Security (1027395), страница 18
Текст из файла (страница 18)
Для поддержки высокой производительностиоба модуля пользуются коммутацией Уровня 3, но периферийный распределительный модуль обладаетдополнительными возможностями в области безопасности, поскольку на сетевой периферии требованияк производительности не столь высоки. Периферийный распределительный модуль представляет собойпоследнюю линию обороны для всего трафика, который передается с периферийного модуля на кампусный модуль. Эта линия должна пресекать попытки передачи пакетов с ложных адресов и несанкционированного изменения маршрутов, а также обеспечивать контроль доступа на уровне сети.АльтернативыПодобно серверному модулю и распределительному модулю здания, периферийный распределительныймодуль может объединяться с базовым модулем, если требования производительности не являются такими же жесткими, как в приводимых здесь примерах архитектуры SAFE.
В этом модуле отсутствует система NIDS, однако ее можно установить с помощью модулей IDS, работающих на коммутаторах Уровня 3. Вэтом случае сокращается необходимость в устройствах NIDS на выходе критически важных периферийных модулей, подключаемых к кампусу.
Однако необходимость поддержки высокой производительности(как и в приводимом здесь примере архитектуры SAFE) может потребовать установки средств обнаружения атак на разных периферийных модулях, а не только на периферийном распределительном модуле.äÓÔÓ‡Ú˂̇fl ÔÂËÙÂËflВ данном разделе приводится детальный анализ всех модулей, находящихся на периферии корпоративной сети.40êËÒÛÌÓÍ 48. ÑÂÚ‡ÎË ÍÓÔÓ‡ÚË‚ÌÓÈ ÔÂËÙÂËË — ˜‡ÒÚ¸ 1êËÒÛÌÓÍ 49. ÑÂÚ‡ÎË ÍÓÔÓ‡ÚË‚ÌÓÈ ÔÂËÙÂËË — ˜‡ÒÚ¸ 2äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚКорпоративный модуль Интернет предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Трафик с этого модуля передается в виртуальныечастные сети (VPN) и на модуль удаленногодоступа, где происходит терминированиеVPN.
Этот модуль не предназначен для поддержки приложений электронной коммерции. Более подробная информация об электронной коммерции содержится в разделе«Модуль электронной коммерции».Основные устройства●●●●●●Сервер SMTP — служит мостом между ИнêËÒÛÌÓÍ 50. èÓÚÓÍ ÍÓÔÓ‡ÚË‚ÌÓ„Ó àÌÚÂÌÂÚ-Ú‡ÙË͇тернет и серверами Интернет-почты — проверяет содержание.Сервер DNS — служит внешним сервером DNS для предприятия, передает в Интернет запросы внутренних пользователей.Сервер FTP/HTTP — предоставляет открытую информацию об организации.Межсетевой экран — защищает ресурсы на уровне сети и производит фильтрацию трафика.Устройство NIDS — поддерживает мониторинг ключевых сетевых сегментов модуля на Уровнях 4–7.Сервер фильтрации URL — отфильтровывает несанкционированные запросы URL, исходящие отпредприятия.41êËÒÛÌÓÍ 51.
äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚПредотвращаемые угрозы●●●●●●●●●Несанкционированный доступ — угроза ликвидируется с помощью фильтрации на уровне провайдера (ISP), периферийного маршрутизатора и корпоративного межсетевого экрана.Атаки на уровне приложений — ликвидируются с помощью IDS на уровне хоста и сети.Вирусы и «троянские кони» — ликвидируются с помощью фильтрации содержания электронной почты и системы HIDS.Атаки на пароли — ограничение возможностей смены паролей, контролируемых средствами операционной системы и IDS.Отказ в обслуживании (DoS) — борьба с этой угрозой проводится с помощью CAR на периферии ISPи с помощью контроля установлений сессий TCP на межсетевом экране.IP-спуфинг — фильтрация RFC 2827 и 1918 на периферии ISP и корпоративном периферийном маршрутизаторе.Сниффинг пакетов — коммутируемая инфраструктура и система HIDS снижают эффективностьсниффинга.Сетевая разведка — IDS обнаруживает попытки ведения разведки, а фильтрация на уровне протоколов снижает ее эффективность.Злоупотребление доверием — эта угроза снижается с помощью строгой модели доверия и за счет использования частных сетей VLAN.●Переадресация портов — эта угроза снижается с помощью строгой фильтрации и системы HIDS.êËÒÛÌÓÍ 52.
ÅÓ¸·‡ Ò Û„ÓÁ‡ÏË Ò ÔÓÏÓ˘¸˛ ÍÓÔÓ‡ÚË‚ÌÓ„Ó ÏÓ‰ÛÎfl àÌÚÂÌÂÚРекомендации по дизайнуВ основе модуля лежит пара отказоустойчивых межсетевых экранов, защищающих общедоступные услуги Интернет и внутренних пользователей. Экраны проверяют трафик, передаваемый во всех направлениях, и гарантируют пропускание только санкционированного трафика. Кроме средств, обеспечивающих устойчивость на Уровнях 2 и 3, и средств аварийного подхвата, все остальные элементы модуля нацелены на безопасность и борьбу с угрозами.42Начиная с маршрутизатора, находящегося на периферии сети заказчика ISP, происходит отбрасываниенесущественного трафика, объем которого превышает заранее установленные пороговые значения, чтов значительной степени снижает угрозу атак типа (D)DoS. Кроме того, на выходе маршрутизатора ISPпроизводится фильтрация RFC 1918 и 2827, что снижает угрозу спуфинга адресов локальных сетей ичастных адресов.На входе первого маршрутизатора корпоративной сети производится базовая фильтрация, которая пропускает только ожидаемый (по адресам и IP-услугам) трафик.
Этот фильтр «грубой очистки» помогаетбороться с большинством наиболее распространенных атак. Здесь же происходит фильтрация RFC 1918и RFC 2827 для подкрепления фильтрации, проведенной на уровне ISP. Кроме этого, ввиду огромной угрозы, исходящей от фрагментированных пакетов, маршрутизатор настраивается на отбрасывание большинства таких пакетов, которые обычно не соответствуют стандартным типам трафика Интернет. Происходящие при этом потери санкционированного трафика считаются приемлемыми, если принять вовнимание огромный риск, который несут в себе фрагментированные пакеты. И наконец, любой трафикIPSec, адресованный на модуль VPN / удаленного доступа, передается по назначению.
Фильтры, установленные на входе VPN пропускают только трафик IPSec, передаваемый с авторизованных узлов на авторизованные узлы. В сетях VPN с удаленным доступом IP-адрес системы, отправившей входящее сообщение, как правило, остается неизвестным, и поэтому фильтрация производится по центральным сетевымузлам, с которыми непосредственно связывается удаленный пользователь.Устройство NIDS, которое находится на общедоступной стороне межсетевого экрана, производит мониторинг атак, анализируя Уровни 4–7 и сравнивая результаты с известными сигнатурами.
Поскольку ISPи периферийный маршрутизатор корпоративной сети отфильтровывают некоторые диапазоны адресови портов, NIDS может сконцентрировать усилия на борьбе с более изощренными атаками. И все же этоустройство NIDS работает в менее строгом режиме, чем аналогичные устройства, находящиеся с внутренней стороны межсетевого экрана. Это происходит, потому, что замеченная им несанкционированнаяактивность представляет собой не прорыв обороны, а лишь попытку такого прорыва.Межсетевой экран контролирует состояние соединения и производит тщательную фильтрацию проходящих через него сессий.
Серверы общего доступа получают некоторую защиту от переполнения TCPSYN за счет использования лимитов полуоткрытых соединений на межсетевом экране. Эти экраны нетолько ограничивают трафик на серверах общего доступа по определенному набору адресов и портов, нои фильтруют трафик, идущий в обратном направлении. Если хакер получил контроль над одним из серверов (обойдя межсетевой экран и системы HIDS и NIDS), такому серверу нельзя позволить стать платформой для дальнейших атак.
Для этого используется специальная фильтрация, отбраковывающая любые несанкционированные запросы, которые генерируются серверами общего доступа для передачи влюбом направлении. К примеру, web-сервер может фильтроваться таким образом, чтобы не генериро-вать собственные запросы, а лишь отвечать на запросы клиентов. Это не позволит хакеру после первойудачной атаки загрузить на сервер дополнительные утилиты. Одним из примеров возможной атаки такого типа может служить генерация xterm с web-сервера через межсетевой экран на машину хакера.
Кроме того, частные сети VLAN не позволяют серверу общего доступа атаковать другие серверы, находящиеся в одном и том же сегменте. Такой трафик не проходит через межсетевой экран, поэтому использование здесь частных сетей VLAN является критически важным.В сегменте инспекции содержания передается только трафик, связанный с запросами URL, идущими отмежсетевого экрана к устройству, которое осуществляет фильтрацию URL. Кроме этого, разрешаютсяавторизованные запросы от корпоративного устройства URL-фильтрации к мастер-серверу для обновления информации в базе данных.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
