В первой части настоящей статьи мы раскрыли сущность физической опасности, которая может грозить локальной сети. Во второй части мы продолжим разговор о различных путях обеспечения защиты основной рабочей станции и усиления внутренней сети от атак извне.
Если Вы пропустили первую часть настоящей статьи, то прочтите Организация внутрисетевой защиты (Часть 1).
Кое-что более конкретизированное
До сих пор я лишь в общем касался методов усиления защиты операционных систем и не упоминал что-либо конкретное. Теперь же, на основе конкретных примеров, я разъясню некоторые меры по обеспечению защиты рабочих станций локальных сетей предприятий.
Во-первых, следует обеспечить контроль над физическим доступом к рабочей станции. Во-вторых, Вам следует убедиться в наличии пароля BIOS для ограничения доступа к ней. Необходимо также иметь в наличии один из шаблонов стандартной сетевой защиты, который позволит Вам соотносить мощность GPO с конфигурацией W2K и XP. Количество установок предоставляемых в GPO значительно и может быть отрегулировано в соответствии с любой конфигурацией. Я не буду вдаваться в подробности эксплуатации GPO, так как не считаю себя экспертом в данной области. Превосходную статью по данной тематике можно найти в журнале Microsoft’s Technet Magazine. В этой статье Дерек Мелбер подробно разъясняет, что он понимает под 10 важнейшими установками GPO, преимущества которых Вы можете использовать в своей работе. Однако некоторые из этих 10 установок, которые выделил Дерек, я редко видел в применении на практике. По его словам, указанные установки могут снизить грубые попытки хакеров внедриться в компьютер.
Используя GPO для изоляции рабочей станции необходимо располагать также и базовым набором корпоративного программного обеспечения. Это программное обеспечение для корпоративной сети должно быть соотнесено с устанавливаемым впоследствии программным обеспечением, требующим администраторских прав доступа к системе. Это, конечно же, несовершенное решение, так как существуют обходные пути доступа к системе, но, все же, это один из барьеров на таких путях. Кроме того, использование базового программного обеспечения поможет обеспечить защиту локальной сети в тех случаях, когда сотрудники подключают к сети портативные компьютеры. Слишком частая работа с подключением подобных ЭВМ может стать причиной проникновения в сеть различных вирусов и т.п. Были случаи, когда в некоторых компаниях сотрудники на своих домашних компьютерах подвергались корпоративному шпионажу. Это проверенный и надежный метод инфильтрации усиленной корпоративной сети, так как зачастую работники корпорации не имеют подобного уровня защиты на домашних компьютерах. Вот почему так важно предлагать сотрудникам компании корпоративное программное обеспечение для домашнего пользования. Также могут быть предложены такие решения, как использование, к примеру, аудио- и видеоподдержки (a/v и f/w). Если вы работаете в большой компании, то лицензия может Вам это позволить.
Еще один вид технологий, который необходимо применять на рабочих станциях, это система защиты от проникновения в главный хост или HIPS. Использование HIPS может предотвратить станцию от большой нагрузки при значительном количестве клиентов и низкой скорости их соединения. Зачастую патчи Microsoft тестируются в первую очередь применительно к системным приложениям, на случай потери функциональности при работе в сетях. Данная технология также обезопасит сеть от перегрузки буфера, ввода форматирующих строк и канонических атак. Проверенный сотрудник, имеющий базовые познания, может посредством наблюдения изменений в Простом протоколе сетевого управления SNMP узнать, какие серверы были подключены, а какие —нет. Если Вас волнует подобный вопрос, то просто подумайте об отправке на сервер запроса о периоде работоспособного состояния: данный метод четко ответит на Ваш вопрос — был ли сервер соединен с каким-либо пользователем, или нет. Если время рабочего состояния оказывается больше, чем длительность прерванного пользования, то вы можете предполагать, что соединение не было совершено из-за необходимости перезагрузки для введения в действие патча использования.
Учитывая все вышесказанное, настало время окинуть взором весь план сетевой архитектуры. Для средних и больших корпоративных сетей необходима лишь разбивка на логические секции. Используя маршрутизаторы, Вы можете не только разбивать сеть по различным отделам, но и контролировать доступ к ее ресурсам. Реально ощутимая выгода от подобной разбивки посредством маршрутизаторов — ограничение вторжения червей и вирусов. Если червь проникает в секцию управления, то он и будет находиться только там, поскольку все маршрутизаторы в Вашей сети не используют трафики NetBIOS, являющиеся одним из путей размножения червей. Только порты, действительно имеющие подобную необходимость, должны быть полностью открыты для внутрисетевого доступа. Данный пункт становится очевидным при работе за домашним ПК и в случае, когда червь проникает сквозь абсолютно прозрачную сеть. Внося простые изменения, подобно указанным выше, Вы получаете возможность ограничивать подобные вторжения. Это, по крайне мере, позволит Вам привести все в порядок без необходимости выхолащивания всей сети. Подобное эффективное решение быстрой очистки сети найдет свое положительное отражение в долларовом эквиваленте от последствий вторжения червя.
Кроме использования маршрутизаторов для сегментации сети, неплохой идеей кажется подстраховаться путем прикладного использования Системы обнаружения вторжений IDS. Это также позволит Вам контролировать любые незаконные действия на межсекционном базисе. В данном случае становится довольно просто дискредитировать какой-либо определенный отдел в целях обеспечения, при необходимости, последующих мер безопасности. Другой превосходный способ управления сетью — еженедельно или ежемесячно проводить включение в работу всех секций сети одновременно, проводя информационную проходку трафиков. Вам действительно необходимо делать это регулярно: регистрировать все сетевые трафики, а затем отсеять те из них, чьи пакеты не имеют отношения к сети. Таким образом, Вы заодно отыщете программы, нашедшие путь в Вашу сеть. Распространенные выходы трафиков равноправных узлов P2P и «Интернетовских посиделок» IRC могут быть отслежены с помощью подобной системы анализа.
Если Ваш персонал не может провести все вышесказанное, то откажитесь от этого, либо же организуйте обучение персонала. Обычно, посредством применения сетевого анализа или, как его еще называют, информационной проходки, всегда отыскиваются интересные трафики. Соединение равноправных узлов P2P и «Интернетовские посиделки» IRC представляют собою способы разрушения защиты довольно укрепленной сети внутренним персоналом, действующим из лучших побуждений. Тысячу раз я проводил «проходку данных» для клиентов и все заканчивалось тем, что я говорил им о результатах использования служащими P2P и IRC. Подобные виды протоколов, просто-напросто, должны быть запрещены к использованию во внутренних сетях.
Неплохо также проверять защиту коммутаторов Вашей сети. Все адреса Протоколов управления доступом MAC должны быть статистически сгруппированы так, чтобы уметь отражать обычные атаки Протокола разрешения адресов ARP. Кроме того, должна быть обеспечена соответствующая защита на маршрутизаторе. Нет никакой необходимости в наличии bogon range, разрешенного в- или вне Вашей сети. Нам, как профессионалам сетевой защиты и системным администраторам, следует помнить о том, что мы обеспечиваем надлежащую защиту, которая гарантирует конечным пользователям возможность вести дела на своих компьютерах. Усложнение данной задачи приведет только к попыткам найти лазейки в системе организации защиты и выльется в общем понижении эффективности. Перенесение всей вины за сетевые проблемы на конечного пользователя является непозволительным. Это — причина, по которой нас берут на работу, т.е. нам необходимо одновременно обеспечивать простоту и безопасность.
Я искренне надеюсь на то, что Вам понравилась эта статья. Еще раз позволю себе напомнить Вам о том, что я не пытался давать слишком подробных советов, а, напротив, хотел обеспечить общее представление о том, как Вы можете обеспечить защиту сети от атак с операционных систем извне. До следующего раза!
Источник www.windowsecurity.com
Tags: mac