Чтение онлайн

Пограничные маршрутизаторы – это первая линия обороны. Так как они являются первой точкой входа в сеть, то на них настроены списки контроля доступа (ACL) для фильтрации нежелательного трафика, что уменьшает нагрузку на остальную сетевую инфраструктуру. Реализована фильтрация как входящего, так и исходящего трафика. Для защиты от атак SYN Flood используется возможность Cisco IOS TCP Intercept. Другая задача, которую решают пограничные маршрутизаторы, – защита внешних межсетевых экранов от трафика, направленного на IP-адреса межсетевых экранов. Адресное пространство 70.70.70.16/28 используется для подсети между пограничными маршрутизаторами и внешними межсетевыми экранами. Подсети 70.70.70.4/30 и 70.70.70.8/29 зарезервированы для будущего решения с балансировкой нагрузки между межсетевыми экранами. «Горячее» резервирование на внутренних интерфейсах маршрутизаторов обеспечивает протокол HSRP (Hot Standby Routing Protocol). Для соединения устройств в DMZ используются коммутаторы Cisco Catalyst 3550. Коммутаторы не имеют IP-адресов и управляются посредством консольного доступа через Cisco 2620 Terminal Server.

Внешние межсетевые экраны. В качестве внешних межсетевых экранов используются Nokia IPSO v.3.6 FCS4, Check Point FW-1 NG FP3. К основным факторам, повлиявшим на выбор данных устройств, относятся:

• высокая надежность, защищенность и производительность аппаратных платформ Nokia;

• развитая функциональность и технологическая зрелость межсетевого экрана Check Point FW-1 NG FP3;

• наличие в компании подготовленных специалистов.

Как было сказано выше, в компании существуют две DMZ-зоны, одна для доступа к Web-приложениям и другая для выхода в Интернет, каждая из зон защищена межсетевыми экранами. Это было сделано для разделения ресурсов, чтобы проникновение злоумышленников в одну из зон не сказалось на работе другой зоны.

Каждый межсетевой экран имеет 5 интерфейсов, подключенных к разным зонам. Межсетевые экраны также имеют выделенный интерфейс для управления Out-of-band посредством сервера Check Point Management Console из зоны управления. Это повышает защищенность управляющего трафика и делает недоступным изменение наблюдаемого трафика, так как он не проходит через общую сеть.

Система межсетевых экранов реализована в варианте с полной избыточностью и масштабируемостью. Это достигается

путем использования Nokia IPSO VRRP и возможностью синхронизации соединений Firewall-1. Через межсетевые экраны разрешен ограниченный набор трафика согласно принятой в компании политики безопасности. На этом же уровне реализована и защита от атак SYN Flood.

4.2.2. Зона доступа к Web-приложениям компании

Эта зона защищена на уровне представления, промежуточном уровне, а также на уровне баз данных компании. Серверы названной зоны защищены в соответствии с рекомендациями руководств SANS (www.sans.org): Level-1 Benchmark for Windows 2000, Level-2 Windows 2000 Professional Operating System Benchmark, Level-2 Windows 2000 Server Operating System Benchmark, а также в соответствии с официальными руководствами компании Microsoft (www.microsoft.com): Security Operations Guide for Windows 2000, Hardening Guide for Windows 2000.

Для централизованного управления обновлениями используется продукт Microsoft SMS 2003. На Web-cepeepax выполняется Microsoft IIS 5.0. Серверы имеют по два сетевых интерфейса. Через один интерфейс поступают запросы из Интернета, через другой осуществляются запросы к базе данных. Таким образом реализуется изоляция Web-приложений от базы данных.

4.2.3. Зона выхода в Интернет

Эта зона безопасности обеспечивает доступ в Интернет из внутренней сети. Здесь также используется концепция разделения сети. Каждое устройство имеет два интерфейса – один для подключения к публичной зоне и другой для доступа к внутренней зоне с отключенной маршрутизацией пакетов между ними. Все оборудование дублируется для обеспечения высокой степени доступности. DNS Forwarder установлен на Windows 2000 Service Pack 4, Microsoft DNS Service на аппаратной платформе Compaq Proliant DL360. SMTP Smart Host установлен на OpenBSD 3.2 with Sendmail v.8.12.6 на аппаратной платформе Compaq Proliant DL360.

Для реализации политики использования Интернета развернут продукт Websense. Он предназначен для ограничения доступа к определенным Web-peсурсам, запрещенным политикой использования Интернета, например к Web-почте, чатам, сайтам с непристойным содержанием, блокирует службы мгновенного обмена сообщениями и одноранговые файлообменные сети. Websense также обеспечивает определение и удаление ActiveX и Java applets, позволяет создавать отчеты об использовании ресурсов Интернета конкретными сотрудниками. Для обнаружения вирусов в трафике HTTP, SMTP и FTP используется продукт Trend Micro InterScan Virus Wall.

SMTP-серверы. SMTP-серверы работают на OpenBSD 3.2 с Sendmail v.8.12.6. Это один из немногих случаев, когда используется продукт, не произведенный Microsoft. Выбор обусловлен тем, что Microsoft Exchange 2000 Server обладает избыточными для компании функциональными возможностями, которые не нужно делать доступными из Интернета. Также, по сравнению с Sendmail, Microsoft Exchange характеризуется достаточно слабым уровнем защиты. По этим причинам и был сделан выбор в пользу Sendmail на платформе OpenBSD, которая является одной из самых защищенных операционных систем. OpenBSD и Sendmail бесплатны, что ведет к уменьшению расходов на построение системы. OpenBSD и Sendmail были защищены в соответствии с рекомендациями производителей. Установлен минимально необходимый набор пакетов, включены только необходимые сервисы и установлены все существующие обновления и сервисные пакеты. На SMTP-сервере также установлено программное обеспечение для защиты от спама. Все входящие сообщения перенаправляются на внутренний сервер Microsoft Exchange, функционирующий в режиме кластера. Принимаются и направляются вне сети только сообщения, которые были получены от этого внутреннего сервера. Во всех исходящих сообщениях изменяется заголовок для удаления информации о внутренней маршрутизации и изменяется SMTP-приглашение, чтобы затруднить злоумышленникам получение информации о версии программного обеспечения внешнего SMTP-сервера. Для предупреждения возможности просмотра списка почтовых ящиков и сервисов отключены команды VRFY и EXPN.

DNS. В качестве концепции построения DNS было выбрано решение по разделению на внутренний и внешний DNS. Внешний DNS-сервер обслуживается интернет-провайдерами и находится в их зоне ответственности. Эта опция обеспечивает дополнительную безопасность, связанную с проблемами администрирования, и уменьшает необходимость разрешения входящего DNS-трафика, так как исторически DNS-серверы являются одним из наиболее слабо защищенных сервисов и постоянной мишенью для атак злоумышленников. Этот дизайн также обеспечивает избыточность и улучшает доступность сервисов, потому что вероятность, того что DNS-серверы обоих провайдеров одновременно подвергнутся атаке и не смогут обслуживать запросы, достаточно мала.

DNS-сервер, расположенный в DMZ, работает с использованием службы Microsoft DNS и установлен на операционную платформу Microsoft Windows 2000 Service Pack 4. Серверы сконфигурированы как «только кэширующие», без установленных DNS-зон и перенаправляют все запросы на DNS-серверы провайдера. С провайдерами подписаны специальные соглашения по защите этого сервиса. Процесс разрешения имен, таким образом, становится более защищенным, так как используются строго определенные внешние серверы.

VPN. Для обеспечения доступа к корпоративной сети работающим удаленно сотрудникам и персоналу, ответственному за управление сетевыми устройствами, используется концентратор Cisco VPN 3030. Доступ по коммутируемым соединениям запрещен. Так как сервис VPN не является критичным для обеспечения бизнес-процессов, то применяется только одно устройство. При изменении этих требований может быть установлено дополнительное устройство для обеспечения избыточности. Доступ с использованием VPN построен на следующих принципах:

• каждый сотрудник, использующий этот сервис, подписывает политику использования VPN;

• разрешен к применению только протокол IPSec с шифрованием 3DES. РРТР и L2TP не поддерживаются;

• для аутентификации на этапе 1 (IKE) используются сертификаты;

• сертификаты выпускаются и распределяются внутренним Центром управления сертификатами;

• сертификаты хранятся на аппаратном токене Aladdin Software eToken. Выдаются каждому сотруднику компании, использующему этот сервис, отделом информационной безопасности. eToken является небольшим, простым в применени USB-устройством, где доступ к сертификату защищен паролем. После создания ключи сертификатов не могут быть экспортированы из устройства;

• каждый сотрудник имеет персональный идентификатор и пароль для этого сервиса. Аутентификация и управление идентификаторами осуществляются с использованием Cisco ACS RADIUS;

• Cisco ACS RADIUS также обеспечивает выдачу IP-адресов и применение списков контроля доступа для подключающихся сотрудников компании;

• Zone Labs Integrity Server применяет политику на персональном межсетевом экране и антивирусном программном обеспечении на каждом подключаемом через VPN компьютере. Эта политика определяется отделом информационной безопасности и принудительно применяется при подключении;

• журналирование VPN-сессий осуществляется на сервере Cisco Security Information Management Solution v.3.1.1 (NetForensics) с использованием syslog.

Внутренние межсетевые экраны. Наличие внутренних межсетевых экранов обеспечивает больший контроль и безопасность информационных потоков между внутренними сетями. Кроме того, достигается изоляция сегмента управления от остальной сети, управление доступом через VPN, защита внутренней сети путем запрещения трафика из менее защищенных зон сети и пр. Каждый межсетевой экран имеет шесть интерфейсов, подключенных к разным зонам (см. рис. 4.3), также существует выделенный интерфейс для поддержания режима «горячего» резервирования (на рис. не показано).

Система построена на двух межсетевых экранах Cisco PIX 535, функционирующих в режиме «горячего» резервирования. Выбор продукта был обусловлен его высокой производительностью, надежностью и приемлемой для компании стоимостью решения. Кроме того, использование межсетевых экранов разных производителей увеличивает общую защищенность сети компании, так как, при возникновении уязвимости в Check Point FW-1, эта уязвимость вряд ли может быть использована против Cisco PIX, и наоборот.

4.2.4. Зона управления ресурсами сети компании

Все серверы управления сетью и серверы мониторинга расположены на выделенной сети, защищенной внутренними межсетевыми экранами (см. рис. 4.4).

В компании организован центр управления сетью для мониторинга и управления сетевыми устройствами. Центр находится в защищенном от проникновения посторонних лиц помещении. График работы персонала 16 часов в сутки 5 дней в неделю. Поддержка в ночное время реализуется через VPN-соединения. Сотрудник должен сначала зайти на один из компьютеров данной сети и только потом, с этого компьютера, он может получить доступ к сетевому оборудованию. Это является дополнительным уровнем защиты. Кроме того, доступ к любому сетевому оборудованию ограничен списком IP-адресов сети управления. Пограничные маршрутизаторы и все коммутаторы управляются через консоль с использованием маршрутизатора доступа Cisco 2620, остальные управляющие интерфейсы на устройствах отключены. Другие устройства – SMTP-серверы, VPN-концентратор – управляются с помощью SSH. Серверы с операционной системой Windows 2000 работают под управлением Microsoft Terminal Services, который поднят на внутренних интерфейсах серверов и сконфигурирован для использования максимального уровня шифрования. Помимо этого фильтры IPSec настроены таким образом, чтобы разрешать доступ к серверам с использованием Terminal Services (TCP 3389), если соединение инициируется из сети управления.

Консоль управления IDS. В качестве сетевой системы обнаружения вторжений используется Cisco IDS 4250, а на серверах установлены системы предупреждения вторжений Cisco Security Agent v.4.0 (продукция компании Okena, продаваемая под торговой маркой Cisco). В системе Cisco IDS 4250 один интерфейс работает в режиме сниффера и не имеет IP-адреса, а другой используется для получения сообщений о найденных сигнатурах и для управления. Передача сообщений осуществляется по протоколу SSL. В качестве устройства управления выбран Cisco Works VPN/Security Management Solution v.2.2. Данное программное обеспечение позволяет управлять конфигурациями следующих устройств:

• Cisco PIX Firewall,

• Cisco VPN Router,

• Cisco IDS 4200,

• Cisco Security Agent.

В состав продукта входят следующие функциональные модули:

• Cisco Works Common Services,

• Management Center for Firewalls,

• Management Center for IDS Sensors,

• Management Center for Cisco Security Agents,

• Management Center for VPN Routers,

• Monitoring Center for Security,

• Monitoring Center for Performance,

• Cisco View,

• Auto Update Server,

• Resource Manager Essentials.

Monitoring Center for Security

позволяет принимать и коррелировать сообщения со всех вышеперечисленных устройств, а кроме того, он оснащен средствами мониторинга производительности и инвентаризации сети. Доступ к этому устройству из сети, отличной от сети управления, запрещен.

Сервер Check Point Management Console. Сервер Check Point Management Console используется для управления модулями Check Point Firewall-1 и журналирования событий. Доступ к нему ограничен IP-адресами интерфейсов администрирования Nokia Check Point FW-1.

Сервер времени. Синхронизация сетевого времени – очень важный аспект правильного функционирования сети и надлежащего журналирования. Если на нескольких устройствах установлено разное время, то при анализе журналов очень трудно будет разбираться, когда реально и в какой последовательности произошли события, к тому же каждый из сертификатов имеет определенный срок жизни и, при неправильно установленном времени, его будет невозможно эксплуатировать. Нередко слабости в защите протокола NTP или неправильные настройки сетевых устройств дают злоумышленникам возможность проведения атак с целью установки неверного времени и, таким образом, выведения из строя всех устройств и соединений, использующих сертификаты. Кроме того, Microsoft Active Directory для аутентификации применяет протокол Kerberos, который очень сильно зависит от точных настроек времени. Из-за важности обеспечения точного времени был приобретен аппаратный сервер времени Datum TymServe TS2100 с GPS-антенной для синхронизации с сервером времени NIST (Национальный институт стандартов США). Это устройство служит мастер-сервером для всех устройств в сети. К нему разрешен только NTP-трафик и используется NTP-аутентификация везде, где это возможно. На случай отказа сервера компания заключила соглашение с владельцами одного из NTP-серверов в Интернете о получении точного времени. В случае возникновения такой ситуации будут внесены соответствующие изменения в списки доступа на межсетевых экранах.

Cisco Terminal Server. Для управления всеми сетевыми устройствами (маршрутизаторами, коммутаторами) с помощью консольного соединения используется Cisco Router 2620. На всех устройствах отключены все протоколы сетевого управления. Соединения к самому Cisco Router 2620 ограничены списком IP-адресов из сети управления и определенным списком инженеров, подключающихся через VPN-соединение. Разрешен доступ только по SSH, и все сотрудники должны быть аутентифицированы с использованием TACACS+. Уровень доступа регулируется членством в группах и настройками на сервере TACACS+.

Cisco Security Information Management Solution. Cisco Security Information Management Solution v.3.1 (продукт компании Netforensics) на аппаратной платформе Cisco 1160 используется для сбора, коррелирования, анализа и хранения журналов. Данное программное обеспечение позволяет производить мониторинг безопасности в режиме реального времени и поддерживает широкий перечень устройств и программных продуктов (28 источников), от которых оно может принимать и обрабатывать сообщения. В компании используется часть из них:

• Check Point Firewall-1,

• Cisco IOS ACL, FW, IDS,

• Cisco Secure ACS,

• Cisco Secure IDS,

• Cisco Secure PIX,

• Cisco Secure PIX IDS,

• Cisco Security Agent,

• Концентратор Cisco VPN,

• Cisco Firewall Switch Module,

• Tripwire NIDS,

• Web-серверы Microsoft IIS,

• Windows Events,

• UNIX OS Events.

Центр управления сертификатами. В сети широко применяются сертификаты: для доступа посредством VPN, к Web-сайтам по SSL, для шифрования электронной почты. Сервер центра управления сертификатами является частью внутренней инфраструктуры открытых ключей и используется для выпуска или отзыва внутренних сертификатов и публикации списка отозванных сертификатов (Certificate Revocation List). Центр управления сертификатами развернут на неподключенном к сети Windows 2000 Server Service Pack 4. В качестве процедуры установки инфраструктуры открытых ключей основной (root) центр управления сертификатами был использован только однажды, с целью выпуска сертификата для выпускающего центра управления сертификатами, и после этого был немедленно переведен в офлайн-режим. Секретный (private) ключ основного центра сертификации был перемещен на дискету, удален с жесткого диска, и эта дискета была помещена в сейф отдела информационной безопасности. Копия дискеты хранится за пределами офиса в защищенном помещении в сейфе.

Cisco Secure ACS Server. С помощью Cisco Secure ACS Server v.3.3 for Windows осуществляется аутентификация:

• сотрудники, использующие VPN, аутентифицируются и получают IP-адрес из ACS-сервера на основе протокола RADIUS;

• доступ к сетевым устройствам для администрирования контролируется с использованием протокола TACACS+.

TACACS+ является протоколом последнего поколения из серии протоколов TACACS. TACACS – это простой протокол управления доступом, он основан на стандартах User Datagram Protocol (UDP), разработанных компанией Bolt, Веranek, and Newman, Inc. (BBN) для военной сети Military Network (MILNET). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результате появилась ее собственная версия TACACS, известная как TACACS+. TACACS+ пользуется транспортным протоколом TCP. «Демон» (процесс, запускаемый на машине UNIX или NT) сервера «слушает» порт 49, который является портом протокола IP, выделенным для протокола TACACS. Этот порт зарезервирован для выделенных номеров RFC в протоколах UDP и TCP. Все текущие версии TACACS и расширенные варианты этого протокола используют порт 49.

Протокол TACACS+ работает по технологии «клиент-сервер», где клиентом TACACS+ обычно является NAS, а сервером TACACS+, как правило, считается «демон». Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и журналирования (AAA – Authentication, Authorization, Accounting). Это позволяет обмениваться идентификационными сообщениями любой длины и содержания и, следовательно, использовать для клиентов TACACS+ любой механизм аутентификации, в том числе РРР PAP, РРР CHAP, аппаратные карты и Kerberos.

Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего ключа – «секрета», который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и «демоном» сервера TACACS+. Процесс обмена информацией между ACS и сервером TACACS+ во время процесса аутентификации протекает по следующей схеме:

• ACS посылает START-запрос на сервер TACACS+ для начала процесса аутентификации;

• сервер отсылает ACS-пакет с запросом GETUSER, содержащий запрос пользователю на ввод имени;

• ACS отображает запрос пользователю и отсылает серверу TACACS+ введенное пользователем имя в пакете CONTINUE;

• сервер отсылает ACS-пакет с запросом GETPASS, содержащий запрос пользователю на ввод пароля;

• ACS высылает пакет CONTINUE, содержащий пароль, введенный пользователем серверу TACACS+;

• сервер TACACS+ выполняет проверку полученной пары «имя-пароль» и в зависимости от результата проверки отсылает ACS-пакет, содержащий результат (FAIL – в случае несовпадения, PASS – успешная аутентификация). На этом процесс аутентификации завершается.

Процесс обмена информацией между ACS и сервером TACACS+ во время процесса авторизации протекает по следующей схеме:

• ACS от отсылает пакет START AUTHORIZATION серверу TACACS+;

• сервер TACACS+ обрабатывает полученные данные и принимает решение, основываясь на политике безопасности, связанной с данным пользователем. Результат отсылается ACS-серверу в RESPONSE-пакете.

Здесь под авторизацией понимается процесс определения действий, которые позволены данному пользователю. Обычно идентификация предшествует авторизации, однако это не обязательно. В запросе на авторизацию можно указать, что идентификация пользователя не проведена (личность пользователя не доказана). В этом случае лицо, отвечающее за авторизацию, должно самостоятельно решить, предоставлять такому пользователю запрашиваемые услуги или нет. Протокол TACACS+ предусматривает только положительную или отрицательную авторизацию и допускает настройку на потребности конкретного заказчика.

Авторизация может проводиться на разных этапах, например, когда пользователь впервые входит в сеть и хочет открыть графический интерфейс или когда пользователь запускает РРР и пытается использовать поверх РРР протокол IP с конкретным адресом IP. В этих случаях «демон» сервера TACACS+ может разрешить предоставление услуг, но наложить ограничения по времени или потребовать список доступа IP для канала РРР.

Следом за идентификацией и авторизацией следует журналирование, которое представляет собой запись действий пользователя. В системе TACACS+ журналирование может выполнять две задачи. Во-первых, оно может применяться для учета использованных услуг (например, для выставления счетов). Во-вторых, его можно применять в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что предоставление услуги только что прекратилось. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга все еще предоставляется.

Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные, такие, как время начала и окончания (если это необходимо), и данные об использовании ресурсов.

Механизм взаимодействия ACS и сервера TACACS+ выглядит следующим образом:

• ACS отсылает учетную запись серверу TACACS+, основываясь на выбранных методах и событиях;

• сервер TACACS+ отсылает ответный пакет ACS-серверу, подтверждая прием учетной записи.

Zone Labs Integrity Server. Zone Labs Integrity Server v. 1.6 используется для принудительного применения политики безопасности организации VPN на компьютерах сотрудников, которые подключаются посредством VPN. В данном случае потребуется установка на каждом компьютере Integrity Agent для приема и применения политики во время установления VPN-соединения. Integrity Agent позволяет также производить мониторинг антивирусного программного обеспечения на клиенте и отключает VPN-соединение, если программное обеспечение не установлено или не имеет последних обновлений. Это очень важно, так как удаленный компьютер может быть не защищен надлежащим образом и стать точкой входа во внутреннюю сеть для вирусов и злоумышленников. Единственным устройством, которому разрешено устанавливать соединение с этим сервером, является VPN-концентратор.

HP OpenView. Для мониторинга всех сетевых устройств и серверов используется HP OpenView Network Node Manager v.6.31. Компания осознает необходимость мониторинга в режиме 24 часа в сутки 7 дней в неделю для обеспечения высокой доступности сервисов. Из-за большой степени риска разрешено использовать SNMP только в режиме read-only. Правила на межсетевых экранах разрешают данный трафик только на станцию управления NNM. Этот сервер использует Windows 2000 Server Service Pack 4 и защищен в соответствии с перечисленными выше руководствами. Все устройства сконфигурированы для отправления SNMP traps на сервер NNM, и любой другой доступ из-за пределов сети управления запрещен.

4.2.5. Зона защищаемых данных компании

В этой сети (см. рис, 4.5) находятся все данные Web-приложений. Также здесь располагаются серверы Active Directory, контроллеры доменов Web-приложения и DNS-серверы. Каждый из них является кластером, который состоит из двух компьютеров. На рис. 4.5 это не отображено для того, чтобы сделать его более читабельным.