Security (1027395), страница 16
Текст из файла (страница 16)
èÓÚÓÍ Ú‡ÙË͇ ÛÔ‡‚ÎÂÌËflграммного обеспечения;●устройство NIDS — позволяет мониторить потоки трафика между хостами управления и управляемыми устройствами;●коммутатор Уровня 2 (с поддержкой виртуальных локальных частных сетей) — обеспечивает передачу данных с управляемых устройств только на межсетевой экран IOS.●Предотвращаемые угрозы:●●●●●несанкционированный доступ — фильтры межсетевого экрана IOS пресекают почти все потоки несанкционированного трафика в обоих направлениях;атаки типа Man-in-the-Middle — информация, связанная с управлением, передается по частной сети,что весьма затрудняет атаки этого типа;хакерская разведка сети — поскольку весь трафик,связанный с управлением, передается по частной сети, он не попадает в производственную сеть, где егоможет перехватить хакер-разведчик;атаки на пароли — сервер контроля доступа поддерживает мощную двухфакторную аутентификацию накаждом устройстве;IP-спуфинг — межсетевой экран IOS пресекает (в обоих направлениях) потоки трафика, использующие чужие адреса;êËÒÛÌÓÍ 37.
åÓ‰Ûθ ÛÔ‡‚ÎÂÌËfl35●●сниффинг пакетов — коммутируемая инфраструктура снижает эффективность сниффинга;злоупотребление доверием — виртуальные локальные частные сети не дают возможности выдавать за хост управления устройства, попавшиепод контроль хакера.Рекомендации по дизайнуКак видно из приведенной выше схемы, корпоративная сеть управления SAFE имеет два сетевых сегмента, которые разделены маршрутизатором IOS,выполняющим роль межсетевого экрана и устройства терминирования виртуальной частной сети(VPN). Сегмент, находящийся с внешней сторонымежсетевого экрана, соединяется со всеми устройствами, которые нуждаются в управлении.
Сегмент, êËÒÛÌÓÍ 38. åÓ‰Ûθ ÛÔ‡‚ÎÂÌËfl: ÙÛÌ͈ËË Ô‰ÓÚ‚‡˘ÂÌËfl ‡Ú‡Íнаходящийся с внутренней стороны, включает хосты управления и маршрутизаторы IOS, которые выступают в качестве терминальных серверов. Другойинтерфейс подключается к производственной сети, но лишь для передачи защищенного средствамиIPSec трафика управления с заранее определенных хостов. Это позволяет управлять даже теми устройствами Cisco, которые не имеют достаточного числа интерфейсов для подключения к внешней сети управления.
Межсетевой экран IOS конфигурируется таким образом, чтобы передавать информацию syslog в сегмент управления, а также соединения Telnet, SSH и SNMP, если таковые инициированы из внутренней сети.Обе подсети управления работают в адресном пространстве, которое полностью отделено от производственной сети. В результате протоколы маршрутизации не распространяют данные о сети управления.Кроме того, устройства производственной сети блокируют любой трафик, попадающий из сети управления в производственные сегменты.36Модуль управления поддерживает управление конфигурацией практически всех сетевых устройств спомощью двух базовых технологий: маршрутизаторов Cisco IOS, действующих в качестве терминальныхсерверов, и сетевого сегмента, специально выделенного для управления. Маршрутизаторы выполняютфункцию reverse-telnet для доступа к консольным портам на устройствах Cisco по всей корпорации.
Более широкие функции управления (изменения ПО, обновления содержания, обобщение лог-данных исигналов тревоги, управление SNMP) поддерживаются с помощью выделенного сегмента сетевого управления. Все остающиеся неуправляемые устройства и хосты (а их остается крайне мало) управляются через туннели IPSec, которые идут от маршрутизатора управления.Поскольку сеть управления имеет доступ с правами администратора практически ко всем областям сети, онаможет стать весьма привлекательной целью для хакеров.
Поэтому в модуль управления встроено сразу несколько технологий, специально предназначенных для смягчения подобных рисков. Первым и основнымриском является попытка хакера получить доступ к самой сети управления. Все остальные риски исходят изтого, что первая линия обороны уже прорвана. Чтобы не дать хакеру завладеть каким-либо сетевым устройством, на межсетевом экране и на каждом устройстве имеются средства контроля доступа, которые предотвращают несанкционированный доступ к каналу управления.
Захваченное хакером устройство не сможетсвязаться с другими хостами, находящимися в той же подсети, поскольку сегмент управления направляетвесь трафик с управляемых устройств непосредственно на межсетевой экран IOS, где производится фильтрация. Сниффинг паролей вообще оказывается неэффективным, поскольку пароли являются одноразовыми. Кроме того, в подсети управления устанавливаются системы HIDS и NIDS, которые настраиваются наочень жесткий режим. Поскольку в этой подсети передается весьма ограниченное количество типов трафика, любое совпадение сигнатуры должно вызывать немедленную реакцию.Управление по протоколу SNMP имеет собственные требования к безопасности.
Поддержка трафикаSNMP в сегменте управления позволяет ему пересекать изолированный сегмент, собирая информациюс устройств. В архитектуре SAFE средства управления SNMP только собирают информацию, но не имеют возможности принудительно вносить изменения в конфигурацию. Для этого каждое устройство настраивается на работу с SNMP в режиме «только для чтения».Большое значение для правильного управления сетью имеет правильный сбор и анализ системной информации (syslog). Syslog предоставляет важные данные о нарушениях безопасности и изменениях конфигурации. От разных устройств могут потребоваться разные уровни информации syslog. Полная информация обо всех отправленных сообщениях является слишком объемной, что не позволяет эффективно обработать ее ни человеку, ни алгоритму syslog. Таким образом, запись всех данных в лог-файлы «навсякий случай» не может повысить безопасность сети.Для оценочной лаборатории SAFE использовались конфигурации только с отдельными приложениямиуправления и интерфейсом командной строки (CLI).
Однако в SAFE нет никаких препятствий для использования систем конфигурирования, основанных на политике безопасности. Использование нашегомодуля управления позволяет с успехом внедрять подобные технологии. Мы выбрали интерфейс командной строки и отдельные приложения управления, поскольку сегодня такой метод конфигурирования используется в большинстве развернутых сетей.АльтернативыПолномасштабное управление по отдельному каналу не всегда возможно, так как некоторые устройства могут его не поддерживать. Кроме того, управление по основному каналу связи может потребоваться в силу некоторых географических различий. Если вы передаете управляющие сигналы по основному каналу связи,следует обратить особое внимание на защиту транспорта протоколов управления.
Это достигается с помощью IPSec, SSH SSL или любых других технологий шифрования и аутентификации транспорта, позволяющих передавать данные управления в безопасном режиме. Когда для управления используется тот же интерфейс, что и для передачи пользовательских данных, особое внимание нужно обратить на пароли, community strings, криптографические ключи и списки доступа, которые контролируют связь с услугами управления.Требования к архитектуре будущегоВ настоящее время задачи отчетности и аварийной сигнализации распределены между множеством хостов. Некоторые из них лучше обрабатывают данные межсетевых экранов и систем IDS, другие лучше приспособленыдля анализа данных маршрутизации и коммутации. В будущем все данные будут агрегироваться на одном и томже массиве избыточных хостов, что позволит сравнивать события, происходящие на всех устройствах.ŇÁÓ‚˚È ÏÓ‰ÛÎ¸В архитектуре SAFE базовый модуль практически идентичен базовому модулю любой другой сетевой архитектуры.
Его задача состоит в маршрутизации и коммутации межсетевого трафика с какможно более высокой скоростью.Основные устройства●Коммутация Уровня 3 — маршрутизация и коммутация данныхв производственной сети с одного модуля на другой.êËÒÛÌÓÍ 39. ŇÁÓ‚˚È ÏÓ‰ÛθПредотвращаемые угрозы●Сниффинг пакетов — коммутируемая инфраструктура ограничивает эффективность сниффинга.Рекомендации по дизайнуМы следовали стандартным рекомендациям по дизайну, которые обычно используются в хорошо спроектированных сетях Cisco на базовом уровне, уровне распределения и уровне доступа.Хотя архитектура SAFE не предъявляет никаких особых требований к базовой части корпоративной сети,при настройке коммутаторов этой сети необходимо следовать «аксиомам безопасности», изложенным вразделе «Цель — коммутаторы», чтобы должным образом защитить эти устройства от прямых атак.ê‡ÒÔ‰ÂÎËÚÂθÌ˚È ÏÓ‰Ûθ Á‰‡ÌËflЭтот модуль предоставляет услуги доступа коммутаторам здания.
Услугивключают маршрутизацию, поддержку гарантированного качества услуг(QoS) и контроль доступа. Запросы о предоставлении данных поступаютна коммутаторы и далее в базовую сеть. Ответный трафик следует по томуже маршруту в обратном направлении.Основные устройства●Коммутаторы Уровня 3 — агрегируют коммутаторы Уровня 2 в модульздания и предоставляют продвинутые услуги.êËÒÛÌÓÍ 40. ê‡ÒÔ‰ÂÎËÚÂθÌ˚È ÏÓ‰ÛθÁ‰‡ÌËfl: ‰ÂÚ‡ÎË, ̇ԇ‚ÎÂÌÌ˚ ̇Ô‰ÓÚ‚‡˘ÂÌË ۄÓÁПредотвращаемые угрозы●●●Несанкционированный доступ — атаки на ресурсы серверного модуля ограничиваются фильтрацией определенных подсетей наУровне 3.IP-спуфинг — фильтрация RFC 2827 пресекает практически любыепопытки спуфинга.Сниффинг пакетов — коммутируемая инфраструктура ограничивает эффективность сниффинга.Рекомендации по дизайнуДля усиления защищенности корпоративных пользователей использовались не только стандартные принципы сетевого проектирования, но и оп-êËÒÛÌÓÍ 41.
îÛÌ͈ËË ‡ÒÔ‰ÂÎËÚÂθÌÓ„ÓÏÓ‰ÛÎfl Á‰‡ÌËfl, ̇ԇ‚ÎÂÌÌ˚È Ì‡ ÒÏfl„˜ÂÌËÂÛ„ÓÁ37тимизации, описанные в разделе «Цель — коммутаторы». Распознавание атак происходит не в распределительном модуле здания, а в модулях, где имеются ресурсы, которые являются потенциальными объектамиатак из-за своего содержания (серверы, средства удаленного доступа, средства Интернет и т. д.).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
