Security (1027395), страница 25
Текст из файла (страница 25)
éÚ‡ÊÂÌË ‡Ú‡Í ‚ ͇ÏÔÛÒÌÓÏ ÏÓ‰ÛÎÂиспользованием предлагаемых производителемобновлений и программных «заплаток» для операционных систем, приложений.Подмена адресов IP (spoofing) — нейтрализуется фильтрованием по RFC 2827, которое предотвращает такую возможность.Злоупотребление доверием — частные виртуальные локальные сети запрещают хостам одной подсети обращаться друг к другу без необходимости.Переадресация портов — сетевая система обнаружения вторжений предотвращает инсталляциюагентов переадресации портов.57Рекомендации по дизайнуВ этом разделе подробно описываются функции устройств, входящих в кампусный модуль.Главный коммутаторОсновной функцией главного коммутатора является маршрутизация и коммутация рабочего и управляющего трафика, распределение сервисов разных уровней (маршрутизация, QoS и контроль доступа) для прочих коммутаторов сети здания, подключение к корпоративным серверам и серверам управления, а также расширенные сервисы, например фильтрование трафика между подсетями.
Вместо коммутатора Уровня 2 выбран коммутатор Уровня 3 — это сделано для того, чтобы предоставить сегменту (или сегментам) корпоративных серверов, сегменту управляющих серверов, сегменту (или сегментам) корпоративных пользователей отдельные виртуальные локальные сети, а также чтобыобеспечить подключение к модулю территориальных сетей и к модулю корпоративных пользователей. КоммутаторУровня 3 обеспечивает рубеж защиты и против атак, исходящих изнутри. Он запрещает департаменту доступ к конфиденциальной информации на сервере другого департамента, применяя для этого средства контроля доступа.
Например, в сети предприятия существуют департамент маркетинга и департамент разработки и исследований; в этомслучае сервер разработки и исследований выделяется в отдельную виртуальную локальную сеть, доступ к нему фильтруется, и это гарантирует его доступность только для сотрудников департамента разработки и исследований.
По соображениям производительности важно, чтобы контроль доступа в данном случае был реализован на аппаратнойплатформе, которая способна фильтровать трафик со скоростью, близкой к скорости канала.Такая организация сети диктует использование коммутации Уровня 3 в противоположность более традиционным выделенным устройствам маршрутизации.
Подобный контроль доступа также позволяет предотвратить локальную подделку исходных адресов с помощью фильтрования по RFC 2827 — оно должно присутствовать в виртуальных локальных сетях корпоративных пользователей и корпоративных интранет-серверов.Например, серверам в сегменте корпоративных серверов бывает необязательно связываться между собой, а только сустройствами, которые подключены к сегменту.Чтобы организовать следующий рубеж защиты для серверов управления, на интерфейсе виртуальной локальной сети, исходящей к сегменту корпоративных серверов, настраивается экстенсивное фильтрование Уровня 3 и Уровня 4.Фильтр ограничивает подключения управляющих серверов, а также подключения к ним самим, разрешая это толькоконтролируемым ими устройствам (по IP-адресу) и только по разрешенным протоколам.
Сюда же входит контроль доступа для управляющего трафика, предназначенного устройствам на удаленных сайтах.Этот трафик шифруется межсетевым экраном и отсылается удаленным сайтам. Доступ к управляемым устройствам идалее контролируется тем, что разрешается только одно обратное подключение через список доступа (фильтр — ACL).Вторичные коммутаторы в сети здания58Главной задачей вторичных коммутаторов кампусного модуля является обеспечение сервисов Уровня 2 для рабочихстанций корпоративных пользователей.
Реализуемые на этих коммутаторах частные виртуальные локальные сетинейтрализуют атаки злоупотребления доверием, так как персональным рабочим станциям не требуется подключаться друг другу. В дополнение к принципам сетевой защиты, которые описываются как аксиомы защиты коммутаторов,на уровне рабочих станций организуется антивирусное сканирование.Обнаружение вторженийК кампусному модулю также относится сетевая система обнаружения вторжений.
Подключенный к устройству системы обнаружения вторжений порт коммутатора конфигурируется таким образом, чтобы со всех виртуальных локальных сетей трафик, который необходимо наблюдать, зеркалировался бы на наблюдающий порт устройства. В этомместе обнаруживается очень немного атак, поскольку это устройство отслеживает те атаки, которые исходят из самого кампусного модуля. Например, когда рабочая станция пользователя взламывается через неопознанное модемноеподключение, система обнаружения вторжений обнаруживает подозрительную активность, исходящую из этого места.
Источниками других атак могут быть недовольные сотрудники, посторонние лица, воспользовавшиеся авторизованной в сети рабочей станцией в отсутствие ее пользователя, «троянские» приложения, случайно загруженные намобильный компьютер, и проч. На каждом управляющем и корпоративном интранет-сервере плюс к этому устанавливается хостовая система обнаружения вторжений.АльтернативыЕсли сеть среднего размера относительно мала, то можно обойтись без вторичных коммутаторов, а ихфункции передать главному коммутатору.
В этом случае рабочие станции конечных пользователей подключаются непосредственно к главному коммутатору, а для нейтрализации атак злоупотребления доверием на нем реализуется функциональность частных виртуальных локальных сетей.Если требования к производительности внутренней сети невысоки, то вместо высокопроизводительногокоммутатора Уровня 3 можно использовать отдельный маршрутизатор и коммутатор Уровня 2.При желании отдельное устройство сетевой системы обнаружения вторжений можно заменить интегрированным модулем, который встраивается в главный коммутатор.
Это обеспечивает ускоренную обработку трафика модулем системы обнаружения вторжений, поскольку в этом случае модуль с коммутатором объединен, а не ограничен скоростью порта подключения 10/100-Mбит Ethernet. Для контроля трафика, передаваемого модулю системы обнаружения вторжений можно, использовать ACL.åÓ‰Ûθ ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈЭтот модуль возникает только при необходимости подключения к удаленным сайтам по частнойсети. Такая необходимость может возникнуть вêËÒÛÌÓÍ 71. ÑËÁ‡ÈÌ ÏÓ‰ÛÎfl ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈтом случае, когда требования к качеству сервиса (QoS) уже не могут быть удовлетворены с помощьюIPSec ВЧС или когда используются морально устаревшие подключения, а переход на IPSec не предполагается.Основные устройства●Маршрутизатор IOS – обеспечивает маршрутизацию, контроль доступа и механизм QoS для удаленных подключенийПредотвращаемые угрозы●●Подмена адресов IP (spoofing) – нейтрализуется фильтрованием по Уровню 3Неавторизованный доступ – простой контроль доступа позволяет ограничить филиалам типы протоколов, к которым они имеютдоступ.êËÒÛÌÓÍ 72.
éÚ‡ÊÂÌË ‡Ú‡Í ‚ ÚÂËÚÓˇθÌÓÏ ÏÓ‰ÛÎÂРекомендации по дизайнуСтепень защищенности модуля WAN зависит от уровня доверия к удаленным сайтам, а также от Интернет-провайдера, предоставляющего связь. Защита обеспечивается средствами IOS. При этом дизайнеприложенные к последовательному интерфейсу списки доступа на вход используются для блокированияпопыток доступа в сеть любого нежелательного трафика. Будучи приложенными к Ethernet-интерфейсу,списки доступа на вход позволяют ограничивать трафик, направляемый из сети на удаленные сайты.АльтернативыНекоторые предприятия, трепетно следящие за приватностью информации, шифруют трафик в классических каналах территориальных сетей. Аналогично междусайтовым ВЧС такой же уровень защиты данных дает IPSec.
Плюс к этому маршрутизатор, выполняя дополнительную роль межсетевого экрана в территориальной сети, обеспечивает больший набор функций контроля доступа по сравнению с классическими списками доступа (ACL), применяемыми в дизайне SAFE.ëÂÚ¸ ÙËΡ·При конфигурации для филиала некоторые элементы дизайна среднего размера могут быть удалены.
Вопервых, надо выяснить, как предприятие собирается подключаться к корпоративной штаб-квартире: почастному каналу или по IPSec VPN.В пользу частного канала говорит более детализированная поддержка QoS, устойчивость сетевой инфраструктуры, поддержка многоадресной рассылки (multicast), требования к иному, чем IP, трафику.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
