|
Recenze: Bezpečnost počítačových sítí
Northcutt, S. – Zeltser, L. – Winters, S. – Frederick, K. K. – Ritchey, W. R.: Bezpečnost počítačových sítí. Kompletní průvodce návrhem, implementací a údržbou zabezpečené sítě. Brno, Computer Press, 2005, 589 stran, náklad neuveden, doporučená cena 690 Kč, ISBN 80-251-0697-7.
Kniha je společným dílem pěti hlavních autorů, předních amerických expertů z oblasti zabezpečení počítačových sítí, sdružených především okolo SANS Institute. Stephen Northcutt je mj. tvůrce proslulého systému Shadow pro detekci napadení, Lenny Zeltser držitelem několika certifikací, např. MCSE, CCSE, GSEC, GCIA, GCUX a GCIH.
Zabezpečení sítě si lze představit jako strukturu vrstev, ve kterých jsou realizovány jednotlivé ochrany síťových prostředků. Kniha se zabývá principem tzv. hloubkové obrany (vrstvené bezpečnosti), která je nejdůležitější pro účinné zabezpečení počítačové sítě. V duchu hloubkové obrany je veden celý výklad v této knize, včetně uvedených příkladů.
Díky hloubkové obraně zůstávají síťové prostředky chráněny i při vyřazení některé vrstvy ochrany z činnosti záměrným útokem nebo nevhodným zásahem administrátora sítě.
Příklady návrhů zabezpečení síťových prostředků z praxe obsahují požadavky vyplývající z reálného provozu počítačových sítí. Takovýmito požadavky mohou být otevřené porty na firewallu, které by v běžném síťovém provozu byly zakázány, nebo běžící určité služby na serverech, nutné pro konkrétní firemní síť. Dalším obdobným požadavkem z pohledu bezpečnosti může být provoz systému bez některé bezpečnostní záplaty, s kterou by nebyla funkční důležitá firemní aplikace.
Komponenty obvodového zabezpečení (obvod sítě, vnitřní síť a lidský faktor) autoři knihy pokládají za součásti celkové infrastruktury hloubkové obrany, v níž se počítá se silnými a slabými stránkami každé z nich.
V knize se čtenáři seznámí se všemi důležitými oblastmi pro plánované zabezpečení sítě, s jeho testováním či posílením. Mezi nejdůležitější oblasti popsané v knize patří: základy obvodového zabezpečení, filtrování paketů, stavové a proxy firewally, určení firewallu a systému pro detekci narušení vhodných pro příslušnou síť, virtuální privátní sítě, vysvětlení IPSec, SSH, SSL a dalších tunelovacích metod, konfigurace ochranných síťových komponent, zvýšení odolnosti hostitelského počítače, omezení oblasti vlivu útočníka oddělením síťových prostředků, návrh koncepce zabezpečení sítě pro potřeby dané organizace, vyladění návrhu zabezpečení pro optimální výkon, vyhodnocení zabezpečení – analýza síťových záznamových souborů, řešení problémů s ochrannými komponentami a testování.
Knihu je možné doporučit manažerům IT mimo úplné začátečníky a administrátorům počítačových sítí na všech odborných úrovních. Kniha je taktéž vhodná pro pokročilé programátory a programátory-odborníky. Knihu nedoporučuji běžným uživatelům počítačových sítí, neboť se s problematikou uvedenou ve zmíněné knize na uživatelské úrovni v oblasti počítačových sítí v podstatě nesetkají.
Miroslav Matýsek
|