Чтение онлайн

Защита от атак с подменой адреса. Для защиты от атак с подменой адреса используется возможность проверки правильности адреса отправителя uRPF:

Конфигурирование

межсетевых экранов PIX для работы в режиме горячего резервирования. Настройка осуществляется следующим образом:

1. Выключить резервный межсетевой экран.

2. Синхронизировать время на обоих межсетевых экранах:

3. Подключить failover-кабель к обоим межсетевым экранам.

4. Необходимо сконфигурировать только основной межсетевой экран.

5. В отличие от VRRP или HSRP Cisco PIX не требует дополнительного IP-адреса для режима failover.

6. Включить режим failover:

7. Определить IP-адреса для интерфейсов:

8. Включить резервный межсетевой экран. Проверить функционирование.

Дополнительные настройки безопасности. С целью ограничения доступа и использования защищенного протокола для управления сконфигурирован SSH. Для этого сначала создается пара ключей:

Далее отключается Telnet:

Журналирование событий межсетевого экрана. Журналирование событий межсетевого экрана является критически важным для надежного функционирования сети. Межсетевые экраны сконфигурированы для отправки сообщений на сервер Cisco SIMS:

Конфигурирование SNMP. Межсетевой экран конфигурируется для отправки trap только к SNMP-серверу:

4.3.6. Настройка корпоративной системы защиты от вирусов

Все серверы и рабочие станции внутренней сети компании защищены с помощью Symantec Antivirus Corporate Edition v.8.1. Политики управляются централизованно с использованием Symantec System Center (см. рис. 4.11).

Сканирование

самого антивирусного сервера осуществляется в нерабочий день (воскресенье) для увеличения доступности сервера для клиентов (см. рис. 4.12).

Сканирование клиентов осуществляется один раз в неделю (см. рис. 4.13).

Все обновления загружаются на сервер и только потом устанавливаются на клиентов. Это сделано для уменьшения объема трафика через пограничные устройства (см. рис. 4.14).

Для увеличения защищенности клиентов включена опция Real-time protection и проверяются все типы файлов на наличие вирусов, в том числе на FDD и CD-ROM (см. рис. 4.15).

Наличие обновлений проверяется каждые 20 минут (см. рис, 4.16). Для предупреждения действий сотрудников, желающих отключить антивирусное программное обеспечение или удалить его, включена опция, запрещающая останавливать сервис, а возможность деинсталляции защищена паролем (см. рис. 4.17).

Шаг 1. Производительность межсетевых экранов. Проверить, позволяет ли пропускная способность внешних межсетевых экранов обрабатывать весь объем трафика. Для увеличения пропускной способности можно мигрировать на схему Check Point Firewall-1 Clustering с модулем High Availability. Можно также использовать продукты для балансировки нагрузки межсетевых экранов таких фирм, как F5, Alteon, Foundry, Radware. Следует задать соответствующие правила безопасности.

Шаг 2. VPN-аутентификация. Хотя настроена двухфакторная IКЕ-аутентификация с использованием сертификатов, хранящихся на Aladdin eToken USB и Cisco ACS RADIUS, но все равно остается слабое звено в виде паролей пользователей. Чтобы избежать этого, можно использовать однократные пароли, такие, как RSA Security SecurlD. Cisco ACS легко интегрируется с этим продуктом. Необходимо определить правила безопасности.

Шаг 3. Избыточность Cisco ACS. Сервер Cisco ACS играет важную роль в аутентификации пользователей VPN. Хотя сервис функционирует на аппаратной платформе, поддерживающей полное резервирование, но все равно существует вероятность отказа. Поэтому рекомендуется установить второй сервер Cisco ACS и настроить репликацию конфигурации.