Security (1027395), страница 23

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 23)

Многие изатак можно отразить и без участия систем обнаружения вторжений, но в некоторых случаях такая возможность окажется далеко не лишней. ВЧС подключаются через межсетевые экраны и/или маршрутизаторы. Удаленные сайты аутентифицируют друг друга по предварительно распределенным ключам, а пользователи аутентифицируются сервером контроля доступа, который встроен в кампусный модуль.52АльтернативыУлучшения этого дизайна могут быть направлены на повышение возможностей сети или на разнесениезащитных функций на отдельные устройства. В ходе этих улучшений дизайн малой сети все более и более походит на дизайн сети среднего размера, который обсуждается в этом же документе ниже. Первымшагом при этом должна стать не общая адаптация дизайна, а введение в структуру выделенного концентратора удаленного доступа по VPN, чтобы повысить управляемость сообществом удаленных пользователей.ä‡ÏÔÛÒÌ˚È ÏÓ‰ÛÎ¸В кампусный модуль входят рабочие станции конечных пользователей, корпоративные Интернет-серверы, серверы управления и соответствующая инфраструктура Уровня 2, необходимая для поддержки устройств.

В случае дизайна малой сети функциональность Уровня 2 входит в состав единого коммутатора.Основные устройства●●●●Коммутация Уровня 2 (с поддержкой виртуальных локальных сетей) — обеспечивает сервисы Уровня 2 длярабочих станций пользователей.Корпоративные серверы — обеспечивают сервисыэлектронной почты (SMTP и POP3) для внутреннихпользователей, а также доставку файлов, печать и услуги DNS для рабочих станций.Рабочие станции пользователей — обеспечивают услуги работы с данными для авторизованных пользователей сети.Хост управления — поддерживает системы обнару- êËÒÛÌÓÍ 64. ÑËÁ‡ÈÌ Í‡ÏÔÛÒÌÓ„Ó ÏÓ‰ÛÎfl χÎÓ„Ó Ô‰ÔËflÚËflжения вторжений, syslog, TACACS+/RADIUS и общее управление конфигурацией.Предотвращаемые угрозы●●Прослушивание пакетов — эффективность прослушивания органичивает коммутируемая инфраструктура.Вирусы и «троянские» приложения — антивирусная проверка на хосте предотвращает большинствовирусов и многие «троянские» программы.●●●●Неавторизованный доступ — такой доступ нейтрализуетсяхостовой системой обнаружения вторжений и приложениями контроля доступа.Атаки уровня приложений — операционные системы, устройства и приложения должны использовать все предлагаемые обновления и программные «заплатки», а также должны быть защищены хостовой системой обнаружения вторжений.Злоупотребление доверием — частные виртуальные локальные сети запрещают излишнее взаимодействие хостов внуêËÒÛÌÓÍ 65.

éÚ‡ÊÂÌË ‡Ú‡Í ‚ ͇ÏÔÛÒÌÓÏ ÏÓ‰ÛÎÂтри подсети.Переадресация портов — серверная система обнаружения вторжений запрещает инсталляцию агентов переадресации портов.Рекомендации по дизайнуГлавными функциями кампусного коммутатора являются коммутация рабочего и управляющего трафика, а также обеспечение связи для корпоративных и управляющих серверов и пользователей. На коммутаторе могут использоваться частные виртуальные локальные сети — это позволяет нейтрализовать атаку типа «злоупотребление доверием» между устройствами.

Например, корпоративным пользователямбывает нужно обратиться к корпоративному серверу, но не требуется общаться между собой. Поскольку кампусный коммутатор не содержит сервисов Уровня 3, то надо помнить, что при подобном дизайневозрастает значение защиты приложений и хостов по причине открытости внутренней сети. Поэтому наважнейшие системы кампуса (в том числе на корпоративные серверы и на системы управления) устанавливаются сетевые системы обнаружения вторжений.АльтернативыПовысить общую защищенность позволяет установка небольшого фильтрующего маршрутизатора илимежсетевого экрана между управляющей станцией и остальной сетью. Это разрешит передачу управляющего трафика только в направлении, заданном администратором.

При высоком уровне взаимного доверия внутри сети можно обойтись и без сетевой системы обнаружения вторжений, хотя это не рекомендуется.çÂÁ‡‚ËÒËÏ˚Â Ë ÙËΡθÌ˚ ‡ÎËÁ‡ˆËËДля филиальной реализации не требуется функциональность ВЧС удаленного доступа, поскольку онаобычно предоставляется штаб-квартирой. В дальнейшем управляющие хосты, как правило, будут размещаться в центре, и потребуется возможность обратного отслеживания управляющего трафика по подключению ВЧС к штаб-квартире.ÑËÁ‡ÈÌ ÒÂÚË Ò‰ÌÂ„Ó ‡ÁÏÂ‡Дизайн SAFE средней сети состоит из трех модулей: корпоративного модуля Интернет, кампусного модуля и модуля территориальных сетей. Как и в случае дизайна малой сети, корпоративный модульИнтернет имеет подключение к Интернет и поддерживает со своей стороны ВЧС и трафик общедоступных сервисов (DNS, HTTP, FTP и SMTP).

На этот же модуль выведен трафик входящего дозвона. К кампусному модулю относится инфраструктура коммутации Уровня 2 и Уровня 3, а также корпоративные пользователи, управляющие серверы и интранет-серверы.С точки зрения территориальныхсетей, в рамках этого дизайна существуют два способа подключения удаленных сайтов. Первыйспособ — это подключение по частным каналам, а второй — IPSecВЧС внутри корпоративного Интернет-модуля. Основные вопросы, связанные с этим дизайном,относятся к работе сети головногоофиса корпорации, а также к специфическим изменениям в случаеиспользования в качестве сетифилиала.êËÒÛÌÓÍ 66. ÑËÁ‡ÈÌ ÒÂÚË Ò‰ÌÂ„Ó Ô‰ÔËflÚËfl53äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚЗадача корпоративного модуля Интернет–предоставить внутренним пользователямдоступ к услугам Интернет, а пользователям внешним обеспечить доступ к информации на общедоступных серверах (HTTP,FTP, SMTP и DNS).

Кроме этого, модульподдерживает трафик ВЧС от удаленныхсерверов и пользователей, а также трафикобычных пользователей, подключающихсяпри помощи дозвона. Корпоративныймодуль Интернет не предназначен для поддержки приложений электронной коммерции.êËÒÛÌÓÍ 67. ÑËÁ‡ÈÌ ÏÓ‰ÛÎfl àÌÚÂÌÂÚОсновные устройства●●●●●●●●54●Сервер дозвона (удаленного доступа) — аутентифицирует отдельных пользователей и поддерживаетих аналоговые подключения.Сервер DNS — служит авторизованным внешним сервером DNS для средней сети; передает внутренние запросы в Интернет.Сервер FTP/http — предоставляет открытую информацию предприятия.Межсетевой экран — обеспечивает защиту ресурсов на сетевом уровне и динамическое фильтрование трафика; поддерживает дифференцированную защиту удаленных пользователей; проводит аутентификацию удаленных сайтов и поддерживает подключения по туннелям IPSec.Коммутатор Уровня 2 (с поддержкой частных виртуальных локальных сетей) — обеспечивает подключение устройств по Уровню 2.Применение сетевых систем обнаружения вторжений — обеспечивает наблюдение по Уровням 4 – 7за важнейшими сегментами сети.Сервер SMTP — выполняет промежуточную роль между внутренними почтовыми серверами и Интернет; контролирует пересылаемое содержание.Концентратор ВЧС — аутентифицирует отдельных удаленных пользователей и со своей стороны поддерживает с ними туннели IPSec.Оконечный маршрутизатор — обеспечивает базовое фильтрование и подключение к Интернет поУровню 3.Предотвращаемые угрозыВ рамках этого модуля наиболее вероятными объектами атаки являются открытые и общедоступные серверы.

Ниже приведены предполагаемые угрозы:●Неавторизованный доступ — нейтрализуется фильтрованием у Интернет-провайдера, на оконечноммаршрутизаторе и корпоративном межсетевом экране.●Атаки уровня приложений — нейтрализуются системой обнаружения вторжений в сетевом и хостовом вариантах.●Вирусы и «троянские» атаки — нейтрализуются фильтрованием электронной почты, сетевой системой обнаружения вторжений и антивирусным сканированием хостов.●Атаки на пароли — сокращаются путем уменьшения сервисов, уязвимыхдля прямого перебора.

Эту угрозупозволяют отследить операционнаясистема и системы обнаружениявторжений.●Отказ в обслуживании — управление полосой пропускания на стороне Интернет-провайдера и контрольсоединений TCP на межсетевом экране.●Подмена адресов IP (spoofing) — нейтрализуется фильтрованием согласно RFC 2827 и RFC 1918 на выходе отИнтернет-провайдера и на оконечном маршрутизаторе сети среднейвеличины.êËÒÛÌÓÍ 68. éÚ‡ÊÂÌË ‡Ú‡Í ‚ ÏÓ‰ÛΠàÌÚÂÌÂÚ●●●●Прослушиватели пакетов — эта угроза снижается благодаря коммутируемой инфраструктуре и хостовым системам обнаружения вторжений.Изучение сети — система обнаружения вторжений распознает попытку изучения, а фильтрованиепротоколов снижает ее эффективность.Злоупотребление доверием — запретительная модель доверия и частные виртуальные локальные сети для ограничения атак на основе доверия.Переадресация портов — запретительное фильтрование и хостовая система обнаружения вторжений, ограничивающая атаки.В этом модуле объектами атак являются также сервисы удаленного доступа и сети ВЧС между сайтами.Для этих объектов существуют следующие угрозы:●Раскрытие топологии сети — списки контроля доступа (Access control lists — ACLs) на входном маршрутизаторе ограничивают доступ из Интернет к VPN-концентратору, межсетевому экрану (когдаони используются для поддержки со своей стороны IPSec-туннелей к удаленным сайтам), к InternetKey Exchange (IKE) и Encapsulating Security Payload (ESP).●Атаки на пароли — атаки методом перебора нейтрализуют одноразовые пароли.●Неавторизованный доступ — трафик от неавторизованных портов после расшифровки пакетов запрещают сервисы межсетевого экрана.●Атаки «посредника» — такие атаки нейтрализуются шифрованием удаленного трафика.●Прослушивание пакетов — эффективность прослушивания ограничивается коммутируемой инфраструктурой.Рекомендации по дизайнуВ этом разделе подробно описываются функции устройств, входящих в корпоративный модульИнтернет.Маршрутизатор Интернет-провайдераВажнейшей задачей оконечного маршрутизатора у Интернет-провайдера является обеспечение связи пользователейс сетью Интернет.

На выходе маршрутизатора задаются некоторые пределы, которые ограничивают некритичный исходящий трафик, превышающий заданный порог, что позволяет нейтрализовать атаки DDoS. Организованное на выходе маршрутизатора Интернет-провайдера фильтрование нейтрализует подделки адресов локальной сети и частныхадресных пространств.Оконечный маршрутизаторФункции оконечного маршрутизатора в средней сети заключаются в том, чтобы разграничивать сеть Интернет-провайдера и сеть предприятия. Базовое фильтрование на входе оконечного маршрутизатора ограничивает доступ, пропуская только разрешенный IP-трафик и блокируя большинство известных атак. Здесь же в качестве проверки проводится фильтрование по RFC 1918 и RFC 2827. В дополнение к этому маршрутизатор конфигурируется на сброс фрагментированных пакетов, которые в обычных типах Интернет-трафика не видны, а для защиты сети являются серьезной опасностью.

Эта опасность настолько велика, что считается допустимым терять из-за такого фильтрования дажечасть разрешенного трафика. Наконец, маршрутизатор пересылает любой IPSec-трафик, предназначенный для концентратора ВЧС или межсетевого экрана. Поскольку для ВЧС удаленного доступа IP-адрес удаленной системы не разглашается, то фильтруется трафик только отвечающего хоста (концентратора ВЧС), к которому обращается удаленный пользователь. При ВЧС-подключении «сайт с сайтом» IP-адрес удаленного сайта, как правило, известен, и поэтому фильтровать трафик можно в обоих направлениях.Межсетевой экранГлавная задача межсетевого экрана — выполнять принудительное и подробное фильтрование инициированных через него сессий связи.

Характеристики

Список файлов лекций