Před útočníky z vnitřní sítě


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Zabezpečení sítě proti útoku „zevnitř“

Při zabezpečení počítačové sítě je potřeba se chránit i před útoky ze vnitř samotné sítě. Útoky z vnitřní sítě jsou buď úmyslné například od nespokojeného zaměstnance, nebo neúmyslné od nezkušeného uživatele, který například svým nedopatřením smaže důležitá data.

 

Před útoky zevnitř sítě je třeba soustředit se zejména na:

 

  • Uživatele.
  • Správné nastavení systému.
  • Dodržování pravidel bezpečnosti.

Zabezpečení uživatelského přístupu

j

Každý uživatel sítě je pro útočníka otevřenými dveřmi do domu. Dojde-li k nějaké bezpečnostní chybě, zejména vyzrazení uživatelských údajů do systému, mohou být všechna ostatní opatření naprosto zbytečná. Určitě záleží na tom, jak velkými pravomocemi daný uživatel disponuje, tedy jaká má nastavená přístupová práva do systému. Z tohoto hlediska je určitě nejnebezpečnějším uživatelem správce sítě administrátor nebo též nazývaný root.

Základní podmínkou pro dodržování bezpečnostních pravidel všemi uživateli sítě, je jejich jasné stanovení. Každého uživatele je nutné zřetelně a jasně s danými pravidly seznámit a vysvětlit mu případná rizika spojená s porušením těchto pravidel. Neinformovaný
a nezkušený uživatel je jedním z největších nebezpečí sítě.

Další nutnou podmínkou správného fungování celé sítě, je i dostatečná počítačová odbornost a odbornost v rozsahu jeho vlastní pracovní náplně. Každému uživateli by se měly nastavit jen taková prává, jaká jsou pro jeho práci nezbytně nutná Každý uživatel by měl znát hardware a software, který ke své práci používá.

 

Všechny povinnosti a znalosti uživatelů, je nutné pravidelně kontrolovat.

Konfigurace přístupu k síti

Nastavení přístupu k síti, musí být od správce počítačové sítě, co nejdůkladnější, aby riziko napadení bylo minimalizováno.

Každý uživatel, který se přihlašuje do sítě svým uživatelským jménem by měl mít
i spolehlivé heslo.

Za spolehlivé heslo se považuje takové heslo, které splňuje následující podmínky [6]:

  • Obsahuje alespoň 8 znaků.
  • Obsahuje malá a velká písmena.
  • Obsahuje minimálně jednu číslici.
  • Obsahuje minimálně jeden nealfanumerický znak.


Všem heslům je dobré nastavit určitou omezenou životnost. Systém, pak například každé 2 měsíce upozorní uživatele na změnu hesla. Doba, po které by se mělo heslo změnit, si stanovuje každá organizace podle svého. Jedná-li se o přístup k aplikacím, je dobré zaslat uživateli notifikační e-mail, pro potvrzení změn. Pokročilejší metody některých aplikací dokážou účet zamknout, například pokud útočník zkouší uhodnout heslo a po určitém počtu pokusů se mu to nepodaří, pak systém účet zamkne a vyrozumí správce.

Hesla není vhodné ukládat v čisté podobě, ale upravená některou z hashovacích funkcí, například SHA nebo MD5. Takto hashovaná hesla nebudou pro případného útočníka, který se dostane k databázi vůbec čitelná. Jedinou možností jak odhalit z hashovaného hesla pravé heslo je útok takzvanou hrubou silou.

Dalším pravidlem, na které by měl dávat správce systému pozor je blokování neaktivních uživatelských účtů, například od bývalých zaměstnanců. Stejně tak je důležité změnit při odchodu zaměstnance všechna hesla, která mohl znát.

 

Dodržování pravidel bezpečnosti

Kromě výše uvedených pravidel, je nutné dodržovat i další pravidla bezpečnosti příkladem mohou být tato doporučení:

  • Minimalizace používání účtu administrátora nebo root.
  • Odhlašování uživatelů.
  • Uzamykání PC při odchodu uživatele ze svého pracoviště.


Kontrola zabezpečení z vnitřní sítě:

Nastavení otevřenosti portů jednotlivých systémů v síti je dobré zkontrolovat a nechat otevřené jen ty nezbytně nutné. V následující části práce je popsán postup této kontroly pomocí programu Look@LAN, který je šířen pod licencí freeware a je možné si ho stáhnout ze stránek výrobce na adrese http://www.lookatlan.com. Po nainstalování a spuštění programu se nám zobrazí okno, které je zobrazeno na následujícím obrázku.

 

Při prvním spuštění programu klikneme na ikonu „Create New profile“ po stisku tohoto tlačítka se vyvolá akce, která otevře nové okno, kde je potřeba zadat IP rozsah, na kterém chceme skenovat porty, tak jak je znázorněno na následujícím obrázku.

V této modelové situaci konkrétního případu je zvolen IP rozsah od adresy 192.168.0.1 do adresy 192.168.0.255. Z daného obrázku je vidět, že celý proces skenování je prováděn i IP adresy 192.168.0.38.

Po stisknutí tlačítka „Next“ se spustí proces skenování portů. Výsledek skenování sítě je znázorněn na následujícím obrázku.

 

Tímto způsobem jsme i otestovali veškerá připojená zařízení do počítačové sítě. Z následujícího obrázku lze vyčíst IP adresy jednotlivých prvků připojených do sítě a operační systém, který je na nich nainstalován.

Po kliknutí na kterou-li IP adresu se otevře okno s popisem otevřených portů na daném zařízení, tak jak znázorňuje další obrázek.

 

 

Programem Look@LAN byla prověřena všechna připojená zařízení, podle skenování
jednotlivých portů se lze rozhodnout, které je nutné nechat otevřené pro správný běh systému dané síti a které je třeba v zájmu zabezpečení nechat zavřené.

 



Předchozí | Následující