Security (1027395), страница 19
Текст из файла (страница 19)
Устройство URL-фильтрации проверяет исходящий трафик на наличиенесанкционированных запросов WWW. Это устройство напрямую связывается с межсетевым экраноми одобряет или отклоняет запросы URL, которые межсетевой экран передает своему механизму URL-инспекции. Решение об одобрении или отклонении запроса зависит от корпоративной политики безопасности, в которой используется классификация ресурсов WWW, предоставляемая третьей стороной. Инспекция URL является более предпочтительной по сравнению с обычной фильтрацией доступа, потомучто IP-адреса несанкционированных web-сайтов часто меняются, и поэтому стандартные фильтры могутразрастаться до весьма больших размеров.
Установленные на этом сервере средства HIDS предоставляют защиту от атак, которым по какой-либо причине удается обойти межсетевой экран.Сегмент услуг общего доступа включает устройство NIDS. Оно предназначено для обнаружения атак нате порты, которые межсетевой экран считает разрешенными. Таким образом пресекаются атаки науровне приложений, направленные против конкретного устройства, или атаки против услуг, защищенных паролями.
Это устройство NIDS должно настраиваться на более жесткий режим работы по сравнению с устройством NIDS, установленным с внешней стороны межсетевого экрана, поскольку здесь обнаруживаются атаки, успешно преодолевшие межсетевой экран. На каждом сервере устанавливаютсяпрограммные средства для обнаружения атак, пресекающие любую несанкционированную активностьна уровне операционной системы и на уровне обычных серверных приложений (HTTP, FTP, SMTP и т. д.).Хост DNS должен защищаться и реагировать только на разрешенные команды.
Он не должен выдаватьникаких ненужных ответов, которые могут облегчить хакерам задачу ведения сетевой разведки. Сюдавходит запрещение передачи доменной информации (zone-transfers), кроме случаев, когда такая передача осуществляется внутренним сервером DNS. На сервере SMTP установлены услуги проверки содержания электронной почты, защищающие от вирусов и «троянских коней», которые обычно проникают всистему с почтовыми сообщениями.
Межсетевой экран сам проводит фильтрацию сообщений SMTP наУровне 7 и пропускает на почтовый сервер только необходимые команды.Устройство NIDS, установленное с внутренней стороны межсетевого экрана, производит окончательныйанализ атак. Обнаружение атак на этом этапе должно происходить крайне редко, так как сюда допускаются только ответы на санкционированные запросы и трафик, исходящий с нескольких санкционированных портов сегмента общего доступа. До этого уровня могут доходить только особо изощренные атаки, потому что обычно хакер стремится получить контроль над устройством общего доступа и использовать его в качестве платформы для последующей атаки внутренней сети. К примеру, если хакер захватилсервер SMTP, работающий в сети общего доступа, он может попытаться атаковать внутренний почтовыйсервер через TCP-порт 25, которому разрешено передавать почтовые сообщения между хостами.
Еслиатака обнаруживается на этом уровне, реакция должна быть намного более жесткой, чем в других сегментах, поскольку в данном случае какие-то системы уже наверняка находятся под контролем хакера.Следует серьезно рассмотреть вариант использования сброса ТСР (ТСР reset), который позволит, к примеру, отразить описанную выше атаку SMTP.АльтернативыСуществует несколько альтернативных вариантов проектирования данного модуля. Так, например, в зависимости от вашего отношения к атакам, вы можете отказаться от установки устройства NIDS с внешней стороны межсетевого экрана. Кроме того, этот тип мониторинга вообще не рекомендуется использовать без базовой фильтрации на маршрутизаторе доступа.
Однако при наличии необходимых фильтров доступа, включенных в наш дизайн, внешнее устройство NIDS может дать ценную информацию обатаках, которая в любом другом случае была бы отбракована межсетевым экраном. Поскольку это устройство будет, по всей видимости, генерировать множество сигналов тревоги, эти сигналы должныиметь меньшую приоритетность по сравнению с сигналами, поступающими с внутренней стороны межсетевого экрана. Следует рассмотреть возможность регистрации этих сигналов на отдельной станции управления, чтобы не терять их для последующего анализа. Это важно еще и потому, что множество неудавшихся попыток атаки, регистрируемых внешним устройством NIDS, может дать представление отом, какие типы атак нацелены на вашу организацию. Кроме того, это позволит оценить эффективностьфильтров провайдера (ISP) и фильтров, установленных на периферии корпоративной сети.Еще одна возможная альтернатива предложенному дизайну состоит в удалении маршрутизатора, распо-43ложенного между межсетевым экраном и периферийным распределительным модулем.
Его функциивполне могут быть интегрированы в периферийный распределительный модуль, однако при этом будутнивелированы функциональные разграничения между модулями, поскольку для корректной маршрутизации коммутаторам периферийного распределения нужно знать всю топологию корпоративного Интернет-модуля. Кроме того, это ограничит возможности поэтапного модульного внедрения и масштабирования данной архитектуры. К примеру, если базовая сеть предприятия реализована на Уровне 2, вампотребуются функции маршрутизации, которые обеспечивает корпоративный Интернет-модуль.åÓ‰Ûθ ‚ËÚۇθÌ˚ı ˜‡ÒÚÌ˚ı ÒÂÚÂÈ (VPN) Ë Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡Как видно из названия, этот модуль выполняет три основных задачи: терминирует трафик VPN, поступающий от удаленных пользователей, действует в качествеконцентратора для терминирования этого трафика, атакже терминирует обычных абонентов с модемнымдоступом.
Весь трафик, направляемый в сегмент периферийного распределения, поступает от удаленныхкорпоративных пользователей, которые так или иначеаутентифицируются и лишь затем получают правопрохода через межсетевой экран.Основные устройства●●●●●Концентратор VPN — аутентифицирует удален- êËÒÛÌÓÍ 53.
èÓÚÓÍ Ú‡ÙË͇ ˜ÂÂÁ ÏÓ‰Ûθ VPN / Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡ных пользователей с помощью средства расширенной аутентификации XAUTH и терминирует их туннели IPSec.Маршрутизатор VPN — аутентифицирует доверенные удаленные сайты и обеспечивает связь черезтуннели GRE/IPSec.Сервер модемного доступа — аутентифицирует индивидуальных удаленных пользователей с помощью TACACS+ и терминирует их аналоговые соединения.Межсетевой экран — поддерживает свой уровень безопасности для каждого из трех типов удаленного доступа.Устройство NIDS — поддерживает мониторинг ключевых сетевых сегментов данного модуля наУровнях 4–7.44êËÒÛÌÓÍ 54.
åÓ‰Ûθ VPN / Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡Предотвращаемые угрозы●●●●●Раскрытие сетевой топологии — в этот сегмент из Интернет допускаются только данные Internet KeyExchange (IKE) и Encapsulated Security Payload (ESP).Атака на пароли — аутентификация с использованием однократных паролей (ОТР) снижает вероятность успеха такой атаки.Несанкционированный доступ — услуги межсетевого экрана, следующие за расшифровкой пакетов,не дают возможности передавать трафик на несанкционированные порты.Атака типа Man-in-the-Middle — вероятность снижается с помощью шифрования удаленного трафика.Сниффинг пакетов — коммутируемая инфраструктура снижает эффективность сниффинга.Рекомендации по дизайнуКроме надежности, базовыми требованиями к этому модулю являются аутентификация и терминациятрех типов услуг для внешних пользователей. Поскольку трафик в корпоративную сеть поступает из разных внешних источников, было принято решение о поддержке отдельного интерфейса для каждой изтрех услуг.
Ниже приводятся рекомендации по проектированию этих услуг.êËÒÛÌÓÍ 55. ÅÓ¸·‡ Ò Û„ÓÁ‡ÏË Ì‡ ÛÓ‚Ì ÏÓ‰ÛÎfl VPN / Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡VPN удаленного доступаТрафик VPN передается с маршрутизаторов доступа, являющихся частью корпоративного Интернет-модуля. На выходе этих маршрутизаторов трафик фильтруется по IP-адресам и протоколам, входящим в состав услуг VPN.
Современные виртуальные частные сети с удаленным доступом могут пользоваться несколькими протоколами туннелирования и безопасности. Хотя наиболее оптимальным является протоколIPSec, многие организации выбирают такие протоколы, как PPTP или L2TP, которые изначально поддерживаются наиболее популярными операционными системами для настольных устройств. В архитектуреSAFE используется протокол IPSec, потому, что с одной стороны, он требует минимальных усилий по конфигурированию клиентов, а с другой стороны, поддерживает достаточно высокий уровень безопасности.Трафик VPN с удаленным доступом будет направляться на единый адрес общего доступа с помощью протокола IKE (UDP 500).
Поскольку соединение IKE не может производиться без корректной аутентификации, на этом уровне потенциальный хакер должен испытывать определенные трудности. ТехнологияXAUTH, которая является одним из расширений IKE (draft RFC), создает дополнительный механизм аутентификации пользователя, прежде чем этому пользователю будут присвоены какие-либо параметрыIP. Концентратор VPN «подключается» к серверу контроля доступа через подсеть управления и интерфейс управления. При этом надежную защиту с помощью паролей предоставляет сервер однократныхпаролей.После аутентификации удаленный пользователь получает доступ. Для этого ему присваиваются IP-параметры с помощью MODCFG, еще одного расширения IKE.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
