Security (Лекции по информационной безопасности), страница 12

Связывающая операция протокола LDAP в версии 2 позволяет лишь простую аутентификацию, состоящую из пароля открытого (незашифрованного текста), и аутентификацию Kerberos версии 4.В версии 3 допущен любой механизм SASL уровня безопасности и простой аутентификации. SASL позволяет обращаться к сервису обеспечения целостности и секретности. Также допускается возврат аутентификационных данных сервером клиенту, если сервер изберет именно этот путь.Для получения большего объема технической информации и последних достижений обращайтесь в ASID(поиск, поиск и индексирование директорий) и рабочие группы IETF по созданию новых версий протокола LDAP, имеющие следующие адреса в сети Интернет, соответственно:http://www.ietf.org/html.charters/asid-charter.html и http://www.ietf.org/html.charters/ldapext-charter.html.DNSSECСистема имени домена DNS стала важной действующей частью инфраструктуры сети Интернет.

И всеже она еще не имеет сильного механизма защиты для обеспечения целостности данных или аутентификации. Расширения к DSN обеспечивают эти виды сервиса для устройств с функциями защиты или дляприложений за счет использования криптографических цифровых подписей. Эти цифровые подписивключены в защищенные зоны в виде ресурсных записей. Во многих случаях защита все еще может бытьобеспечена даже через DNS серверы, в которых функции защиты не предусмотрены. Эти расширениятакже предусматривают хранение аутентифицированных общих ключей в DSN. Такое хранение ключейможет поддерживать общий сервис распределения общих ключей так же, как и безопасность DNS. Хранящиеся ключи позволяют устройствам с функциями защиты запомнить аутентифицирующий ключ зонв дополнение к тем зонам, к которым они изначально настроены.

Ключи, связанные с именами DNS, могут быть запрошены для поддержки других протоколов. Предусмотрено применение целого ряда алгоритмов и типов ключей. Расширения защиты предусматривают дополнительную аутентификацию транзакций протокола DSN.Для ознакомления с текущими разработками и получения дополнительных технических подробностейобращайтесь к рабочей группе IETF Domain Name System Security (dnssec) по адресу в сети Интернет:http://www.ietf.org/html.charters/dnssec-charter.html.Cisco SAFE: ÄıËÚÂÍÚÛ‡ ·ÂÁÓÔ‡ÒÌÓÒÚË ÍÓÔÓ‡ÚË‚Ì˚ı ÒÂÚÂÈÄÌÌÓÚ‡ˆËflГлавная цель архитектуры Cisco для безопасности корпоративных сетей (SAFE) состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания защищенных сетей. SAFE призвана помочь тем, кто проектирует сети и анализирует требования ксетевой безопасности.

SAFE исходит из принципа глубоко эшелонированной обороны сетей от внешнихатак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаруженияатак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается на продуктах компании Cisco и ее партнеров.Вначале мы рассмотрим саму архитектуру SAFE.

Затем следует подробное описание модулей, из которыхсостоит реальная сеть, как крупного предприятия, так и малых сетей, в том числе сетей филиалов предприятий, средних сетей и сетей удаленных и мобильных пользователей. Дизайны малых и средних сетейприменяются в двух возможных вариантах. Во-первых, это может быть дизайн основной сети предприятия, которая имеет соединения с другими офисами подобных предприятий.

Например, крупное юридическое агентство может построить главную сеть на основе дизайна среднего предприятия, а сети филиалов — на основе малого. Во-вторых, дизайн может быть разработан как сеть филиала, т. е. как часть сетикрупного предприятия. В этом случае примером может служить крупная автомобильная компания, гдедизайн крупной сети используется в штаб-квартирах, а для прочих подразделений — от филиалов до удаленных работников — применяются дизайны средних и малых предприятий.В первых разделах, посвященных модулям, описываются потоки трафика, основные устройства, ожидаемые угрозы и общие схемы их преодоления.

Далее приводится технический анализ дизайна, более детальное описание методов предотвращения угроз и стратегий миграции. В Приложении А описываетсялаборатория, которая служит для оценки базовых концепций безопасности, и даются примеры возмож-27ных конфигураций. В Приложении В представлены основы сетевой безопасности. Тем читателям, кто незнаком с основными концепциями сетевой защиты, рекомендуется сначала изучить этот раздел и лишьзатем перейти к остальному документу. В Приложении С вы увидите определения технических терминов, используемых в документе, а также расшифровку условных обозначений.Настоящий документ посвящен угрозам, характерным для корпоративной среды.

Сетевые разработчики, знакомые с этими угрозами, смогут лучше спланировать место и способ реализации противодействующих технологий. При отсутствии полного понимания характера угроз внедрение технологий защитыбудет скорее всего неверно сконфигурировано, слишком сильно сконцентрировано на устройствах и небудет иметь достаточного количества вариантов реагирования.

Именно поэтому авторы данного документа предлагают сетевым инженерам информацию, которая поможет им принять правильные и обоснованные решения по защите сетей.äÓÏÛ ‡‰ÂÒÓ‚‡Ì ‰ÓÍÛÏÂÌÚПоскольку документ является техническим, он адресован разным группам читателей и допускает разныеакценты и глубину прочтения.

Например, сетевой администратор, ознакомившись с вводными частямикаждого раздела, получит представление о стратегиях и возможностях защиты сетей. Сетевому инженеру или проектировщику сети будет полезно прочесть документ полностью, чтобы получить информацию о предлагаемых дизайнах, а также выяснить подробности анализа угроз, соответствующие особенностям конфигураций используемых устройств.èÓÁˈËÓÌËÓ‚‡ÌËÂАвторы документа исходят из предположения о том, что у вас уже имеется политика безопасности.

CiscoSystems не рекомендует внедрять технологии защиты сетей без такой политики. Настоящий документнацелен на потребности крупных корпоративных заказчиков. Хотя большинство обсуждаемых здесьпринципов можно напрямую использовать в малом и среднем бизнесе и даже в домашних офисах, масштаб этого использования будет совсем иным. Детальный анализ потребностей этих видов бизнеса выходит за рамки данного документа. Однако, чтобы дать хотя бы ограниченное представление о потребностях малых сетей, в разделах «Альтернативы» и «Корпоративные опции» перечислены устройства, безкоторых можно обойтись, если вы хотите сократить общую стоимость архитектуры.28Следование рекомендациям настоящего документа не гарантирует вам безопасной среды или защиты отвсех атак.

Полная и абсолютная безопасность может быть достигнута только отключением вашей системы от сети и заключением ее в бетонный саркофаг, который лучше всего поместить в подвалы Форт Нокса, где хранится золотой запас США. Там ваши данные будут отлично защищены, но совершенно недоступны. Однако вы можете в достаточной степени защитить свою сеть, если будете внедрять разумнуюполитику безопасности, следовать рекомендациям данного документа, постоянно следить за последнимисобытиями в мире хакеров и достижениями в области защиты сетей и если вы будете постоянно отслеживать все системы с помощью надежных процедур системной администрации. Для этого нужно знатьи те вопросы безопасности, которые недостаточно полно раскрыты в данном документе.Хотя виртуальные частные сети (VPN) входят в состав данной архитектуры, их описание в данном документе не является очень подробным.

В этом документе вы не найдете информации о подробностях масштабирования, стратегиях устойчивости и других вопросах, касающихся VPN. Кроме VPN в этом документе недостаточно подробно раскрыты стратегии аутентификации (в том числе вопросы, связанные синфраструктурой цифровых сертификатов (certificate authorities — CA). Этот вопрос требует отдельного детального рассмотрения. В настоящем документе также не упоминается целый ряд передовых сетевых приложений и технологий (например технологии информационного наполнения, кэширования и балансировки серверной нагрузки). Хотя эти технологии скорее всего будут использоваться в программеSAFE, данный документ не рассматривает их специфические требования к системе безопасности.SAFE базируется на продуктах компании Cisco и ее партнеров.

Однако в этом документе продукты не называются по имени. Это означает, что вместо номера или названия конкретной модели мы приводимфункциональное описание соответствующего устройства. Во время оценки системы SAFE будет проводиться конфигурирование реальных продуктов для установки в специфических условиях конкретной сети, как описано в данном документе. Примеры реальных конфигураций приведены в Приложении А«Оценочная лаборатория».В настоящем документе слово «хакер» обозначает лицо, которое пытается со злым умыслом получить несанкционированный доступ к сетевым ресурсам. Хотя эти намерения можно более точно выразить термином «злоумышленник», мы для краткости используем более распространенный термин «хакер».é·ÁÓ ‡ıËÚÂÍÚÛ˚éÒÌÓ‚˚ ‰ËÁ‡È̇SAFE с максимальной точностью имитирует функциональные потребности современных корпоративных сетей.

Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующиезадачи, перечисленные в порядке приоритетности:●безопасность и борьба с атаками на основе политики;●внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);●безопасное управление и отчетность;●аутентификация и авторизация пользователей и администраторов для доступа к критически важнымсетевым ресурсам;●обнаружение атак на критически важные ресурсы и подсети;●поддержка новых сетевых приложений.Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должнапредотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам.

Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должнапредоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети — и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей.