Tuesday, June 19th, 2018
Я уже упоминал ранее, что каждая сеть имеет свои особенности и проектные нужды. В результате этого можно предложить только настраиваемый совет, касающийся безопасности сети. Давайте посмотрим на типовую сеть и прокомментируем их.
Топология компьютерной сети может сильно меняться от одной корпорации к другой. Но большинство сетей придерживаются одних и тех же проектных принципов. Под проектными принципами (design principles) я подразумеваю, что существует демилитаризованная зона DMZ, в которой присутствуют такие серверы как почтовый (mail), dns и web сервер. Эта DMZ относительно незащищенная, вдобавок закрыта с помощью брандмауэра от остальной внутренней сети или интранет (intranet). Эта DMZ существует для служб, к которым компании должны предоставлять доступ для своих почтовых (email) и веб серверов через интернет. Если к ним есть доступ, то они уязвимы для атаки. Все мы знаем, что существуют огромное количество «белых шумов (white noise)”, таких как сканирование портов (port scans), активность ботов (bot activity), и т.д. в интернет в настоящее время. Помня о постоянной угрозе, становиться понятной необходимость защиты публично доступных серверов с помощью брандмауэра от остальной сети.
Дальше мы посмотрим на представленную ниже диаграмму из visio, на которой изображена конфигурация типовой DMZ сети. Пожалуйста, обратите внимание, что я сказал, типовой, т.к. существуют совершенно дикие и противоположные идеи, относительно DMZ. Это уже отдельное обсуждение, поэтому я отступлю в сторону и опишу представленную ниже схему. Я попытаюсь прокомментировать сеть от среднего размера до большого, т.е. сеть, состоящую из нескольких сотен компьютеров.
Рисунок 1: Типовая топология.
Как и во многих других случаях, очень мудро начать с самого верха и последовательно обо всем рассказать. Лично я предпочитаю советовать защищать вашу сеть от рабочих станций извне. Держа это в голове, давайте будем придерживаться общепринятого подхода защиты, начиная от маршрутизатора (router) и ниже. Сперва вы должны выяснить, кто должен иметь права администратора (admin access) к самому маршрутизатору. После этого убедитесь, что только эти люди имеют к нему доступ. Во-вторых, я настоятельно поощряю содержание самого маршрутизатора в физически защищенном месте, для избежания прямого физического доступа к нему. Вы можете представить себе сотрудника, которые производит непонятные изменения в длинном списке ACL? Отслеживание проблем такого типа может занять несколько дней.
Другая достаточно ручная тактика заключается в том, что маршрутизатор настраивается так, что сбрасываются все интервалы bogon ranges. Это также является очень хорошей политикой – проводить фильтрацию исходящих данных также и на роутере (router). Разрешайте в вашей сети лишь те адреса, которой в ней существуют. В случае правильной настройки маршрутизатор (router) может быть очень сильной первой линией обороны. Хотя, как вы могли прочитать в статье по предложенной мною выше ссылке, не все DDoS атаки используют bogon ranges, однако, это все равно немного помогает.
Без сомнения в корпоративной сети должны существовать переключатели (switches). Эти устройства второго уровня (layer two devices) обрабатывают достаточно большие объемы трафика, и являются любимым объектом для атак внешних злоумышленников. Причина, по которой переключатели (switches) используются в сети, заключается в том, что они позволяют разбить сеть на логические сегменты. Если вы не хотите приходить в неработоспособное состояние при каждой легкой атаке против ваших переключателей (switches), то вы должны быть мудрыми и жестко прописать MAC адреса для интерфейсов. Это позволит избежать внешнего воздействия и попыток просмотра всего трафика в сегменте. Вы также должны последовать примеру, представленному выше, т.к. он позволяет избежать физического доступа к переключателю или роутеру (switch, router), а конкретно, физически ограничить доступ к ним, поместив их под замок! Вся ваша защита будет бессмысленной, если у кого-то есть физический доступ к вашему маршрутизатору или переключателю.
А как насчет самой идеи установки DMZ? Это необходимо для разделения серверов, которые предлагают службы для Internet от корпоративной внутренней сети (corporate intranet). Т.к. эти сервера открыты для интернет, то они могут подвергаться бесчисленным атакам. И если один из них будет захвачен, то злоумышленник ничего не сможет сделать с внутренней сетью. Он не сможет использовать этот сервер для доступа к внутренней сети, т.к. к ней нет прямого пути. В этом то и заключается красота и простота использования DMZ. В результате этого возникает вопрос – а как управлять такими серверами? Ну вы можете сделать это, настроив брандмауэр таким образом, что он будет разрешать подключение с одного внутреннего IP к серверу в DMZ. Эта консоль управления (management console), расположенная во внутренней корпоративной сети (corporate intranet), сможет также подключаться к серверу по безопасному туннелю: ssh. Можно ли все это сделать с помощью хорошего брандмауэра корпоративного уровня (enterprise class firewall)? Конечно! Существует большое количество превосходных брандмауэров корпоративного уровня (enterprise class firewalls). Вы не обязаны постоянно использовать для своих целей Cisco PIX.
Огромнейшее число сетей имеют достаточно простую топологию. Под этим я понимаю, что они не разделены на логические сегменты. Например, все управление, занимающееся продажами, должно располагаться в одном сегменте, и так для всех управлений во всей корпоративной сети. Так все проще в отношении безопасности проектировать любую большую сеть. Мне вроде показалось, что кто-то сказал: «Приведите мне примеры»? Достаточно справедливо.
Все мы помним известное заявление разработчиков «Титаника» — он не потопляем. Как мы все с вами знаем, корабль все-таки потонул. Рассмотрите компьютерную сеть, когда она логически разделена с помощью роутеров (routers). Эти роутеры в свою очередь настроены не передавать передачи, а лишь позволяют восходящие соединения (upstream connectivity). Большинство ботов (bots) и вредоносного программного обеспечения распространяются с помощью общих сетевых папок (network shares) и других служб сетевого типа. Если вы правильно разобьете вашу сеть на сегменты с помощью роутеров или устройств другого типа, то вы благополучно закроете вредоносное программное обеспечение (malware) внутри одного сетевого сегмента. Это достаточно эффективный метод защиты внутренней сети.
Хотя сеть, описанная выше, является достаточно настраиваемой, она прекрасно служит цели представления высокой степени безопасности сети. Она также иллюстрирует возможности маршрутизаторов, их влияние на сеть, а также их возможности по усилению сетевых политик безопасности (network security policy). Правильная настройка и поддержка роутера может быть достаточно сложной задачей. Но это того стоит. Также не следует забывать о переключателях, с помощью которых рабочая станция подключается к остальной сети, и, в конечном счете, к интернету.
Вы должны попробовать защитить, по крайней мере, переключатели нескольких типов, для того чтобы помешать проведению атак на внутреннюю сеть. И хотя я лишь коснулся темы DMZ, вы должны уделить пристальное внимание при ее проектировке. Как я уже упоминал ранее, существуют различные реализации DMZ. Просто попробуйте установить одну из них, чтобы поддерживать вашу сетевую защиту. Это был всего лишь обзор некоторых изменений, которые необходимо выполнить в ваше внутренней сети и они не очень изнуряющие. Я как всегда надеюсь, что эта статья вам понравилась и жду ваших отзывов. До новых встреч!
Источник www.windowsecurity.com