[InterBIZ Newsletter Logo]

Εισαγωγή στην ασφάλεια δικτύων συνδεδεμένων με το Internet

Εισαγωγή

Οι πρόσφατες επιθέσεις εναντίον μεγάλων και δημοφιλών sites του δικτύου όπως τα Yahoo!, Amazon, eBay και CNN επανέφεραν στη δημοσιότητα το ζήτημα της ασφάλειας των δεδομένων μέσα στο Internet. Οι χρήστες αναρωτιούνται πώς μπορούν να εμπιστευθούν ένα εταιρικό web site και να του δώσουν τα στοιχεία τους όταν ακόμη και τα μεγαλύτερα ονόματα του χώρου αποδεικνύονται ευάλωτα σε επιθέσεις, ενώ οι επιχειρηματίες προβληματίζονται για τη μακροπρόθεσμη αποδοτικότητα μιας επένδυσης η οποία μπορεί οποιαδήποτε στιγμή να βρεθεί στο έλεος ενός cracker (κακώς χρησιμοποιείται ο όρος hacker για παρόμοια περιστατικά) όπως συνέβη πριν λίγες εβδομάδες, όταν ένας εκβιαστής δημοσίευσε στο δίκτυο τα στοιχεία χιλιάδων πιστωτικών καρτών πελατών κάποιου online καταστήματος, επειδή οι ιδιοκτήτες του αρνήθηκαν να του καταβάλουν τα λύτρα που ζήτησε.

Αξίζει να σημειωθεί μάλιστα πως μέσα στην αναταραχή που δημιούργησε αυτό το περιστατικό πέρασε απαρατήρητη η δημόσια παραδοχή της VISA πως και τα δικά της συστήματα είχαν μια παρόμοια τύχη πριν από μερικούς μήνες (κάποιος ή κάποιοι "έκλεψαν" μέρη του κώδικα ασφαλείας της υπηρεσίας και ζήτησαν λύτρα για τη μη δημοσιοποίησή τους).

Στο άρθρο αυτό θα ασχοληθούμε με τα θέματα ασφαλείας που προκύπτουν από τη σύνδεση ενός δικτύου (π.χ. μιας επιχείρησης) στο Internet, ενώ σε μελλοντικό άρθρο θα μελετήσουμε και τα ζητήματα ασφαλείας που προκύπτουν στην περίπτωση σύνδεσης ενός μεμονωμένου χρήστη (π.χ. ενός ιδιώτη ο οποίος χρησιμοποιεί κάποιο λογαριασμό dialup πρόσβασης). Πριν όμως ασχοληθούμε με το ζήτημα της αρχιτεκτονικής η οποία εξασφαλίζει τη μεγαλύτερη δυνατή ασφάλεια για ένα δίκτυο ας δούμε συνοπτικά ποια είδη επιθέσεων μπορεί να δεχθεί μια εταιρεία η οποία έχει συνδεθεί με το Internet:

1. Denial of Service

Η απλούστερη μορφή επιθέσεως ονομάζεται denial of service (παλιά την αποκαλούσαν ping of death) και συνίσταται στην αποστολή πάρα πολλών "νόμιμων" αιτημάτων προς το δίκτυο του θύματος. Για παράδειγμα, αν ο δεχόμενος την επίθεση έχει ένα web site (όπως συνέβη στην περίπτωση των Yahoo!, Amazon, eBay, CNN και άλλων) ο επιτιθέμενος του αποστέλλει διαρκώς από πλαστές διευθύνσεις αιτήματα λήψης web σελίδων. Για να ικανοποιήσει αυτά τα αιτήματα ο web server είτε προσπαθεί να στείλει web σελίδες σε παραλήπτες που δεν τις ζήτησαν, είτε τις στέλνει σε διευθύνσεις που δεν υπάρχουν.

Και στις δύο περιπτώσεις οι σελίδες δεν παραδίδονται ποτέ (ο web server καταλαβαίνει το λάθος του και σταματά την αποστολή). Το σύστημα όμως καταναλώνει μεγάλα ποσά υπολογιστικής ισχύος και bandwidth στην προσπάθειά του να παραδώσει τις σελίδες και να καταλάβει τι συμβαίνει. Αν λοιπόν τα ψεύτικα αιτήματα που λαμβάνει είναι πάρα πολλά, τότε το σύστημα υπερφορτώνεται και παύει πλέον να λειτουργεί ή καθυστερεί πάρα πολύ να εξυπηρετήσει ένα "νόμιμο" αίτημα διότι είναι απασχολημένο με την διαχείριση όλων των πλαστών αιτημάτων τα οποία λαμβάνει συνεχώς.

Όπως φαίνεται από την παραπάνω περιγραφή, οι επιθέσεις αυτής της μορφής δεν κλέβουν δεδομένα ούτε επιτρέπουν στον επιτιθέμενο να αποκτήσει τον έλεγχο του εξοπλισμού μιας επιχείρησης. Απλώς δεν επιτρέπουν στο θύμα να εξυπηρετήσει τους πελάτες και τους συνδρομητές του (γι' αυτό και ονομάζονται denial of service).

Αυτή η ιδιαιτερότητα όμως δεν τις καθιστά λιγότερο επίφοβες. Το πρόβλημα με τις επιθέσεις denial of service είναι πως δεν υπάρχει ακόμη κάποιος απλός και αποτελεσματικός τρόπος προστασίας από αυτές. Συνήθως, ο επιτιθέμενος αποστέλλει τα αιτήματά του από πολλά μηχανήματα μέσα στο δίκτυο (distributed denial-of-service ή DDS), κρύβοντας έτσι τα ίχνη του και κάνοντας πολύ δύσκολη την αναγνώριση μιας επίθεσης denial of service μέχρι να είναι αργά (επειδή είναι πολύ δύσκολο να καταλάβει κανείς ότι τα αιτήματα που λαμβάνει είναι πλαστά, ο συναγερμός δεν δίνεται παρά μόνο όταν το δίκτυο δέχεται πλέον τόσο μεγάλο όγκο αιτημάτων που σχεδόν παύει να λειτουργεί).

Δυστυχώς, το πρωτόκολλο IP version 4 που χρησιμοποιούμε αυτή τη στιγμή δεν επιτρέπει την εύκολη αποκάλυψη του πραγματικού αποστολέα κάθε πακέτου δεδομένων. Έτσι, για το ορατό μέλλον δεν προβλέπεται η εύρεση κάποιας απλής και φθηνής λύσης για το πρόβλημα των επιθέσεων denial of service. Το πρόβλημα αυτό θα λυθεί πλήρως μόνο με την υιοθέτηση του νεότερου πρωτοκόλλου IP version 6 (IPv6) το οποίο όμως θα αργήσει ακόμη να εφαρμοστεί. Το IPv6 διαθέτει εξαιρετικά μεγάλο αριθμό IP διευθύνσεων (πολλές εκατοντάδες για κάθε κάτοικο της γης) και, όταν υλοποιηθεί, κάθε συσκευή και κάθε χρήστης θα έχουν μια αποκλειστικά δική τους διεύθυνση, καθιστώντας εξαιρετικά δύσκολη οποιαδήποτε πλαστοπροσωπία.

Ωστόσο, αυτή η λύση δεν φαίνεται να αρέσει σε πολλούς, καθώς (παρά την ενσωματωμένη κρυπτογράφηση που διαθέτει) το IPv6 καταργεί πλήρως την ανωνυμία του δικτύου και κάνει εφικτή την παρακολούθηση όλων των δραστηριοτήτων οποιουδήποτε χρήστη. Έτσι μια δικτατορική κυβέρνηση (π.χ. Κίνα, Ιράκ, Βόρεια Κορέα κ.λπ.) δεν θα χρειάζεται να ανησυχεί πλέον για τις επιπτώσεις της ανωνυμίας του δικτύου αφού θα μπορεί να παρακολουθεί με άνεση τις online κινήσεις όλων των κατοίκων της.

2. Κλασικές μορφές επίθεσης εναντίον ενός δικτύου

Η συνηθέστερη μορφή επίθεσης συνίσταται στην "κατάληψη" των υπολογιστών ενός τοπικού δικτύου από τρίτους. Πρόκειται για το είδος της εισβολής το οποίο απεικονίζεται σε διάφορες ταινίες και, αν και τα πράγματα δεν είναι τόσο ρομαντικά ή εύκολα όσο παρουσιάζονται εκεί, το κύριο χαρακτηριστικό μιας διείσδυσης αυτής της μορφής είναι πως ο επιτιθέμενος έχει τη δυνατότητα να αντιγράψει, να τροποποιήσει ή να διαγράψει δεδομένα, να αλλάξει τις ρυθμίσεις των εγκατεστημένων προγραμμάτων και, το χειρότερο απ' όλα, να εγκαταστήσει δικά του προγράμματα στο μηχάνημα ή το δίκτυο ενός τρίτου.

Μερικές φορές η επίθεση γίνεται διότι ο εισβολέας ενδιαφέρεται για την ίδια την επιχείρηση (π.χ. θέλει να της κάνει ζημιά ή να κλέψει κάποια στοιχεία). Συχνά όμως ο επιτιθέμενος εισβάλει σε ένα δίκτυο αποκλειστικά και μόνο για να το χρησιμοποιήσει ως εφαλτήριο για την επόμενη επίθεσή του. Για παράδειγμα, μπορεί να θέλει να επιτεθεί στο δίκτυο ενός συνεταίρου ή συνεργάτη της επιχείρησης και εκτιμά πως οι επιθέσεις του θα γίνουν πιο δύσκολα αντιληπτές αν πραγματοποιηθούν από μια αξιόπιστη τοποθεσία όπως το δίκτυο και τα μηχανήματα μιας εταιρείας την οποία εμπιστεύεται ο επιτιθέμενος διότι έχει συχνά (δικτυακές) επαφές μαζί της.

Επίσης, οι επιθέσεις denial of service γίνονται συνήθως από μηχανήματα τρίτων διότι η αποστολή των πλαστών αιτημάτων απαιτεί μεγάλο bandwidth (δυνατότητα μεταφοράς δεδομένων) που είναι δύσκολο να βρεθεί σε ένα μόνο μηχάνημα. Ένας άλλος λόγος για τη χρήση πολλών μηχανημάτων για μια επίθεση denial of service είναι πως η κατανομή της αποστολής των πλαστών αιτημάτων σε πολλά μηχανήματα καθιστά πιο δύσκολη την αναγνώριση και την αντιμετώπισή της (στην αρχή το θύμα νομίζει απλώς πως αυξήθηκε το ενδιαφέρον για τις υπηρεσίες του δικτύου του).

Στρατηγικά διλήμματα

Το πρόβλημα για κάθε επιχείρηση η οποία θέλει να προστατεύσει το δίκτυό της από τις επιβουλές τρίτων είναι πως οι επιταγές της ασφάλειας απαιτούν την όσο το δυνατόν μικρότερη σύνδεσή της με το Internet, ενώ οι επιταγές της κερδοφορίας (αύξηση της παραγωγικότητάς της και καλύτερη εξυπηρέτηση των πελατών της) απαιτούν το όσο το δυνατόν μεγαλύτερο άνοιγμά της στον εξωτερικό δικτυακό κόσμο.

Ακολουθώντας το μοντέλο e-business η επιχείρηση πρέπει να δίνει στον πελάτη τη δυνατότητα να παρακολουθεί online το υπόλοιπο του λογαριασμού του, να στέλνει παραγγελίες, να μαθαίνει για τη διαθεσιμότητα κάθε προϊόντος και γενικά να προβαίνει σε μια σειρά από εργασίες οι οποίες απαιτούν πρόσβαση στο πληροφοριακό σύστημα της εταιρείας, δηλαδή στο εσωτερικό τοπικό δίκτυο που αυτή διατηρεί και στα μηχανήματα που το απαρτίζουν.

Ακόμη, η εταιρεία πρέπει να παρέχει στο προσωπικό της τη δυνατότητα να συνδέεται με το Internet, ενώ σε πολλές περιπτώσεις πρέπει να επιτρέπει στους εξωτερικούς συνεργάτες της ή στο εκτός γραφείου προσωπικό της να συνδέεται με το εσωτερικό της δίκτυο και να εκτελεί μια σειρά από "ευαίσθητες εργασίες" όπως η αλλαγή του ποσοστού έκπτωσης ή του πιστωτικού ορίου ενός πελάτη, η τροποποίηση του τόπου παράδοσης μιας παραγγελίας κ.λπ.

Κατανομή δικαιωμάτων πρόσβασης

Από την παραπάνω περιγραφή γίνεται φανερό πως κάθε επιχείρηση ή οργανισμός χρειάζεται ένα δίκτυο κάποια από τα τμήματα του οποίου θα είναι απόλυτα ανοικτά σε όλους (π.χ. ο τιμοκατάλογος ή οι περιγραφές των προϊόντων), κάποια θα είναι διαθέσιμα μόνο σε ορισμένους (π.χ. πωλητές οι οποίοι συνδέονται από το γραφείο του πελάτη για να οριστικοποιήσουν μια παραγγελία), ενώ κάποια άλλα θα παραμένουν εντελώς κλειστά στον υπόλοιπο κόσμο (π.χ. λογιστήριο).

Το πρώτο βήμα για να επιτευχθεί αυτός ο διαχωρισμός αμνών και εριφίων είναι η λεπτομερής καταγραφή όλων όσων έχουν πρόσβαση στο σύστημα, καθώς και των εργασιών που επιτρέπεται να εκτελέσει ο καθένας. Ο παλαιός τρόπος δικτύωσης (κληρονομιά της εποχής του ανοιχτού σε όλους Internet) ορίζει πως συγκεκριμενοποιούμε τις απαγορεύσεις (ποια πράγματα δεν μπορεί να κάνει κάθε χρήστης) και στη συνέχεια δηλώνουμε στο σύστημα ασφαλείας του δικτύου τι απαγορεύεται. Έτσι, ό,τι δεν απαγορεύεται είναι επιτρεπτό.

Δυστυχώς, η εποχή αυτή ανήκει πια στο παρελθόν και σήμερα ακολουθείται η ακριβώς αντίθετη στρατηγική: Ορίζουμε τι επιτρέπεται και απαγορεύουμε όλα τα υπόλοιπα. Αυτό είναι το πρώτο και πιο ουσιαστικό βήμα για την εγκαθίδρυση μηχανισμών ασφαλείας μέσα σε ένα δίκτυο το οποίο είναι συνδεδεμένο με το Internet.

Ας σημειωθεί πως, παρά τη μεγάλη δημοτικότητα που αποκτούν οι επιθέσεις τρίτων σε επιχειρήσεις, η εμπειρία έχει δείξει πως η πλειοψηφία των παραβιάσεων ασφαλείας δικτύων γίνεται από το ίδιο το προσωπικό της εταιρείας, είτε από κακοήθεια (π.χ. από δυσαρεστημένους εργαζόμενους), είτε από υπολογισμό (π.χ. δωροδοκία από ανταγωνιστές). Για τον λόγο αυτό κάθε μηχανισμός ασφαλείας δεν πρέπει να περιορίζεται στον απλουστευτικό διαχωρισμό του "ξένοι" και "δικοί μας", αλλά να ορίζει με λεπτομέρεια τα δικαιώματα πρόσβασης που δίδονται σε κάθε εργαζόμενο ή κάθε ομάδα του προσωπικού.

Packet Filtering Η πρώτη γραμμή άμυνας

Το επόμενο βήμα, μετά τον καθορισμό των δικαιωμάτων κάθε ομάδας χρηστών, είναι η επιλογή του καταλληλότερου μηχανισμού ασφαλείας, η αξιοπιστία και η αποτελεσματικότητα του οποίου συναρτώνται άμεσα με τις οικονομικές δυνατότητες της επιχείρησης, καθώς και με τις τεχνικές γνώσεις του δικτυακού προσωπικού της.

Η απλούστερη μέθοδος προστασίας ενός δικτύου είναι η χρήση της τεχνικής του Packet Filtering. Όπως είναι γνωστό, όλα τα δεδομένα, τα μηνύματα και οι εντολές διακινούνται μέσα στο Internet με τη μορφή πακέτων δεδομένων τα οποία διαβιβάζονται από τον ένα router (δρομολογητή) στον άλλον, μέχρι να παραδοθούν στον τελικό προορισμό τους (συνήθως στον Η/Υ όπου τρέχει η εφαρμογή η οποία θα τα διαχειριστεί).

Στην πραγματικότητα, ο router είναι και αυτός ένας Η/Υ, με τη διαφορά πως έχει εξειδικευθεί αποκλειστικά στη διακίνηση των στοιχείων που χρησιμοποιούν τα άλλα μηχανήματα του δικτύου. Λόγω αυτής της ιδιαιτερότητας, ο router είναι ο πρώτος ο οποίος θα λάβει και θα διαβιβάσει οποιοδήποτε "παράνομο" αίτημα πρόσβασης ή οποιαδήποτε εντολή δοκιμάζει να δώσει σε κάποιον Η/Υ του τοπικού δικτύου όποιος προσπαθεί να διεισδύσει αδικαιολόγητα σε αυτό.

Για τον λόγο αυτό, πολλοί διαχειριστές συστημάτων χρησιμοποιούν τον router μέσω του οποίου συνδέονται με το Internet ως την πρώτη γραμμή άμυνάς τους, ορίζοντας στους πίνακες δρομολόγησής του (routing tables) πώς πρέπει να αντιδρά σε κάθε αίτημα (π.χ. αν σου ζητήσουν να στείλεις δεδομένα αυτής της μορφής στο μηχάνημα Χ απάντησε πως αυτή η δυνατότητα ή αυτό το μηχάνημα δεν υπάρχουν).

Η τεχνική του Packet Filtering είναι συνήθως απλή στην εφαρμογή της και σχετικά φθηνή (απαιτείται μόνο η ρύθμιση του router ο οποίος υπάρχει ήδη στις εγκαταστάσεις της εταιρείας). Για τον λόγο αυτό υπάρχουν συστήματα Firewall (βλέπε παρακάτω) τα οποία βασίζονται αποκλειστικά και μόνο στο Packet Filtering για την προστασία ενός ή περισσότερων δικτύων.

Ένα σοβαρό μειονέκτημα του Packet Filtering είναι πως λειτουργεί αποτελεσματικά μόνο αν ο router πρέπει να διαχειριστεί χαμηλό όγκο κίνησης ή αν ο αριθμός των φίλτρων είναι μικρός. Όσο αυξάνει η κίνηση τόσο περισσότερα πακέτα πρέπει να ελέγξει ο router, ενώ όσο αυξάνουν τα φίλτρα τόσο περισσότεροι έλεγχοι πρέπει να γίνουν πριν επιτραπεί σε ένα πακέτο να μπει στο τοπικό δίκτυο ή να βγει από αυτό. Έτσι όμως επιβαρύνεται υπερβολικά ο επεξεργαστής του router και περιορίζεται η απόδοσή του.

Τέλος, το Packet Filtering είναι εξαιρετικά δύσκολο να εφαρμοστεί σε περίπλοκα τοπικά δίκτυα τα οποία έχουν μεγάλη ποικιλία επαφών με το Internet. Όσο περισσότερες υπηρεσίες (telnet, ftp, smtp, pop, http κ.λπ.) πρέπει να ελεγχθούν από τον router τόσο δυσκολότερη γίνεται η καλή ρύθμισή του για εφαρμογές Packet Filtering. Το πρόβλημα βρίσκεται στο γεγονός ότι όποια παράμετρος δεν έχει προβλεφθεί να φιλτράρεται είναι ελεύθερη να διακινηθεί από και προς το τοπικό δίκτυο. Έτσι, ακόμη και το παραμικρό λάθος ή αβλεψία μπορεί να αποβεί μοιραίο (πολλοί crackers χρησιμοποιούν ειδικά προγράμματα που δοκιμάζουν μια μια όλες τις δυνατές τεχνικές παράκαμψης των φίλτρων μέχρι να βρουν εκείνη τη δίοδο που από άγνοια, λάθος ή αδιαφορία έχει μείνει ανεξέλεγκτη).

Firewall Η συνηθέστερη λύση

Το επόμενο, και ανώτερο, επίπεδο προστασίας είναι η εγκατάσταση και καλή αξιοποίηση ενός Firewall. Τα πρώτα Firewalls ήταν απλώς Packet Filtering Routers οι οποίοι τοποθετούνταν σε στρατηγικά σημεία του δικτύου έτσι ώστε ακόμη και αν κάποιος εξωτερικός εχθρός διείσδυε σε ένα μέρος του δικτύου να μην αποκτά αμέσως ελεύθερη πρόσβαση στο σύνολο των μηχανημάτων που το απαρτίζουν. Λειτουργούσαν δηλαδή ως αντιπυρικές πόρτες (Firewalls) οι οποίες εμποδίζουν τη φωτιά η οποία έχει ανάψει σε κάποιο δωμάτιο να εξαπλωθεί στο υπόλοιπο κτίριο.

Ένα Firewall αποτελείται συνήθως από έναν Η/Υ, γνωστό με το όνομα Bastion host (κόμβος προμαχώνας), και μια σειρά από εφαρμογές ανταπόκρισης (proxy services). O Bastion host έχει εγκατεστημένη μια ασφαλή έκδοση ενός λειτουργικού συστήματος. Η έκδοση αυτή είναι ουσιαστικά η ίδια με εκείνη που χρησιμοποιείται από την πλειοψηφία των χρηστών (π.χ. UNIX, NT κ.λπ.) με τη διαφορά πως έχουν απενεργοποιηθεί όλα τα χαρακτηριστικά της πλην των απολύτως απαραίτητων (το σκεπτικό εδώ είναι πως όσο λιγότερες εφαρμογές περιλαμβάνει το λειτουργικό, τόσο μειώνονται οι πιθανότητες να ανακαλυφθεί κάποιο τρωτό σημείο σε μια από αυτές).

Μερικές φορές, πάνω στον Bastion host εγκαθιστούμε μια σειρά από Circuit Level Gateways (προγράμματα τα οποία παρακολουθούν ποιος συνδέεται με το εσωτερικό δίκτυο και καθορίζουν ποιες εργασίες μπορεί να κάνει μέσα σε αυτό). Συνήθως όμως ο Bastion host έχει εγκατεστημένα διάφορα Application-Level Gateways τα οποία λειτουργούν ως proxy services, μεταφράζοντας τα αιτήματα από και προς τους Η/Υ του τοπικού δικτύου.

Έτσι, οποιοσδήποτε μέσα στο Internet επικοινωνεί με ένα μηχάνημα του εσωτερικού δικτύου δεν έχει ποτέ απευθείας επαφή με αυτό. Το αίτημά του διατυπώνεται στο αντίστοιχο Application-Level Gateway το οποίο το διαβιβάζει στο μηχάνημα και επιστρέφει την απάντηση.

Χάρη στα Application-Level Gateways απαγορεύεται οποιαδήποτε μορφή επικοινωνίας μεταξύ του εσωτερικού δικτύου και του Internet εκτός από εκείνες για τις οποίες έχει εγκατασταθεί το ανάλογο λογισμικό (το Application-Level Gateway που επιτρέπει τη χρήση της συγκεκριμένης υπηρεσίας). Ο διαχειριστής του συστήματος λοιπόν εγκαθιστά ένα Application-Level Gateway για κάθε εφαρμογή και φροντίζει να το ρυθμίσει κατάλληλα. Με τον τρόπο αυτό, η επικοινωνία μεταξύ τοπικού δικτύου και Internet μπορεί να επιτευχθεί μόνο για όσες υπηρεσίες έχουν εγκατεστημένο το αντίστοιχο Application-Level Gateway στον Bastion host και μόνο αν το Application-Level Gateway έχει ρυθμιστεί με τέτοιο τρόπο ώστε να επιτρέπεται η μορφή επικοινωνίας που ζητεί ο χρήστης. (Η τεχνική αυτή ονομάζεται και protocol filtering διότι απ' όλα τα πρωτόκολλα του Internet, επιτρέπεται η διέλευση μόνο σε όσα ορίζει το Application-Level Gateway.)

Αξίζει να σημειωθεί πως τα Firewalls δεν ελέγχουν μόνο ό,τι εισέρχεται στο εσωτερικό δίκτυο, αλλά και ό,τι εξέρχεται από αυτό. Έτσι, μερικές φορές, οι χρήστες του εσωτερικού δικτύου μπορούν να δουν sites στο Internet, αλλά δεν μπορούν να επικοινωνήσουν με αυτά, πράγμα που φυσικά προκαλεί δυσφορία και έντονες διαμάχες μεταξύ των διαχειριστών του εσωτερικού δικτύου (οι οποίοι θέλουν να το κρατήσουν όσο πιο "κλειστό" γίνεται) και των χρηστών του (οι οποίοι θέλουν να έχουν πρόσβαση σε όσο το δυνατόν περισσότερες υπηρεσίες).

Η παραπάνω δομή επιτυγχάνει υψηλά επίπεδα ασφαλείας, καθώς το Firewall λειτουργεί πάντοτε ως ενδιάμεσος, ελέγχοντας και μεταφράζοντας όλες τις επαφές του τοπικού δικτύου με το Internet. Δυστυχώς, αυτή η μετάφραση αποτελεί και το μεγαλύτερο μειονέκτημα των Firewalls, καθώς πολλές φορές απαιτείται η χρήση ειδικών εφαρμογών από τον χρήστη του Internet ο οποίος θέλει να επικοινωνήσει με κάποιο μηχάνημα του εσωτερικού δικτύου.

’λλα μειονεκτήματα των Firewalls είναι το μεγάλο κόστος προμήθειας εξοπλισμού και εκπαίδευσης προσωπικού και η μειωμένη ταχύτητα επικοινωνίας του εσωτερικού δικτύου με το Internet. Γενικά, η λειτουργία των Firewalls απαιτεί ισχυρά μηχανήματα με μεγάλη υπολογιστική ισχύ, καθώς το Firewall είναι υποχρεωμένο όχι μόνο να μεταφράζει κάθε μεταφορά δεδομένων από και προς το εσωτερικό δίκτυο, αλλά και να επιβεβαιώνει πως κάθε αίτημα σύνδεσης έρχεται από "έμπιστη" IP διεύθυνση. (Πολύ συχνά οι crackers ακολουθούν μια τεχνική με το όνομα IP spoofing χάρη στην οποία ένα μηχάνημα μπορεί να ιδιοποιηθεί την IP διεύθυνση ενός άλλου. Έτσι, ένας "απλός" router μπορεί να εξαπατηθεί και να επιτρέψει τη χρήση του εσωτερικού δικτύου σε έναν Η/Υ ο οποίος κανονικά δεν δικαιούται πρόσβαση σε αυτό.)

Παρόλα αυτά, η λύση των Firewalls αποτελεί σήμερα τον πιο δημοφιλή τρόπο προστασίας ενός δικτύου. Πολλές επιχειρήσεις μάλιστα συνδυάζουν τη χρήση των Firewalls με Packet Filtering για να αυξήσουν ακόμη περισσότερο τη δυσκολία διείσδυσης ανεπιθύμητων μέσα στο εσωτερικό δίκτυό τους. (Η τεχνική του συνδυασμού Packet Filtering με Circuit Level και Application-Level Gateways ονομάζεται Stateful Multilayer Inspection Firewall.)

Demilitarized Zone Η προχωρημένη λύση

Το υψηλότερο επίπεδο ασφαλείας δικτύων επιτυγχάνεται με μια άλλη μέθοδο γνωστή με το όνομα Demilitarized Zone (DMZ) ή Screened-Subnet Firewall. Η τεχνική αυτή χρησιμοποιεί ένα Firewall και ένα Packet Filtering router μέσω των οποίων εξασφαλίζεται η επικοινωνία ενός τμήματος του εσωτερικού δικτύου, γνωστού με το όνομα Demilitarized Zone (αποστρατιωτικοποιημένη περιοχή), με το Internet. Αυτή η περιοχή περιέχει μόνο τις πολύ βασικές υπηρεσίες (π.χ. web) και τα μηχανήματά της της είναι προσβάσιμα από το Internet μέσω του Firewall και του Packet Filtering router.

Στην αρχιτεκτονική αυτή όμως υπάρχει και ένας δεύτερος Packet Filtering router ο οποίος συνδέει την Demilitarized Zone με το υπόλοιπο εσωτερικό δίκτυο της εταιρείας και καθιστά το τμήμα αυτό του δικτύου αόρατο από τον έξω κόσμο (από το υπόλοιπο Internet). Με τον τρόπο αυτό επιτυγχάνεται το υψηλότερο δυνατό επίπεδο προστασίας αφού ουσιαστικά κρύβουμε από τους πιθανούς εισβολείς ακόμη και την ύπαρξη των πιο ευαίσθητων από τα μηχανήματά μας, ενώ απαγορεύουμε σε οποιαδήποτε δεδομένα από το Internet να φθάσουν μέχρι το αόρατο δίκτυο (όλα τα αιτήματα διεκπεραιώνονται από τα μηχανήματα της Demilitarized Zone).

Intrusion Detection Systems: Το σύστημα συναγερμού

Οι παραπάνω τεχνικές αναφέρονται στους τρόπους παθητικής προστασίας ενός δικτύου. Ουσιαστικά αποτελούν εμπόδια με τα οποία φράζουμε τον δρόμο των εισβολέων, δυσκολεύοντας την πρόσβασή τους στο εσωτερικό δίκτυο μιας επιχείρησης ή ενός οργανισμού. Ωστόσο, η ιστορία μας διδάσκει πως ποτέ ένα φυσικό εμπόδιο δε στάθηκε ικανό από μόνο του να εμποδίσει κάποιον εισβολέα. Πάντοτε θα χρειάζονται φρουροί για να σημαίνουν συναγερμό κάθε φορά που ο εχθρός βρίσκεται ante portas και πάντοτε θα πρέπει να υπάρχουν πολεμιστές έτοιμοι να του κλείσουν το δρόμο, αν τύχει και ανακαλύψει κάποια ξεχασμένη Κερκόπορτα.

Στην περίπτωση της ασφάλειας δικτύων, οι φρουροί αυτοί ονομάζονται Intrusion Detection Systems (IDSs). Πρόκειται για ειδικά προϊόντα λογισμικού τα οποία έχουν ως έργο την παρακολούθηση της λειτουργίας όλου του δικτύου και της αναφοράς οποιασδήποτε "ύποπτης" κίνησης ανιχνευθεί.

Για ένα IDS ύποπτοι θεωρούνται τόσο οι εξωτερικοί χρήστες που συνδέονται στο εσωτερικό δίκτυο μέσω του Internet, όσο και οι εσωτερικοί χρήστες του δικτύου (όσοι έχουν πρόσβαση από τοπικά συνδεδεμένα μηχανήματα). Τα IDSs παρακολουθούν το δίκτυο όλο το 24ωρο, δίνοντας συνεχώς αναφορές τόσο για επικίνδυνα περιστατικά (π.χ. ένας χρήστης προσπάθησε να διαγράψει ή να αντιγράψει αρχεία στα οποία δεν έχει δικαίωμα πρόσβασης) όσο και για ύποπτες ανωμαλίες οι οποίες μπορεί να υποδηλώνουν την αρχή μιας επίθεσης. (Π.χ. η εφαρμογή Χ έχει πολύ περισσότερη κίνηση απ' ό,τι συνήθως και οι περισσότερες εντολές που λαμβάνει είναι λανθασμένες. Αυτό μπορεί να σημαίνει πως κάποιος δοκιμάζει να της στείλει διάφορες "τρελές" εντολές, ελπίζοντας πως θα την μπερδέψει ώστε να του δώσει πρόσβαση στο σύστημα.)

Ένα καλό IDS θα πρέπει να είναι αρκετά ευαίσθητο για να αναγνωρίζει όλες τις ύποπτες καταστάσεις, αλλά αρκετά έξυπνο ώστε να μην κρούει συχνά τον κώδωνα του κινδύνου χωρίς λόγο. Είναι αναπόφευκτο πως μερικές φορές το IDS θα κάνει λάθη σημαίνοντας συναγερμό για ασυνήθιστες, αλλά όχι επικίνδυνες, καταστάσεις. Αν όμως αυτό γίνεται συχνά, τότε οι χειριστές του θα συνηθίσουν να θεωρούν ως λανθασμένες όλες τις προειδοποιήσεις του και πιθανόν να μην το πιστέψουν ακόμη κι αν γίνεται πραγματικά επίθεση. (Όπως συνέβη στη γνωστή παιδική ιστορία με τον βοσκό ο οποίος φώναζε συνεχώς πως επιτίθεται λύκος στο κοπάδι του).

Το IDS θα πρέπει να ελέγχει συχνά τον εαυτό του για να εξασφαλίσει ότι λειτουργεί σε άριστη κατάσταση και ότι δεν έχει αποκτήσει πρόσβαση σε αυτό κάποιος τρίτος δίνοντάς του παραπλανητικά στοιχεία (συνήθως ένας άνθρωπος αναλαμβάνει να ελέγχει σε τακτά χρονικά διαστήματα το σύστημα, εξασφαλίζοντας έτσι ακόμη περισσότερο την αξιοπιστία του). Το IDS θα πρέπει επίσης να ελέγχει σε τακτά χρονικά διαστήματα τα δεδομένα που είναι αποθηκευμένα στο εσωτερικό δίκτυο (π.χ. συγκρίνοντάς τα με κάποια δικά του εφεδρικά αρχεία) για να εξασφαλίσει πως δεν έχουν τροποποιηθεί.

Τέλος, το IDS θα πρέπει να έχει καλή μνήμη και να μην ξεγελιέται από μεμονωμένες, φαινομενικά αθώες, ενέργειες (συχνά μια επίθεση κατανέμεται σε πολλές μικρές ήσσονος σημασίας και φαινομενικά άσχετες μεταξύ τους εργασίες οι οποίες περνούν απαρατήρητες, αλλά τελικά καταφέρνουν να παρακάμψουν τα συστήματα ασφαλείας και να επιτρέψουν την είσοδο του εισβολέα στο σύστημα).

Ο παράγων άνθρωπος

Τα Intrusion Detection Systems αποτελούν την προτελευταία γραμμή αμύνης ενός δικτύου απέναντι στους εσωτερικούς και εξωτερικούς εισβολείς. Υπάρχει ένα ακόμη επίπεδο ασφαλείας το οποίο, αν και δύσκολο στην εφαρμογή του, είναι απαραίτητο για την εξασφάλιση της μακροπρόθεσμης ασφάλειας κάθε δικτύου. Αναφερόμαστε φυσικά στο προσωπικό που χρησιμοποιεί το δίκτυο.

Πρέπει να γίνει κατανοητό σε όλους πως η ασφάλεια δικτύων αποτελεί μια συνεχώς μεταβαλλόμενη διαδικασία και όχι ένα οχυρό η κατασκευή του οποίοι αρκεί για να κρατήσει μακριά τους ανεπιθύμητους. Οι διαχειριστές των δικτύων κάθε επιχείρησης πρέπει να έχουν άριστη γνώση της δομής του δικτύου που επιβλέπουν και να παρακολουθούν στενά τις εξελίξεις στο χώρο της ασφάλειας δεδομένων για να εξασφαλίζουν πως οι άμυνές τους παραμένουν πάντοτε ισχυρές.

Κάθε μέρα που περνά γινόμαστε μάρτυρες της αποκάλυψης νέων τρωτών σημείων στα ήδη υπάρχοντα συστήματα ασφαλείας, καθώς και της εμφάνισης νέων ισχυρότερων προγραμμάτων αυτόματης "σάρωσης" ενός δικτύου για την ανακάλυψη και εκμετάλλευση ευάλωτων σημείων (τα αυτόματα προγράμματα αξιοποίησης αυτών των αδυναμιών ονομάζονται exploits).

Κάθε διαχειριστής δικτύου λοιπόν πρέπει να σκέφτεται και να ενεργεί ως cracker του δικού του δικτύου, δοκιμάζοντας κάθε νέο εργαλείο εύρεσης αδυναμιών όπως το SATAN (Security Administrator Tool for Analyzing Networks) και κλείνοντας ο ίδιος τις τρύπες που ανακαλύπτει, ή που ανακαλύπτουν άλλοι σε άλλα παρόμοια δίκτυα, πριν αυτές γίνουν αντιληπτές από τρίτους και χρησιμοποιηθούν εναντίον του.

Οι διαδικασίες ασφαλείας όμως δεν περιορίζονται μόνο στους διαχειριστές του εσωτερικού δικτύου. Πρέπει να γίνουν συνείδηση για όλους τους εργαζομένους, καθώς ακόμη και το υψηλότερο επίπεδο ασφαλείας είναι άχρηστο αν η γραμματέας κολλήσει το password της επάνω στην οθόνη για να το έχει πρόχειρο, αν ο πωλητής χάσει το notebook μέσα στο οποίο είναι γραμμένα τα στοιχεία πρόσβασης στο δίκτυο ή αν το υψηλόβαθμο στέλεχος επιλέξει ως συνθηματικό το 123456 "για να το θυμάται εύκολα" (πράγμα συχνά κατανοητό αφού πολλές φορές για λόγους ασφαλείας η μηχανογράφηση έχει την παράλογη απαίτηση από το προσωπικό να θυμάται 27 διαφορετικά passwords τα οποία φυσικά δεν επιτρέπεται να γράψει πουθενά).

Τέλος, πολλά αξιόλογα συστήματα ασφαλείας παραβιάζονται καθημερινά επειδή κάποιοι από τους χρήστες του εσωτερικού δικτύου συνδέονται μέσω dialup με το Internet, παρακάμπτοντας το εταιρικό Firewall για "να κάνουν πιο εύκολα τη δουλειά τους" (π.χ. να χρησιμοποιήσουν εκείνο το πρόγραμμα χρηματιστηρίου που δεν μπορεί να λειτουργήσει για όσους χρήστες συνδέονται μέσω Firewall).

Δυστυχώς, δεν υπάρχουν εύκολες απαντήσεις στον τομέα της ασφάλειας δικτύων. Με προσοχή και μεθοδικότητα μπορούμε να αυξήσουμε τη δυσκολία προσβολής, αλλά ο κίνδυνος παραβίασης κάθε εταιρικού δικτύου θα παραμείνει πάντοτε μια λιγότερο ή περισσότερο πιθανή εξέλιξη.

Η προοπτική αυτή όμως δεν πρέπει να μας αποθαρρύνει από τη χρήση του Internet και την επένδυση του εταιρικού μας μέλλοντος σε αυτό. Όπως μια αεροπορική τραγωδία δεν τρέπει τους περισσότερους από μας σε φυγή από το αεροδρόμιο, έτσι και τα προβλήματα ασφαλείας πρέπει να λειτουργούν προειδοποιητικά και όχι αποτρεπτικά για τη χρήση του Internet. Αφού λοιπόν πρέπει να συνεχίσουμε να πετάμε, ας διαβάσουμε τουλάχιστον το φυλλάδιο οδηγιών για την περίπτωση ατυχήματος και ας επιλέξουμε να ταξιδέψουμε με μια καλή εταιρεία και όχι με την Air Banania.

Γιώργος Επιτήδειος
gepiti@gepiti.com

Αποκτήστε μια δωρεάν συνδρομή στο InterBIZ

Επιστροφή στο Αρχείο ’ρθρων Παλαιών Τευχών
Επιστροφή στις Επιχειρηματικές Σελίδες

Copyright 1998, 1999, 2000 Γιώργος Επιτήδειος
Υποδείξεις, Ερωτήσεις, Σχόλια στην διεύθυνση gepiti@gepiti.com