Analysis on Common Network Attacks & Vulnerability Scanners
SECURICON - Physical and IT Access Control
1. ΑΣΦΑΛΕΙΑ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΚΗ
“Φυσικός και IT Έλεγχος Πρόσβασης”
Στην εποχή μας, οι εταιρίες είναι ευάλωτες σε επιθέσεις είτε φυσικές είτε ηλεκτρονικές. Για καλύτερο
έλεγχο και προστασία των υποδομών και των εταιρικών δεδομένων η παρουσία ενός φύλακα ή μιας
ομάδας ατόμων και μόνον δεν είναι πλέον αρκετή. Αυτό συμβαίνει φυσικά όχι γιατί ο φύλακας ή η
ομάδα των security δεν θα αποτελέσει ένα φυσικό εμπόδιο προς τον επιτιθέμενο αλλά γιατί πολλές
φορές ο επιτιθέμενος είναι κομμάτι του συστήματος άρα και υπάλληλος ή πολύ απλά είναι ένας hacker
που βρήκε κάποιο τρωτό σημείο στους δικτυακούς εξοπλισμούς για τους οποίους δεν είχε μεριμνήσει
η διαχειριστική ομάδα.
Στις ολοένα και πιο σύνθετες βαθμίδες διαχείρισης και οργάνωσης των μεγάλων εταιριών είναι λογικό
να υπάρχουν ή να δημιουργούνται κενά ελέγχου είτε από ανθρώπινους παράγοντες είτε τεχνολογικά ή
ακόμα και συνδυασμός των παραγόντων. Γι' αυτόν ακριβώς το λόγο έχουν συσταθεί ISO που
προτυποποιούν διαδικασίες, μεθόδους, τεχνολογικό εξοπλισμό και τεχνολογίες προς χρήση. Έτσι
μπορεί μια επιχείριση να μειώσει στο ελάχιστο τις απειλές και παράλληλα να περιορίσει πρόσβαση σε
σημεία ή χώρους ιδιαίτερης σημασίας. (Δείτε: ISO 17799, 27002:2005)
Τα προηγούμενα χρόνια η παράνομη πρόσβαση σε μια εταιρία ήταν καθαρά ένας φυσικός
παράγοντας, ενώ στην εποχή μας ο επιτιθέμενος μπορεί να έχει πρόσβαση και ηλεκτρονικά μέσω
ενός Η/Υ. Είναι ορθό και κρίσιμης σημασίας να αποδεχτούμε ευθύς εξαρχής πως δεν υπάρχει η έννοια
της απόλυτης ασφάλειας έτσι ώστε να δυσκολέψουμε όσο το δυνατόν περισσότερο και να
περιορίσουμε τον επιτιθέμενο με στόχο να τα παρατήσει ή να κάνει λάθη για να πιαστεί.
Για να αναλύσουμε τις μεθόδους και τους τρόπους με τους οποίους πρέπει να δράσουμε για να
οχυρώσουμε μια επιχείριση ας ορίσουμε τις κατηγορίες, τις υποκατηγορίες και ας αναφέρουμε τον
βασικό τους στόχο και σκοπό.
Η ασφάλεια λοιπόν χωρίζεται σε δύο κατηγορίες:
1. Φυσική ασφάλεια
2. Ηλεκτρονική ασφάλεια (IT)
Σκοπός της φυσικής ασφάλειας είναι να περιορίσει και να ελέγξει σε επίπεδο φυσικών προσώπων τα
επίπεδα πρόσβασης. Αντίστοιχα δρα και η ηλεκτρονική ασφάλεια αλλά έχοντας καθορίσει τους
κανόνες μηχανικά. Στη φυσική ασφάλεια τα πάντα γίνονταν μεταξύ προσώπων. Τα τελευταία έτη όμως
με την εξέλιξη των βιομετρικών συσκευών η φυσική ασφάλεια έχει δύο υποκατηγορίες:
1. Ανθρώπινη παρέμβαση – έλεγχος πρόσβασης με φυσική ταυτοποίηση
2. Μηχανικός έλεγχος – αναγνώριση ίριδας ή αποτυπώματος ή και τα δύο
Στην πρώτη υποκατηγορία το κλασικό μοντέλο ελεγχόμενης πρόσβασης περιλαμβάνει έλεγχο
ταυτότητας, καταγραφή ώρας και στοιχείων κατά την εισαγωγή και εξαγωγή, καθώς και τυπικό έλεγχο
μέσω τηλεφώνου όταν αυτός κρίνεται απαραίτητος όπως για παράδειγμα σε περιπτώσεις
συναντήσεων επισκεπτών με μέλη της εκάστοτε επιχείρισης.
Στη δεύτερη υποκατηγορία έχουμε έναν πιθανό πρώτο έλεγχο σε φυσικό επίπεδο αλλά
επικεντρωνόμαστε στα ίδιο-χαρακτηριστικά του μέλους της επιχείρισης, τα οποία είναι καταχωρημένα
σε βάση δεδομένων και τα οποία συγκρίνονται μετά την αναγνώριση από το σύστημα. Τυπικά
2. παραδείγματα ηλεκτρονικού ελέγχου πρόσβασης από βιομετρικά συστήματα ελέγχου είναι η
αναγνώριση ίριδας ή αποτυπώματος ή και τα δύο μαζί. Τέλος, υπάρχουν και κάποια πιο σύγχρονα
συστήματα αναγνώρισης φωνής που συνοδεύονται από ένα μυστικό κλειδί το οποίο είτε εκφωνείτε είτε
πληκτρολογείτε σε μια οθόνη αφής.
Να σημειώσουμε πως όλα τα ηλεκτρονικά μέσα προϋποθέτουν την σταθερή παροχή ρεύματος και
φυσικά την συντήρησή τους από εξειδικευμένο και έμπειρο προσωπικό.
Ας αναλύσουμε όμως την ηλεκτρονική ασφάλεια περνώντας από την υβριδική χρήση φυσικών ατόμων
και ηλεκτρονικών μέσων προς τον πλήρως αυτοματοποιημένο έλεγχο.
Σκοπός της ηλεκτρονικής ασφάλειας / ασφάλειας στο επίπεδο πληροφορικής (IT) είναι να ελέγχει τα
επίπεδα πρόσβασης και να καταγράφει κάθε ενέργεια ηλεκτρονικά με δυνατότητα διαβάθμισης της
κρισιμότητας της. Στο κομμάτι της αυτούσιας ηλεκτρονικής ασφάλειας έχουμε επίσης υποκατηγορίες:
1. Infrastracture access control
2. Network access control
3. Role based access control
4. Group access control
5. User access control
Είναι φανερό πως στο επίπεδο της ασφάλειας πληροφοριακών συστημάτων και υποδομών
πληροφορικής ο έλεγχος πρέπει να διαχωρίζεται σε περισσότερα υπό-επίπεδα για καλύτερη
οργάνωση. Κάθε υπό-επίπεδο έχει ένα σαφώς περιορισμένο και οριοθετημένο εύρος πρόσβασης που
με τη σειρά του χωρίζεται συνήθως σε τρία επίπεδα πρόσβασης:
1. Full access
2. Restricted access
3. No access
Έτσι το σύστημα διατηρώντας λίστες με δικαιοδοσίες και έχοντας κατατάξει τους ηλεκτρονικούς
αποδέκτες μέσα σε αυτές έχει καλύτερο και πιο συγκεντρωμένο έλεγχο πρόσβασης αποκλείοντας
μάλιστα και το λάθος ή την ευπάθεια του ανθρώπινου παράγοντα. Φυσικά επειδή όπως είπαμε δεν
υπάρχει η έννοια της πλήρους διασφάλισης ένα συμβάν που στο παρελθόν είχε συμβεί πολλές φορές
ήταν ότι σε μια ενδεχόμενη διακοπή ρεύματος τα συστήματα τα οποία οι υπεύθυνοι δε σκέφτηκαν να
εξοπλίσουν με UPS δυστυχώς έκλεισαν αποκλείοντας έτσι είτε πλήρη πρόσβαση είτε αφήνοντας
ανοικτές και εκτεθειμένες όλες τις εγκαταστάσεις!
Άρα πριν πάμε παρακάτω για να αναλύσουμε πως οι υποκατηγορίες και τα τα υπό-επίπεδα της IT
ασφάλειας συμβάλλουν στην διασφάλιση των υποδομών, πρέπει να ξεκαθαρίσουμε πως κύριο
μέλημα των υπευθύνων είναι η απρόσκοπτη λειτουργία τους. Πράγμα που σημαίνει τακτική
συντήρηση και έλεγχος τουλάχιστον κάθε εβδομάδα!
Infrastracture access control ή έλεχγος πρόσβασης σε επίπεδο υποδομής. Δεν είναι τίποτα άλλο από
τον έλεγχο πρόσβασης στο χώρο που βρίσκεται η καρδιά του δικτύου και το κέντρο ελέγχου των
υποδομών, το λεγόμενο Network Operating Center (NOC). Σε μεγάλους οργανισμούς η πρόσβαση
τμηματοποιείται με ειδικά διαχωρισμένα δωμάτια έτσι ώστε ο αρχι - διαχειριστής να έχει πρόσβαση
μέχρι το κέντρο ελέγχου ενώ για παράδειγμα ένας τεχνικός – συντηρητής εξοπλισμού να μπορεί να
βλέπει μόνο ένα μέρος του δικτύου ώστε να κάνει κάποια tests να αλλάξει φθαρμένα καλώδια και τα
λοιπά.
Network access control ή έλεγχος πρόσβασης σε επίπεδο δικτύου. Σε αυτό το επίπεδο οι χρήστες
ηλεκτρονικών υπολογιστών έχουν είτε πλήρη πρόσβαση στο δίκτυο και έχουν Internet, βλέπουν
κοινόχρηστους φακέλους και άλλα συστήματα Η/Υ ή εκτυπωτές και τα λοιπά είτε έχουν περιορισμένη
3. πρόσβαση και έχουν μόνο Internet ή και ελεγχόμενη πρόσβαση σε αρχεία και κοινόχρηστους
φακέλους είτε τελικά δεν τους επιτρέπετε καθόλου η πρόσβαση στο δίκτυο. Με τον έλεγχο πρόσβασης
δικτύου ένας διαχειριστής μπορεί να αποτρέψει πιθανούς κακόβουλους χρήστες ή επισκέπτες που
απέκτησαν πρόσβαση στο εταιρικό δίκτυο με κάποιο τρόπο. Υπάρχουν διάφορα φίλτρα που μπορούν
να χρησιμοποιηθούν μαζί ή αυτόνομα για να επιτευχθούν πολλαπλοί έλεγχοι. Μερικά από αυτά είναι:
1. MAC address lock
2. IP address lock
3. Patch panel (switch) – slot lock
Επιπλέον, με την χρήση Virtual L.A.N (VLAN) ο διαχειριστής μπορεί να κατηγοριοποιήσει σε υπό-
δίκτυα το κεντρικό δίκτυο και να ορίσει ιδεατά υπό-δίκτυα στα οποία μόνο ένα σύνολο χρηστών έχει
πρόσβαση. Ο συνδυασμός των παραπάνω μεθόδων με τα VLAN έχει αποδειχτεί ένα πολύ ασφαλές
σύστημα ελέγχου πρόσβασης.
Role based access control ή έλεγχος πρόσβασης βάση ρόλων. Με τον έλεγχο πρόσβασης βασισμένο
σε ρόλους ένας χρήστης – υπάλληλος έχει δικαιοδοσίες που καθορίζονται από ένα κεντρικό σύστημα.
Τα συστήματα ελέγχου πρόσβασης βάση ρόλων λειτουργούν σε επίπεδο λογισμικού ή εξοπλισμού και
συνδυάζονται συνήθως με το έλεγχο πρόσβασης σε επίπεδο δικτύου για πιο οργανωμένη και
λεπτομερή διαχείριση.
Group access control ή έλεγχος πρόσβασης βάση ομάδων. Με τον έλεγχο πρόσβασης βασισμένο σε
ομάδες μια ομάδα χρηστών – υπαλλήλων έχει δικαιοδοσίες που καθορίζονται από ένα κεντρικό
σύστημα το οποίο ελέγχει δυναμικά κάθε τους ενέργεια. Τα συστήματα ελέγχου πρόσβασης βάση
ομάδων λειτουργούν σε επίπεδο λογισμικού και συνήθως βρίσκονται επάνω σε κάποιο κεντρικό
server.
User access control ή έλεγχος πρόσβασης βάση χρηστών. Με τον έλεγχο πρόσβασης βασισμένο σε
χρήστες ο εκάστοτε υπάλληλος έχει δικαιοδοσίες που καθορίζονται από ένα κεντρικό σύστημα το
οποίο ελέγχει δυναμικά κάθε του ενέργεια όπως και στις ομάδες. Τα συστήματα ελέγχου πρόσβασης
βάση χρηστών λειτουργούν επίσης σε επίπεδο λογισμικού, βρίσκονται επάνω σε κάποιο κεντρικό
server και συνδυάζονται με τα συστήματα ελέγχου βάση ομάδων.
Στη θεωρία όλα τα παραπάνω είτε αυτόνομα είτε συνδυαστικά παρέχουν υψηλή ασφάλεια. Μη ξεχνάμε
όμως πως ότι κλειδώνει ξεκλειδώνει! Αυτό είναι ο βασικός κανόνας με τον οποίο κάθε εταιρία θα
πρέπει να θυμάται και να πορεύεται κρατώντας πάντα τα μάτια και τα αυτιά ανοικτά για επιθέσεις από
hackers. Ένας hacker θα ψάξει εξονυχιστικά κάθε σπιθαμή του εξοπλισμού, θα προσπαθήσει να πάρει
πρόσβαση και θα επιδοκιμάσει τις εγκαταστάσεις και την δυνατότητά τους να τον αποκλείσουν και όλα
αυτά από ένα Internet cafe που πολλές φορές θα είναι χιλιάδες χιλιόμετρα μακριά!
Άρα εδώ γεννάται το εύλογο ερώτημα: “Υπάρχει άραγε τρόπος τουλάχιστον να γνωρίζω πότε ίσως
δέχομαι επίθεση και αν γίνεται, να τη σταματήσω?” Η απάντηση είναι ΝΑΙ χωρίς βέβαια να έχουμε
100% επιτυχία.
Η λύση βρίσκεται σε ένα συνδυασμό συσκευών ή λογισμικών που ονομάζονται IDS/IPS, δηλαδή
Intrution Detection Systems / Intrution Prevention Systems ή αλλιώς συστήματα ανίχνευσης και
απόκλισης επιθέσεων για απόκτηση πρόσβασης. Τα IDS/IPS δεν έχουν 100% επιτυχία αλλά επειδή το
σύνολο των επιθέσεων έχει ένα μοτίβο μεθοδολογιών και τακτικών με τα IDS/IPS ο διαχειριστής
μπορεί να βρεί μια πιθανή επίθεση και να την αποτρέψει είτε παίρνοντας κάποια ασφαλιστικά μέτρα
είτε αφήνοντας το σύστημα να πράξει βάση κανόνων και επιλογών ανάλογα με την υφή της επίθεσης.
Τα πιο σύγχρονα IDS/IPS συνήθως είναι μόνο λογισμικά ή λογισμικά σε εξειδικευμένα hardware τα
οποία αναβαθμίζονται αυτόματα με κανόνες για πρόληψη και αντιμετώπιση. Μια βασική μέθοδος
αντιμετώπισης εάν η επίθεση έχει φτάσει σε κρίσιμο σημείο είναι η διακοπή ροής των δεδομένων από
και προς το εταιρικό δίκτυο. Επιπλέον, τα IDS/IPS καταγράφουν τις όποιες ενέργειες, κρατάνε ιστορικό
4. και παράγουν αναφορές προς τους διαχειριστές. Τέλος, συνδυάζονται με firewalls για πιο
αποτελεσματική προστασία.
Κοντολογίς, είδαμε σε αυτή την ανασκόπηση τους ελέγχους πρόσβασης σε φυσικό και ηλεκτρονικό
επίπεδο στο κομμάτι της πληροφορικής. Κατατάξαμε σε κατηγορίες και υποκατηγορίες τα όσα η αγορά
και η ανάγκες μας έσπρωξαν να αναπτύξουμε για να οργανώσουμε την ασφάλειά μας και είδαμε ότι
δεν υπάρχει ποτέ 100% διασφάλιση. Αυτό που ανακαλύψαμε όμως είναι πως με συνεχή έλεγχο,
εγρήγορση, συντήρηση, ενημέρωση και εκπαίδευση θα αντισταθούμε στον επιτιθέμενο είτε αυτός είναι
φυσικό πρόσωπο είτε ένας hacker από την άλλη άκρη της Γης.
Γιώργος Α. Δελαπόρτας
---
IT & Network Manager at Securicon
Network Security Expertise (White Hat)
Computer & Informatics Engineer
MSc in Data Communications & Networking
PhD in Digital Forensics