Слишком часто нам приходится слышать о том, как какой-то хакер обошел маршрутизатор и брандмауэр и вторгся во внутреннюю сеть компании. В реальности всегда существует доступ к внутренней сети. Наверное, настало время подумать о защите сети различными способами? Читайте и претворяйте в жизнь!
Вступление
Существует бесчисленное множество ценных статей и книг по проблематике защиты компьютерных сетей. В большей части из них внимание уделяется тому, каким образом укрепить Вашу сеть, начиная от маршрутизатора и заканчивая коммутатором и, непосредственно, рабочей станцией. В большинстве случаев конечной целью хакеров является подавление непосредственно рабочей станции. Маршрутизатор и некоторые виды серверов не представляют собою конечной цели хакерского взлома. Абсолютно обычным считается явление, при котором хакер получает доступ к внутренней сети посредством использования эксплоита в самом клиенте. Однако вопрос о том, используется ли для этого уязвимости операционной системы, или же какое-либо другое уязвимое место, остается открытым. Возможность получить доступ к самому уязвимому месту сети как раз и является целью хакерской атаки. Когда почва уже подготовлена, то Регистратор ключей, анализатор пакетов, корневой набор и другие типы программ, использующиеся для последующей или скрытой эксплуатации, переносятся на взломанный компьютер.
В большинстве случаев, как я уже говорил Выше, действующая рабочая станция является конечной целью хакерской атаки. Это может показаться смешным, но я часто слышу, как люди, отвечающие за компьютерную безопасность, говорят: «..но они вторглись прямо через наш маршрутизатор и другие средства безопасности…». В этом как раз и заключается основное свойство укрепления операционной системы извне. Каждый должен учитывать, что целеустремленный хакер будет прилагать все усилия для достижения именно основной рабочей станции. Принимая это во внимание, следует начать укрепление самого слабого звена во всей системе сетевой безопасности—рабочей станции. Целью настоящей статьи является популяризация подобной концепции «защиты изнутри» с некоторыми рекомендациями по ее воплощению. Мы должны также помнить о том, что компьютерная безопасность и сложность не такие уж и совместимые вещи! Чем более сложная система безопасности установлена на компьютере, тем больше вероятность того, что с ней возникнут проблемы у конечного пользователя. И еще кое-что перед тем, как я начну настоящую статью: меры безопасности, описанные ниже, подходят для средних и больших локальных сетей.
Первые шаги
Сразу же хочу подчеркнуть, что данная статья не предполагает описания всех имеющихся средств укрепления Вашей сети. Мы оставим в стороне также схемы сетевой архитектуры. Основная информация, которую содержит данная статья, носит не специфический, а, напротив, обобщенный характер.
Для начала каждый должен осознать, что первый шаг в охране рабочей станции — ее физическая охрана. Вы должны запретить доступ к рабочей станции кого бы то ни было в нерабочие часы. Как только в вашем отделе заканчивается рабочий день, двери в секцию, где находятся основные рабочие станции, должны быть сразу же закрыты на ключ. Нет никакой необходимости в том, чтобы кто-то из персонала, занимающегося телемаркетингом, заглядывал в бухгалтерию… Вам также следует учесть и надежность персонала, осуществляющего уборку рабочих мест в Вашем офисе в нерабочее время. Эти люди обычно имеют свободный доступ к рабочим местам, когда вокруг никого нет. Удостоверьтесь в том, что персонал прошел соответствующую проверку в компании, на которую вы работаете.
На двух указанных выше примерах можно видеть, что физический доступ к рабочей станции представляет для нас наибольшую опасность. Поэтому Вы всегда должны начинать работу со станцией так, как будто ее кто-то уже использовал. Конечно же, это звучит довольно странно, однако это поможет Вам в возможной переработке сетевой архитектуры. Существует определенная последовательность действий, которые должны быть предприняты в целях ограничения доступа к рабочей станции. Такие верные использованные методы, как введение пароля Базовой системы ввода/вывода BIOS, к примеру. Это значительно затруднит использование live Linux distro через CD-привод, так как нужно будет при этом ввести определенный пароль BIOS. Важно также ограничить доступ BIOS, и с помощью его установок отключить поддержку USB. Важность внесения изменений в BIOS теряется, если Вы позволяете кому-нибудь впоследствии их снова поменять.
Заслуженно внимание атакам с использованием USB карт памяти стали уделять сравнительно недавно. Эти карты памяти могут содержать очень многое и являются портативными носителями информации. Поэтому при скрытой атаке они могут легко попасть в чужой карман. Деактивация подобного типа поддержки может быть произведена с помощью Объектов групповой политики GPO. GPO, по своей сути, являются одним из лучших инструментов, которые Вы можете использовать для обеспечения соответствующей безопасности, политики и стандартов в сети Windows 2K/XP/K3. Существует также великолепная ссылка на различные типы сетевых сценариев; Вам нужно лишь перейти по данной ссылке корпорации Microsoft. Microsoft самостоятельно опубликовала бесчисленное количество материалов по поводу того, как можно укрепить собственную локальную сеть. В отличие от большинства ненужной информации, Вам, возможно, приходилось слышать о защите Microsoft; поэтому следует хорошо ознакомиться с секцией, описывающей их защиту; там содержится просто огромное количество практически ценного материала. Зачем пускаться в ненужные поиски простых решений, если они уже готовы для Вас у Microsoft?
Несмотря на использование различных типов GPO, Вам следует ограничить доступ пользователей к тем местам, которые вы считаете нужными. К примеру, к реестру, файлу cmd.exe, панели управления. Это может хорошо помочь Вам в выполнении задачи усиления защиты операционной системы. Подобные мероприятия уже не являются «защитой от дурака», благодаря широкому распространению live Linux distributions. Необходимо также учитывать и то, что контроль администратора (как в GPO) иногда может быть проигнорирован. Лучшим примером этого может служить блокировка доступа администратором системы к regedit посредством применения cmd.exe с одновременным сохранением доступа к regedt32.
Вот здесь то и можно применить ссылку, указанную двумя абзацами выше. Вам придется разделить сеть на несколько групп, а затем решить, к каким из получившихся групп можно обеспечить доступ пользователей. Возьмите, к примеру, Группу управления, которая должна быть составлена из руководителей компании. Единственное, что необходимо предпринять — это использование PKI для всех входящих сообщений, поступающих от Группы управления. Данные сообщения содержат самую значимую и уязвимую информацию, проходящую через Вашу локальную сеть. Конечно же, Вам не хотелось бы, чтобы кто-то перехватил подобное сообщение и прочитал его, не так ли? Поэтому Base64 вряд ли подойдет в качестве системы кодировки. Сообщение хоть и может дойти до Вас, как набор неподдающихся расшифровке символов, однако оно быстро и легко преобразуется в читабельный формат.
Возможно, если вы пришли в организацию, в которой уже есть схема защиты сети, Вам стоит рекомендовать новую сетевую архитектуру своему руководству. Реструктурирование локальной сети может принести большие выгоды; один из подобных примеров (ограничение проникновения вирусов и т.п. посредством внесения изменений в схему сети) будет разобран более подробно ниже. На этой ноте мы завершим первую часть настоящей статьи. До встречи во второй части!!
Источник www.windowsecurity.com