Security (1027395), страница 24
Текст из файла (страница 24)
Кроме этого, межсетевой экран работает как конечная точка для IPSec туннелей для управляющего и рабочего трафика удаленного сайта. В межсетевом экране различаются несколько сегментов. Во-первых, сегмент общедоступных сервисов, к которому относятся все общедоступные хосты. Второй сегмент — ВЧС удаленногодоступа и дозвон — описан ниже. Общедоступные серверы в какой-то мере защищены от «затоплений» TCP SYN припомощи контроля «наполовину открытых соединений» на межсетевом экране.
С точки зрения фильтрования в дополнение к ограничению трафика по адресам и портам в сегменте общедоступных сервисов используется также фильтрование в противоположном направлении. Если в ходе атаки взламывается один из общедоступных серверов, этотхост невозможно использовать как плацдарм для атаки других хостов сети.Нейтрализовать этот тип атак позволяет специальное фильтрование неавторизованных запросов, генерируемых общедоступными серверами и направляемых на какой-либо еще адрес.
Например, фильтрование web-сервера ведетсятак, что сам web-сервер не может генерировать запросы, а может только отвечать на запросы клиентов. Это предотвращает хакеру возможность загрузить на взломанный в ходе первичной атаки web-сервер собственные утилиты.Также это запрещает хакеру переключать в ходе первичной атаки некоторые сессии. В дополнение к этому атаковатьдругие серверы в своем сегменте не позволяют частные виртуальные локальные сети. Такой трафик не всегда отслеживается межсетевым экраном, и поэтому частные виртуальные локальные сети являются весьма важным элементом.Обнаружение вторженийК сегменту общедоступных сервисов относится и работа сетевой системы обнаружения вторжений, основной задачей которой является отслеживание атак по портам, которые указаны на межсетевом экране как разрешенные.
Сетевая система обнаружения вторжений в сегменте общедоступных сервисов должна реализовывать запретительнуюполитику, поскольку межсетевой экран в некоторых случаях оказывается бессилен. Плюс к этому каждый сервер дол-55жен иметь собственную систему обнаружения вторжений. Основной задачей хостовой системы обнаружения вторжений является отслеживание вредоносной активности на уровне операционной системы, а также на уровне серверных приложений (HTTP, FTP, SMTP и т.
д.). DNS должен откликаться исключительно на разрешенные команды и недопускать никаких второстепенных откликов, которые могут помочь хакеру в изучении сети. Сюда относится запрещение межзональных пересылок (zone transfers) откуда бы ни было, кроме разрешенных вторичных серверов DNS.Сервер SMTP имеет сервисы проверки электронных сообщений, нейтрализующие вирусы и «троянские» атаки навнутреннюю сеть, которые обычно поступают по электронной почте.
Межсетевой экран фильтрует SMTP-сообщенияна Уровне 7, разрешая только необходимые команды для почтового сервера.Размещение сетевой системы обнаружения вторжений между частным интерфейсом межсетевого экрана и внутренним маршрутизатором обеспечивает окончательный анализ атак.В этом сегменте могут обнаруживаться всего лишь несколько типов атак, поскольку внутрь пропускаются только отклики на инициированные запросы, некоторые выбранные порты сервисов общедоступного сегмента и трафик сегмента удаленного доступа. Здесь будут обнаруживаться только сложные атаки, которые подразумевают, что системав сегменте общедоступных сервисов взломана и хакер пытается реализовать этот плацдарм для нападения на внутреннюю сеть.
Например, когда взломан общедоступный сервер SMTP, хакер может попытаться взломать внутренний почтовый сервер по порту 25 TCP, который предназначен для передачи электронных сообщений между двумя хостами.Если атака обнаруживается именно в этом сегменте, то реакция на нее должна быть более жесткой, так как это означает, что взлом уже произошел.
Внимательно рассмотрите применение TCP-сбросов и блокирование, вплоть до обрыва атак, подобных вышеназванной атаке по SMTP.ВЧС удаленного доступаВажнейшая функция концентратора ВЧС удаленного доступа заключается в обеспечении защищенных подключенийк сети среднего размера удаленных пользователей. Перед тем как разрешить пользователю подключение, концентратор ВЧС инициирует сессию связи с сервером контроля доступа во внутренней сети, а сервер контроля доступа всвою очередь запрашивает систему одноразового пароля провести аутентификацию электронных идентификаторовпользователя.
Благодаря пересылке политик IPSec между концентратором и клиентом пользователям запрещается запускать раздельное туннелирование (split tunneling), и они выходят в сеть только через корпоративное подключение.Для шифрования в протоколе IPSec используется алгоритм TripleDES или AES и алгоритм secure hash algorithm / hashbased message authentication code (SHA/HMAC) для проверки целостности данных.
После туннеля трафик ВЧС проходит через межсетевой экран, гарантируя этим надежную фильтрацию пользователей. Такая организация также допускает блокирование атак на межсетевом экране системой обнаружения вторжений. Этот сценарий отличается отбольшинства прочих сценариев, в которых межсетевой экран размещается перед устройством ВЧС. При размещенииперед устройством ВЧС межсетевой экран «не видит» типы трафика пользователей, так как весь трафик на этом этапе зашифрован.56Пользователи, подключающиеся по телефонным линиямСеансы пользователей, которые связываются с сетью, дозваниваясь по телефонным линиям, осуществляются черезмаршрутизатор дозвона со встроенными модемами.
После того как подключение по Уровню 2 между пользователем исервером установлено, проводится аутентификация пользователя по протоколу Challenge Handshake AuthenticationProtocol (CHAP). Как и в случае с сервисом удаленного доступа ВЧС, для аутентификации используется сервер ААА(authentication, authorization and accounting).
Аутентифицированные пользователи получают IP-адреса в адресномпространстве.Коммутаторы Уровня 2Важнейшей функцией коммутаторов в рамках корпоративного Интернет-модуля является обеспечение связей междуразличными устройствами, входящими в этот модуль. Для обеспечения физического разделения внешнего сегмента,сегмента общедоступных сервисов, сегмента ВЧС и внутреннего сегмента применяется несколько коммутаторов, а неодин коммутатор с множеством виртуальных локальных сетей.
Такая организация нейтрализует возможность изменения конфигурации коммутатора, которая может привести к взлому защиты.Внутренний маршрутизаторВажнейшей функцией внутреннего маршрутизатора является разделение по Уровню 3 и маршрутизация между корпоративным Интернет-модулем и кампусным модулем. Это устройство работает исключительно как маршрутизаторбез каких-то списков доступа, запрещающих трафик по какому-либо интерфейсу.Поскольку сведения о маршрутизации могут использоваться для проведения атаки DoS, то должна использоватьсяаутентификация маршрутной информации, чтобы нейтрализовать возможность такой атаки.
Этот маршрутизатор является границей между маршрутизируемой внутренней сетью и внешним миром. Так как большинство межсетевыхэкранов конфигурируется без протоколов маршрутизации, внутри корпоративного Интернет-модуля необходимообеспечить такую точку маршрутизации, которая не зависела бы от остальной сети.АльтернативыДля этого модуля допустимы два разных дизайна. Вместо внедрения базового фильтрования на оконечном маршрутизаторе администратор может применить на этом устройстве динамическое фильтрование.Наличие двух динамических межсетевых экранов обеспечивает большую защиту модуля при эшелонированном подходе. В зависимости от взгляда администратора на вероятность атак, перед межсетевым экраном, возможно, потребуется сетевая система обнаружения вторжений.
Кроме базовых функций фильтрования система обнаружения вторжений, будучи вынесена за межсетевой экран, обеспечивает важные сведения при возникновении тревог; в ином случае эта информация просто теряется. Поскольку количество возникающих в этом сегменте тревог достаточно велико, реагирование на возникающие здесьтревоги может быть менее жестким, чем на тревоги, источники которых находятся за межсетевым экра-ном. Также предусмотрите отдельную управляющую станцию для регистрации тревог, поступающих изэтого сегмента, чтобы каждой группе тревог уделялось необходимое внимание. Предлагаемое системойобнаружения вторжений наблюдение за пределами межсетевого экрана улучшает оценку атак, а плюс кэтому позволяет оценить эффективность фильтров Интернет-провайдера и оконечных фильтров предприятия.Существуют и две другие возможности.
Первая — удаление маршрутизатора, расположенного междумежсетевым экраном и кампусным модулем. Несмотря на то, что его функции могут быть переданы коммутатору кампусного модуля Уровня 3, такое изменение сделает невозможным работу корпоративногоИнтернет-модуля из другой части сети без обращения к сервисам Уровня 3.Вторая возможность — организация проверки контента помимо проверки электронной почты. Например, в общедоступный сегмент можно вынести сервер проверки адресов URL, будет проверять страницы, к которым обращаются сотрудники.ä‡ÏÔÛÒÌ˚È ÏÓ‰ÛÎ¸К кампусному модулю относятся рабочие станции конечных пользователей, корпоративные интранет-серверы,серверы управления, а также инфраструктура Уровня 2 иУровня 3, необходимая для поддержки устройств.Основные устройства●●●●●●●●●●●Коммутатор Уровня 3 — маршрутизирует и коммутирует рабочий и управляющий трафик внутри кампусногомодуля, предоставляет сервисы уровня распределениявстраиваемым коммутаторам, предлагает расширенныеêËÒÛÌÓÍ 69.
ÑËÁ‡ÈÌ Í‡ÏÔÛÒÌÓ„Ó ÏÓ‰ÛÎflсервисы, как например фильтрование трафика.Коммутаторы Уровня 2 (с поддержкой виртуальных локальных сетей) — обеспечивают рабочим станциям пользователей сервисы Уровня 2.Корпоративные серверы — поддерживают для внутренних пользователей сервисы электронной почты (SMTP и POP3), а также сервисы доставки файлов, печати и DNS для рабочих станций.Рабочие станции пользователей — предоставляют авторизованным пользователям сети сервисыУправляющий хост SNMP — выполняет управление устройствами по протоколу SNMP.Консоль системы обнаружения вторженй — собирает сведения о тревогах с установленных в сети устройств системы обнаружения вторжений.Хост(ы) Syslog — собирают журнальную информацию о межсетевых экранах и хостах NIDS.Сервер контроля доступа — поддерживает сервисы аутентификации для сетевых устройств.Сервер одноразовых паролей (One-time Password — OTP) — авторизует по одноразовому паролю информацию, поступающую от сервера контроля доступа.Хост администратора сети — поддерживает изменения конфигурации, программного обеспечения иконтента устройств.Устройство сетевой системы обнаружения вторжений – наблюдает по Уровням 4-7 за важнейшимисетевыми сегментами модуля.Предотвращаемые угрозы●●●●●●●●Прослушиватели пакетов — эта угроза снижаетсяблагодаря коммутируемой инфраструктуре.Вирусы и «троянские» атаки — нейтрализуютсяантивирусным сканированием хостов.Неавторизованный доступ — нейтрализуется обнаружением вторжений на хост и контролем доступа.Атаки на пароли — нейтрализуются тем, что сервер контроля доступа поддерживает жесткуюдвухфакторную аутентификацию для важнейшихприложений.Атаки уровня приложений — нейтрализуются сетевой системой обнаружения вторжений, а такжеêËÒÛÌÓÍ 70.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
