Διασφαλίζοντας ΙP δίκτυα για συστήματα ασφαλείας

Η διασφάλιση ενός δικτύου πάνω στο οποίο βασίζεται ένα σύστημα ασφαλείας αποτελεί τον πυλώνα πάνω στον οποίο θα οικοδομηθεί μια αίσθηση εμπιστοσύνης, που θα επιτρέψει στους υπεύθυνους του έργου αλλά και στους πελάτες να ωφεληθούν από τα πλεονεκτήματα της IP τεχνολογίας.

Ενώ πλέον τα IP δίκτυα αποτελούν μια αξιόπιστη πρόταση όσον αφορά στον τρόπο διασύνδεσης των συστημάτων ασφαλείας, δεν έχουν καμφθεί εντελώς οι ενστάσεις που προβάλλονται από αρκετούς όσον αφορά στην ασφάλεια που παρέχουν. Είναι άλλωστε λογικό, καθώς όλοι ως χρήστες του Internet έχουμε άσχημες εμπειρίες από φαινόμενα όπως καθυστερήσεις στη μετάδοση των δεδομένων, ολική απώλεια της σύνδεσης που μπορεί να κρατεί από μερικά δευτερόλεπτα έως αρκετές ώρες ή παραβίαση κάποιων λογαριασμών μας. Ακριβώς αυτές οι εμπειρίες είναι φυσικό να προκαλούν καχυποψία ως προς την υιοθέτηση του προτύπου IP για τη διασύνδεση των συστημάτων ασφαλείας.
Ας ξεκινήσουμε όμως από την αρχή, προσπαθώντας σε πρώτη φάση να χαρτογραφήσουμε την υφιστάμενη κατάσταση και το πώς μπορούν τα IP δίκτυα να ενσωματωθούν στα συστήματα ασφαλείας. Με αυτόν τον τρόπο θα μπορέσουμε να έχουμε άποψη και για τα θέματα που έχουν να κάνουν με την προστασία του δικτύου.

Τρόποι υλοποίησης
Αναφερόμενοι σε IP δίκτυα έχουμε να καλύψουμε ένα μεγάλο εύρος διαφορετικών περιπτώσεων. Υπάρχουν τα τοπικά δίκτυα (LAN-Local Area Network) και τα δίκτυα ευρείας περιοχής (WAN-Wide Area Network). Επίσης υπάρχει διάκριση στα ασύρματα δίκτυα και τα ενσύρματα δίκτυα. Τα ασύρματα δίκτυα χωρίζονται σε αυτά που χρησιμοποιούν τεχνολογία 3G και ανήκουν στην κατηγορία των WAN και σε αυτά που χρησιμοποιούν ασύρματους routers και τοποθετούνται στα δίκτυα τύπου LAN. Με το ίδιο σκεπτικό διαχωρίζονται και τα ενσύρματα δίκτυα στις κατηγορίες των LAN (τα οικεία δίκτυα πληροφορικής που υπάρχουν σχεδόν σε όλες τις εταιρείες) και των WAN και τα οποία συνήθως υλοποιούνται με υποδομές DSL, με μισθωμένες γραμμές (leased lines) ή συμβατικές γραμμές τύπου PSTN ή ISDN (λόγω περιορισμένης χωρητικότητας οι δύο αυτές υποκατηγορίες δεν μας απασχολούν ιδιαίτερα, καθώς είναι δύσκολο να χρησιμοποιηθούν σε συστήματα ασφαλείας – ιδιαίτερα σε εφαρμογές CCTV).
Από τη διαφοροποίηση λοιπόν που υπάρχει μεταξύ των τρόπων υλοποίησης ενός δικτύου IP για συστήματα ασφαλείας μπορούμε να αντιληφθούμε και τη δυσκολία για την υιοθέτηση μιας ενιαίας μεθόδου προστασίας και διασφάλισης των δεδομένων που διακινούνται μέσω αυτών των δικτύων. Λόγω ακριβώς αυτής της πολυμορφίας υπάρχουν ποικίλες τεχνικές θωράκισης των συστημάτων ασφαλείας, όταν αυτά λειτουργούν σε δίκτυο IP.

Τοπικά δίκτυα
Όσον αφορά στα τοπικά δίκτυα – είτε γίνονται μέσω ασύρματης διασύνδεσης είτε μέσω ενσύρματης – οι προτεινόμενες λύσεις είναι γνωστές και ήδη εφαρμόζονται στα περισσότερα εταιρικά δίκτυα. Θα πρέπει να υπάρχει ελεγχόμενη και διαβαθμιζόμενη πρόσβαση στο δίκτυο και στα σημεία που υπάρχει ο μεγαλύτερος κίνδυνος για παραβίαση όπως στο χώρο των routers, στους σταθμούς εργασίας και στα racks. Ειδικά στα ενδιάμεσα racks τα οποία συχνά τοποθετούνται και σε προσβάσιμους χώρους εργασίας, θα πρέπει να μην έχουν πρόσβαση άλλοι εκτός από τους ανθρώπους της πληροφορικής. Ο πιο απλός τρόπος για να επιτευχθεί αυτό είναι η χρήση των κλειδιών, καθώς όλα τα ερμάρια που χρησιμοποιούνται διαθέτουν ενσωματωμένη κλειδαριά. Εξίσου προστατευμένος πρέπει να είναι ο κεντρικός χώρος των servers στον οποίο και πάλι η πρόσβαση πρέπει να είναι διαβαθμισμένη. Εκτός της φυσικής προστασίας του εξοπλισμού θα πρέπει το δίκτυο να προστατεύεται από κατάλληλα firewalls είτε σε επίπεδο software είτε σε επίπεδο hardware.
Οι ίδιες αρχές προφύλαξης θα πρέπει να λαμβάνονται σε τοπικά δίκτυα, όταν αυτά είναι ασύρματα. Εδώ ιδιαίτερη προσοχή θα πρέπει να δίνεται στους αναμεταδότες Wi-Fi που επειδή συχνά είναι τοποθετημένοι σε θέσεις όπου δεν είναι εύκολα ορατοί, όπως μέσα σε ψευδοροφές, μπορούν να αποτελέσουν ευκολότερα στόχους υποκλοπής των δεδομένων.
Κατά τη διάρκεια του σχεδιασμού θα πρέπει να εξεταστεί σοβαρά ο τρόπος υλοποίησής του. Δηλαδή θα ενσωματωθεί στο υφιστάμενο IP δίκτυο, με αποτέλεσμα να είναι εκτεθειμένο σε περισσότερους κινδύνους, καθώς σε αυτό το δίκτυο εργάζονται πολύ περισσότεροι χρήστες ή θα κατασκευαστεί εξαρχής ένα νέο ανεξάρτητο IP δίκτυο για τα συστήματα ασφαλείας. Η δεύτερη εκδοχή είναι προφανές ότι παρέχει έναν πολύ μεγαλύτερο βαθμό ασφάλειας, αλλά είναι μια ακριβότερη λύση όσον αφορά στο κόστος κατασκευής.

Ασφάλεια σε δίκτυα ευρείας περιοχής
Όμως το μεγάλο πλεονέκτημα της IP τεχνολογίας είναι ότι ακριβώς προσφέρει τη δυνατότητα πρόσβασης και από απομακρυσμένα σημεία. Δηλαδή ο χρήστης μπορεί να δει σε τι κατάσταση βρίσκεται ο χώρος του είτε από έναν υπολογιστή ή ακόμα ευκολότερα από ένα έξυπνο κινητό ή ένα tablet. Αναφερόμαστε πλέον στα δίκτυα ευρείας περιοχής, γνωστότερα και ως WAN. Εδώ, όπως αναφέραμε, οι τρόποι υλοποίησης είναι δύο. Είτε μέσω ενσύρματης καλωδίωσης στην οποία ανήκουν και τα δίκτυα DSL ή οι μισθωμένες γραμμές (leased line) ή τα ασύρματα δίκτυα στα οποία αυτή τη στιγμή κυριαρχεί η τεχνολογία 3G. Είναι φανερό ότι αναφερόμενοι στα δίκτυα WAN στα οποία ανήκει και το Internet, οι κίνδυνοι πολλαπλασιάζονται καθώς υπάρχουν πολλοί περισσότεροι χρήστες, ενώ αυξάνεται κατακόρυφα και οι δυνατότητες πρόσβασης από διαφορετικά σημεία. Στην περίπτωση όπου οι πληροφορίες διακινούνται μέσω διαδικτυακών διαύλων, τότε είναι σημαντικό να θωρακιστούν τα σημεία στα οποία το τοπικό δίκτυο συναντιέται με το δίκτυο ευρείας περιοχής. Τα σημεία αυτά αποτελούν στόχο των hackers, καθώς αποκτώντας πρόσβαση σε αυτά, μπορεί κάποιος να ελέγξει το τοπικό δίκτυο.
Αν και υπάρχει καχυποψία απέναντι στην ασύρματη μετάδοση των δεδομένων, αυτό δεν πρέπει να ισχύει στην περίπτωση των δικτύων 3G. Είναι μια τεχνολογία δομημένη πάνω στην ασφάλεια των δεδομένων και παρέχει πολλές προστατευτικές δικλείδες. Σε αντίθεση με τον ενσύρματο τρόπο μετάδοσης όπου κάπου μπορεί κάποιος να επέμβει και να υποκλέψει δεδομένα, αυτό δεν είναι τόσο εύκολο με τα ασύρματα δίκτυα 3G – ειδικά όταν οι αναμεταδότες βρίσκονται σε προστατευμένα σημεία. Με την αναμενόμενη έλευση των δικτύων 4G θα έχουμε ακόμα περισσότερες εξελίξεις στη μεταφορά δεδομένων με τη χρήση ασύρματων μέσων. Οι μεγάλες ταχύτητες των δικτύων 4G θα ενισχύσουν αυτήν την τάση, οπότε πλέον οι χρήστες αλλά και οι εγκαταστάτες να συνηθίσουν με την ιδέα της ασύρματης μετάδοσης δεδομένων ακόμα και μεταξύ απομακρυσμένων σημείων, λαμβάνοντας φυσικά τα απαραίτητα προστατευτικά μέτρα για τη θωράκιση των διακινούμενων πληροφοριών.

Μέτρα θωράκισης
Ο χρήστης σε συνδυασμό με τον εγκαταστάτη οφείλει να λαμβάνει όλα τα απαραίτητα μέτρα ώστε να διασφαλίζεται η απρόσκοπτη λειτουργία των δικτύων IP, τα οποία χρησιμοποιούνται για τη μετάδοση δεδομένων για συστήματα ασφαλείας. Δηλαδή οφείλει να επιτηρεί συνεχώς την κατάσταση του δικτύου του και άλλου εξοπλισμού ή εγκαταστάσεων, από τα οποία εξαρτάται η λειτουργία του δικτύου, μέσω διαδικασιών και συστημάτων παρακολούθησης. Επιπλέον θα πρέπει να διερευνά πληροφορίες που προκύπτουν από τη χρήση του δικτύου και αφορούν σε προβλήματα που παρουσιάζονται. Πιθανώς μερικά από αυτά τα προβλήματα να δημιουργούν θέματα ασφάλειας.
Ένα σημαντικό ζήτημα που απασχολεί όλους τους εμπλεκόμενους είναι η διασφάλιση της συνέχειας της λειτουργίας του δικτύου ακόμα και σε ακραίες περιπτώσεις. Για το λόγο αυτό οι υπεύθυνοι οφείλουν να έχουν μεριμνήσει ώστε να υπάρχουν Σχέδια Επιχειρησιακής Συνέχειας (Business Continuity Plans). Πριν την έκδοση των Business Continuity Plans είναι απαραίτητο να έχει προηγηθεί μία Ανάλυση Επιχειρησιακών Επιπτώσεων (Business Impact Analysis) και μία Αξιολόγηση Επικινδυνότητας (Risk Assessment) προκειμένου να διαγνωστούν οι αδυναμίες και τα ευάλωτα σημεία της δικτυακής υποδομής.
Σε περιπτώσεις έκτακτων συνθηκών όπως π.χ. φυσικές καταστροφές, οι εμπλεκόμενοι οφείλουν να ακολουθήσουν το Σχέδιο Ανάκαμψης από Καταστροφή, γνωστότερο και ως Disaster Recovery Plan.
Η διασφάλιση της συνεχούς ροής πληροφοριών είναι ιδιαίτερα σημαντική για τα συστήματα ασφαλείας και αποτελεί βασική προϋπόθεση για την αποτελεσματική λειτουργία τους. Πιθανή περίπτωση διακοπής της μετάδοσης δεδομένων μπορεί να δημιουργήσει αλυσιδωτά τεράστια προβλήματα ασφάλειας και για αυτόν το λόγο θα πρέπει να λαμβάνονται όλα τα μέτρα για την αποτροπή της.
Κατά την επιλογή του εξοπλισμού είναι υποχρέωση του χρήστη να μεριμνά για την ανθεκτικότητα του δικτύου. Δηλαδή να εξασφαλίζει ότι ο εξοπλισμός που θα χρησιμοποιηθεί είναι αξιόπιστος, θωρακισμένος από εξωτερικές απειλές και διαθέτει την ικανότητα να λειτουργήσει ακόμα και με κάποιο ποσοστό βλάβης (fault tolerant). Αυτά τα πετυχαίνει ο χρήστης ζητώντας τα ανάλογα πιστοποιητικά από τους προμηθευτές του, αλλά κάνοντας και ο ίδιος τις απαραίτητες δοκιμές κατά το στάδιο εγκατάστασης του εξοπλισμού.
Μια άλλη βασική παράμετρος είναι η αποφυγή μοναδικών σημείων αποτυχίας (Single Point of Failure) τα οποία αν παρουσιάσουν βλάβη οδηγούν σε κατάρρευση του δικτύου. Αυτό μπορεί να επιτευχθεί με εναλλακτικούς τρόπους δρομολόγησης των πληροφοριών. Παραδείγματος χάρη, σε ένα δίκτυο WAN μπορεί να υπάρχουν δύο δίαυλοι μετάδοσης – ένας ενσύρματος και ένας ασύρματος – με τεχνολογία 3G. Όταν για κάποιο λόγο αστοχεί ο ενσύρματος δίαυλος, θα υπάρχει η δυνατότητα αποστολής των δεδομένων μέσω 3G. Η διακοπή σύνδεσης ενός δικτύου 3G είναι ακόμα δυσκολότερη, λόγω των τεχνολογιών εναλλακτικής δρομολόγησης (dual signaling) τις οποίες ενσωματώνουν τα συγκεκριμένα δίκτυα.

Για να επιτευχθούν όλα τα παραπάνω, όμως, θα πρέπει ο χρήστης να διαθέτει τους κατάλληλους συνεργάτες σε περίπτωση outsourcing ή το σωστά εκπαιδευμένο προσωπικό, ώστε να μπορεί να προβαίνει σε αποκατάσταση της λειτουργίας του δικτύου καθ’ όλη τη διάρκεια του 24ώρου. Η καίρια διαφορά των συστημάτων ασφαλείας με τα υπόλοιπα πληροφοριακά συστήματα που εκτελούνται μέσω μιας δικτυακής υποδομής IP, είναι ακριβώς ότι για τα πρώτα δεν υπάρχει χρόνος διακοπής της λειτουργίας. Το αντίθετο μάλιστα, καθώς οι μη εργάσιμες ώρες είναι και οι πιο κρίσιμες όσον αφορά στην ασφάλεια και είναι οι ώρες όπου απαιτείται όσο τίποτα άλλο η σωστή και αποτελεσματική λειτουργία τους.

Του ΑΡΙΣΤΟΤΕΛΗ ΛΥΜΠΕΡΟΠΟΥΛΟΥ