« poprzedni punkt |
Planowanie konfiguracji zapory sieciowej
Jest to bardzo ważny etap, ponieważ błędy popełnione przy planowaniu konfiguracji wpłyną na wszystkie dalsze etapy i w rezultacie końcowy efekt działania zapory może być całkowicie odmienny od oczekiwanego. W pierwszej kolejności należy odpowiedzieć na pytanie: co chronić? Jeżeli ochronie mają podlegać dwa lub trzy komputery to prawdopodobnie zamiast budować zaporę sieciową wystarczy zastosować zabezpieczenia na poziomie pojedynczych hostów. Zapora sieciowa należy do mechanizmów cięższego kalibru.
Kolejny etap to rozpoznanie topologii sieci oraz potrzeb w zakresie aplikacji i protokołów. Polegać on będzie na analizie topologii sieci pod kątem bezpieczeństwa, na zidentyfikowaniu systemów operacyjnych i aplikacji działających w sieci, czego efektem może być np.: konieczność skorzystania z usług ekspertów w dziedzinie bezpieczeństwa poszczególnych aplikacji.
Należy również dokonać analizy zależności służbowych. Polegać ona będzie na analizie kompetencji decyzyjnych i potrzeb dostępu do zasobów poszczególnych użytkowników czy grup użytkowników. Konieczne jest przy tym uświadomienie użytkownikom wszystkich potrzebnych zmian w konfiguracji sieci oraz wszelkich ich wątpliwości. Od użytkowników w dużym stopniu będzie zależało bezpieczeństwo sieci i ostatnią rzeczą jaka jest nam potrzebna to niezadowoleni użytkownicy.
Kolejna decyzja dotyczy konfiguracji zapory. Przede wszystkim należy określić czy wystarczy filtrowanie pakietów, czy też należy zastosować serwery proxy, a jeżeli tak to jakie.
Wreszcie powinniśmy rozpatrzyć czy skonstruować własną czy też kupić pakiet gotowej zapory. Samodzielnie można wykonać całkiem dobrą zaporę, lecz jeden błąd przy jej konfiguracji może spowodować katastrofę. Z drugiej strony najlepsza, źle skonfigurowana kupiona zapora również może być przyczyną poważnych kłopotów.
Rozwiązanie alternatywne polega na wykupieniu usługi monitorowania zapory. Jeżeli nie mamy możliwości monitorowania zapory sieciowej 24 godziny na dobę przez 7 dni w tygodniu, to może lepiej taką usługę wykupić?
Zdefiniowanie reguł dostępu do zasobów sieciowych
W oparciu o poczynione obserwacje i wykonane analizy opracowujemy zasady korzystania z zasobów sieci. W tym etapie określamy: kto i w jaki sposób ma dostęp do sieci i jej zasobów. Reguły musimy odpowiednio dostosować do posiadanej infrastruktury. Oznacza to uwzględnienie stosowanych platform sprzętowych, czy protokołów sieciowych.
Znalezienie zapory odpowiedniej dla naszych potrzeb
W oparciu o zdobyte informacje, wykonane analizy i ustalone reguły dostępu do zasobów możemy właściwie wybrać potrzebną nam zaporę sieciową.
Właściwa instalacja i konfiguracja zapory
Drobiazgowe przetestowanie zapory
Testowanie zapory powinno odbyć się w dwóch etapach. W pierwszym należy przeprowadzić testowanie zasad korzystania z sieci prywatnej przez użytkowników zewnętrznych. W drugim testujemy wewnętrzne reguły korzystania z sieci. Oba etapy należy wykonać dokładnie, ponieważ jest to ostatnia czynność przed włączeniem zapory do sieci.
Mimo, że zapora sieciowa to bardzo skuteczny środek ochrony sieci prywatnej, należy być świadomym jej wad. Jedną z nich jest fakt, że zapora, której konfigurację zorientowano na maksymalne bezpieczeństwo sieci, będzie jednocześnie upośledzać jej działanie. Inną wadą jest zgromadzenie w jednym miejscu wszystkich składników zapory, ponieważ ich pokonanie daje intruzowi pełny dostęp do sieci prywatnej.
Istnieje kilka zagrożeń dla bezpieczeństwa sieci, które nie są eliminowane przez zastosowanie zapory:
« poprzedni punkt |