Security (1027395), страница 13
Текст из файла (страница 13)
Это просто система обеспечения сетевой безопасности.Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которыемогут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простойсреде. Тем не менее, на всем протяжении этого документа мы рассматриваем возможности ограничениясложности дизайна.На многих этапах проектирования сети инженер встает перед выбором между интеграцией множествафункций в едином сетевом устройстве и использованием специализированных сетевых средств.
Интеграция функций часто является более привлекательной, потому что ее можно реализовать на существующем оборудовании и потому что функции могут взаимодействовать в рамках единого устройства, создавая более эффективное функциональное решение. Специализированные устройства чаще всего используются для поддержки весьма продвинутых функций или высокой производительности. Решение принимается на основе сравнения емкости и функциональности отдельного устройства и преимуществ, которые может дать интеграция. Например, в некоторых случаях вы можете выбрать интегрированный высокопроизводительный маршрутизатор с операционной системой Cisco IOS (и встроенным программным межсетевым экраном, а в других — менее крупный маршрутизатор с отдельным межсетевым экраном.
В нашей архитектуре используются как тот, так и другой типы систем. Наиболее важные функциибезопасности передаются выделенным устройствам, чтобы поддержать высокую производительностькрупных корпоративных сетей.èË̈ËÔ ÏÓ‰ÛθÌÓÒÚËХотя по мере роста требований большинство сетей развивается, архитектура SAFE использует открытыймодульный подход. Такой подход имеет два основных преимущества: во-первых, он описывает дизайн сточки зрения защиты взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщикуоценивать защищенность каждого модуля по отдельности, а не только всей системы в целом.
Защищенный дизайн каждого модуля можно описать и реализовать по отдельности, а оценить в рамках всей системы.Хотя многие сети нельзя четко разграничить на отдельныемодули, такой подход дает ориентиры при внедрении в сетифункций защиты. Сетевым инженерам не предлагается строить свои сети в строгом соответствии с SAFE, но рекомендуется комбинировать описанные здесь модули и использоватьих в имеющихся сетях.На рисунке 33 показан первый уровень модульности SAFE.Каждый блок представляет определенную функциональнуюêËÒÛÌÓÍ 33. äÓÔÓ‡ÚË‚Ì˚È ÍÓÏÔÓÁËÚÌ˚È ÏÓ‰Ûθ29зону. Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общуюсхему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности.Второй уровень модульности, показанный на рисунке 34, демонстрирует модули в каждой функциональной области.
Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного модуля на схеме не обязательно соответствует его масштабу в реальной сети. Так, например, «модуль здания», представляющий устройства конечных пользователей, может включать в себя до 80% всех сетевых устройств. Дизайн безопасности каждого модуля описывается отдельно, но проверяется в комплексе, т.
е. в составе всей корпоративной системы.êËÒÛÌÓÍ 34. ÅÎÓÍ-ÒıÂχ ÍÓÔÓ‡ÚË‚ÌÓÈ ÒËÒÚÂÏ˚ SAFE30Хотя большинство существующих корпоративных сетей нелегко разделить на отдельные модули, этотподход позволяет реализовать разные функции безопасности по всей сети. Авторы не думают, что сетевые инженеры будут проектировать сети, идентичные схеме SAFE. Скорее всего они будут пользоватьсясочетанием описанных модулей, интегрированных в существующую сеть.ÄÍÒËÓÏ˚ SAFEñÂθ — χ¯ÛÚËÁ‡ÚÓ˚Маршрутизаторы контролируют доступ из любой сети к любой сети. Они рекламируют сети и определяют тех, кто может получать к ним доступ.
Поэтому потенциально маршрутизатор — это «лучший друг хакера». Безопасность маршрутизаторов является критически важным элементом любой системы сетевойбезопасности. Основной функцией маршрутизаторов является предоставление доступа, и поэтомумаршрутизаторы нужно обязательно защищать, чтобы исключить возможность прямого взлома. Вы можете обратиться и к другим документам, где описана защита маршрутизаторов. Эти документы более детально рассматривают следующие вопросы:●блокировка доступа к маршрутизатору из сетей связи общего доступа;●блокировка доступа к маршрутизатору через протокол SNMP;●управление доступом к маршрутизатору через TACACS+;●отключение ненужных услуг;●вход в систему на определенных уровнях;●аутентификация обновлений маршрутов.Самые свежие документы, посвященные безопасности маршрутизаторов, можно найти по следующемуадресу: http://www.cisco.com/warp/customer/707/21.htmlñÂθ — ÍÓÏÏÛÚ‡ÚÓ˚Коммутаторы (обычные и многоуровневые), как и маршрутизаторы, имеют свои требования к безопасности.
Однако данные об угрозах для безопасности коммутаторов и о смягчении этих угроз распространены гораздо меньше, чем аналогичные данные для маршрутизаторов. Большинство соображений, приведенных в предыдущем разделе для маршрутизаторов, годятся и для коммутаторов. Кроме того, в случаес коммутаторами вы должны предпринимать следующие меры предосторожности:●Если порт не должен подключаться к транку, то параметры транковых соединений на нем должны неустанавливаться в положение «auto», а отключаться (off).
В результате хост не сможет стать транковым портом и получать трафик, который обычно поступает на такой порт.●●●Убедитесь в том, что транковые порты используют уникальный номер VLAN (виртуальной локальнойсети), который не используется ни в каком другом месте этого коммутатора. В результате пакеты, имеющие метку с тем же номером, будут передаваться в другую сеть VLAN только через устройство Уровня 3.
Более подробную информацию см. на сайтеhttp://www.sans.org/newlook/resources/IDFAQ/vlan.htmОбъедините все неиспользуемые порты коммутатора в сеть VLAN, которая не имеет выхода на Уровень 3. Будет еще лучше, если вы вообще отключите все порты, которые реально не используются. Врезультате хакеры не смогут подключаться к таким портам и через них получать доступ к другим сетевым ресурсам.Старайтесь не использовать технологию VLAN в качестве единственного способа защиты доступамежду двумя подсетями.
Постоянно присутствующая вероятность ошибок, а также тот факт, что сетиVLAN и протоколы маркирования VLAN разрабатывались без учета требований безопасности, — всеэто не позволяет рекомендовать применение этих технологий в чувствительной среде. Если вы все-таки используете сети VLAN в защищенной среде, обратите особое внимание на конфигурации и рекомендации, перечисленные выше.В существующей сети VLAN дополнительную защиту для некоторых сетевых приложений могут датьвиртуальные частные локальные сети (private VLAN).
Основной принцип их работы состоит в том, чтоони ограничивают число портов, которым разрешается связываться с другими портами в пределах однойи той же сети VLAN. Порты, которые относятся к определенному сообществу, могут сообщаться толькос другими портами того же сообщества и портами общего доступа (promiscuous ports). Порты общего доступа могут связываться с любым портом. Это позволяет минимизировать ущерб от хакерского проникновения на один из хостов.
Рассмотрим в качестве примера стандартный сетевой сегмент, состоящий изweb-сервера, сервера FTP и сервера доменных имен (DNS). Если хакер проник на сервер DNS, для работы с двумя другими серверами ему уже не нужно преодолевать межсетевой экран. Но если у вас имеются виртуальные локальные частные сети, то в случае проникновения хакера на одну из систем она не сможет связываться с другими системами. Единственными целями для хакера остаются хосты, находящиесяпо другую сторону межсетевого экрана.ñÂθ — ıÓÒÚ˚Хост является наиболее вероятной целью хакерской атаки.
Кроме того, хост создает самые сложные проблемы для обеспечения безопасности. Существует множество аппаратных платформ, операционных систем и приложений — и все это периодически обновляется, модернизируется и корректируется, причемв разные сроки. Поскольку хосты предоставляют другим хостам услуги по требованию, их очень хорошовидно в сети. К примеру, многие посещали сайт Белого Дома http://www.whitehouse.gov (это хост), новряд ли кто-нибудь пытался получить доступ к адресу s2-0.whitehouse.net (это маршрутизатор). Поскольку хосты так хорошо видны, именно через них чаще всего совершаются попытки несанкционированного доступа в сеть.По этим причинам хосты чаще других устройств становятся жертвами удачных атак.
Зачастую web-сервер в сети Интернет работает на аппаратной платформе одного производителя с сетевым адаптером другого производителя, с операционной системой третьего поставщика и серверным программным обеспечением, которое либо является открытым, либо поставлено четвертой компанией. Кроме того, на этомweb-сервере могут работать приложения, свободно распространяемые через Интернет.
И, наконец, этотсервер может связываться с сервером базы данных, где все «разнообразие» повторяется еще раз. Мы нехотим сказать, что угроза безопасности происходит из-за разнородности источников сетевых устройств.Цель у нас другая: показать, что по мере увеличения сложности системы повышается вероятность сбоеви отказов.Для защиты хоста необходимо внимательно следить за всеми компонентами системы. Все они должныбыть самыми свежими, со всеми «заплатками» и коррекционными модулями. В частности, следите за тем,как эти модули влияют на функционирование других системных компонентов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
