Objavljeno: 13.6.2017 | Avtor: Miran Varga | Monitor Posebna 2017

V omrežju je pamet varnost

Omrežja so danes hrbtenica informatike in poslovanja. Brez povezljivosti, tako krajevne kot globalne, si nihče izmed nas ne predstavlja niti dela niti zabave. So varna? Novejša so, saj se po zaslugi avtomatizacije in umetne pameti celo samostojno branijo pred napadalci, virusi in drugimi škodljivimi kodami.

Računalniška in druga omrežja omogočajo komunikacijo med ljudmi, računalniki, strežniki in kopico drugih naprav. Od njihovega delovanja so vedno bolj odvisne (poslovne) aplikacije in spletne (oblačne) storitve. Celo omrežje vseh omrežij, internet, bo v naslednjih letih dobil povsem novo razsežnost. T. i. internet stvari bodo sestavljale milijarde v internet povezanih naprav, ki se bodo med seboj pogovarjale, si izmenjevale podatke, povsem avtomatizirano. Varnostne strokovnjake internet stvari skrbi že danes, ko je šele v povojih. Družba Cisco napoveduje, da bo leta 2020 na svetu predvidoma 7,6 milijarde ljudi in kar okoli 50 milijard v internet povezanih naprav. Eno je jasno, ročno jih ne bomo mogli obvladovati niti obvladati. Za red in mir bo morala poskrbeti že sama infrastruktura, torej omrežje. Pametno omrežje. Za pametna omrežja namreč velja, da v navidez neinteligentni del infrastrukture dodajo še edinstveno varnost. Omrežja so praktično že danes tista, ki morajo zaradi lastnega »zdravja« spremljati, kaj počno v njih naprave, povezave, aplikacije ter storitve, in »nepridiprave« preprosto blokirati in izločiti. Ne glede na izvor, platformo ali komunikacijski kanal, ki ga za prenos podatkov uporablja »problematična stran«.

Včasih kitajski, danes požarni zid

Varnostni strokovnjaki radi poudarjajo, da je varnost, katerakoli že, ekosistem. Mesta in države so v zgodovini varnostne izzive reševale z gradnjo mogočnih obzidij, obdanih s stražnimi stolpi in vojaki. To je bila prva (ali pa druga, če štejemo še vodne kanale okoli nekaterih mest) in včasih tudi edina linija obrambe. Bila je močna, zanesljiva. Če je padla, je z njo padlo tudi mesto.

Do pred desetletji je podobno veljalo za okolja IT. Stvari so bile jasno opredeljene – na notranji strani omrežja podjetja je dovoljeno vse, zunaj njega pa je vse (digitalno) zlo človeštva. Analogijo mestnemu obzidju je na strani obrambe predstavljal t. i. požarni zid, ki je v »zdravo« okolje puščal le znane povezave, vse druge pa blokiral. A želja po vseprisotnem elektronskem in mobilnem poslovanju je informatikom v podjetjih prinesla nov varnostni izziv. Okolje IT kar naenkrat ni bilo več jasno opredeljeno, bilo je porazdeljeno povsod, kjer so bili poslovni uporabniki s svojimi napravami, ki so lahko dostopale do omrežja in virov IT podjetja. Požarni zid je postal le ena v vrsti varnostnih rešitev. Danes se namreč podjetja proti digitalnim napadalcem borijo ne le s požarnimi pregradami, temveč tudi s sistemi odkrivanja vdorov in drugimi varnostnimi rešitvami, kot so omrežna segmentacija, filtriranje in analiza vsebin, podpis prometa, izvajanje kod v t. i. peskovniku, varnostne politike, analiza anomalij, filtriranje naslovov URL, pregled »ugleda« spletnih strani, preverjanje sumljivih kod in vzorcev itd.

Omrežje je postalo točka, kjer se začne resna skrb za varnost poslovanja. Vsaka naprava, ki se želi žično ali brezžično povezati v omrežje, je temeljito preverjena. Oddelek IT v podjetju mora varnostne politike prilagoditi novim razmeram in poskrbeti za ustrezno konfiguriranje omrežja, da bo to obvladalo profiliranje naprav in podatkov. Naprav, ki ne premorejo ustreznih varnostnih mehanizmov in poverilnice (identitete), preprosto ne spusti v omrežje. In pika.

Paranoična poslovna omrežja

Podjetja se pogosto sprašujejo, kako poskrbeti za varnost. Vprašanje, koga varovati – zaposlene, omrežje ali naprave – je seveda na mestu. Dejstvo je, da se podjetje ne sme osredotočiti zgolj na eno področje. Varnost je, kot že rečeno, ekosistem, zaokrožena celota. Proti sodobnim napadalcem in škodljivim kodam se lahko podjetja učinkovito ubranijo z napredno načrtovanim sistemom varnostnih ukrepov, ki združujejo sodelovanje različnih varnostnih tehnologij in strokovnjakov.

Pogosto slišimo, da so prav uporabniki najšibkejši člen varnostne verige, saj jih napadalci z različnimi tehnikami, posebej učinkovite so metode socialnega inženirstva, kaj hitro prevarajo oziroma prepričajo v nepravilna dejanja. Pametno omrežje mora taka dejanja prepoznati in preprečiti. Kako? Z analizo aktivnosti in prometa v omrežju, prek katerega se danes zgodi praktično vse. Nad dogajanjem v omrežjih podjetij danes že bedijo napredni varnostno-nadzorni sistemi, ki delujejo tako, da analizirajo obnašanje poslovnih uporabnikov v omrežju. Poznajo namreč njihovo tipično vedenje – katere dejavnosti opravlja, kdaj, katere omrežne vire uporablja ipd., zato lahko hitro odkrijejo in nato še preverijo potencialne anomalije. Rdečo luč bo nadzorni sistem, denimo, prižgal takrat, ko bo ugotovil, da zaposleni v oddelku trženja brska po tehnični dokumentaciji razvojnega inženirja ali računovodskih dokumentih z oznako zaupno in o tem obvestil varnostnega skrbnika. Sodobni usmerjevalniki in stikala, ki premorejo komercialni pridevnik »pametni«, so sposobni samodejno opravljati (programsko določeno) segmentacijo uporabnikov in drugih virov/naprav (več v okvirju).

Programsko opredeljena omrežja

Skrbniki IT so najbolj zadovoljni, ko so njihova nadzorna orodja povezana z avtomatizacijo opravil, saj jim to prihrani zelo veliko časa. V želji po čim večji prilagodljivosti in avtomatizaciji omrežnih funkcij so ponudniki našli rešitev – omrežje so naredili programabilno. Dobili smo dva nova termina, in sicer programsko opredeljena omrežja (angl. Software Defined Networking; SDN) in virtualizacija omrežnih funkcionalnosti (angl. Network Functions Virtualization; NFV). Obeh so se posebej razveselili omrežni skrbniki, ki imajo opravka s t. i. mikrosegmentacijo. Ta pride do izraza v omrežjih, kjer imajo omrežni skrbniki opravka z vrsto različnih, pogosto tudi muhastih poslovnih aplikacij. Obe omenjeni tehnologiji skrbniku omogočita, da se postavi v vlogo aplikacije in preveri načine, kako ji zagotoviti kar najprimernejše pogoje za brezhibno delovanje. Vsaka posamezna aplikacija, tudi tiste, ki so na voljo kot storitev iz računalniškega oblaka, se obnaša kot najemnik omrežnih virov. Programsko opredeljeno omrežje z virtualizacijo omrežnih funkcij zato v primeru večnajemništva v podatkovnih centrih še kako upraviči svojo naložbo, povprečno podjetje pa že težje upraviči ne prav skromno naložbo v novi tehnologiji. »Programiranje« se v omrežje uvaja šele takrat, ko ima podjetje v omrežju stalno opravka z res veliko spremembami, sicer se mu naložba (zaradi visokih licenčnin napredne programske opreme) praktično ne izplača. Poleg tega izkušnje kažejo, da so programsko opredeljena omrežja blagoslov le tako dolgo, dokler delujejo brezhibno. Ko pa so enkrat težave na strojni ali programski opremi, bo v še večjih težavah tudi virtualizirano omrežno okolje, napake pa je včasih precej težko odkriti.

Luknjasta domača omrežja

Vsako podjetje, ki se zaveda pomembnosti svojih podatkov, premore več kot le osnovno zaščito svojega omrežja (požarno pregrado). Povsem drugače je pri domačih uporabnikih. Nekateri med njimi se sploh ne čutijo ogroženi, ko se iz svojega doma povezujejo v internet. Spet drugi so absolutno prepričani, da se jim ne more zgoditi nič, saj imajo nameščeno (in posodobljeno) najnovejšo varnostno rešitev. A oboji so ogroženi. Neredko niti ne po svoji krivdi, temveč je lahko razlog, zakaj tujec ali napadalec pokuka v naš dom, starejša terminalska oprema našega ponudnika dostopa do interneta. Ta se v nekaterih gospodinjstvih ni zamenjala že desetletje, prav možno je tudi, da se prav toliko časa ni nadgradila oziroma posodobila. Takšno domače omrežje seveda ni varno, saj so v ranljivem omrežju ogrožene tudi sicer dobro zavarovane naprave.

Sledi najbizarnejši podatek: omrežni modemi in usmerjevalniki ne padajo na varnostnih funkcijah, kot so upravljanje s seznami dostopa, prevajanje omrežnih naslovov, preverjanje vsebine omrežnih paketov in podobne, temveč jih v zadrego spravi podpora protokolu in istoimenski funkciji UPnP. Omenjeni omrežni protokol, katerega poslanstvo je omogočiti enostavno povezovanje naprav, kot so usmerjevalniki, tiskalniki, omrežni sistemi hrambe podatkov, pametni televizorji, večpredstavni predvajalniki, je v zadnjih letih dokazal, da njegova relativna preprostost (ne nazadnje je bil oblikovan z mislijo na domače uporabnike in enostavnost krajevnih omrežij) lahko povzroči več škode kot koristi.

Naprave, priključene oziroma povezane na (lahko tudi brezžični) usmerjevalnik, se tako znotraj domačega omrežja vidijo med seboj in si enostavno delijo vsebine. A na račun ranljivosti protokola UPnP se vse naše naprave in omrežni viri kaj lahko znajdejo tudi dostopni v internetu. Prepuščeni na milost in nemilost bolj ali manj spretnim napadalcem. Raziskave kažejo, da naj bi bilo ta hip, ko berete ta članek, še vedno med 40 in 50 milijonov omrežnih naprav ranljivih za vsaj enega izmed treh načinov napadov, ki izkoriščajo varnostne pomanjkljivosti v protokolu UpnP. Posledice so grde, segajo pa od nagajanja uporabnikom do kraje podatkov in/ali vohunjenja za uporabniki.

Pri novejših napravah so številne ranljivosti protokola UPnP načeloma odpravljene, težava pa so starejše omrežne naprave, za katere izdelovalci niso pripravili ustreznih posodobitev, oziroma tudi če so jih, jih ni namestil niti uporabnik (pogosto nima ustreznih pravic) niti njegov ponudnik dostopa do interneta. Če imate doma starejši usmerjevalnik ali modem, preverite, ali ima nameščeno najnovejšo posodobitev in kaj je ta izboljšala. Če funkcionalnosti UPnP ne potrebujete, jo preprosto izklopite v nastavitvah. Kup težav in vdorov gre namreč pripisati tudi temu, da je omenjena funkcionalnost pri večini omrežnih usmerjevalnikov že privzeto vklopljena.

Omrežje in naprave v njem torej velja jemati resno. Skrb zanje je tudi skrb za lastno (digitalno) varnost.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji