Monday, December 11th, 2017

Топология и защита сети

Published on Февраль 2, 2009 by   ·   Комментариев нет

Я уже упоминал ранее, что каждая сеть имеет свои особенности и проектные нужды. В результате этого можно предложить только настраиваемый совет, касающийся безопасности сети. Давайте посмотрим на типовую сеть и прокомментируем их.

Топология компьютерной сети может сильно меняться от одной корпорации к другой. Но большинство сетей придерживаются одних и тех же проектных принципов. Под проектными принципами (design principles) я подразумеваю, что существует демилитаризованная зона DMZ, в которой присутствуют такие серверы как почтовый (mail), dns и web сервер. Эта DMZ относительно незащищенная, вдобавок закрыта с помощью брандмауэра от остальной внутренней сети или интранет (intranet). Эта DMZ существует для служб, к которым компании должны предоставлять доступ для своих почтовых (email) и веб серверов через интернет. Если к ним есть доступ, то они уязвимы для атаки. Все мы знаем, что существуют огромное количество «белых шумов (white noise)”, таких как сканирование портов (port scans), активность ботов (bot activity), и т.д. в интернет в настоящее время. Помня о постоянной угрозе, становиться понятной необходимость защиты публично доступных серверов с помощью брандмауэра от остальной сети.

Картина, заменяющая тысячу слов

Дальше мы посмотрим на представленную ниже диаграмму из visio, на которой изображена конфигурация типовой DMZ сети. Пожалуйста, обратите внимание, что я сказал, типовой, т.к. существуют совершенно дикие и противоположные идеи, относительно DMZ. Это уже отдельное обсуждение, поэтому я отступлю в сторону и опишу представленную ниже схему. Я попытаюсь прокомментировать сеть от среднего размера до большого, т.е. сеть, состоящую из нескольких сотен компьютеров.

Безопасная топология сети

Рисунок 1: Типовая топология.

Как и во многих других случаях, очень мудро начать с самого верха и последовательно обо всем рассказать. Лично я предпочитаю советовать защищать вашу сеть от рабочих станций извне. Держа это в голове, давайте будем придерживаться общепринятого подхода защиты, начиная от маршрутизатора (router) и ниже. Сперва вы должны выяснить, кто должен иметь права администратора (admin access) к самому маршрутизатору. После этого убедитесь, что только эти люди имеют к нему доступ. Во-вторых, я настоятельно поощряю содержание самого маршрутизатора в физически защищенном месте, для избежания прямого физического доступа к нему. Вы можете представить себе сотрудника, которые производит непонятные изменения в длинном списке ACL? Отслеживание проблем такого типа может занять несколько дней.

Другая достаточно ручная тактика заключается в том, что маршрутизатор настраивается так, что сбрасываются все интервалы bogon ranges. Это также является очень хорошей политикой – проводить фильтрацию исходящих данных также и на роутере (router). Разрешайте в вашей сети лишь те адреса, которой в ней существуют. В случае правильной настройки маршрутизатор (router) может быть очень сильной первой линией обороны. Хотя, как вы могли прочитать в статье по предложенной мною выше ссылке, не все DDoS атаки используют bogon ranges, однако, это все равно немного помогает.

Переключатели (Switches)

Без сомнения в корпоративной сети должны существовать переключатели (switches). Эти устройства второго уровня (layer two devices) обрабатывают достаточно большие объемы трафика, и являются любимым объектом для атак внешних злоумышленников. Причина, по которой переключатели (switches) используются в сети, заключается в том, что они позволяют разбить сеть на логические сегменты. Если вы не хотите приходить в неработоспособное состояние при каждой легкой атаке против ваших переключателей (switches), то вы должны быть мудрыми и жестко прописать MAC адреса для интерфейсов. Это позволит избежать внешнего воздействия и попыток просмотра всего трафика в сегменте. Вы также должны последовать примеру, представленному выше, т.к. он позволяет избежать физического доступа к переключателю или роутеру (switch, router), а конкретно, физически ограничить доступ к ним, поместив их под замок! Вся ваша защита будет бессмысленной, если у кого-то есть физический доступ к вашему маршрутизатору или переключателю.

Как насчет нашей DMZ?

А как насчет самой идеи установки DMZ? Это необходимо для разделения серверов, которые предлагают службы для Internet от корпоративной внутренней сети (corporate intranet). Т.к. эти сервера открыты для интернет, то они могут подвергаться бесчисленным атакам. И если один из них будет захвачен, то злоумышленник ничего не сможет сделать с внутренней сетью. Он не сможет использовать этот сервер для доступа к внутренней сети, т.к. к ней нет прямого пути. В этом то и заключается красота и простота использования DMZ. В результате этого возникает вопрос – а как управлять такими серверами? Ну вы можете сделать это, настроив брандмауэр таким образом, что он будет разрешать подключение с одного внутреннего IP к серверу в DMZ. Эта консоль управления (management console), расположенная во внутренней корпоративной сети (corporate intranet), сможет также подключаться к серверу по безопасному туннелю: ssh. Можно ли все это сделать с помощью хорошего брандмауэра корпоративного уровня (enterprise class firewall)? Конечно! Существует большое количество превосходных брандмауэров корпоративного уровня (enterprise class firewalls). Вы не обязаны постоянно использовать для своих целей Cisco PIX.

Изолирование подсетей

Огромнейшее число сетей имеют достаточно простую топологию. Под этим я понимаю, что они не разделены на логические сегменты. Например, все управление, занимающееся продажами, должно располагаться в одном сегменте, и так для всех управлений во всей корпоративной сети. Так все проще в отношении безопасности проектировать любую большую сеть. Мне вроде показалось, что кто-то сказал: «Приведите мне примеры»? Достаточно справедливо.

Все мы помним известное заявление разработчиков «Титаника» — он не потопляем. Как мы все с вами знаем, корабль все-таки потонул. Рассмотрите компьютерную сеть, когда она логически разделена с помощью роутеров (routers). Эти роутеры в свою очередь настроены не передавать передачи, а лишь позволяют восходящие соединения (upstream connectivity). Большинство ботов (bots) и вредоносного программного обеспечения распространяются с помощью общих сетевых папок (network shares) и других служб сетевого типа. Если вы правильно разобьете вашу сеть на сегменты с помощью роутеров или устройств другого типа, то вы благополучно закроете вредоносное программное обеспечение (malware) внутри одного сетевого сегмента. Это достаточно эффективный метод защиты внутренней сети.

Резюме

Хотя сеть, описанная выше, является достаточно настраиваемой, она прекрасно служит цели представления высокой степени безопасности сети. Она также иллюстрирует возможности маршрутизаторов, их влияние на сеть, а также их возможности по усилению сетевых политик безопасности (network security policy). Правильная настройка и поддержка роутера может быть достаточно сложной задачей. Но это того стоит. Также не следует забывать о переключателях, с помощью которых рабочая станция подключается к остальной сети, и, в конечном счете, к интернету.

Вы должны попробовать защитить, по крайней мере, переключатели нескольких типов, для того чтобы помешать проведению атак на внутреннюю сеть. И хотя я лишь коснулся темы DMZ, вы должны уделить пристальное внимание при ее проектировке. Как я уже упоминал ранее, существуют различные реализации DMZ. Просто попробуйте установить одну из них, чтобы поддерживать вашу сетевую защиту. Это был всего лишь обзор некоторых изменений, которые необходимо выполнить в ваше внутренней сети и они не очень изнуряющие. Я как всегда надеюсь, что эта статья вам понравилась и жду ваших отзывов. До новых встреч!

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]