Biztonságos hálózat és védelem. Hogyan védheted ki a cégedben a kibertámadásokat?

Hálózati biztonság – TARTALOM

1. Hálózati biztonság – miért nem érdemes alábecsülni?
2. Honnan támadhatnak a kiberbűnözők?
3. Milyen módszereket használnak a kibertámadók?
4. Hogyan védd meg a vállalati hálózatot?
5. Mibe érdemes beruházni?
6. A biztonságos internetes viselkedés alapvető szabályai
7. Mit tegyél, ha támadás ért?

Hálózati biztonság – miért nem érdemes alábecsülni?

Képzeljünk el egy helyzetet egy kisvállalatnál. Egyetlen vezeték nélküli hálózatra több számítógép csatlakozik, némelyik gyengén védett. A WiFi routerhez a dolgozók a saját mobiljaikról is csatlakoznak, és néha talán még a családtagjaik is. Már ez az állapot is komoly kockázatot jelent egy nem kellően védett hálózat számára, mivel a kártékony szoftver nagyon könnyen bejuthat, például valamelyik dolgozó gyerekének fertőzött mobilján keresztül.

Magának a tinédzsernek a telefonja egyetlen támadót sem érdekel, hiszen a tinédzsernek nincs pénze vagy olyan adata, amiért hajlandó lenne fizetni. A támadók azokra a számítógépekre vadásznak, amelyekben olyasmit találnak, amit visszaélésre használhatnak, vagy amivel zsarolhatják a felhasználót. Ezek lehetnek érzékeny vagy értékes dokumentumok, banki hozzáférések, jelszavak különböző internetes szolgáltatásokhoz és hasonlók. Ha ez sikerül nekik, akár ezreket, százezreket vagy milliókat is követelhetnek csak azért, hogy visszaadják az adataidat.

Ezért a vállalati, de az otthoni hálózat megfelelő védelme is teljesen alapvető. A kártékony szoftver útja a vezérigazgató számítógépéig ugyanis egyáltalán nem kell, hogy kacskaringós legyen. A példánkban szereplő tinédzser olyasmit tölt le, amit nem kellene, közben pedig megfertőzi a telefonját kártékony szoftverrel. Az megfertőzi a rosszul védett otthoni WiFi routert, ahonnan aztán könnyen továbbjut a laptopra, amit a dolgozó végül bevisz a munkahelyére. És ha a vállalati hálózatod rosszul van védve, kész a baj.

Honnan támadhatnak a kiberbűnözők?

Számos támadástípus létezik, különféle formákban. A legalapvetőbb felosztás az alapján történhet, hogy milyen irányból érkezik a támadás. A hálózatokat a kiberbűnözők három irányból támadhatják:

1. Fizikai környezetből – valaki fogja a saját számítógépét, és csatlakozik a rosszul védett vezeték nélküli hálózatodra. Ezek a „WiFi-kullancsok” általában nem túl veszélyesek, mert a céljuk többnyire csak az internetkapcsolat, amiért így nem kell fizetniük. Néha azonban fertőzött számítógépük lehet, vagy szándékosan is támadhatják a hálózatodat. Ez viszont nem túl gyakori módszer.
2. Külső támadás – a kártevők úgy is megpróbálhatnak biztonsági rést keresni, hogy nincs hozzáférésük a hálózatodhoz. Ezek a támadások nem túl sikeresek, de az IPv6 terjedésével egyre több lesz belőlük. A sikeres támadások közös nevezője általában egy régi, nem frissített router, vagy egy olcsó router, amelyhez egyáltalán nem érkeznek rendes frissítések. Az ilyen eszközökre egyáltalán nem érdemes rábízni a vállalati hálózat biztonságát.
3. Belső hálózati támadások – ezekről fentebb már írtunk, és a cikk további részében is szó lesz róluk. Ugyanis ez a legveszélyesebb és legvalószínűbb kockázat, amellyel a hálózatod szembenézhet. A támadók nem kívülről jutnak be a hálózatba, hanem belülről. Oda egy óvatlan felhasználó „hívja be” őket, aki tudtán kívül hagyja megfertőződni az eszközét, ahonnan a kártékony szoftver könnyen továbbjut a nem védett routerre és a hálózatra csatlakozó többi eszközre is.

Milyen módszereket használnak a kibertámadók?

Nincs ok azt hinni, hogy a kibertámadások száma csökkenni fog. Épp ellenkezőleg. Egyre több vállalat támaszkodik számítógépes hálózatokra, a támadók pedig egyre kifinomultabb módszereket találnak ki arra, hogyan éljenek vissza ezekkel a hálózatokkal. Ha egy számítógép vagy WiFi router fertőzött, a hétköznapi felhasználó semmit sem feltétlenül vesz észre, ha a támadó ezt nem akarja. De hogyan jut be egyáltalán a kártékony szoftver a számítógépes hálózatba, és milyen károkat okozhat benne?

Ahogy fentebb már említettük, a kártékony szoftver a hálózatodra olyan eszközökön keresztül juthat be, amelyek csatlakoznak a hálózathoz. Ezekre például úgynevezett trójai faló segítségével kerülhet fel, vagyis olyan szoftver formájában, amely telepítéskor ártalmatlannak tűnik, valójában azonban kártékony kódot rejt. Nem feltétlenül csak olyan programokról van szó, amelyeket tudatosan telepítesz a számítógépedre. Veszélyesek lehetnek az ismeretlen feladóktól érkező e-mail mellékletek, a fertőzött weboldalak vagy a fertőzött USB-meghajtók is.

És hogyan néz ki az, amikor a kibertámadók sikeresen megszerzik a WiFi routeredet? Hozzáférést szereznek például annak beállításaihoz, amelyek közé a DNS-szerver is tartozik. Ez felelős a domainnevek IP-címekre fordításáért. Ha tehát az internetes böngészőbe beírod, hogy www.enbankom.pelda, a támadók képesek lehetnek hamis oldalt megjeleníteni a bankod valódi oldala helyett. Az előkészített mezőkbe beírod a bejelentkezési adataidat, így gyakorlatilag elküldöd azokat a támadóknak. Hasonló módon átirányíthatnak olyan weboldalakra is, ahonnan tudtodon kívül kártékony szoftvert töltesz le.

Ez csak egy a rémisztő példák közül arra, hogyan élhetnek vissza a támadók egy rosszul védett WiFi hálózattal. Egy ilyen hálózatban egyes kártékony programok akár számítógépről számítógépre is terjedhetnek (úgynevezett férgek), és magukkal vihetik a rosszindulatú kódot. Jobb esetben ez lelassítja a hálózatodat, rosszabb esetben pedig a kártékony programokat további csatlakoztatott számítógépekre is átterjeszti. Köztük lehet például a veszélyes ransomware is, amely feltörhetetlenül képes titkosítani a legértékesebb adataidat.

Hogyan védd meg a vállalati hálózatot?

Fentebb már említettük, hogy ha kisvállalkozásod van, semmiképp sem szabad a legolcsóbb WiFi routerre hagyatkoznod, amit a kínálatban találsz. Az ilyen eszközökhöz elérhető frissítések nem biztos, hogy a legjobb minőségűek, és főleg néhány év után meg is szűnhetnek. Azonban még a minőségi hálózati elemek sem biztos, hogy megvédenek, ha nem figyelsz a megfelelő beállításukra. Mit tehetsz azonnal azért, hogy a hálózatod biztonságosabb legyen?

• Erős WiFi-jelszó – az erős jelszó a vezeték nélküli hálózathoz abszolút alap. Elég hosszúnak kell lennie, és betűkből, számjegyekből, valamint speciális karakterekből kell állnia. Főleg nem lehet könnyen kitalálható. Például a cég nevét használni jelszóként biztosan rossz ötlet.
• A WiFi router adminisztrációs jelszavának megváltoztatása – az új WiFi routereknek általában vannak alapértelmezett bejelentkezési adataik, amelyekkel hozzáférsz az adminisztrációhoz. Ez lehet például az „admin” felhasználónév és az „admin” vagy „1234” jelszó kombinációja. Egy ilyen jelszót egy kártékony program ezredmásodpercek alatt feltör. Ezért a jelszót rögtön az első indítás után változtasd meg, és tedd sokkal erősebbé.
• Rendszeresen frissítsd a WiFi routert – ha biztonsági rés jelenne meg a WiFi routeredben, a támadók akár kívülről is bejuthatnának a hálózatodba. Ezért szükséges a router szoftverét rendszeresen frissíteni, mert ha megjelenik valamilyen biztonsági rés, a felelős gyártó a legközelebbi frissítésben kijavítja.
• Ne dolgozz adminisztrátori jogosultságokkal – a vállalati hálózatban minden egyes felhasználónak (az ügyvezető sem kivétel) olyan fiók alatt kell dolgoznia, amely nem rendelkezik adminisztrátori jogokkal. Ez teljesen alapvető és elengedhetetlen feltétele az IT-biztonsági elvek működésének. A normál felhasználó még az adminisztrátori jelszót sem ismerheti, mert ez a védelem feltöréséhez vezetne.
• Használj frissített szoftvert – biztonsági szempontból fontos biztosítani az egyes alkalmazások aktuális verzióinak használatát. A Windows 10 operációs rendszer már rendszeresen, teljesen önállóan és felhasználói beavatkozás nélkül frissül. Ugyanígy kell eljárni a többi alkalmazással is. Hírhedt fekete lyuknak számít a PDF-fájlok megjelenítésére szolgáló Adobe Acrobat Reader. Ennek különféle biztonsági frissítései minden héten érkeznek, és IT-szempontból kifejezetten problémás alkalmazásnak számít. Szerencsére a modern webes böngészők képesek a PDF-fájlokat saját belső nézegetőjükben megjeleníteni, ezért az Adobe Acrobat Readert egyszerűen azonnal távolítsd el.

Mibe érdemes beruházni?

Ha tenni akarsz valamit a vállalati hálózatod biztonságáért, akkor ehhez bizony pénzügyi ráfordításra is szükség lesz. Természetesen a gyakorlati tippek betartása mellett, amelyeket az előző fejezetben említettünk.

Minden mindig a konkrét körülményektől függ, de alapvetően jó, ha a vállalati hálózaton belül egy gyártó termékeinél maradsz. Ez ugyanis kényelmesebb kezelést jelent több elem esetén egyszerre, vagy gyakorlatilag azonos felhasználói felületet biztosít. Fontos döntés az is, hogy elegendő-e a WiFi lefedettség, vagy különféle eszközöket (például nyomtatókat vagy NAS szervereket) kábelen keresztül is csatlakoztatnod kell. Egyes gyártók ugyanis csak WiFi eszközöket kínálnak, ami egy modern nyomtatónál még nem gond, de egy NAS szervert mint vállalati fájltárolót egyszerűen kábellel kell csatlakoztatni.

Modern cég kizárólag WiFi hálózattal

Ebben az esetben melegen ajánlhatjuk az úgynevezett WiFi Mesh rendszert. Miről van szó? Egyszerűen megfogalmazva egy csomagban három szatellitet kapsz, amelyek egymással kommunikálnak, és a készülékeidet mindig automatikusan a legmegfelelőbb egységhez kapcsolják, hogy mindig a lehető legjobb jelet kapd. Minél több szatellitet tartalmaz a készlet, annál nagyobb területet fedhetsz le stabil WiFi jellel. És szükség esetén bármikor könnyen vásárolhatsz hozzá további szatelliteket.

A Mesh hálózat és minden elemének telepítése nagyon egyszerű. A szatellitek már alapbeállításban párosítva vannak, és csak a fő szatellitet kell kábellel az internethez csatlakoztatni, a többi szatellitet pedig elhelyezni az irodákban. A hálózat igényre szabott beállítása ezután már csak néhány percet vesz igénybe.

Az egész Mesh WiFi rendszert mobilalkalmazással vezérled, amelyben kényelmesen beállíthatod a saját adatvédelmedet és egyéb paramétereket – a vendég WiFi-hozzáférést, egyes felhasználók blokkolását vagy akár a szülői felügyeletet is, amely a cégnél arra használható, hogy munkaidőben például letiltsd a dolgozók hozzáférését a közösségi oldalakhoz.

WiFi + vezetékes LAN kombinációja

Még ha sok felhasználónak régimódinak is tűnik, a WiFi és a hagyományos vezetékes LAN hálózat kombinációja továbbra is dominál a vállalatoknál. A LAN hálózat fontos a stabilitás és főként az adatátviteli sebesség szempontjából. Az 1 GbE ma szabványnak számít, de a 10GbE technológia térnyerése teljesen megállíthatatlan. Különösen ott, ahol gyorsan hatalmas mennyiségű adatot kell átvinned. Például szerverek biztonsági mentésekor vagy NAS szerverrel végzett munka során.

Nem szabad megfeledkeznünk arról sem, hogy a vezetékes LAN hálózat érezhetően biztonságosabb, mint a vezeték nélküli WiFi. Logikusan sokkal nehezebb, hogy egy kártevő észrevétlenül a saját számítógépét csatlakoztassa egy szabad LAN aljzathoz. Még ezzel szemben is immunisnak kell lennie a megfelelően beállított hálózatnak. Jellemzően a szabad aljzatok közvetlenül a switchen vannak deaktiválva, és adott esetben MAC-cím alapú ellenőrzés is működik, amely csak az előre jóváhagyott eszközöket engedi a hálózatra.

Az egyik tipikus márka, amely átfogó kínálatot nyújt, az amerikai Ubiquiti. Az Ubiquiti hálózati termékeinek széles kínálatában csúcskategóriás beltéri és kültéri hozzáférési pontokat találsz a legújabb szabványok támogatásával. Természetesen nagy teljesítményű routerek és switchek is rendelkezésre állnak nagy sebességű adatátvitelhez. Mindez nagyon egyszerűen és hatékonyan kezelhető egyetlen webes konzolon keresztül. Így például a WiFi-hozzáférési jelszó módosítását néhány pillanat alatt akár 40 hozzáférési ponton is elvégezheted egyszerre. Ugyanilyen könnyen automatizálható a frissítések feltöltése is közvetlenül az egyes hálózati elemekre.

Nagyon hasonlóan működik egy másik ismert gyártó, a TP-LINK és annak Omada rendszere is. Ismét olyan egységes termékcsaládokról van szó, amelyek bármilyen vállalati felhasználásra alkalmasak. Mivel az egyes hálózati elemek a belső hálózaton belül a fő felhőalapú vezérlőhöz kapcsolódnak, a felhőbe történő biztonságos összeköttetésnek köszönhetően a vállalati hálózatot a világ bármely pontjáról felügyelheted. Akár mobilalkalmazással is (elérhető Androidra és iOS-re). Az egyes hozzáférési pontok mellett az Omada felhővezérlők is kezelhetők további hardver megvásárlása és telepítése nélkül. És a felhő használatának köszönhetően egy helyi szerverrel sem kell foglalkoznod, amelyen a hálózat tipikus felügyeleti szolgáltatása futna. Biztonsági szempontból pedig értékelni fogod azt a tényt, hogy a felhőben semmilyen konfigurációs adat nincs tárolva, és vállalati kommunikáció sem fut rajta keresztül.

A TP-Link Omada SDN platform robusztus hálózatvédelmet kínál, beleértve a felhasználók jobb adatvédelmét is. A legfontosabb biztonsági elemek közé tartozik például a saját VPN, az erős tűzfal, az URL/IP/MAC szűrés, a hozzáférés-ellenőrzés, a fejlett WPA3 titkosítás vagy az ideiglenes hozzáférés regisztrációjához használható speciális portál. Így mindig visszakövethető, hogy az egyes eszközök mit csináltak a hálózatban.

A biztonságos internetes viselkedés alapvető szabályai

Amint egy végberendezést csatlakoztatsz a hálózathoz, majd az internethez, foglalkozni kell a védelemmel. A különféle hackerek elleni védelem több rétegből áll, amelyek egymást erősítik. Már említettük, hogy PC-n kizárólag korlátozott felhasználói jogosultságokkal kell dolgozni, aminek köszönhetően számos lehetséges támadás kiszűrhető. Például amikor figyelmetlenül rákattintasz egy hamisított e-mailre. Természetesen célszerű valamelyik fizetős vírusirtót használni. Hangsúlyozzuk, hogy fizetőset. Ha nem akarsz fizetni a vírusirtóért, használd a Windows 10-be épített Microsoft Defendert, és ne telepíts semmi mást – felesleges.

A fizetős vírusvédelmi rendszerek közül nagyon jó referenciákat kap a szlovák ESET. Segítségével semmilyen gyanús oldal vagy megbízhatatlan forrásból származó fájl nem ér meglepetésként. Bár a vállalatoknál jó szokás a felhasználókat rendszeresen oktatni a technika használatára, mégis kevés felhasználó képes a mindennapi e-mailáradatban felismerni a lehetséges problémát.

A felhasználókat fenyegető fő veszélyek

• Linkek az e-mailekben – mielőtt bármilyen linkre kattintanál egy bejövő e-mailben, gondold át, hogy megszokott helyzetről van-e szó (például egy kolléga küld neked linket egy alza.cz vásárláshoz), vagy szokatlan esetről. Utóbbi esetben az e-mailt azonnal töröld. Ha valami fontosról van szó, a feladó biztosan jelentkezik más módon is.
• Mellékletek az e-mailekben – a felhasználói tudatlanság kihasználásának másik tipikus módja. Mielőtt megnyitnád a mellékletet, mindig nézd meg magát az e-mailt. Ismert feladótól érkezett? Helyes az e-mail-cím formátuma? Nincsenek benne furcsa elgépelések, mintha a szöveget automatikusan fordította volna a Google?
• Jelszavakkal való visszaélés – a gyenge vagy ismételten használt jelszó az egyik legnagyobb fenyegetést jelenti. Még vállalati környezetben is használj jelszókezelőt. Például a KeePass képes hatalmas mennyiségű hozzáférés generálására és kezelésére. Így minden regisztrációhoz könnyedén létrehozhatsz egyedi bejelentkezési adatokat. És ha mégis adatszivárgás történne, a személyazonosságod védve marad.
• Figyeld a weboldalak biztonságát – vedd észre, hogy minden megbízható weboldal címsorában lakat látható. Ez azt jelenti, hogy tanúsítvánnyal védett, amelynek megszerzéséhez a weboldal tulajdonosának igazolnia kellett magát a hitelesítésszolgáltatónál. Lakat = biztonságos HTTPS protokoll. A HTTPS protokoll előnye a biztonság. A HTTPS-sel küldött adatok a Transport Layer Security (TLS) protokoll segítségével vannak védve, amely három kulcsfontosságú védelmi réteget nyújt: titkosítást, hitelesítést és adatintegritást. Például internetbankolásnál már egyetlen bank sem működik HTTPS nélkül. Az elavult HTTP protokoll jellemzően kevésbé látogatott weboldalakon fordul elő, és ugyanakkor felismerhető jele a csaló oldalaknak is, amelyek a felhasználói adatokat akarják megszerezni. Például hamis e-mailes bejelentkező oldalt tolnak eléd.

Az ajánlásunk tehát egyértelmű – Windows 10-es számítógépen kizárólag korlátozott felhasználói jogosultságokkal dolgozz, legyen telepítve fizetős vírusirtó, használj frissített webes böngészőt, és természetesen rendszeresen készíts biztonsági mentést a kulcsfontosságú fájlokról egy külső meghajtóra, amely nincs állandóan a PC-hez csatlakoztatva. Ez a kombináció viszonylag jól megvéd az internetes világ veszélyeitől.

Mit tegyél, ha támadás ért?

Ha az internetes biztonság legalapvetőbb elemeit sem tartod be, csak idő kérdése, mikor jön el a nagy D napja. Ezzel azt a helyzetet értjük, amikor a számítógéped megfertőződik. Mit tehetsz ilyenkor? Ha csak valamilyen malware-ről van szó, azt a hétköznapi felhasználó valójában észre sem veszi. Azonban különféle reklámablakok fognak felugrani és természetesen a teljes PC fokozatos lassulása is tapasztalható lesz.

Egy IT-szakember az ilyen PC-t néhány pillanat alatt felismeri. A laikus például egy vírusírtó programmal végzett egyszeri ellenőrzéssel segíthet magán. Ez a webböngésző környezetéből átvizsgálja a PC-det. Ha problémákat talál, az alkalmazás megpróbálja eltávolítani őket. Ha ez nem sikerül, legkésőbb ekkor hívd az IT-rendszergazdádat, és a számítógépet azonnal válaszd le a hálózatról.

Ha azonban ransomware-t kapsz be, garantálhatjuk, hogy ezt még a teljesen hozzá nem értő felhasználó is azonnal észreveszi. Az asztalon és a dokumentumokban található összes fájl ugyanis hirtelen nem lesz megnyitható. Például a kedvenc fényképed helyett csak váltságdíjfizetésre felszólító üzenet jelenik meg, egyes esetekben még azzal az információval is, hogy mennyi időd maradt a fizetésre. Az idő letelte után a követelt összeg emelkedik. A hacker tipikusan bitcoinban vagy más virtuális valutában kér fizetést. Fizetés után elvileg meg kellene történnie az adatok visszafejtésének vagy a fertőzött eszközhöz való hozzáférés helyreállításának. A gyakorlatban azonban a fájlok fizetés után is titkosítva maradnak. Ezért azt javasoljuk, hogy semmit se fizess.

De akkor mit lehet tenni? A ransomware-rel fertőzött számítógépet teljesen formázni kell, és az operációs rendszert újra kell telepíteni. Ezután pedig már attól függ minden, hogy mennyire régi biztonsági mentésed van a külső meghajtón, mert a titkosított adatok végleg elvesztek.

A vállalati eszközök és adatok kiberbiztonsági védelme ma már annyira összetett terület, hogy ehhez egyszerűen IT-szakemberre van szükséged. Az ő szaktudása nélkül óriási biztonsági kockázatnak teszed ki a cégedet.