektórych wypadkach całkowicie wystarczająca będzie uważna administracja komputerami i siecią przez dotychczasowe służby, w innych może okazać sie wystarczającą b. tania inwestycja w prostą "zapore ogniową" (firewall). Na pewno jednak decyzje o adekwatności podjętych środków i procedur należy podejmować z możliwie dobrą znajomością przedmiotu. Niniejsza oferta ma pomóc Państwu w wyborze polityki dobrze odpowiadającej Państwa sytuacji.

Niebezpieczeństwa i potencjalne straty związane z nieautoryzowanym wykorzystaniem sieci komputerowej przedsiębiorstwa mogą pochodzić z wielu źródeł, między innymi:

1. celowe ataki (dokonywane przez tzw. "hakerów" o różnym stopniu kwalifikacji) na sieć, komputery i dane przedsiębiorstwa. Jest to najszerzej opublikowany rodzaj zagrożenia ale nie najistotniejszy w większości sytuacji

2. zautomatyzowane ataki z zewnątrz na sieć i komputery przedsiębiorstwa dokonywane przez wyspecjalizowane roboty (programy atakujące). Z regułu nie są to ataki wymierzone w dane przedsiębiorstwo, atakujące roboty są zaprogramowane by atakować kolejno wszystkie sieci dołaczone do Internetu, stopień potencjalnych szkód zależy od rodzaju robota. Jest to najczęściej ostatnio spotykany atak.

3. klasyczne wirusy komputerowe roznoszone przez e-mail, zarażone dokumenty itp. Jest to zagrożenie skutecznie zwalczane przez (prawidłowo utrzymywane) oprogramowanie antywirusowe.

4. ataki przez (zautomatyzowane lub pozostające pod zdalną kontrolą) tzw. "konie trojańskie" tzn. wrogie programy zainstalowane na jakimś wewnętrznym komputerze (komputerach) przedsiębiorstwa. Takie programy mogą zostać zainstalowane w wyniku ataku z zewnątrz, przez wirus któremu udało się uniknąć (choć na chwile) zabezpieczen antywirusowaych lub przez człowieka (pracownika lub gościa wykorzystującego nieuwagę gospodarza). Infekcja koniami trojanskimi może też się zdarzyć za pośrednictwem komputerów przenośnych, zarażonych poza przedsiębiorstwem i chwilowo włączanych do sieci przedsiębiorstwa.

5. ataki będące skutkiem odwiedzin (przez pracownika, bez uświadamiania sobie skutków) specjalnie przygotowanych witryn WWW, wykorzystujących błedy w oprogramowaniu przeglądarek Internetowych dla np. celów implantacji koni trojańskich

6. wykorzystywanie sieci komputerowej przedsiębiorstwa przez pracowników do (ponad "rozsądną" miare zdefiniowaną przez przedsiębiorstwo) ściągania masywnych plików do prywatnego użytku, korzystania z witryn WWW, internetowych pogawędek, uprawiania gier komputerowych itp.

7. wykorzystywanie komputerów i sieci komputerowej przedsiębiorstwa (przez roboty lub ludzi z zewnątrz) do celu ataku na inne osoby/sieci (b. częsty scenariusz). Takie ataki blokują część łącza komputerowego przedsiębiorstwa, narażają przedsiębiorstwo na kontrataki technologiczne i retorsje prawne oraz podnoszą ryzyko wymazywania danych z komputerów przedsiębiorstwa przez sprawców usiłujących zatrzeć ślady tych ataków.

8. Rozmyślnej kradzieży danych przedsiębiorstwa przez nieuczciwych pracowników

W związku z powyższym, niewłaściwe bądż wrogie wykorzystanie sieci i komputerów ma dla przedsiębiorstwa dwa (częściowo powiązane) aspekty:

1. niebezpieczeństwo utraty (wymazania) danych istotnych dla działania przedsiębiorstwa, niebezpieczeństwo nieautoryzowanego dostępu do danych, niebezpieczeństwo nieautoryzowanej zmiany (fałszerstwa) danych, niebezpieczeństwo uniemożliwienia korzystania z komputerów (sieci komputerowej) przez przedsiębiorstwo, niebezpieczeństwo odpowiedzialności prawnej za umożliwienie korzystania z komputerów i sieci przedsiębiorstwa w celu uczynienia szkód (ataków na) innym osobom

2. niemożność wykorzystania części (pasma) dostępu do internetu, obciążenie komputerów i sieci przedsiębiorstwa nieproduktywną pracą, strata (części) czasu pracowników przedsiębiorstwa

Potencjalne straty poniesione na skutek zagrożeń wymienionych w grupie 1 (powyżej) mogą być trudne do dokładnego wymierzenia. Tym niemniej konieczna jest próba przybliżonej wyceny takich (potencjalnych) strat i prawdopodobieństwa ich wystąpienia, gdyż dopiero wtedy można je porównać z kosztami możliwych środków prewencyjnych wymienionych w niniejszej ofercie.

Dla niektórych rodzajów działalności jedynym kosztem w przypadku ataku sieciowego będzie konieczność reinstalacji oprogramowania komputerowego. W innych rodzajach działalności uniemożliwienie korzystania z sieci komputerowej przez nawet pół dnia może mieć poważne skutki finansowe (stracony czas pracowników, stracone możliwości buisnessowe). Niektóre firmy nie zapisują na komputerach ważnych i/lub trudnych do odtworzenia danych, dla innych utrata (lub może nawet gorzej - trudna do wykrycia zmiana) danych przechowywanych na komputerach może mieć skutki katastrofalne. Dla ułatwienia klientom oceny swojej ekspozycji na potencjalne straty oferujemy możliwość konsultacji w celu zidentyfikowania potencjalnych zagrożeń.

Potencjalne straty poniesione na skutek zagrożeń wymienionych w grupie 2 (powyżej) są łatwe do wymierzenia. Na przykład jeżeli przedsiębiorstwo płaci (przykładowo) 1000pln miesięcznie za dostęp do Internetu pasmem o szerokości 256kbps, a połowa tego pasma (średnio) jest zajmowana przez nieautoryzowany ruch, to przedsiębiorstwo ponosi stratę (upraszczając) rzędu 500pln miesięcznie. W tym przypadku inwestycja np. 1000pln w zabezpieczenia sieciowe i zmiana łącza Internetowego na (500pln tańsze) łącze 128kbps (ale tym razem wykorzystywane rzeczywiście tylko przez przedsiębiorstwo) zwróciła by się w ciągu 2 miesięcy, przy zachowaniu tego samego poziomu dostępności Internetu.

PRZEGLĄD OFEROWANYCH TECHNOLOGII ZABEZPIECZEŃ I ICH ZASTOSOWAŃ

Analiza i ocena zagrożeń związanych z istniejącą konfiguracją sieci i istniejących zabezpieczeń.

W większości wypadków prace nad zabezpieczeniem sieci powinno się zaczynać od analizy stanu istniejącego. Produktem takiej analizy może być między innymi:

1. pisemna dokumentacja oraz ocena bezpieczenstwa istniejącej sieci i jej zabezpieczeń, w tym

   1. ocena używanego sprzętu i oprogramowania w kontekście odporności na zagrożenia, z uwzględnieniem najświeższych znanych metod ataków

   2. dokumentacja i ocena procedur i praktyk stosowanych w przedsiębiorstwie a mających wpływ na bezpieczeństwo sieci

   3. weryfikacja poprawności konfiguracji zainstalowanych zabezpieczeń

2. analiza obecnego ruchu sieciowego przedsiębiorstwa w celu wykrycia istniejących zagrożeń (np. zainstalowanych przez byłych administratorów sieci "tylnych wejść" itp.)

3. ewentualne rekomendacje zmian i uzupelnień wraz z orientacyjnymi kosztorysami i harmonogramami wykonania tych prac

Zakres analizy zależy oczywiście od potrzeb klienta.

Zapora ogniowa (firewall).

Rudymentarnym zabezpieczeniem sieci komputerowej jest tzw. zapora ogniowa (firewall). Funkcją zapory jest

1. blokowanie większości "standardowych" ataków z zewnątrz na komputery i sieć przedsiębiorstwa

2. identyfikacja oznak sugerujących uporczywe (a więc potencjalnie groźne) próby włamania do sieci przedsiębiorstwa

3. blokowanie większości prób wykorzystania sieci przedsiębiorstwa do ataków na inne (zewnętrzne) sieci

4. blokowanie części nieautoryzowanego ruchu sieciowego (np. pogawędek internetowych przez pracowników).

Fizycznie firewall najczęściej jest osobnym komputerem lub dedykowanym sprzętem wstawionym pomiędzy router a resztę sieci przedsiębiorstwa. W niektórych przypadkach możliwe jest spełnianie funkcji zapory przez dodatkowe oprogramowanie zainstalowane na już działającym w sieci przedsiębiorstwa sprzęcie. Zakres możliwych rozwiązań jest b. szeroki, wymagający b. różnych kosztów inwestycji i/lub utrzymywania. Orientacyjnie można przyjąć że całkowite koszty zabezpieczenia typu firewall zaczynają się od około 1000pln, w najprostszych wersjach bez potrzeby dalszych specjalnych nakładów na utrzymywanie.

Monitorowanie ruchu w sieci.

Zabezpieczenie typu firewall (niezbędne minimum jakiegokolwiek zabezpieczenia sieciowego) nie jest w stanie np. uniemożliwić większości ataków na sieć przedsiębiorstwa z wykorzystaniem (zainstalowanych innymi metodami) koni trojańskich. Podobnie firewall (w większości konfiguracji) nie jest w stanie wykryć prób kradzieży danych przedsiębiorstwa przez pracowników i/lub nadużywania sieci przedsiębiorstwa przez pracowników do celów nie związanych z pracą. Dlatego nasza firma poleca niektórym klientom instalację oprogramowania (i/lub sprzętu) do zautomatyzowanego monitorowania ruchu w sieci. W zależności od potrzeb takie oprogramowanie może

1. wykrywać, lokalizować i powiadamiać o instalacji i funkcjonowaniu w sieci przedsiębiorstwa wrogich programów (koni trojańskich)

2. wykrywać część prób kradzieży danych firmy przez pracowników

3. wykrywać przyłączanie do sieci przedsiębiorstwa nieautoryzowanych komputerów (np. w celu kradzieży informacji)

4. sygnalizować nadużycia w wykorzystaniu Internetu przez pracowników

5. wykrywać wykorzystanie sieci przedsiębiorstwa w innych nieautoryzowanych celach

6. dokumentować wypadki nieautoryzowanego użycia sieci przedsiębiorstwa np. w celu póżniejszej identyfikacji sprawców, akcji prawnych itp.

Aplikacje proxy.

W celu podwyższenia poziomu bezpieczeństwa i kontroli nad siecią przedsiębiorstwa możliwe jest (niewidoczne dla osób postronnych) przechwytywanie określonych typów komunikacji (WWW, e-mail, FTP itp) przez wyspecjalizowane dla danego typu komunikacji programy. Celem takiego przechwycenia moze być np. oczyszczenie ruchu z niebezpiecznych treści (łatwiej jest aktualizować jeden serwis proxy pod kątem nowo wykrywanych niebezpieczeństw niż wszystkie aplikacje klienckie na 100 różnych komputerach) lub np. dokładne monitorowanie treści przesylanych informacji.

Aplikacje proxy są szczególnie użyteczne dla wykrywania i dokumentacji kradzieży informacji przez nieuczciwych pracowników.

Szyfrowanie danych.

W celu ochrony danych przedsiębiorstwa transmitowanych siecią komputerową przed nieautoryzowanym dostępem i nieautoryzowanymi zmianami istnieje bogaty wybór możliwości szyfrowania danych. Opcje zaczynają się od możliwości szyfrowania pojedynczych listow e-mail do szyfrowania całego ruchu pomiędzy oddziałami przedsiębiorstwa (VPN).

Zmiana architektury sieci przedsiębiorstwa

Instalacja i działanie różnego rodzaju zabezpieczeń sieci komputerowej wiąże się z kosztami (przedsiębiorstwa) i z możliwymi niewygodami dla użytkowników (pracowników). Ogólnie im wyższy wymagany poziom zabezpieczeń tym wyższe są odpowiednie koszty i niewygoda użytkowania.

Dlatego w niektórych wypadkach jest celowe dzielenie sieci przedsiębiorstwa na części o różnym poziomie bezpieczeństwa, np. umieszczając stosunkowo niewiele komputerów/ pracowników w strefie najwyższego bezpieczeństwa.

Podobnie celowe jest umieszczanie "publicznie widocznych" komputerów (serwery e-mail. DNS itp). w podsieciach odizolowanych od reszty infrastruktury przedsiębiorstwa (podsieci DMZ). Takie "publicznie widoczne" komputery z definicji muszą dopuszczać ruch z zewnątrz, co ułatwia możliwy atak. Większość komputerów przedsiębiorstwa może być wtedy umieszczona w sieci do której ruch z zewnątrz nie jest dopuszczany.

Wbrew pozorom taki podział sieci może się odbyć bez rekonfiguracji istniejących komputerów czy urządzeń sieciowych, i często bez użycia dodatkowego (poza firewall'em) sprzętu, bez widocznych dla użytkowników zmian i przerw w pracy.

Instalacja pułapek (honeypots, honeynets)

W niektórych przypadkach przedsiębiorstwo może zdecydowac się na instalację komputerów czy nawet całych podsieci o rozmyślnie osłabionych zabezpieczeniach. Jest to szczególnie celowe w przypadku gdy przedsiębiorstwo chce się zabezpieczyć przed próbą wlamania ze strony wrogiej osoby (firmy) (w przeciwieństwie do zabezpieczenia przed "seryjnym" czy zautomatyzowanym atakiem gdzie cel nie ma znaczenia).

Taki komputer, komputery czy cała sieć - pułapka, w idealnej sytuacji, dzięki temu że jest "bardziej widoczna", może nawet zamaskować przed włamywaczem istnienie innych, pożądanych celów włamania. Na pewno w większości wypadków pułapki staną się pierwszym celem ataku. Wykryty (dzięki odpowiednim ustawieniom) atak na pułapki ostrzega przed dokonywanym atakiem bez strat własnych, pozwala na przygotowanie obrony a nawet czasem pozwala na wykrycie sprawcy. Dodatkowo istnienie pułapek będzie czynnikiem odstraszającym dla zawodowych włamywaczy (dla których odkrycie ich akcji jest nieakceptowalne).

Należy dodać że dla włamywaczy-amatorow istnienie specjalnych zabezpieczeń może być czynnikiem zachęcającym do ataku. Taki amator nie ma dużo do stracenia w przypadku odkrycia, a może go pociągać sława w swoim środowisku możliwa do uzyskania w przypadku pomyślnego włamania. Jest to powód dla którego samo istnienie zabezpieczeń-pułapek powinno być dobrze strzeżoną tajemnicą przedsiębiorstwa.

Monitorowanie treści witryn WWW

Częstym atakiem jest nieautoryzowna zmiana treści witryny WWW przedsiębiorstwa. Taki atak może mieć różny charakter: od "niewinnego" wybryku do kradzieży (gdy np. zostaną zmienione informacje związane z kontami bankowymi lub zmienione numery telefonów). Niezależnie od innych środków zabezpieczających serwery WWW, dla niektórych przedsiębiorstw celowe może być ciągłe (automatyczne) monitorowanie zawartości witryny WWW przedsiębiorstwa. W przypadku nieautoryzowanej zmiany wlaściciel witryny jest natychmiast powiadamiany.

Oferta firmy ORNAK.

Firma ORNAK specjalizuje się zagadnieniach bezpieczenstwa sieciowego. Firma ORNAK

1. dostarcza w pełnym zakresie usługi i technologie wymienione w poprzednim rozdziale

2. udziela konsultacji w zakresie problemów bezpieczeństwa sieci komputerowych

3. zapewniamy usługi "zespołu szybkiego reagowania" na wypadek wykrytego włamania lub próby włamania, w celu

   1. dokumentacji wlamania

   2. identyfikacji drogi włamania dla poprawy zabezpieczeń

   3. identyfikacji koniecznych prac oczyszczania sieci po włamaniu

   4. próby identyfikacji sprawcy.

Cennik uslug

Podane poniżej ceny mają charakter orientacyjny i nie dotyczą wszystkich elementów oferty firmy. Dokładna wycena zależy wielkości i konfiguracji sieci, dzałającego w niej oprogramowania, ilości ruchu sieciowego, standardów bezpieczeństwa wymaganych przez klienta, standardów dokumentacji wymaganych przez klienta i wielu innych czynników.

Poniższy cennik jest podany w dobrej wierze w celu wstępnego zorientowania klienta w zakresie kosztów oferowanych usług.    [ceny w zł]

USŁUGA	UWAGI	MAŁA SIEĆ (<5 komp.)	ŚREDNIA SIEĆ (<255 komp.)
Jednorazowa analiza istniejącej sieci klienta i ruchu w tej sieci		od 500 zł	6000 zł
Instalacja i konfiguracja zapory ogniowej	sprzęt oraz konfiguracja	od 700 zł
Automatyczne monitorowanie ruchu w sieci klienta, bieżąca interpretacja wyników, sygnalizowanie anomalii	opłata miesięczna, użyty sprzęt firmy ORNAK	od 200 zł	od 400 zł
Rekonfiguracja sieci przedsiębiorstwa	bez rekonfiguracji ustawień poszczególnych komputerów, drukarek itp.	nie dotyczy	od 2000 zł
Instalacja pułapek i szkolenie służb klienta		od 3000 zł
Monitorowanie pułapek	opłata miesięczna	od 400 zł
Monitorowanie treści witryn www	opłata miesięczna	od 50 zł
Konsultacje w zakresie bezpieczeństwa sieci	stawka godzinowa	140 zł
Dochodzenie w przypadku włamania	stawka godzinowa	od 140 zł

tel./faks: 0 prefiks 22 849-05-05