Miesięcznik informatyków i menedżerów IT sektora publicznego

Maciej Flak

Jak zabezpieczyć sieć LAN

SIECI LOKALNE | Wbrew powszechnym opiniom znacząca większość ataków sieciowych nie pochodzi z Internetu, lecz jest inicjowana z wnętrza sieci. Doradzamy, jak postępować z siecią LAN oraz w jaki sposób ją skonfigurować, by dobrze zabezpieczyć się przed takimi zagrożeniami.

Ataki podejmowane z wnętrza sieci LAN są wywoływane przez złośliwe oprogramowanie, które po uruchomieniu na stacji użytkownika paraliżuje na chwilę działanie sieci. Incydent taki bywa często uznany za wadliwe działanie urządzeń tworzących sieć, choć w rzeczywistości jest udanym atakiem na sieć LAN. Z tego powodu o prawdziwej naturze takich zdarzeń administratorzy nigdy się nie dowiadują.

Bardzo często zdarza się, że podczas instalacji urządzeń tworzących sieć pozostawiane są domyślne ustawienia producenta, które wg zasady plug and play bywają przyjazne nie tylko dla administratora sieci, ale także potencjalnego intruza. Jednak wystarczy przestrzeganie prostych zasad i wprowadzenie podstawowych zabezpieczeń na poziomie sieci LAN, by uniemożliwić realizację większości popularnych ataków sieciowych, np. spoofing adresów IP lub man-in-the midle.

Porada: Port konsoli znakowej, czyli "zawsze zamykaj drzwi na klucz"

Pierwszym i najważniejszym elementem łańcucha zabezpieczeń jest kontrola fizyczna dostępu do urządzeń tworzących infrastrukturę sieci. Każde z nich ma mechanizmy umożliwiające przejęcie kontroli nad konfiguracją. Dzieje się tak na przykład, gdy nie znamy hasła do urządzenia. Procedury odtwarzania hasła wymagają najczęściej fizycznego dostępu do portu konsoli urządzenia. Intruz dysponujący takim dostępem może włamać się do konfiguracji i złamać hasło. Z drugiej strony musi istnieć mechanizm "odzyskiwania" urządzenia z nieznanym hasłem. W związku z tym zalecamy:

  • Budowę lokalnej sieci komputerowej wykorzystującej system okablowania strukturalnego, z punktami jego dystrybucji, w których umieszcza się urządzenia sieciowe z możliwością kontroli dostępu (np. zamykane pomieszczenie, szafy zamykane na klucz). Niewłaściwą praktyką jest instalacja urządzeń sieciowych na ścianie, w miejscu dostępnym dla pracowników, czy w otwartych szafach okablowania strukturalnego w miejscach publicznych.

[...]

Autor jest inżynierem systemowym w firmie Cisco (CCIE, CISSP), w której zajmuje się współpracą z klientami z sektora publicznego. Ma 10-letnie doświadczenie w budowie, projektowaniu i zarządzaniu sieciami LAN i WAN.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej