Wirtualne łącze prywatne Firmy widzą potrzebę ochrony danych
Sieć VPN nie zapewni firmie całkowitego bezpieczeństwa. Łącza są szczelne, ale nie komputery.
Mobilność pracowników i rozproszenie firmy na kilka lokalizacji powodują konieczność przesyłania coraz większych ilości danych. Najlepszym narzędziem do bezpiecznej wymiany informacji wydaje się wirtualna sieć prywatna VPN (Virtual Private Network).
— VPN można scharakteryzować jako tunel, przez który przesyłane są — między klientami końcowymi — chronione dane i aplikacje za pośrednictwem publicznej sieci, tak że węzły tej sieci nie stanowią przeszkody dla przesyłanych pakietów. Dane mogą przepływać bez problemów — tłumaczy Edwin Sternitzky, menedżer ds. marketingu na Europę Środkową w Citrix Systems.
Wejść tylnymi drzwiami
Przypadkowy użytkownik nie przechwyci ani nie odkoduje zaszyfrowanych danych.
— VPN izoluje dane o szczególnym znaczeniu. Wykorzystują je wyłącznie osoby uprawnione. Ponadto sieć umożliwia mobilnym użytkownikom biznesowym dostęp do danych niezależnie od miejsca, w którym się znajdują — wyjaśnia Dariusz Maciejewski, menedżer ds. kluczowych klientów w Avaya Poland.
Zastosowanie technologii VPN nie oznacza, że dane są całkowicie chronione — zagrożenie ich utratą może nadejść z innej strony.
— Bezpośrednio do tunelu nie da się włamać, gdyż stosowane algorytmy są dosyć mocne. Można go jednak podrobić. Niezbędne przy logowaniu hasło — jeżeli jest stałe — może zostać przechwycone przez zainstalowanego trojana. Dodatkowa słabość niektórych VPN-ów to brak kontroli jakości stacji, która łączy się z centralą — opowiada Robert Dąbroś, inżynier systemowy w McAfee.
W takim przypadku dane mogą zostać wykradzione przez włamanie się do komputera, na który zostały ściągnięte przez bezpieczną sieć. Dlatego niektóre produkty wymagają odpowiedniego stanu stacji, której udostępniają dane. Bez aktualnego stanu systemu operacyjnego, firewalla oraz antywirusa połączenie nie zostanie nawiązane.
Dane traci się najczęściej przez błąd człowieka. VPN stara się ograniczać ludzką zawodność.
— Użytkownik, uzyskując dane, może chcieć przekazać je dalej. Niepożądany dostęp do danych da się jednak zablokować, uniemożliwiając zgranie ich na dysk USB, wydrukowanie czy wysłanie pocztą internetową — twierdzi Robert Dąbroś.
Kolejny problem to łatwość przechwytywania haseł. Bardzo często użytkownicy ustawiają hasła standardowe, łatwe do odgadnięcia. Prawidłowo zainstalowane rozwiązanie VPN polega na wdrożeniu — jako haseł użytkowników albo generatorów — haseł jednorazowych (tzw. tokenów) albo certyfikatów, które użytkownik ma zawsze przy sobie.
— Podejrzenie hasła jednorazowego przez nieuprawnioną osobę nic jej nie da, bo jak sama nazwa wskazuje, używa się go tylko raz. Natomiast tokeny ustalają hasła ważne przez określony czas, np. minutę. W centrali firmy umieszczony jest serwer haseł, z którym są zsynchronizowane tokeny użytkowników — informuje Marcin Strzyżewski, inżynier systemowy w Cisco Systems Polska.
Pewność kosztuje
Zyski z przestępczości internetowej sięgają milionów dolarów, dlatego coraz więcej firm rozumie konieczność inwestowania w bezpieczeństwo. Rynek rozwiązań VPN jako jednego z rodzajów zabezpieczeń rośnie. Analitycy z firmy Gartner szacują, że w połowie 2006 r. dochód z rynku VPN wzrósł na świecie o 20 proc., w stosunku do dochodu z 2005 r. Według prognoz, do 2008 r. VPN stanie się głównym sposobem dostępu na odległość dla około 90 proc. zwykłych pracowników oraz większości telepracowników i wykonawców.
— Rozwój VPN łączy się także z rozwojem rynku rozwiązań do komunikacji biznesowej. W miarę przybywania użytkowników telefonii mobilnej opartej na IP, laptopów i PDA — sumuje Dariusz Maciejewski.
okiem praktyka
Adam Obszyński
NextiraOne Polska
Ochrona danych powinna reagować na zagrożenia
Proszę wyobrazić sobie sytuację: pracownik pojawia się w oddziale firmy z wirusem albo robakiem internetowym, którego na urlopie „złowił” w nadmorskiej kawiarence internetowej. Nadmorski wirus zaatakował wszystkie komputery firmy. Oddział jest połączony z centralą szyfrowanym — zatem bezpiecznym — kanałem VPN. Mimo to posiadanie tego kanału nie zabezpieczyło firmy przed atakiem z wewnątrz. Jak wyglądałby atak w przypadku wprowadzenia odpowiednich warstwowych mechanizmów bezpieczeństwa? Pracownik uruchamia laptopa z nadmorskim wirusem w oddziale firmy. Mechanizmy systemu sprawdzają, czy oprogramowanie wirusowe zawiera aktualne bazy wirusów. Jeżeli nie — użytkownik nie dostaje dostępu do sieci firmowej. Zostaje zamknięty w specjalnej wirtualnej sieci pułapce, w której ma możliwość zaktualizowania oprogramowania antywirusowego. Jeżeli program wirusowy nie wykrył wirusa mimo zaktualizowania bazy, użytkownik zostanie sprawdzony przez system aktywnego skanowania bezpieczeństwa. Jeżeli i tym razem nie uda się wykryć wirusa — komputer uzyskuje dostęp do sieci firmy. Działający na komputerze wirus atakuje pozostałe komputery firmy. W tym celu skanuje sieci oraz sprawdza wrażliwość komputerów na atak, za pomocą którego jest w stanie się przenosić. Tego typu działania są wykrywane przez system, który je blokuje, alarmując jednocześnie administratora bezpieczeństwa i proponując mu rozwiązanie — zablokowanie portu przełącznika sieci LAN, do którego jest podłączony laptop z nadmorskim wirusem.
Sytuacja jak z filmu sensacyjnego z wartką akcją. Jednak takie ataki zdarzają się. Podczas gdy czytaliście państwo ten przykładowy scenariusz, wasza sieć mogła zostać zaatakowana przez „bezpieczne” łącze VPN.
Łukasz Łyczkowski