Wednesday, August 23rd, 2017

Организация внутрисетевой защиты (Часть 1)

Published on Январь 29, 2009 by   ·   Комментариев нет

Слишком часто нам приходится слышать о том, как какой-то хакер обошел маршрутизатор и брандмауэр и вторгся во внутреннюю сеть компании. В реальности всегда существует доступ к внутренней сети. Наверное, настало время подумать о защите сети различными способами? Читайте и претворяйте в жизнь!

Вступление

Существует бесчисленное множество ценных статей и книг по проблематике защиты компьютерных сетей. В большей части из них внимание уделяется тому, каким образом укрепить Вашу сеть, начиная от маршрутизатора и заканчивая коммутатором и, непосредственно, рабочей станцией. В большинстве случаев конечной целью хакеров является подавление непосредственно рабочей станции. Маршрутизатор и некоторые виды серверов не представляют собою конечной цели хакерского взлома. Абсолютно обычным считается явление, при котором хакер получает доступ к внутренней сети посредством использования эксплоита в самом клиенте. Однако вопрос о том, используется ли для этого уязвимости операционной системы, или же какое-либо другое уязвимое место, остается открытым. Возможность получить доступ к самому уязвимому месту сети как раз и является целью хакерской атаки. Когда почва уже подготовлена, то Регистратор ключей, анализатор пакетов, корневой набор и другие типы программ, использующиеся для последующей или скрытой эксплуатации, переносятся на взломанный компьютер.

В большинстве случаев, как я уже говорил Выше, действующая рабочая станция является конечной целью хакерской атаки. Это может показаться смешным, но я часто слышу, как люди, отвечающие за компьютерную безопасность, говорят: «..но они вторглись прямо через наш маршрутизатор и другие средства безопасности…». В этом как раз и заключается основное свойство укрепления операционной системы извне. Каждый должен учитывать, что целеустремленный хакер будет прилагать все усилия для достижения именно основной рабочей станции. Принимая это во внимание, следует начать укрепление самого слабого звена во всей системе сетевой безопасности—рабочей станции. Целью настоящей статьи является популяризация подобной концепции «защиты изнутри» с некоторыми рекомендациями по ее воплощению. Мы должны также помнить о том, что компьютерная безопасность и сложность не такие уж и совместимые вещи! Чем более сложная система безопасности установлена на компьютере, тем больше вероятность того, что с ней возникнут проблемы у конечного пользователя. И еще кое-что перед тем, как я начну настоящую статью: меры безопасности, описанные ниже, подходят для средних и больших локальных сетей.

Первые шаги

Сразу же хочу подчеркнуть, что данная статья не предполагает описания всех имеющихся средств укрепления Вашей сети. Мы оставим в стороне также схемы сетевой архитектуры. Основная информация, которую содержит данная статья, носит не специфический, а, напротив, обобщенный характер.

Для начала каждый должен осознать, что первый шаг в охране рабочей станции — ее физическая охрана. Вы должны запретить доступ к рабочей станции кого бы то ни было в нерабочие часы. Как только в вашем отделе заканчивается рабочий день, двери в секцию, где находятся основные рабочие станции, должны быть сразу же закрыты на ключ. Нет никакой необходимости в том, чтобы кто-то из персонала, занимающегося телемаркетингом, заглядывал в бухгалтерию… Вам также следует учесть и надежность персонала, осуществляющего уборку рабочих мест в Вашем офисе в нерабочее время. Эти люди обычно имеют свободный доступ к рабочим местам, когда вокруг никого нет. Удостоверьтесь в том, что персонал прошел соответствующую проверку в компании, на которую вы работаете.

На двух указанных выше примерах можно видеть, что физический доступ к рабочей станции представляет для нас наибольшую опасность. Поэтому Вы всегда должны начинать работу со станцией так, как будто ее кто-то уже использовал. Конечно же, это звучит довольно странно, однако это поможет Вам в возможной переработке сетевой архитектуры. Существует определенная последовательность действий, которые должны быть предприняты в целях ограничения доступа к рабочей станции. Такие верные использованные методы, как введение пароля Базовой системы ввода/вывода BIOS, к примеру. Это значительно затруднит использование live Linux distro через CD-привод, так как нужно будет при этом ввести определенный пароль BIOS. Важно также ограничить доступ BIOS, и с помощью его установок отключить поддержку USB. Важность внесения изменений в BIOS теряется, если Вы позволяете кому-нибудь впоследствии их снова поменять.

Заслуженно внимание атакам с использованием USB карт памяти стали уделять сравнительно недавно. Эти карты памяти могут содержать очень многое и являются портативными носителями информации. Поэтому при скрытой атаке они могут легко попасть в чужой карман. Деактивация подобного типа поддержки может быть произведена с помощью Объектов групповой политики GPO. GPO, по своей сути, являются одним из лучших инструментов, которые Вы можете использовать для обеспечения соответствующей безопасности, политики и стандартов в сети Windows 2K/XP/K3. Существует также великолепная ссылка на различные типы сетевых сценариев; Вам нужно лишь перейти по данной ссылке корпорации Microsoft. Microsoft самостоятельно опубликовала бесчисленное количество материалов по поводу того, как можно укрепить собственную локальную сеть. В отличие от большинства ненужной информации, Вам, возможно, приходилось слышать о защите Microsoft; поэтому следует хорошо ознакомиться с секцией, описывающей их защиту; там содержится просто огромное количество практически ценного материала. Зачем пускаться в ненужные поиски простых решений, если они уже готовы для Вас у Microsoft?

Несмотря на использование различных типов GPO, Вам следует ограничить доступ пользователей к тем местам, которые вы считаете нужными. К примеру, к реестру, файлу cmd.exe, панели управления. Это может хорошо помочь Вам в выполнении задачи усиления защиты операционной системы. Подобные мероприятия уже не являются «защитой от дурака», благодаря широкому распространению live Linux distributions. Необходимо также учитывать и то, что контроль администратора (как в GPO) иногда может быть проигнорирован. Лучшим примером этого может служить блокировка доступа администратором системы к regedit посредством применения cmd.exe с одновременным сохранением доступа к regedt32.

Вот здесь то и можно применить ссылку, указанную двумя абзацами выше. Вам придется разделить сеть на несколько групп, а затем решить, к каким из получившихся групп можно обеспечить доступ пользователей. Возьмите, к примеру, Группу управления, которая должна быть составлена из руководителей компании. Единственное, что необходимо предпринять — это использование PKI для всех входящих сообщений, поступающих от Группы управления. Данные сообщения содержат самую значимую и уязвимую информацию, проходящую через Вашу локальную сеть. Конечно же, Вам не хотелось бы, чтобы кто-то перехватил подобное сообщение и прочитал его, не так ли? Поэтому Base64 вряд ли подойдет в качестве системы кодировки. Сообщение хоть и может дойти до Вас, как набор неподдающихся расшифровке символов, однако оно быстро и легко преобразуется в читабельный формат.

Возможно, если вы пришли в организацию, в которой уже есть схема защиты сети, Вам стоит рекомендовать новую сетевую архитектуру своему руководству. Реструктурирование локальной сети может принести большие выгоды; один из подобных примеров (ограничение проникновения вирусов и т.п. посредством внесения изменений в схему сети) будет разобран более подробно ниже. На этой ноте мы завершим первую часть настоящей статьи. До встречи во второй части!!

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]