bezpieczny Internet


Ochrona danych
..... Poradnik bezpiecznego korzystania z Internetu .....

Bezpieczeństwo danych

Gromadzenie danych jest nieodłącznym elementem korzystania s systemów informatycznych. Użytkownicy indywidualni i firmy na swoich komputerach przechowują coraz więcej informacji niezbędnych do pracy i celów prywatnych. Wartość dokumentów elektronicznych zwykle znacząco przewyższa cenę sprzętu komputerowego na którym te dane są zapisane. Mogą to być ważne umowy, zdjęcia, prezentacje, bazy klientów, stanów magazynowych i inne dokumenty. Utrata zgromadzonych materiałów może być bardziej dotkliwa niż tradycyjna kradzież dóbr materialnych.

Do zabezpieczenia cennych danych trzeba wybrać metody dostosowane do ich charakteru i wartości. Utrata danych może nastąpić nieoczekiwanie z różnych powodów. Najczęstsze przyczyny to:

  • uszkodzenie systemu na skutek obecności wirusa
  • utrata danych w wyniku włamania przez hakera
  • fizyczne uszkodzenie sprzętu na którym dane są gromadzone
  • sytuacje losowe: pożary, zalania i kradzież sprzętu

Pierwsza z przyczyn występuje najczęściej, wirusy w sieciach informatycznych są wszechobecne. Zainfekowanie może nastąpić w wyniku celowego działania lub przez przypadkowy atak i nieostrożność właściciela. Sposobom ochrony antywirusowej poświęcamy oddzielny rozdział naszego serwisu. Opisane są typy wirusów ich zakres działania i sposoby ochrony indywidualnej i systemowe.

Niezależnie od ochrony sieci przed nieautoryzowanym dostępem i innymi zagrożeniami, trzeba posiadać system kopii zapasowych. Wybór sposobu zapisu i nośników zależy od wartości danych, stopnia ryzyka i sposoby wytwarzania danych.

Najwięcej problemów technicznych stwarza sieć w której dane tworzone są w sposób ciągły i zapisywane w kilku różnych punktach.

Kilkanaście lat temu tylko nieliczne firmy miały swoje centra obliczeniowe, w których przetwarzano dane na własne potrzeby. Zwykle korzystały z zewnętrznych centr wyspecjalizowanych w przetwarzaniu danych. Obecnie komputery o wielkiej mocy obliczeniowej nie są tak kosztowne i każda firma może mieć własne centrum przetwarzania i gromadzenia danych i udostępniać je swoim użytkownikom za pośrednictwem sieci LAN.

Korzystanie z zasobów serwera wymaga opracowania bezpiecznych zasad udostępniania. Stopień zabezpieczeń uzależniony jest od modelu gromadzenia danych. W każdym przypadku konieczne jest posiadanie firewalla i oprogramowania antywirusowego działającego u użytkownika i po stronie serwera. Użytkownicy uprawnieni do dostępu są weryfikowani przez logowanie i sprawdzenie dopuszczonych zakresów IP.

Najczęściej stosowany w firmach jest model sieci z centralnym gromadzeniem danych. W większości przypadków ułatwia to ochronę danych, bo wiadomo gdzie fizycznie są przechowywane. Gdy w grę wchodzi jeden centralny serwer lub blok serwerów łatwiej można zapewnić mu fizyczne bezpieczeństwo, przez zapewnienie ciągłości zasilania, systematyczne robienie kopii bezpieczeństwa, przestrzeganie procedur awaryjnych, ochrony sieciowej i zasad dostępu. Przykładem odmiennego modelu gromadzenia danych jest system P2P, wykorzystywany do wymiany plików z muzyką i zdjęciami między internautami. W tym przypadku dane są rozpraszane, mogą znajdować się na wszystkich komputerach jego użytkowników.

Fizyczna ochrona serwera lub całej serwerowni to zabezpieczenie przed włamaniem tradycyjnym i kradzieżą dysków, zapewnienie prawidłowych warunków zasilania i chłodzenia, a niekiedy klimatyzacji.

Dla poprawy wydajności, optymalnej konfiguracji systemu plików i ochrony danych stosuje się na serwerach rozwiązania sprzętowe. Najbardziej popularne są systemy RAID i kolejne wersje: RAID: 0,1,5, RAID 0+1.

Nawet najlepsze zabezpieczenia nie uchronią serwera przed włamaniem i uszkodzeniem plików. Ważne aby administrator serwera potrafił na czas wykryć zagrożenie i przywrócić system z kopii bezpieczeństwa. Takim sposobem na obserwowanie podejrzanych zmian jest zapis sum kontrolnych MD5 dla wszystkich krytycznych plików systemowych. Sumy kontrolne powinny być przechowywane na zewnętrznych nośnikach, a najlepiej poza firmą.

Sama kopia zapasowa powinna być wykonywana systematycznie w miarę tworzenia nowych danych. Sam zapis nie powinien przerywać pracy ciągłej serwera. Nowoczesne systemy operacyjne potrafią na czas tworzenia kopii bezpieczeństwa zablokować system plików, bez zatrzymania serwera. Nośniki do zapisu kopii zapasowej powinny być właściwie przechowywane, najlepiej poza firmą, aby w krytycznych sytuacjach można było przywrócić dane. Sama kopia też może być obiektem kradzieży. Takie fizyczne włamanie może być prostsze do przełamywania zabezpieczeń sieciowych.

Bezpieczna sieć LAN

W miarę rozbudowy sieci zmieniają się wymagania co do zasad bezpieczeństwa. Kiedyś z bezpieczną uważano sieć LAN. Była ona mała, obejmowała kilka komputerów, maksymalnie jedno piętro w firmie. Z łatwością spełniała ona wymogi bezpieczeństwa, jak niezawodność, dostępności, integralności przetwarzanych i przechowywanych danych, autentyczności i poufność. Dzisiejsze sieci LAN obejmują kilka budynków, niektóre firmy mają własną sieć łączącą filie na całym świecie. Polityka bezpieczeństwo może być narzucona jej przez administratora, on może określić co wolno, a czego nie wolno w niej używać. Są też osiedlowe sieci LAN udostępniające rozrywkę dołączonym do niej użytkownikom. Bezpieczeństwo takich sieci jest takie jak stan komputerów do niej przyłączonych. Standardem kontrolującym sieć LAN jest Ethernet, oferuje on szereg typowych rozwiązań kontrolujących bezpieczeństwo przesyłu danych.

Sieć LAN w zależności od wielkości i potrzeb może być łączona drogą radiową, światłowodami lub kablami miedzianymi. Do budowy sieci dla blisko oddalonych komputerów wybiera się zwykle kabel miedziany RG 58. Jej maksymalna długość nie może przekraczać 185 metrów, a kolejne dołączane stacje mogą być najbliżej do 2,5 metra. Takie rozwiązanie jest proste jednak niesie ze sobą kilka niebezpieczeństw. Ponieważ przez wszystkie komputery przechodzą pakiety z sieci, to wystarczy włamanie do jednego z nich, aby za pomocą programu typu sniffer podsłuchiwać przesyłane dane całej sieci. Dodatkowy problem techniczny to zasilanie poszczególnych komputerów z różnych faz, trudniej jest uzyskać w tym przypadku dobre uziemienie i stwarza się dodatkowe ryzyko uszkodzenia sprzętu i porażenia prądem użytkowników.

Innym rozwiązaniem jest budowa sieci strukturalnej w oparciu o skrętką 5 i 5+, sieć tworzy się w topologii gwiazdy, a w jej środku ulokowane są aktywne urządzenia. To rozwiązanie też nie jest całkowicie bezpieczne od możliwości podsłuchu.

Najbardziej narażona na podsłuch jest sieć bezprzewodowa. Taka sieć obejmuje swoim zasięgiem do obszar do kilkuset metrów wokół anteny centralnej, access point. Jako zabezpieczenie sieci bezprzewodowej używa się standardów: 802.11, 802.11a i 802.11b i aktualnie najbardziej bezpiecznego 802.11g.

Wrażliwym na ataki hakerów elementem sieci jest HUB. Jego funkcja w sieci to przekazywanie pakietów z jednego portu do innych. Przez HUB przechodzą wszystkie dane z sieci, więc wystarczy aby jeden z komputerów padł ofiarą włamywacza, a przy użyciu sniffera będzie miał wgląd do całej sieci lub może zablokować wszystkie porty HUBa i wyłączyć sieć.

Obecnie przy budowie sieci LAN wykorzystuje się przełączniki, potrafią one uczyć się adresów MAC nowych urządzeń przyłączanych do portów. Przełącznik kieruje pakiety tylko do odpowiednich urządzeń, co uniemożliwia podsłuchiwanie ich przez inne komputery. Przełączniki mogą być zarządzalne i niezarządzane, te drugie tylko przekazują ruch, a zarządzane mają kilka dodatkowych opcji. Możliwe jest podzielenie przełącznika na VLAN-y, niektóra mogą mirrorować ruchu jednego portu na inny. Aby z tej możliwości nie mógł skorzystać haker, trzeba zamienić ustawienie protokołu SNMP i domyślne hasło.

Łącza WAN

Sieć LAN ma pewne ograniczenia z powodu małego zasięgu. Chcąc budować sieć LAN z dostępem do innych sieci oraz Internetu warto skorzystać z dzierżawy dedykowanych łącz. Typowe rozwiązania to: linie telefoniczne, napowietrzne, światłowody i kanały cyfrowe.

Najtańsze rozwiązanie to przesył danych po liniach telefonicznych, zasięg nie przekroczy kilku kilometrów, niskie pasmo transmisji i jest duże ryzyko podsłuchu. Linie telefoniczna trudno monitorować, pozostaje tylko szyfrowanie połączeń przy użyciu metod kryptologicznych.

Większe pasmo transmisji oferuje linia światłowodowa, można dane przesyłać na duże odległości i jest minimalne ryzyko podsłuchu, jedyna barierą jest wysoki koszt takiego łącza na które większość firm nie może sobie pozwolić.

Bezpieczeństwo kanałów cyfrowych ściśle zależy od operatora, to on zestawia łącze. Kanały cyfrowe mogą być przeznaczone na transmisje danych lub przesył głosu. Ponieważ jest ryzyko podsłuch, bezpieczniej jest zastosować tu szyfrowanie.

Stosowanie metod kryptologicznych jest niezbędne przy transmisji danych przez linie napowietrzne. Tutaj charakter wiązki jest dookólny . Alternatywnym rozwiązaniem jest zastosowanie do przesyłu technik laserowych, gdzie minimalizuje się szanse podsłuchu.