Security (1027395), страница 20
Текст из файла (страница 20)
Кроме IP-адреса и местонахождения серверовимен (DNS и WINS), MODCFG предоставляет услуги аутентификации для контроля доступа данного удаленного пользователя. К примеру, в архитектуре SAFE абоненты не могут работать в туннеле и одновременно иметь прямой доступ в сеть Интернет. Вместо этого им приходится получать доступ в Интернеттолько через корпоративные каналы. При этом используются такие параметры IPSec, как 3DES (для шифрования) и SHA-HMAC (для контроля целостности данных). Модуль аппаратного шифрования, которыйвходит в состав концентратора VPN, позволяет масштабировать услуги удаленного доступа VPN и предлагать их тысячам удаленных пользователей.
После терминации туннеля VPN трафик передается черезмежсетевой экран, где происходит необходимая фильтрация пользователей VPN.Безопасное управление этой услугой достигается с помощью навязывания удаленным пользователямвсех параметров IPSec и параметров безопасности с центрального сайта. Кроме того, подключение ковсем функциям управления происходит через специальный выделенный интерфейс.Пользователи с модемным доступомТрадиционные пользователи с модемным доступом терминируются на одном из двух маршрутизаторовдоступа, где имеются встроенные модемы. После установления связи между пользователем и серверомна Уровне 1 для аутентификации пользователя применяется протокол CHAP.
Как и в случае с VPN удаленного доступа, для аутентификации и предоставления паролей используются сервер ААА и сервер однократных паролей. После аутентификации пользователей им присваиваются IP-адреса, которые выбираются из IP-пула при установлении соединения протокола РРР.VPN для связи между сайтамиТрафик VPN, предназначенный для связи между сайтами, состоит из туннелей GRE, защищенных протоколом IPSec в транспортном режиме с использованием технологии ESP (Encapsulated Security Payload).Как и в случае с удаленным доступом, трафик, исходящий из корпоративного модуля Интернет, можетпоступать только на определенные адреса двух маршрутизаторов VPN.
При этом адреса источников ограничиваются ожидаемыми адресами удаленных сайтов. Единственными ожидаемыми протоколами вэтом канале являются протокол ESP (IP 50) и протокол IKE (UDP 500).45Протокол GRE используется для обеспечения полнофункционального маршрутизируемого канала, по которому передается многопротокольный трафик. Здесь же поддерживаются протоколы маршрутизации ирежим многоадресной передачи (multicast). Поскольку протоколы маршрутизации могут распознавать обрыв связи в канале (для связи с удаленными сайтами используется протокол EIGRP — Enhanced InteriorGateway Routing Protocol), туннель GRE создает механизм устойчивости для удаленных сайтов, которыеимеют два канала с инкапсуляцией GRE (по одному на каждый центральный маршрутизатор VPN).Как и в случае с VPN удаленного доступа, максимальная безопасность с приемлемым ущербом для производительности достигается с помощью алгоритмов шифрования и контроля целостности 3DES и SHAHMAC.
На маршрутизаторах VPN могут использоваться аппаратные акселераторы IPSec.Остальные компоненты модуляМежсетевой экран агрегирует трафик всех трех типов и направляет его на внутренний интерфейс, а затем — через пару маршрутизаторов — в периферийный распределительный модуль. На маршрутизаторе должен быть правильно настроен контроль доступа, чтобы пропускать к внутреннему интерфейсу экрана только санкционированный трафик. С внешней стороны межсетевого экрана устанавливается пара устройств NIDS для обнаружения любой «разведывательной» деятельности, направленной противустройств терминации VPN. В этом сегменте может передаваться только трафик IPSec (IKE/ESP). Поскольку системы NIDS не могут анализировать содержание пакетов IPSec, любой генерируемый ими сигнал тревоги может означать только отказ или захват хакером одного из окружающих устройств.
В любомслучае все подобные сигналы должны иметь высокий уровень приоритетности. Вторая пара устройствNIDS устанавливается с внутренней стороны межсетевого экрана для обнаружения любых атак, которым удалось обойти все предыдущие преграды. Эти устройства также должны устанавливаться на весьма жесткий режим работы. Весь трафик, проходящий через этот сегмент, должен передаваться на удаленный сайт или поступать с удаленного сайта, и поэтому любые операции типа «отрубания» адресов(shunning) или переустановки ТСР (TCP reset) будут влиять только на удаленных пользователей.АльтернативыВ технологиях VPN и аутентификации существует множество альтернатив, применение которых зависит от специфических требований конкретной сети.
Ниже приводится список этих альтернатив, однакоих детальное описание выходит за рамки данного документа.●46●●●●Аутентификация с помощью смарт-карт и/или биометрических устройств.Туннели L2TP и/или PPTP для удаленного доступа к VPN.Certificate Authorities (CA).Механизм устойчивости IKE (IKE keep-alive resilience mechanism).VPN с многопротокольной коммутацией по меткам (MPLS).åÓ‰Ûθ ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈ (WAN)Этот модуль предназначается для поддержки устойчивости и безопасности терминации соединений стерриториальными сетями. При этом трафик передается между удаленными сайтами и центральнымсайтом по сети Frame Relay.Основные устройства●Маршрутизатор IOS — использует механизмы маршрутизации,контроля доступа и гарантированного качества услуг (QoS).Предотвращаемые угрозы●●IP-спуфинг — борьба ведется с помощью фильтрации на Уровне 3.Несанкционированный доступ — простой контроль доступа намаршрутизаторе может ограничить типы протоколов, к которымимеют доступ отделения компании.êËÒÛÌÓÍ 56.
åÓ‰Ûθ ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈРекомендации по дизайнуУстойчивость обеспечивается двойным соединением, идущимот сервис-провайдера через маршрутизаторы к периферийному распределительному модулю. Безопасность поддерживаетсяс помощью функций IOS. Для блокирования всего нежелательного трафика, поступающего от отделений компании, используются списки доступа на входе.êËÒÛÌÓÍ 57.
ÅÓ¸·‡ Ò Û„ÓÁ‡ÏË Ì‡ ÛÓ‚Ì ÏÓ‰ÛÎflÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈАльтернативыНекоторые организации, особо озабоченные защитой информации, шифруют конфиденциальный трафик,передаваемый по каналам глобальных сетей. Как и в случае с виртуальными частными сетями, для связи между сайтами поддержка такой политики безопасности может обеспечиваться с помощью протокола IPSec.åÓ‰Ûθ ˝ÎÂÍÚÓÌÌÓÈ ÍÓÏψËËПоскольку главной заботой данного модуля является электронная коммерция, здесь необходимо найтиоптимальное соотношение между удобством доступа и безопасностью.
Разделение транзакции электронной коммерции на три компонента позволяет нашей архитектуре поддерживать разные уровни безопасности без ущерба для удобства доступа.Основные устройстваWeb-сервер — служит основным пользовательским интерфейсом для навигации по магазинуэлектронной коммерции.● Сервер приложений — является платформой дляразличных приложений, которые требуютсяweb-серверу.● Сервер баз данных — содержит критически важную информацию, которая служит основой дляэлектронной коммерции.● Меж сетевой экран — управляет уровнями безопасности и доступа в системе.● Устройство NIDS — поддерживает мониторингêËÒÛÌÓÍ 58. èÓÚÓÍ Ú‡ÙË͇ ˝ÎÂÍÚÓÌÌÓÈ ÍÓÏψËËключевых сетевых сегментов в модуле.●Коммутатор Уровня 3 с модулем ISP — масштабируемое устройство ввода для электронной коммерции с интегрированными средствами мониторинга безопасности.●47êËÒÛÌÓÍ 59.
åÓ‰Ûθ ˝ÎÂÍÚÓÌÌÓÈ ÍÓÏψËËПредотвращаемые угрозы●●●●Несанкционированный доступ — межсетевой экран и списки доступа (ACL) снижают уязвимостьпротоколов.Атаки на уровне приложений — борьба ведется с помощью систем обнаружения атак (IDS).Отказ в обслуживании (DoS) — фильтрация на устройствах провайдера (ISP) и ограничение объемовснижают остроту атак типа (D)DoS.IP-спуфинг — фильтрация в соответствии с RFC 2827 и 1918 ограничивает возможности удаленногоспуфинга.êËÒÛÌÓÍ 60.
ÅÓ¸·‡ Ò ‡Ú‡Í‡ÏË Ì‡ ÛÓ‚Ì ÏÓ‰ÛÎfl ˝ÎÂÍÚÓÌÌÓÈ ÍÓÏψËË●●●●Сниффинг пакетов — коммутируемая инфраструктура и системы HIDS ограничивают эффективность сниффинга.Сетевая разведка — работать можно только с ограниченным числом необходимых портов; возможности ICMP ограничены.Злоупотребление доверием — межсетевые экраны обеспечивают поток трафика только в правильномнаправлении и для правильных услуг.Переадресация портов — HIDS и фильтрация с помощью межсетевого экрана ограничивают эффективность этих атак.Описание внедренияВ основе модуля лежат две пары отказоустойчивых межсетевых экранов, которые защищают три вида серверов: web-серверы, серверы приложений и серверы баз данных.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
