Programy analizy ruchu w sieci komputerowej (Sniffery)

Oceń tę pracę

podrozdział pracy magisterskiej o zaporach ogniowych

Sniffery to programy służące do przechwytywania pakietów sieciowych. Pierwotnym zastosowaniem programów tego typu jest analiza ruchu w sieci i identyfikacja potencjalnych problemów. Przykładowo, w sytuacji kiedy jeden segment sieci działa mało wydajnie – dostarczenie pakietu odbywa się bardzo wolno lub komputery blokują się przy uruchamianiu w sieci. Do dokładnego określenia przyczyny takiego zachowania używamy programu typu Sniffer. Sniffery różnią się znacznie między sobą funkcjonalnością i stopniem programistycznego zaawansowania – niektóre z nich analizują tylko jeden protokół, podczas gdy inne setki. Ogólnie rzecz ujmując, program taki analizuje protokoły:

  • Standardowy Ethernet
  • TCP/ IP
  • IPX
  • DECNet

Analizatory protokołów zawsze są kombinacją sprzętu i oprogramowania. Komercyjne programy tego typu są drogie (zazwyczaj sprzedawane są w pakiecie z komputerem zbudowanym z uwzględnieniem funkcji sieciowej, jaką będzie on pełnić), natomiast te, które są dostępne jako oprogramowanie typu freeware, nie oferują żadnej pomocy technicznej.

Analizatory ruchu w sieci komputerowej znacznie różnią się od programów przechwytujących kody naciskanych klawiszy. Programy typu sniffer przechwytują pakiety sieciowe poprzez ustawienie karty sieciowej w tzw. tryb mieszany (promiscuous mode). Lokalne sieci komputerowe są małymi sieciami typu Ethernet (najczęściej). Dane z jednego komputera przesyłane są do drugiego przy pomocy kabla sieciowego.

Istnieją różne rodzaje kabli, różniących się szybkością przesyłania danych, z których najpowszechniej stosowanych jest pięć:

  • 10BASE-2 kabel koncentryczny (cienki), którym standardowo można przesyłać dane na odległość 152 metrów.
  • 10BASE-5 kabel koncentryczny (gruby), którym standardowo można przesyłać dane na odległość 457 metrów.
  • 10BASE-5 kabel światłowodowy
  • 10BASE-T skrętka dwuprzewodowa, standardowo przesyłająca dane na odległość 183 metry.
  • 100BASE-T kabel przystosowany do przesyłania danych z prędkością 100 megabitów na sekundę, (na odległość do 100 metrów).

Transmisja danych w sieci komputerowej odbywa się małych porcjach –  ramkach. Ramki te są podzielone na sekcje, z których każda zawiera z góry określone informacje, na przykład pierwsze 12 bajtów ramki sieci Ethernet niesie informacje o adresie odbiorcy i nadawcy pakietu. Inne sekcje ramki przenoszą właściwe dane użytkownika, nagłówki TCP/IP, nagłówki IPX, itd.

Ramki są przygotowywane do wysłania przez specjalny program, zwany sterownikiem sieciowym. Następnie przesyłane są z komputera wyjściowego do sieci poprzez kartę sieciową, skąd przemieszczają się do miejsca przeznaczenia. Po dotarciu do maszyny docelowej proces jest odwracany, tj. karta sieciowa w komputerze odbiorcy pobiera ramki i, informując system operacyjny o tym fakcie, przekazuje sterowanie odpowiedniemu oprogramowaniu, które zajmuje się dalszą obróbką pakietów.

Analizatory protokołów stanowią zagrożenie dla bezpieczeństwa z powodu sposobu, w jaki ramki są przesyłane i dostarczane do miejsca przeznaczenia. Poniżej przedstawione jest krótkie omówienie tego procesu.

Każda stacja robocza w lokalnej sieci komputerowej ma swój własny adres sprzętowy. Adres ten jest unikalny dla odróżnienia poszczególnych komputerów w sieci (przypomina to system adresowania w sieci Internet). Wysyłając jakiekolwiek dane przez sieć LAN, pakiety z danymi trafiają do wszystkich komputerów w tej sieci.

W normalnych okolicznościach wszystkie komputery w sieci mogą „słyszeć” cały ruch, który się w niej dobywa, ale reagują tylko na te dane, które są zaadresowane specjalnie dla nich (innymi słowy stacja robocza A nie przechwyci danych przeznaczonych dla stacji roboczej B lecz je zignoruje). Jeśli jednak karta sieciowa danej maszyny znajduje się w trybie mieszanym, może przechwytywać wszystkie pakiety i ramki w sieci. Stacja robocza skonfigurowana w ten sposób (i jej oprogramowanie) stanowi analizator ruchu w sieci komputerowej (sniffer).

Programy tego typu sniffer stanowią wysoki poziom ryzyka.

  1. Mogą przechwytywać hasła.
  2. Mogą przechwytywać poufne lub zastrzeżone informacje.
  3. Mogą być użyte do naruszenia bezpieczeństwa sąsiednich sieci lub zdobycia stopniowego dostępu do nich.

Wykrycie przez administratora „obcego” analizatora umieszczonego w jego sieci oznacza w większości przypadków, że zabezpieczenia sieci już zostały pokonane.

Programy tego typu przechwytują wszystkie pakiety danych podróżujące w sieci, lecz w praktyce konieczne jest zawężenie przechwytywanych pakietów do tych, które są dla użytkownika z jakiegoś względu istotne.

Przeprowadzenie ataku przy pomocy sniffera nie jest proste – wymaga dość zaawansowanej wiedzy o sieciach. Zwyczajne zainstalowanie takiego programu i uruchomienie go prowadzi do problemów, gdyż nawet sieć z pięcioma stacjami roboczymi przesyła tysiące pakietów na godzinę. W krótkim czasie plik wynikowy sniffera może zapełnić cały dysk twardy (jeśli przechwytywany jest każdy pakiet).
Aby obejść ten problem, krakerzy na ogół przechwytują tylko 200-300 początkowych bajtów każdego pakietu, gdzie zawarta jest nazwa użytkownika i jego hasło (a to właściwie wszystko, co kraker chce wiedzieć). Jednakże, jeśli intruz dysponuje maszyną z wystarczającą ilością miejsca na dyskach – może przechwytywać cały ruch w sieci – niekiedy i w dalszej części pakietu można znaleźć interesujące informacje.

Analizator ruchu w sieci może zostać założony w dowolnym miejscu w sieci. Jednak są pewne punkty strategiczne, które pozostają w kręgu szczególnego zainteresowania krakerów (jak na przykład miejsca, gdzie często dokonuje się procedur autoryzacji). Na szczególne niebezpieczeństwo narażone są maszyny będące bramkami pomiędzy sieciami. Ruch generowany w okolicach takiego komputera zawiera stosunkowo najwięcej pakietów pochodzących z procedur autoryzacji. Umiejscowienie sniffera w tym miejscu zwiększa sferę wpływów intruza w sposób wykładniczy.

W ostatnim czasie technologie związane z bezpieczeństwem systemów uległy znacznemu udoskonaleniu. Niektóre systemy operacyjne wykorzystują szyfrowanie na poziomie pakietu i dlatego, nawet jeśli sniffer przechwyci istotne dane, będą one zaszyfrowane. Stanowi to przeszkodę do ominięcia jedynie przez użytkowników posiadających dogłębną wiedzę z dziedzin: bezpieczeństwa systemów, szyfrowania oraz sieci.

Sniffery dostępne są w postaci pakietów komercyjnych (często programowo-sprzętowych) oraz programów typu freeware. Początkującym administratorom zaleca się zapoznanie z ogólną charakterystyką analizatora ruchu na podstawie któregoś z darmowych pakietów. Doświadczeni administratorzy dużych sieci powinni posiadać przynajmniej jeden sniffer komercyjny. Programy te są nieocenione przy diagnozowaniu problemów sieci.

image_pdf

Świadek koronny

5/5 - (1 vote)

kontynuujemy prezentowanie pracy magisterskiej, od której rozpoczynaliśmy pisanie naszego bloga

Pod pojęciem świadka koronnego rozumie się osobę, która będąc podejrzana o dokonanie przestępstwa godzi się na współpracę z prokuratorem i złożenie wyczerpujących zeznań obciążających innych podejrzanych, za co gwarantuje się jej znaczące koncesje ze strony oskarżenia, z odstąpieniem od ścigania karnego i uniknięcia odpowiedzialności karnej włącznie. W tym kontekście mówi się nawet o „handlu” przez taką osobę istotnymi dla skazania pozostałych sprawców informacjami i „nagrodzie”, na jaką takim działaniem zasługuje. Rozwój i swoista popularność tej instytucji związana jest z narastaniem zjawiska przestępczości w ogóle, a przestępczości zorganizowanej w szczególności.[10]

Instytucja świadka koronnego została wprowadzona w Polsce ustawą z 25 czerwca 1997 roku o świadku koronnym.[11] Jest to tzw. ustawa epizodyczna czyli czasowa, ma bowiem obowiązywać przez okres 3 lat, do 31 sierpnia 2001 r. (art. 27 ustawy), przy czym jej przepisy będą stosowane później do świadków koronnych ustanowionych przed utratą mocy prawnej przez tę ustawę (art. 26 ustawy).

Ustawa stanowi, że świadek koronny nie będzie podlegał karze za przestępstwo, w odniesieniu do którego instytucja ta może wchodzić w rachubę i w którym on sam uczestniczył, a które ujawnił w trybie ustalonym przez ustawę o świadku koronnym (art. 9 ust. 1):

  • o przestępstwa popełnione w zorganizowanej grupie przestępczej albo w związku mającym na celu popełnienie przestępstw:
  1. zamachu na życie Prezydenta RP (art. 134 k.k.)
  2. zabójstwa zwykłego i kwalifikowanego (art. 148 § 1-3 k.k.)
  3. sprowadzenia zdarzenia z zakresu niebezpieczeństwa powszechnego, o którym mowa w art. 163 § 1 i 3 k.k., lub umyślnie bezpośredniego niebezpieczeństwa takiego zdarzenia (art. 164 § 1 k.k.) albo sprowadzenie innego niebezpieczeństwa dla życia lub zdrowia (art. 165 § 1 i 3 k.k.),
  4. nielegalnego wyrobu, przetwarzania i handlu materiałami wybuchowymi, radioaktywnymi i jonizującymi (art. 171 § 1 k.k.),
  5. sprowadzenie katastrofy w ruchu lądowym, wodnym lub powietrznym (art. 173 § 1 i 3 k.k.),
  6. uprowadzenie osoby w celu uprawiania prostytucji za granicą (art. 204 § 4 k.k.),
  7. czynnej napaści na funkcjonariusza publicznego z użyciem broni palnej, noża lub innego niebezpiecznego przedmiotu albo środka obezwładniającego (art. 223 k.k.)
  8. wzięcia zakładnika w celu zmuszenia do określonego zachowania (art. 253 k.k.), nielegalnego wyrabiania, posiadania i handlu bronią (art. 263 § 1 i 3 k.k.), kradzieży rozbójniczej, rozboju i szantażu (art. 280-282 k.k.),
  9. paserstwo pieniędzmi, papierami wartościowymi, wartościami dewizowymi i mieniem, które pochodzą z zorganizowanej przestępczości (art. 299 § 1-6 k.k.),
  10. podbierania i przerabiania pieniądza, puszczania go w obieg oraz przygotowanie do tych czynów (art. 310 § 1, 2 i 4 k.k.),
  • przeciwko mieniu, powodujących znaczną szkodę (art. 115 § 5 i 7 k.k.),
  • skarbowych, powodujących znaczne uszczuplenie należności Skarbu Państwa,
  • wytwarzania, przetwarzania i obrotu środkami odurzającymi lub substancjami psychotropowymi,
  • podrabianie, przerabianie znaków skarbowych akcyzy lub zbywanie ich bądź przekazywanie osobom nieuprawnionym oraz posiadanie tych znaków bez stosownego dokumentu (art. 21 i 23 ustawy z 2 grudnia 1993 r. o oznakowaniu wyrobów znakami skarbowymi akcyzy.[12]),
  • o przestępstwo samego udziału w zorganizowanej grupie albo w związku mającym na cele popełniania przestępstw, w tym o charakterze zbrojnym (art. 258 k.k.).

Instytucji tej nie stosuje się do sprawcy, który w związku z udziałem w przestępstwie, wymienianym w katalogu przedstawionym wyżej, usiłował popełnić lub popełnił zabójstwo lub w jego popełnieniu współuczestniczył, nakłaniał inną osobę do popełnienia czynu zabronionego w celu skierowania przeciwko niej postępowania karnego albo działalność przestępną organizował lub nią kierował (art. 4 ustawy).

W Polsce szczególnym problemem jest zapewnienie świadkowi i osobom mu najbliższym ochrony osobistej i pomocy prawnej w razie zagrożenia życia lub zdrowia tych osób, nie tylko dlatego, że jest to sprawa bardzo kosztowna, ale i trudna z punktu widzenia pełnej skuteczności ochrony.

Zgodnie z rozporządzeniem Rady Ministrów z 30 grudnia 1998 roku w sprawie szczególnych warunków, zakresu i sposobu udzielania oraz cofania ochrony i pomocy świadkom koronnym i innym osobom[13] ochrona osobista polega na:

  • stałej lub okresowej obecności policjanta lub policjantów w pobliżu osoby chronionej,
  • stałej lub okresowej obserwacji osoby chronionej i otoczenia, w którym przebywa,
  • wskazywania osobie chronionej miejsca pobytu oraz czasu i sposobu przemieszczania się,
  • określania zakresu, warunków i sposobu kontaktowania się osoby chronionej z innymi osobami (§ 4 pkt. 2).

Instytucja świadka koronnego budzi wiele kontrowersji co do strony ustrojowej i etyczno-prawnej tej instytucji. Ogólnie można powiedzieć, że wprowadza ona pewien konflikt między postulatem ochrony społeczeństwa zagrożonego działalnością różnego rodzaju mafii i innymi formami przestępczości zorganizowanej a obroną klasycznych wartości i zasad prawa oraz procesu karnego.

Jednym z poważniejszych zarzutów jest to, że zapewnienie sprawcy niekaralności lub nadzwyczajnego złagodzenia kary jest naruszeniem zasady równości wobec prawa, gdyż inni sprawcy z tego przywileju nie korzystają, mimo, że często waga wszystkich przestępstw jest prawie jednakowa.[14]

Ponadto uważa się, że wprowadzenie instytucji świadka koronnego narusza pewność obrotu prawnego, skoro nie jest oczywiste, czy sprawca, którego czyn dzięki przyznaniu się nie budzi wątpliwości, zostaje ukarany. Nie bierze się pod uwagę tego, że sprawca przyznaje się i ujawnia czyn innych osób tylko dlatego, że liczy na premię w postaci bezkarności.

Fundamentalnym problemem jest wartość dowodowa zeznań świadka koronnego. W rzeczywistości są one pomówieniem, które, zgodnie z polskim orzecznictwem, należy traktować z maksymalną ostrożnością. Zgodnie z zasadami procesu karnego, zeznania to należy oceniać w świetle całokształtu okoliczności. Problem pojawia się natomiast, gdy zeznania świadka koronnego okazują się jedynym dowodem w sprawie, a taka sytuacja najczęściej będzie miała miejsce. Dlatego tym bardziej takie zeznania wymagają wnikliwej analizy i oceny wiarygodności.[15]

Pomimo tych zarzutów instytucja świadka koronnego wciąż pozostaje argumentem w walce z przestępczością zorganizowaną. Niezastąpioną rolę może ona odegrać szczególnie w rozbijaniu solidarności porozumień przestępczych. Nowe groźne przestępstwa, takie jak produkcja i obrót narkotykami, terroryzm, oszustwa podatkowe i celne na wielką skalę, transnacjonalne kradzieże samochodów, międzynarodowy handel bronią, są z reguły przestępstwami popełnianymi przez organizacje przestępcze lub mniej formalnie inne porozumienia przestępcze, w których zmowa i milczenie są regułami postępowania, a strach przed zemstą najskuteczniejszym środkiem samoobrony. Zazwyczaj przypisane sprawcom przestępstwa są niewspółmierne do rzeczywiście popełnionych, kierujący zaś przestępstwem inni sprawcy są nadal nieuchwytni. W szczególności widzi się wysoką przydatność współpracujących podejrzanych w skomplikowanych sprawach dotyczących przestępstw gospodarczych, przestępczości zorganizowanej i mafijnej oraz związanej z przemytem i handlem narkotyków, a także w innych trudnych dowodowo sprawach o cięższe przestępstwa.[16]


[10] B. Hołyst „Kryminalistyka”, Warszawa 1996 r., s. 1038-1039

[11] Dz.U. nr 114, poz. 738 i nr 160, poz. 1083

[12] Dz.U. nr 127, poz. 584 z późn. zmianami)

[13] Dz.U. nr 165, poz. 1193

[14] S. Waltoś: Świadek koronny – obrzeża odpowiedzialności karnej, „Państwo i Prawo” 1993 r., nr 2

[15] J. Grajewski: Instytucja świadka koronnego w procesie karnym, „Wojskowy Przegląd Prawniczy” 1994, nr 3-4

[16] T. Tomaszewski: Proces amerykański – problematyka świadka. Warszawa 1996 r., s. 99

Praca dyplomowa zawiera rozwiązanie konkretnego problemu praktycznego i może mieć charakter projektu, studium porównawczego lub opracowania analitycznego. Polecamy dobry poradnik prac dyplomowych – od A do Z jak pisać pracę dyplomową.

image_pdf

Zabezpieczenia komputera – Programy skanujące

Oceń tę pracę
Błędem byłoby jednakże zawierzenie bezpieczeństwa sieci programowi skanującemu. W najlepszym przypadku programy skanujące oferują możliwość szybkiego sprawdzenia bezpieczeństwa protokołów TCP/IP i nic ponadto. Nie powinny one być zatem jedynymi narzędziami stosowanymi do sprawdzania bezpieczeństwa sieci. Jeżeli po przebadaniu sieci uzyskamy potwierdzenie jej bezpieczeństwa, nie musi to wcale oznaczać, że sieć pozbawiona jest luk w systemie zabezpieczeń.

Programy skanujące:

Nessus

Tabela 8

Typ pogramy skanującego: Skaner portów TCP/IP
Autor: Renaud Deraison
Język programowania: C
Wyjściowy system operacyjny: Linux
Docelowy system operacyjny: UNIX (ogólnie)
Wymagania: Linux,C

Źródło własne

Podstawowe cechy programu

Pierwotnie Nessus powstał na platformie Linux, a w maju 1998 roku napisane zostały wersje na platformy NetBSD i Solaris. Nessus jest zestawem narzędzi do skanowania, w który zostały wbudowane kody źródłowe wszystkich najistotniejszych programów służących do wykorzystywania luk systemowych. Do programu można w łatwy sposób dołączać nowe moduły, co świadczy o jego elastyczności.

Nessus pracuje w środowisku graficznym X Windows. Jego graficzny interfejs zbudowano przy wykorzystaniu elementów graficznych z biblioteki gtk (Gimp Toolklfj – wymaganej do jego uruchomienia.

gtk jest bezpłatną biblioteką tzw. widget’ów – elementów wykorzystywanych do konstrukcji interfejsu programu w środowisku graficznym (X Windows w tym przypadku).

image_pdf

Handel żywym towarem

5/5 - (1 vote)
W ostatnich latach odbyło się kilka procesów związanych z handlem żywym towarem. Zorganizowane polsko-zagraniczne grupy przestępców przerzucał za granicę dziewczyny, które zmuszano do uprawiania prostytucji. W ostatnich latach odnaleziono także wiele polskich dzieci sprzedanych za granicę.

Interpol ocenia, że rocznie około 1,5 tys. Polek jest sprzedawanych za granicę. Jednakże trudno ocenić rzeczywistą liczbę kobiet godzących się na pracę w domach publicznych. Niektóre z nich, gdy przestaje im to odpowiadać, zgłaszają przestępstwo. Niełatwo jest też ustalić, ile z nich padło ofiarą chęci łatwego zarobku za granicą.

Na międzynarodowej konferencji zorganizowanej w Wiedniu przez Komisje Europejską i Międzynarodową Organizację do Spraw Migracji (IOM) stwierdzono, że kobiety sprowadzane są do państw Unii Europejskiej z całego świata. Większość pochodzi jednak z Czech, Węgier, Polski, Ukrainy, Rumunii, Rosji i wschodnich państw nadbałtyckich. Ocenia się, że liczba sprzedanych kobiet do krajów Unii Europejskiej wynosi przynajmniej 500 tysięcy.24

W dniach 18 i 19 grudnia 1998 roku w Międzynarodowym Centrum Szkoleń Specjalistycznych Policji w Legionowie przeprowadzono międzynarodowe seminarium na temat nielegalnego handlu i eksploatacji ludzi. Udział w tym spotkaniu wzięli między innymi: przedstawiciele Biura Międzynarodowej Współpracy Policji i Biura Koordynacji Służby Kryminalnej Komendy Głównej Policji oraz oficerowie policji/milicji z Rosji, USA, Ukrainy, Niemiec, Litywy, Francji, Belgii, Szwecji, Wielkiej Brytanii, Czech, Węgier, Interpolu, Europolu, Komitetu Integracji Europejskiej i organizacji pozarządowej „La Strada”.

Celem tego spotkania było między innymi:

  • międzynarodowa wymiana informacji o organizacjach handlu ludźmi, o ich sposobach działania i kanału przerzutu ofiar,
  • stworzenie kanału „szybkiego kontaktu i informacji” na temat handlu i seksualnego wykorzystywania ludzi na użytek policji/milicji z krajów Europy Zachodniej i Środkowo-Wschodniej,
  • współpraca z organizacjami pozarządowymi, w granicach wewnętrznych regulacji prawnych poszczególnych państw,
  • plany i propozycje działań prewencyjnych – szczególnie w krajach pochodzenia ofiar (np. akcje informacyjne w szkołach, w środkach masowego przekazu) na temat zagrożeń,
  • propozycje cyklicznych szkoleń w tej dziedzinie w Międzynarodowym Centrum Szkolenia Specjalistycznych Policji w Legionowie, przede wszystkim dla policjantów, którzy mają do czynienia bezpośrednio z poszkodowanymi osobami.25

ciąg dalszy tej pracy dyplomowej nastąpi…


24 Życie gospodarcze 1997 nr 11 „Źródła brudnych dochodów” J.W. Wójcik

25 Materiały policyjne (internet)

image_pdf

Usługi dodatkowe systemów firewall

Oceń tę pracę
Systemy firewall oferują wiele dodatkowych usług, które pomagają zabezpieczyć sieć bądź przyspieszyć jej pracę. Wśród nich na szczególne wyróżnienie zasługują Proxy Cache Services. Usługa ta umożliwia zoptymalizowanie ruchu na łączu WAN poprzez przechowywanie informacji (stron WWW), do których często odwołują się użytkownicy sieci; zwykle jest to element zintegrowany z serwerami pośredniczącymi.

W przypadku przyspieszania pracy klientów lokalnej sieci, Proxy Cache Server umieszczamy pomiędzy nimi a Internetem. Wówczas żądania o strony umieszczone w pamięci serwera są obsługiwane z prędkością LAN, a łącze WAN nie jest wcale obciążane.

Rysunek 4


źródło własne

W przypadku intensywnie eksploatowanych serwerów WWW, umieszczonych w głębi sieci lokalnej, również warto zastosować Proxy Cache Server. Odciąży on serwery i zmniejszy transmisję w sieci LAN.

Rysunek 5


źródło własne

W przypadku bardzo dużych i intensywnie eksploatowanych serwisów WWW możemy użyć kilku połączonych równolegle Proxy Cache Server. Mogą one obsługiwać serwery WWW różnych producentów.

Rysunek 6


źródło własne

Gdy nasza sieć jest jednym z wielu rozrzuconych elementów sieci korporacyjnej, warto zastosować hierarchiczne połączenie wielu Proxy Cache Servers. Można również połączyć serwery na tym samym poziomie drzewa, uzyskując ten sposób wielopiętrowe przyśpieszenie pracy całej sieci. Taka budowa zwiększa szansę na znalezienie poszukiwanej strony w pamięci podręcznej. Dostęp do stron rzadko używanych jest wolniejszy, ale i tak przewyższa prędkość odnalezienia strony w Internecie.

Rysunek 7


źródło własne

W pracy serwera bardzo istotne jest odpowiednie ustawienie parametrów. Przede wszystkim czasu przechowywania stron w pamięci podręcznej, czasu, po którym strona staje się nie aktualna, ilość miejsca przeznaczonego na cache.

Wiele firm, które potrzebują ciągłej wymiany informacji, staje przed dużym problemem – jak połączyć sieci lokalne wielu oddziałów oddalonych od siebie o setki, a nawet tysiące kilometrów. Wykupienie łącza dzierżawionego jest bardzo drogie, a czasem wręcz niemożliwe. Jedynym wyjściem staje się podłączenie wszystkich filii do sieci globalnej, takiej jak Internet. Virtual Private Network to usługa, która pozwala łączyć kilka sieci prywatnych tunelami, przez które przenoszone są tylko informacje zaszyfrowane. Szyfrowanie całych pakietów znacznie zwiększa bezpieczeństwo połączenia, ponieważ ukrywa numery połączeń i przesyłane dane.

Rysunek 8


źródło własne

Serwer z VPN zainstalowany na obrzeżu sieci umożliwia zarządzanie całą siecią wirtualną z dowolnego miejsca, co dodatkowo upraszcza administrację. Jedynym elementem, który powinien zostać przekazany tradycyjną metodą jest klucz (w BorderManager firmy Novell klucz jest 40- lub 128-bitowy; na eksport poza terytorium USA klucza 128-bitowego nałożone są spore restrykcje) umożliwiający nawiązanie zaszyfrowanego połączenia.

Narzędzia w rodzaju Novell IP Gateway umożliwiają sieciom pracującym z innymi protokołami, bądź z adresami IP, które nie są unikalne, korzystanie z sieci Internet. Dają możliwość całemu systemowi na korzystanie z jednego adresu IP, który również może być przydzielany dynamicznie. Umożliwia to firmie korzystającej np. z protokołu IPX na podłączenie do Internetu za pomocą modemu u dostawcy przydzielającego adresy dynamicznie (TP S.A.). Dodatkową zaletą zwiększającą bezpieczeństwo przy korzystaniu z takich usług jest ukrycie adresów lokalnych systemu.

Usługa Network Address Translation (NAT), podobnie jak IP Gateway, pozwala klientom, którzy nie posiadają unikalnych adresów, korzystać z Internetu. Dodatkowo może pracować jako filtr pozwalający tylko na niektóre połączenia z zewnątrz i gwarantujący, że wewnętrzne połączenia nie będą inicjowane z sieci publicznej.

W celu precyzyjnego określenia praw rządzących dostępem do sieci tworzy się tak zwane listy reguł. Listy takie opisują prawa poszczególnych obiektów do korzystania z określonych usług/protokołów sieciowych, zezwalają na pewne rodzaje połączeń z zewnątrz jednocześnie zabraniając innych, mogą limitować liczbę połączeń z jakiegoś adresu albo ograniczać liczbę jednoczesnych połączeń. Przykładowo, kierownictwo firmy może zabronić pracownikom w określonych godzinach korzystania z usługi http z konkretnych miejsc sieci (co, oczywiście, jest decyzją polityczną). Edytor reguł jest narzędziem, przy pomocy którego budujemy i modyfikujemy zbiory reguł oraz wiążemy aplikacje z protokołami, a tym z kolei przypisujemy interfejsy sieciowe. Na użytek zaawansowanych administratorów tworzone są specjalne języki skryptowe, ułatwiające automatyzowanie konfigurowania serwera.

Integralną częścią systemów firewall jest mechanizm o zbliżonej roli do „czarnej skrzynki” w samolotach, śledzący i rejestrujący wszelkie wydarzenia w sieci. Dzięki monitorowaniu uwadze administratora z pewnością nie umknie, na przykład, 30-krotna nieudana próba zdalnego logowania się do systemu. Innym zastosowaniem jest analiza adresów, z którymi najczęściej nawiązywane są połączenia przez lokalnych użytkowników, gdyż dane takie są istotne do efektywnego skonfigurowania serwera proxy. Jednocześnie zarządca ma wgląd w dziennik błędów, gdzie zachowywane są ostrzeżenia o występowaniu wszelkich problemów z poprawnością transmisji. W przypadkach, gdy zachodzi uzasadnione podejrzenie, iż nastąpiło włamanie do sieci, system monitorujący może samodzielnie podjąć akcję zdefiniowaną przez administratora, na przykład decyzję o zerwaniu połączenia albo uruchomieniu „alarmu”.

image_pdf