Security (1027395), страница 22
Текст из файла (страница 22)
Авторы не требуют обязательного принятия своей архитектуры в неизменном виде. Они просто хотят, чтобы инженеры, проектирующие сеть, сознательно выбирали варианты систем безопасности на основе опыта, полученного ихпредшественниками в ходе предыдущей работы.ÑËÁ‡ÈÌ Ï‡ÎÓÈ ÒÂÚËДизайн малой сети имеет два модуля: корпоративный модуль Интернет и модуль кампуса. Первый модуль имеет подключения к Интернет, на него замыкаются VPN и трафик открытых сервисов (DNS, HTTP,FTP, SMTP). Ко второму модулю относятся коммутация Уровня 2, все пользователи, а также управлениеи серверы внутренней сети. Обсуждение этого дизайна большей частью ведется на основе малой сетикак главной сети предприятия; также говорится о специфических изменениях дизайна при конфигурации для филиала.50êËÒÛÌÓÍ 61. åÓ‰Âθ ÒÂÚË Ï‡ÎÓ„Ó Ô‰ÔËflÚËfläÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚКорпоративный модуль Интернет обеспечивает внутренним пользователям подключение к Интернет идоступ к сервисам всемирной Сети, внешним пользователям — доступ к информации на общедоступныхсерверах, а для удаленных работников этот же модуль предоставляет доступ с использованием ВЧС(VPN).
Однако, модуль не предназначен для поддержки приложений электронной коммерции.Основные устройства●●●●Сервер SMTP — передаточное звено междуИнтернет и внутрисетевыми почтовымисерверами.Сервер DNS — служит внешним серверомDNS для предприятия; передает внутренниезапросы в Интернет.Сервер FTP/HTTP — предлагает общедоступную информацию о предприятииМежсетевой экран или межсетевой маршруêËÒÛÌÓÍ 62. ÑÂڇθÌ˚È ‰ËÁ‡ÈÌ ÏÓ‰ÛÎfl ÏÓ‰Ûθ àÌÚÂÌÂÚтизатор — обеспечивают защиту ресурсовна сетевом уровне, динамическое фильтрование трафика, поддержку подключений ВЧС для удаленных сайтов и пользователей.●Коммутатор Уровня 2 (с функциями поддержки частных виртуальных локальных сетей) — арантирует передачу данных от управляемых устройств непосредственно на межсетевой экран IOS.Предотвращаемые угрозыЧаще всего объектами атаки становятся общедоступные серверы.
Это предполагает следующие угрозы:●Неавторизованный доступ-нейтрализуется фильтрованием на межсетевых экранах.●Атаки уровня приложений — нейтрализуются сетевой IDS на открытых серверах.●Вирусы и «троянские» программы – нейтрализуются антивирусной проверкой на уровне хоста.●Парольные атаки — нейтрализуются сокращением сервисов, уязвимых для лобовой атаки; обнаружить такую угрозу позволяют ОС и система IDS.●Отказ в обслуживании — нейтрализуется заданием скорости доступа (Committed access rate — CAR)на соединеняхс оператором связи и настройкой контроля соединений TCP на межсетевом экране.●Подмена (спуфинг) адресов IP — ограничивается фильтрованием согласно RFC 2827 и RFC 1918 навыходе провайдера услуг и на локальноммежсетевом экране.●Прослушивание пакетов — ограничиваетсякоммутируемой инфраструктурой и хостовой системой обнаружения вторжений.●Изучение сети — хостовая система обнаружения вторжений обнаруживает попыткиизучения сети; ограничивается фильтрованием протоколов.●Злоупотребление доверием — ограничитьатаки, основанные на доверии, позволяют запретительная модель доверия и частные виртуальные локальные сети.●Перенаправление портов — ограничить этиатаки позволяет запретительное фильтрование и хостовая система обнаружения вторêËÒÛÌÓÍ 63.
éÚ‡ÊÂÌË ۄÓÁ ‚ ÏÓ‰ÛΠàÌÚÂÌÂÚжений.Рекомендации по дизайнуЗдесь представлен законченный детализированный дизайн защиты сети, в котором все сервисы защитыи виртуальных частных сетей (ВЧС) сведены в единый блок. При практическом внедрении возникают двапути реализации этой функциональности. Первый: использовать маршрутизатор с межсетевым экраноми возможности ВЧС. Это дает малой сети наибольшую гибкость, так как маршрутизатор поддерживаетвсе расширенные сервисы (QoS, маршрутизация, многопротокольность), необходимые современной сети.
Второй путь: использовать вместо маршрутизатора выделенный межсетевой экран. На эту реализациюнакладываются некоторые ограничения: во-первых, межсетевые экраны в основном рассчитаны толькона Ethernet, а для поддержки ими протоколов WAN требуются некоторые изменения. В современных условиях большинство кабельных и DSL (digital-subscriber-line) модемов и маршрутизаторов предлагаютсясервис-провайдерами и могут использоваться для подключения к межсетевому экрану по Ethernet. Еслиот устройства требуются интерфейсы подключения к территориальным сетям, то в обязательном порядке используются маршрутизаторы.
Применение выделенного межсетевого экрана упрощает конфигурирование сервисов защиты и повышает эффективность функций самого экрана. С любым выбранным устройством применяется динамическая проверка трафика всех направлений — это гарантирует, что черезмежсетевой экран проходит только разрешенный трафик. В идеале трафик, поступающий на межсетевойэкран, должен предварительно фильтроваться у Интернет-провайдера. Помните, что маршрутизаторы настроены пересылать разрешенный трафик, а межсетевые экраны трафик по умолчанию запрещают.Начиная с выхода оконечного маршрутизатора в сети Интернет-провайдера малозначительный трафикограничивается некоторым пределом по занимаемой полосе пропускания с целью нейтрализовать атакитипа «отказ в обслуживании». Плюс к этому фильтрование по RFC 1918 и RFC 2827 на выходе маршрутизатора Интернет-провайдера нейтрализует подделку исходных адресов локальных сетей и частных адресных пространств.Фильтрование RFC 1918 и RFC 2827 на входе межсетевого экрана в первую очередь выполняется для проверки фильтрования Интернет-провайдера.
По причине особой угрозы, создаваемой фрагментированными пакетами, большинство межсетевых экранов настроены на сброс большинства фрагментированныхпакетов, которые, как правило, невидимы в стандартных типах Интернет-трафика. То, что из-за такогофильтрования будет теряться некоторый разрешенный трафик, считается более приемлемым, чем рискпропустить подобный трафик в сеть. Поступающий извне трафик, предназначенный самому межсетевому экрану, ограничивается протоколом IPSec и протоколами, необходимыми для маршрутизации.Межсетевой экран выполняет принудительное и динамическое фильтрование сессий, инициированныхчерез него.
Общедоступные серверы защищаются от «затоплений» TCP SYN при помощи ограничений ти-51па контроля «наполовину открытых сессий» на межсетевом экране. С точки зрения фильтрования, в дополнение к ограничению трафика публичных сервисов адресов и портов имеет место фильтрование трафика в обратном направлении. Если в ходе атаки один из общедоступных серверов оказывается скомпрометированным, нельзя оставлять возможность использовать его для продолжения атаки на сеть. Для нейтрализации этого типа атак специальное фильтрование отсекает все неавторизованные запросы, генерируемые сервером и адресуемые куда бы то ни было.
Например, необходимо фильтровать web-сервер, чтобы он не генерировал запросы самому себе, но в то же время, чтобы он отвечал на запросы пользователей.Такая настройка не позволяет хакеру после первичной атаки загрузить на сервер собственные утилиты, атакже позволяет остановить сессии, которые хакер переключил в ходе первичной атаки. Атака, котораягенерирует приложение xterm от web-сервера к компьютеру хакера, является примером подобной первичной атаки. Плюс к этому частные виртуальные локальные сети коммутатора демилитаризованной зоны (DMZ) не позволяют атаковать со взломанного сервера другие серверы в том же сегменте.
Межсетевые экраны не всегда могут отследить такой трафик, и этим объясняется важность использования частных виртуальных локальных сетей (PVLAN).С точки зрения хостов, каждый сервер, предлагающий общедоступные сервисы, должен иметь системуобнаружения вторжений для отслеживания подозрительной активности на уровне операционной системы, а также работу обычных серверных приложений (HTTP, FTP, SMTP и проч.).DNS-хост должен быть доступен только для разрешенных команд и отсекать излишние запросы, с помощью которых хакер может изучать сеть.
Сюда же относятся обмены зонной информацией, откуда бы нибыло, кроме вторичных DNS-серверов. Работая с почтовыми сервисами, межсетевой экран фильтруетSMTP-сообщения по Уровню 7, пропуская на почтовый сервер только необходимые команды.Межсетевые экраны и маршрутизаторы с возможностями межсетевых экранов в числе прочих защитныхфункций частично обладают функциональностью сетевых систем обнаружения вторжений. Использование этой функциональности сказывается на производительности устройства, но вместе с этим позволяетлучше наблюдать ведущуюся атаку.Помните, что вы жертвуете производительностью в пользу лучшего наблюдения за атакой.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
