Systemy kontroli dostępu do zasobów sieciowych
Możemy poszczycić się wieloma udanymi wdrożeniami systemów kontroli dostępu do zasobów sieciowych.
Nasze działania w tym zakresie obejmują:
- projektowanie i implementację systemów kontroli dostępu do zasobów sieciowych dedykowanych dla przedsiębiorstw o różnej wielkości,
- audyty szczelności systemów kontroli dostępu i związane z nimi rekonfiguracje,
- atrakcyjną, wariantową ofertę i różnorodne modele finansowania.
Jak zapobiec nieautoryzowanemu dostępowi?
Kradzież czyjegoś mienia jest zjawiskiem powszechnym, występującym zarówno w przeszłości jak również w czasach obecnych i szczytem optymizmu byłoby wierzyć, że kiedykolwiek ulegnie to zmianie. Praktycznie każdy zamyka drzwi na klucz wychodząc z domu, zamykamy również swoje samochody, często dodatkowo wyposażone w system alarmowy. Kiedy nie możemy czegoś zamknąć to przynajmniej staramy się, mówiąc kolokwialnie mieć to „na oku”.
Informacje przechowywane w przedsiębiorstwach, instytucjach rządowych nierzadko posiadają ogromną wartość a utrata tych danych lub dostanie się w niepowołane ręce może oznaczać duże straty finansowe, utratę wizerunku a czasem nawet konsekwencje prawne. Bazy danych kontrahentów, dokumenty zawierające wyniki kosztownych badań czy opracowania nowatorskich rozwiązań oraz wiele innych danych mogą stać się łupem złodzieja, kiedy dostęp do zasobów sieci komputerowej nie jest należycie zabezpieczony.
W większości przypadków sieci komputerowe są chronione przed nieautoryzowanym dostępem na styku z Internetem, jednak dostęp w ramach sieci lokalnej nie jest w żaden sposób zabezpieczony. Aby uzyskać dostęp do sieci przewodowej wystarczy podłączyć się kablem sieciowym do gniazdka w ścianie, a dostęp do sieci bezprzewodowej wymaga jedynie znajomości klucza, który często nie stanowi tajemnicy.
Zapobiec takiej sytuacji można stosując standard 802.1.x. Mechanizm ten blokuje niemal całkowicie dostęp do sieci chronionej, zarówno w ramach sieci przewodowej jak bezprzewodowej i umożliwia połączenie dopiero po poprawnym uwierzytelnieniu autoryzowanej osoby hasłem, zainstalowanym w komputerze certyfikatem albo kartą elektroniczną. Dodatkowo można stosować polityki, w ramach których każdy użytkownik otrzymuje dostęp jedynie do wybranych zasobów sieciowych.
Uwierzytelnianie dwuskładnikowe – MFA
Wraz ze wzrostem zagrożeń ze strony cyberprzestępców kluczowe jest unowocześnienie systemów informatycznych pod kątem zabezpieczenia dostępu. Chcąc zapewnić swojej organizacji bardzo wysoki poziom bezpieczeństwa danych, warto rozważyć wdrożenie zaawansowanego uwierzytelniania dwuskładnikowego. Uwierzytelnianie dwuskładnikowe (lub dwuetapowe) to dodatkowa, zaawansowana warstwa zabezpieczeń konta użytkownika. Oznacza to, że po włączeniu uwierzytelniania dwuskładnikowego użytkownik musi przejść dodatkowy – poza skomplikowanym hasłem – krok, aby się zalogować na swoje konto w systemach i aplikacjach.
Ta metoda jest znacznie bezpieczniejsza, ponieważ przestępca w celu uzyskania dostępu do konta użytkownika, musi przechwycić zarówno zwykłe hasło użytkownika, jak i hasło jednorazowe. Istnieje wiele sposobów dostarczania dodatkowych haseł. Mogą to być np. SMS, jednak takie zabezpieczenie jest mniej skuteczne. Inne rozwiązanie to stosowanie dedykowanej aplikacji na smartfonach, do których są wysyłane tzw. komunikaty push-up o próbie logowania za pomocą standardowego hasła.
Można również wykorzystać standardowe aplikacje uwierzytelniające (Microsoft Authenticator, Google Authenticator). W przypadku braku dostępu do sieci Internet można również wykorzystać kod QR (skanowanie za pomocą smartfona).
W przypadkach, kiedy nie możliwości instalacji aplikacji na smartfonie (brak służbowego urządzenia) możemy zastosować również tzw. token.
NAP – Network Access Protection
Technologię tę można wzbogacić o funkcjonalność NAP (Network Access Protection) wchodzącą w skład funkcjonalności systemów Windows Server (począwszy od wersji 2008). NAP umożliwia dokonania sprawdzenia kondycji systemu komputera pod kątem posiadania najnowszych poprawek zabezpieczeń systemu Windows, aktualnego i działającego oprogramowania antywirusowego, antyszpiegowskiego oraz włączonej zapory ogniowej (Firewall).
Jeżeli kontrola kondycji systemu wykaże że któreś z powyższych nie jest spełnione, przydzielony zostaje dostęp do wydzielonej sieci (tzw. „kwarantanna) i następuje próba automatycznej naprawy. Kiedy wszystkie wymagane elementy są włączone i aktualne komputer otrzymuje dostęp do właściwych zasobów.
Protokół Kerberos
Dodatkowym zabezpieczeniem z pewnością może okazać się protokół Kerberos wchodzący w skład usług Microsoft Active Directory. Protokół ten co prawda nie zapewnia ochrony przed dostępem do sieci, jednak umożliwia przydzielanie wybranym osobom uprawnień w dostępie do plików, usług i baz danych.
Użytkownik może posiadać uprawnienia tylko do odczytu dla danego zasobu, prawo do modyfikacji, usuwania danych, uruchamiania plików wykonywalnych – wszystkie razem, wybrane lub żadne z powyższych. Stosując jednocześnie standard 802.1x i protokół Kerberos w ramach usług AD można osiągnąć całkiem przyzwoity poziom bezpieczeństwa.
System DLP – Data Loss Prevention
Aby lepiej zapobiegać wyciekom danych można pójść o krok dalej i zaimplementować jeden z systemów DLP (Data Loss Prevention. Systemy te posiadają mechanizmy, dzięki którym możliwe jest wymuszenie szyfrowania nośników danych tak ażeby odczyt był możliwy tylko na komputerach w organizacji.
Dostępna jest również kontrola treści i dokumentów wysyłanych pocztą elektroniczną, czy nawet skanowanie plików na komputerach i serwerach na obecność określonych słów lub fraz, a także powiadamianie wybranych odbiorców o próbach naruszenia polityk bezpieczeństwa przez pracownika w przypadku np. gdy próbuje skopiować określone dane.
Technologia VPN – niezbędna w pracy zdalnej
Szczególnie obecnie wielu pracowników potrzebuje dostępu do wybranych zasobów sieci komputerowej będąc poza biurem. Aby zapewnić taką możliwość stosuje się szyfrowane połączenia, a technologia ta nosi nazwę VPN (Virtual Private Network). Użytkownik pracujący w terenie, za pomocą komputera przenośnego, posiadającego dostęp do Internetu oraz wyposażonego w odpowiednie oprogramowanie (VPN Client) może nawiązać połączenie z siecią firmową i pracować tak, jakby był podłączony w biurze. Aby uzyskać połączenie należy się uwierzytelnić np. wpisując login i hasło, a dane przesyłane poprzez Internet są szyfrowane.
Istnieją również rozwiązania umożliwiające uzyskanie zdalnego dostępu do zasobów sieci komputerowej poprzez przeglądarkę internetową. Technologia ta nie wymaga posiadania dodatkowego oprogramowania (VPN Client) i daje możliwość dostępu do plików, usług terminalowych oraz serwisów WEB-owych (przez przeglądarkę internetową).
Bezpieczny dostęp zdalny dla osób spoza organizacji
Zdarzają się również sytuacje, w których pojawia się konieczność udzielenia dostępu zdalnego osobom spoza organizacji, np. na potrzeby serwisu sprzętu czy implementacji nowych rozwiązań. Przeważnie dostęp realizowany jest za pomocą pulpitu zdalnego (RDP), interfejsu linii poleceń (SSH) bezpośrednio lub poprzez połączenie VPN. Chociaż samo połączenie jest szyfrowane i zabezpieczone przed nieautoryzowanym dostępem, to zawsze istnieje możliwość że pracownik firmy zewnętrznej w ramach udzielonego połączenia dokona kradzieży danych, spowoduje awarię poprzez błędy konfiguracyjne albo po prostu wykona usługę w 15 minut żądając później zapłaty za 4 godziny pracy.
Istnieje technologia, dzięki której można monitorować udostępnione połączenia a funkcjonalność taką zapewnia System FUDO firmy Wheel Systems. Administrator sieci chronionej może w czasie rzeczywistym wyświetlać udostępniony pulpit zdalny i dokonać rozłączenia sesji jeśli nastąpi taka potrzeba. FUDO rejestruje oraz zapisuje w pamięci masowej takie elementy połączenia jak obraz, wszystkie instrukcje wprowadzone klawiaturą i myszką lub za pomocą plików wykonywalnych oraz daje możliwość kontroli zmian przed ich zatwierdzeniem przez pracownika zewnętrznego.
Wszystkie wyżej opisane technologie były wielokrotnie implementowane przez zespół inżynierów ITNS Polska w najprzeróżniejszych scenariuszach, zarówno w ramach środowisk testowych jak i wdrożeniach produkcyjnych. W przypadku takich rozwiązań jak standard 802.1x oraz VPN posiadamy doświadczenia z wykorzystywaniem urządzeń i oprogramowania takich producentów jak: Microsoft, Cisco, HP, Fortinet i wielu innych. Bazując na zdobytej wiedzy i doświadczeniu oferujemy swoim klientom pomoc w doborze właściwych rozwiązań, tworzenie projektów dostosowanych dla indywidualnych potrzeb oraz wdrażanie wybranych technologii.
Środowisko testowe dla 100% optymalizacji
Na potrzeby większych projektów tworzymy środowiska testowe dla zapewnienia optymalizacji stosowanych rozwiązań i minimalizacji ryzyka negatywnego wpływu na poprawne działanie środowiska produkcyjnego. Każde wdrożenie wieńczone jest sporządzeniem szczegółowej dokumentacji powykonawczej oraz kiedy jest taka potrzeba, szkoleniem dla administratorów.