Porozmawiajmy!Jesteśmy gotowi na Twój projekt!

Dział handlowy+48 660 427 444Zapytania ofertoweDział logistyki
Kontakt

Blog

Blog

Jako sieć rozległa, WAN (Wide Area Network) łączy ze sobą sieci lokalne, zapewniając komunikację np. pomiędzy oddziałami firmy.

Od tego, jak dobrze będziemy chronić połączenia WAN, zależy bezpieczeństwo całego naszego rozproszonego środowiska. Wiele skutecznych sposobów na zabezpieczenie brzegu sieci oferują nowoczesne platformy firewall. Ponieważ łącza WAN są z reguły dostarczane przez operatorów komunikacyjnych, to nasze dane przesyłane przez sieć rozległą mogą być widoczne dla innych. Problem rozwiązuje zestawienie pomiędzy zdalnymi lokalizacjami połączeń VPN (Virtual Private Network), w których ruch jest szyfrowany w oparciu o protokół IPsec. Dzięki temu informacje przesyłane przez WAN nie mogą już zostać „podsłuchane”.

 

 

VPN to dopiero początek

Chociaż IPsec rozwiązuje przy użyciu szyfrowania problem „widoczności” danych przesyłanych pomiędzy lokalizacjami, to nie chroni w razie udanego ataku na jedną z nich. Jeśli hakerzy uzyskają dostęp, do któregoś ze zdalnych oddziałów, to w kolejnych krokach – wykorzystując tzw. techniki lateral movements – będą mogli zdobyć dostęp do innych lokalizacji czy firmowego data center.
Przypomnijmy sobie jeden z największych ataków hakerskich w historii. W maju 2017 roku ransomware WannaCry zaszyfrował ponad 300 tys. komputerów na całym świecie. Atak, który miał swój początek na Ukrainie, dotknął wiele firm korzystających z połączeń VPN ze swoimi ukraińskimi oddziałami, które były źle zabezpieczone. WannaCry do infekcji wykorzystywał krytyczną podatność MS17-010 protokołu SMBv1 i rozprzestrzeniał się błyskawicznie, chociaż stosowna poprawka została wydana przez Microsoft już w marcu 2017, a więc dwa miesiące przed atakiem.
Ataku można było więc uniknąć poprzez załatanie systemów operacyjnych Windows, co eliminowało podatność protokołu SMBv1. Z pozoru aktualizacja Windows wydaje się zadaniem prostym i do natychmiastowego wykonania, jednakże w skomplikowanych środowiskach korporacyjnych taka operacja musi być uprzednio zweryfikowana i przetestowana. A to zawsze wiąże się z pewnym opóźnieniem, co otwiera furtkę dla potencjalnych infekcji.

IPS, czyli wirtualne patchowanie

Problem z nie zawsze dostępnymi i opóźniającymi się aktualizacjami rozwiązuje „wirtualne patchowanie”, czyli zastosowanie systemów typu IPS (Intrusion Prevention System). Jako dedykowany system lub firewall z dodatkowymi funkcjami ochrony, IPS aktywnie skanuje ruch sieciowy, a następnie – wykorzystując bazy sygnatur – wykrywa próby ataku. W rezultacie jesteśmy w stanie zapobiec infekcji systemów z podatnościami, nawet bez ich aktualizowania. Co istotne, bazy sygnatur IPS-a są aktualizowane bardzo często, dlatego czas na wykorzystanie jakiejś podatności przez hakerów bardzo się skraca.
IPS to tylko jeden ze sposobów dodatkowego zabezpieczenia połączeń pomiędzy zdalnymi oddziałami. Nowoczesne platformy firewall dają nam możliwość rozszerzenia ochrony o dalsze bardzo skuteczne w swoim działaniu funkcjonalności.

Polityki dostępu to podstawa

Kluczem do prawidłowego zabezpieczenia sieci WAN są odpowiednie polityki dostępowe. Powinny być one konfigurowane zgodnie z zasadą „block by default, allow by design”. Prawa dostępu do zasobów infrastruktury IT powinny odzwierciedlać funkcje, jaką pełnią pracownicy w naszej organizacji. Poprzez wdrożenie właściwych polityk dostępowych automatycznie ograniczymy możliwość nieautoryzowanego dostępu do naszej sieci firmowej. W przypadku udanego ataku na jedno konto uzyskają oni dostęp tylko do tych systemów, do których jego użytkownik posiadał prawa, a nie do całej infrastruktury organizacji (co stałoby się, gdyby polityka dostępowa w żaden sposób nie ograniczała komunikacji). Spójna polityka w obszarze dostępu może znacznie utrudnić kompromitację kolejnych zasobów w wyniku „lateral movements”, a nawet ją uniemożliwiać.
Nowoczesne platformy typu firewall dają możliwość konfigurowania polityk dostępowych nie tylko w warstwach L3/L4 (adresy IP oraz porty usług), a także w warstwie L7, czyli na poziomie samych aplikacji. Aplikacyjne polityki dostępowe pozwalają ściśle kontrolować ruch. Przykładowo, zezwalając na komunikację protokołu DNS, możemy ograniczyć ją wyłącznie do tej usługi. Gdy inna aplikacja (np. Bittorent), będzie chciała komunikować się na wykorzystywanym przez DNS porcie tcp/udp 53, ruch zostanie zablokowany. W efekcie reguły aplikacyjne jeszcze bardziej ograniczają możliwość potencjalnych ataków.

Dodatkowe mechanizmy zabezpieczające

Wdrożenie wielofunkcyjnego i wydajnego firewalla pozwoli także na eliminowanie z ruchu sieciowego plików, które stanowią potencjalne ryzyko, takich np. jak PE (Portable Executable) czy pliki szyfrowane wielokrotnie. Dozwolony ruch będzie nie tylko poddany inspekcji mającej wykrywać próby włamań (wspomniana już wcześniej funkcja IPS), ale także skanowany pod kątem malware. Ważne jest, aby skaner antywirusowy analizował również zagrożenia nieznane, wykorzystując tzw. sandboxing. Wybierając firewall z taką funkcjonalnością, trzeba zdawać sobie sprawę, że zdecydowana większość dostępnych na rynku sandboxów sieciowych nie zapewnia ochrony w czasie rzeczywistym. Gdy działający z opóźnieniem sandbox wyda po analizie pliku werdykt „malicious”, najprawdopodobniej w naszej sieci będziemy już mieli „pacjenta zero”, czyli pierwszy zainfekowany host.
Niektóre nowoczesne platformy typu firewall umożliwiają także wykrywanie ruchu Command and Control (C&C), czyli komunikacji ze zdalnymi serwerami cyberprzestępców. Pozwala to wykryć potencjalnie zainfekowane stacje oraz powstrzymać kompromitację kolejnych zasobów.

Podsumowując: kluczem do skutecznego zabezpieczenia sieci WAN są optymalne polityki dostępowe firewalla wsparte dodatkowymi mechanizmami ochrony, takimi jak: skaner antywirusowy z funkcją sandboxa, system IPS, kontrola mogących stwarzać zagrożenie plików oraz wykrywanie komunikacji C&C. Trzeba przy tym zdawać sobie sprawę, że optymalne polityki dostępowe i konfiguracja firewalla nie są czymś tworzonym raz na zawsze. Powinno się je regularnie kontrolować i rozwijać.

Potrzebujesz wsparcia, masz pytania?
Napisz do nas.

Kontakt
Inżynier Sieciowy Security i Sieci

Paweł Zwierzyński

Inżynier Sieciowy w Vernity

Nasza strona internetowa używa plików cookies w celach statystycznych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Dowiedz się więcej.