Každá organizace, ať už malá lokální firma nebo velká nadnárodní společnost, potřebuje stabilní a bezpečnou síť. Bezvýpadková, výkonná a bezpečná síť tvoří základ pro efektivní obranu proti kybernetickým hrozbám. Jak na ni?
Dobře fungující datová síť musí být stabilní, bezvýpadková, odolná, výkonná, robustní, škálovatelná a samozřejmě bezpečná. Jednoznačný standard, jak toho dosáhnout, neexistuje. Přesto lze říci, že jde o kombinaci vhodného návrhu architektury datové sítě z pohledu topologie, použitých technologií a komunikačních protokolů. To vše by mělo navíc zohledňovat potřeby a geografické či logické členění organizace.
Rozdílné potřeby bude mít malá lokální výrobní společnost, velká nadnárodní společnost s mnoha pobočkami, univerzitní campus nebo poskytovatel internetu (ISP) či hostingové datové centrum. Pro návrh, instalaci, konfiguraci a správu datové sítě však máme celou řadu protokolů a příkladů dobré praxe, o které je možné se opřít. Tyto best practices a vhodné konfigurace a protokoly přispívají nejen k dobře fungující datové síti, ale i k základním stavebním kamenům kybernetické bezpečnosti.
Důležitost datové sítě
Ne každý útok na organizaci musí být cílen na krádež citlivých dat, jejich zašifrování nebo prosté vymazání, jak to známe u ransomware, respektive wiper útoků. Často stačí organizaci dočasně omezit provoz a schopnost fungovat, například vyřazením veřejně dostupných služeb pomocí DDoS útoku nebo kompromitací zařízení poskytujícího službu. Tyto útoky jsou často mediálně populární, což vede organizace k zaměření na ochranu perimetru, ale přitom opomíjejí ochranu interních lokálních sítí (LAN).
Datová síť je základní stavební kámen každé infrastruktury. Jsou do ni zapojena všechna zařízení a komunikují přes ní, sdílejí informace, přistupují na různé systémy, aplikace a služby, které jsou často klíčové pro fungování provozu, výroby nebo celé organizace. Za tím vším je síťová a serverová infrastruktura, která je často opomíjená, zvláště pak v případě lokálních datových sítí (LAN).
Proto bezpečnostní ekosystém obsahující různé nástroje a systémy nemusí dostačovat v případě, že základ není dobře nastaven.
Na problematiku LAN sítí je možné nahlížet z několika různých úhlů pohledu. Představíme alespoň několik z nich – architekturu datové sítě, segmentace sítě a řízení přístupu do sítě.
Architektura datové sítě
Z pohledu provozu je nutné se podívat na architekturu datové sítě, a to přes všechny tři vrstvy L1-L3 OSI modelu (fyzická, linková a síťová vrstva).
Fyzická vrstva L1 zabezpečuje fyzické propojení jednotlivých aktivních prvků, které zajišťují funkčnost, stabilitu a bezvýpadkovost. Provoz stabilní datové sítě na špatné optice, strukturované kabeláži nebo vadné datové zásuvce stabilní datovou síť nezajistí. Určitě si vzpomenete na případy z praxe, kdy se datová síť provozuje přes nevhodnou nebo poškozenou optickou infrastrukturu. Přiskřípnuté nebo zalomené optické patch kabely ve dveřích rozvaděčů, zanešené koncovky optických spojek na vanách, špínou obroušené ferule optických konektorů – všechny tyto případy jsou zdrojem výpadků datové sítě.
Výpadky na fyzické vrstvě se přenášejí do vyšších vrstev, a tak i lokálně vypadající problém může mít dopad na chování a výpadky celé nebo části sítě.
Příkladem je přepočítání Spanning-Tree protokolu (STP).
Spanning Tree Protocol je síťový protokol na linkové vrstvě, který zajišťuje předávání informací o topologii sítě na principu grafu, kde vrcholy grafu jsou jednotlivé přepínače a díky těmto informacím dochází k prevenci trasových smyček. Jeho hlavním účelem je zajistit, aby v síti existovala pouze jedna aktivní cesta mezi dvěma libovolnými koncovými zařízeními.
Tento proces může ovlivnit celou L2 topologii (v závislosti na použitém typu STP protokolu), což může způsobit výpadky na celé části sítě. Podobné problémy vznikají i na L3, pokud je na dané lince také „spojovka“ mezi routery v rámci dynamického routovacího protokolu.
STP může být velkým zdrojem problémů a výpadků v datové síti, proto je vhodné, aby všechna zařízení v STP doméně podporovala stejný typ STP protokolu, ideálně s podporou vytvoření STP stromu přes jednotlivé VLAN. Doporučuje se vhodná konfigurace Root-bridge nebo implementace Root-guarda. K minimalizaci vlivu L2 problémů na datové centrum může pomoci logické nebo geografické oddělení částí sítě na vrstvě L3.
Pro zajištění stabilní a bezvýpadkové sítě je vhodné monitorovat a vyhodnocovat síťovou dostupnost jednotlivých prvků v rámci síťové infrastruktury a výkonnostních metrik (RTT, ART, UET) aplikací a služeb. S tím pomůže GREYCORTEX Mendel, který tyto informace monitoruje, pomůže s identifikací nedostatečné konfigurace nebo problémů s interoperabilitou mezi výrobci a informuje o anomáliích.
Segmentace sítě pro ochranu integrity LAN sítí
Na samotnou bezpečnost a výkon datových sítí má zcela zásadní vliv segmentace sítě. Má dva hlavní benefity – provozní a bezpečnostní.
Z hlediska provozu doporučujem rozdělit jednotlivé broadcast domény na segmenty sítě, typicky pomocí jednotlivých VLAN. To minimalizuje různé broadcast a arp dotazy. Zároveň vhodnou volbou STP protokolu minimalizujete vliv STP na jednotlivé broadcast domény, což přispívá k vyšší stabilitě sítě.
Z hlediska bezpečnosti pak rozdělení sítě na menší segmenty pomůže lépe řídit přístupy do daných sítí a komunikaci mezi jednotlivými segmenty. Zde je potřeba monitorovat shodu nastavených bezpečnostních politik se skutečným provozem.
GREYCORTEX Mendel je ideálním nástroj pro monitoring síťové bezpečnosti, který poskytuje přehledné informace o síti. Navíc kontroluje, zda je skutečný provoz shodný s nastavenými bezpečnostními komunikačními politikami a zjištěné výsledky přehledně vizualizuje.
Řízení přístupu do sítě
To, kdo přistupuje do sítě, je jedním z nejdůležitějších aspektů v rámci ochrany integrity datových sítí. Přístup by měl být řízen jak na úrovni síťových zařízení, tak na úrovni koncových uživatelů.
Řízení přístupu na úrovni síťových zařízení
Připojení neautorizovaných zařízení, jako jsou switche a access pointy, je častým pokusem o kompromitaci sítě. Přitom existuje několik způsobů, jak se tomu bránit:
- BPDU Guard
- Vhodná konfigurace port-security
- 802.1x s Extensible Authentication Protocol (EAP)
- Pokročilé řízení přístupu
Jednou z možností je využití bezpečnostní funkcionality BPDU Guard. Ta detekuje BPDU pakety (Bridge Protocol Data Unit) používané pro komunikaci a propagaci informací v rámci STP protokolu. Při detekci BPDU paketů zablokuje port switche, čímž zamezí připojení neautorizovaného „inteligentního“ switche do sítě.
Možná vás napadne otázka: „A co obyčejný, levný, hloupý switch?“ I pro taková zařízení existují efektivní ochranná opatření.
Využijte stejné protokoly a bezpečnostní funkcionality jako při snaze o blokování přístupu do sítě pro jakákoliv další nechtěná zařízení – nezáleží zde na tom, zda se jedná o switche, access pointy, tiskárny nebo o běžné počítače. Jednou z možností, jak toho dosáhnout, je vhodná konfigurace port-security, kde můžete definovat počet MAC adres na jednom portu, a tím omezíte možnost reálného využití připojeného „rough“ switche. Případně povolíte pouze jednu konkrétní MAC adresu, čímž se zamezí připojení jiných než konfiguračně povolených zařízení.
Pro dynamické prostředí, kde se uživatelé často pohybují po budovách a kancelářích a připojují se z různých míst, je vhodné použití 802.1x s Extensible Authentication Protocol (EAP). Pomocí tohoto protokolu lze ověřit identitu uživatele i zařízení a rozhodnout o jejich připojení do sítě. Při úspěšné autentizaci a autorizaci lze zařízení nejen povolit přístup, ale také jej dynamicky přiřadit do konkrétního síťového segmentu (VLAN), například podle oddělení v rámci organizace.
Pro pokročilé řízení přístupu je možné zahrnout další atributy, jako je „zdravotní stav“ zařízení, softwarové vybavení nebo konfigurační nastavení konkrétního zařízení. K tomu je nutné nainstalovat na koncové zařízení agenta, který je samostatně stojící nebo může být součástí klienta ochrany koncových bodů. Tento agent zjišťuje informace o zařízení a zahrnuje je do přístupové politiky. Může kontrolovat například aktuálnost operačního systému, ochrany koncových bodů, instalaci konkrétních aplikací, certifikátů nebo nastavení v registrech operačního systému.
Skutečný obraz aktiv v síti a vazby mezi nimi, ne jen to, co je evidováno v různých seznamech nebo asset managementech, vám také dodá GREYCORTEX Mendel, který tyto informace poskytne jednoduše a přehledně.
Řízení vzdáleného přístupu uživatelů
V dnešní době běžně uživatelé pracují mimo zabezpečený perimetr organizace. Pracují z domu, kaváren, letištní haly nebo hotelového pokoje během služební cesty.
Vzdálený přístup uživatelů do firemní infrastruktury a na firemní systémy klade vysoké nároky na zabezpečení koncových stanic, a správné řízení vzdálených přístupů je proto kritické. Vynucení stejného bezpečnostního standardu nebo bezpečnostních politik mimo zabezpečenou infrastrukturu organizace není jednoduché.
Tradiční VPN přístupy se stále těší velké popularitě, jedná se statisticky o nejpoužívanější způsob vzdáleného přístupu, ale mají svá omezení a často nezajišťují dostatečnou bezpečnost. Proto je potřeba monitorovat, kdo do VPN přistupuje, s jakými zařízeními nebo systémy komunikuje, přes jaké protokoly, jaké služby využívá nebo kolik přenesl dat. I s tím vám pomůže GREYCORTEX Mendel.
Vedle toho se nabízí řešení typu Zero Trust Network Access (ZTNA). Ta poskytují bezpečnější alternativu, která umožňuje přístup pouze na konkrétní aplikace nebo služby a zvyšuje transparentnost a kontrolu.
Budujte bezpečné sítě a monitorujte, co se v nich děje
Dobře fungující síť je základem kybernetické bezpečnosti. Stabilní, bezvýpadková, odolná, výkonná, robustní, škálovatelná a bezpečná datová síť tvoří základní kámen pro budování uceleného kyberneticko-bezpečnostního řešení. Použití NDR nástrojů jako GREYCORTEX Mendel a osvědčených postupů přispívá k lepší správě a ochraně síťové infrastruktury a tím i k celkové bezpečnosti organizace.
Kategorie
- Novinky (17)
- IT/OT bezpečnost (20)
- Webináře (5)