Security (1027395), страница 27
Текст из файла (страница 27)
Если же разделение туннелей выключено, все подключения к Интернет должны в обязательном порядке осуществляться через штаб-квартиру. Это частично смягчает требования к персональным межсетевым экранам на конечных системах.Применение аппаратного клиента имеет два основных преимущества. Во-первых, как и в случае с программным клиентом ВЧС, доступ и авторизация в корпоративную сеть и в Интернет контролируются централизованно из штабквартиры. Конфигурирование и защищенное управление аппаратным клиентом выполняются с центрального сайтапо SSL-подключению, и потому конечному пользователю не нужно заниматься этим самостоятельно. Во-вторых, приаппаратном клиенте не нужно использовать программный клиент ВЧС, чтобы получить доступ к корпоративным ресурсам.
Аутентификацию пользователя при подключении к корпоративной сети аппаратный VPN-клиент не поддерживает. Вместо этого взаимную аутентификацию проводят аппаратный клиент ВЧС и центральный концентратор.Маршрутизатор на удаленном сайтеВариант маршрутизатора на удаленном сайте во многом аналогичен варианту с межсетевым экраном, но имеет и некоторые отличия.Когда маршрутизатор установлен после специального устройства широкополосного доступа, единственным отличиемявляется то, что маршрутизатор может поддерживать такие расширенные приложения, как QoS, маршрутизация и дополнительная инкапсуляция.
Если при этом маршрутизатор имеет встроенные функции поддержки широкополосного доступа, то специальное устройство становится ненужным. В этом варианте подразумевается, что Интернет-провайдер позволяет вам управлять маршрутизатором доступа самостоятельно, что не всегда возможно.ëÚ‡Ú„ËË ÏË„‡ˆËËSAFE представляет собой руководство по внедрению систем безопасности в корпоративных сетях.
Этоне идеальная политика безопасности, годная для любой корпоративной сети, и не идеальный дизайн, гарантирующий полную безопасность всех существующих сетей. Это лишь шаблон, позволяющий инженерам проектировать и развертывать корпоративные сети с учетом требований безопасности.62Первым шагом на пути к безопасной инфраструктуре является разработка политики безопасности. Базовые рекомендации к политике безопасности можно найти в конце этого документа в Приложении В«Основы сетевой безопасности». После разработки стратегии проектировщик должен рассмотреть аксиомы безопасности, описанные в первом разделе настоящего документа, и определить, каким образомреализовать политику безопасности в существующей сетевой инфраструктуре.Наша архитектура является достаточно гибкой, а вопросы дизайна описаны достаточно подробно, чтопозволяет адаптировать элементы архитектуры SAFE к большинству корпоративных сетей.
К примеру,в модуле ВЧС/удаленного доступа различным потокам трафика, поступающего из сетей общего пользования, соответствует своя пара терминирующих устройств и отдельный интерфейс межсетевого экрана. С другой стороны, весь трафик ВЧС можно сконцентрировать на одной паре устройств, если это допускают параметры нагрузки и если для обоих типов трафика действует единая политика безопасности. В другой сети пользователи с традиционным модемным доступом и пользователи ВЧС с удаленнымдоступом могут беспрепятственно входить в сеть, поскольку система безопасности в достаточной степени доверяет механизмам аутентификации, допускающим подключение только санкционированныхпользователей.SAFE позволяет проектировщику решать проблемы безопасности отдельно для каждой сетевой функции. Каждый модуль, как правило, является самодостаточным и исходит из того, что любой другой подключаемый к нему модуль имеет только базовые средства защиты.
Это позволяет инженерам использовать поэтапный подход к проектированию безопасности корпоративной сети. Они могут повысить степень защиты наиболее важных сетевых функций, подчинив их определенной политике безопасности ине меняя при этом архитектуру всей остальной сети. Исключением является модуль управления. В ходепервоначального развертывания архитектуры SAFE модуль управления должен устанавливаться одновременно с первым модулем, а затем последовательно подключаться ко всем остальным модулям по мере их установки.Настоящая первая версия архитектуры SAFE предназначена для решения вопросов безопасности корпоративной сети общего характера. Авторы вполне отдают себе отчет в том, что существует множество областей, требующих более детальной проработки, изучения и совершенствования.
Вот лишь некоторые из них:●глубокий анализ управления безопасностью и внедрения систем безопасности;●специализированная информация по проектированию малых сетей;●глубокий анализ систем аутентификации, услуг директорий, технологий ААА (аутентификации, авторизации и учета) и выдачи сертификатов (certificate authority);●масштабируемые версии центральной части ВЧС и проектирование территориальных сетей (WAN).èËÎÓÊÂÌË Ä. éˆÂÌӘ̇fl ··Ó‡ÚÓËflВ лабораторных условиях была создана типовая реализация архитектуры SAFE, которая служит дляоценки функциональности, описанной в настоящем документе. В данном приложении детально описываются конфигурации конкретных устройств каждого модуля и приводятся общие указания по конфигурированию устройств.
Ниже следуют примеры конфигураций, снятые с реальных устройств, установленных в лаборатории. Авторы не рекомендуют слепо копировать эти настройки на устройства, установленные в производственной сети.鷢ˠÛ͇Á‡ÌËfl凯ÛÚËÁ‡ÚÓ˚Вот базовые опции конфигурации, реализованные почти на всех маршрутизаторах в лаборатории SAFE.! turn off unnecessary services!no ip domain-lookupno cdp runno ip http serverno ip source-routeno service fingerno ip bootp serverno service udp-small-sno service tcp-small-s!!turn on logging and snmp!service timestamp log datetime localtimelogging 192.168.253.56logging 192.168.253.51snmp-server community Txo~QbW3XM ro 98!!set passwords and access restrictions!service password-encryptionenable secret %Z<)|z9~zqno enable passwordno access-list 99access-list 99 permit 192.168.253.0 0.0.0.255access-list 99 deny any logno access-list 98access-list 98 permit host 192.168.253.51access-list 98 deny any logline vty 0 4access-class 99 inloginpassword 0 X)[^j+#T98exec-timeout 2 0line con 0loginpassword 0 X)[^j+#T98exec-timeout 2 0line aux 0transport input nonepassword 0 X)[^j+#T98no execexitbanner motd #This is a private system operated for and by Cisco VSEC BU.Authorization from Cisco VSEC management is required to use this system.Use by unauthorized persons is prohibited.#!!Turn on NTP!clock timezone PST -8clock summer-time PST recurringntp authenticatentp authentication-key 1 md5 -UN&/6[oh6ntp trusted-key 1ntp access-group peer 96ntp server 192.168.254.57 key 1access-l 96 permit host 192.168.254.5763access-l 96 deny any log!!Turn on AAA!aaa new-modelaaa authentication login default tacacs+aaa authentication login no_tacacs lineaaa authorization exec tacacs+aaa authorization network tacacs+aaa accounting network start-stop tacacs+aaa accounting exec start-stop tacacs+tacacs-server host 192.168.253.54 singletacacs-server key SJj)j~t]6line con 0login authentication no_tacacsСледующая ниже конфигурация определяет параметры аутентификации OSPF и фильтрации для всехмаршрутизаторов OSPF в сети.
Заметим, что аутентификация MD5 и списки распределения не анонсируют сеть, используемую для управления (OOB).interface Vlan13ip address 10.1.13.3 255.255.255.0ip ospf authentication message-digestip ospf message-digest-key 1 md5 7 024D105641521F0A7Eip ospf priority 3!router ospf 1area 0 authentication message-digestnetwork 10.1.0.0 0.0.255.255 area 0distribute-list 1 outdistribute-list 1 in!access-list 1 deny 192.168.0.0 0.0.255.255access-list 1 permit anyСледующий пример конфигурации определяет параметры контроля доступа на всех интерфейсах сетиуправления по всей сети. Заметим, что это делается в дополнение к частным сетям VLAN, блокирующимдоступ к управляемым IP-адресам хостов.64interface FastEthernet1/0ip address 192.168.254.15 255.255.255.0ip access-group 101 inip access-group 102 outno cdp enable!access-list 101 permit icmp any anyaccess-list 101 permit tcp 192.168.253.0 0.0.0.255 host 192.168.254.15 establishedaccess-list 101 permit udp 192.168.253.0 0.0.0.255 host 192.168.254.15 gt 1023access-list 101 permit tcp 192.168.253.0 0.0.0.255 host 192.168.254.15 eq telnetaccess-list 101 permit udp host 192.168.253.51 host 192.168.254.15 eq snmpaccess-list 101 permit udp host 192.168.253.53 host 192.168.254.15 eq tftpaccess-list 101 permit udp host 192.168.254.57 host 192.168.254.15 eq ntpaccess-list 101 deny ip any any logaccess-list 102 deny ip any any logäÓÏÏÛÚ‡ÚÓ˚Ниже следует базовая конфигурация безопасности, установленная почти на всех коммутаторах CAT OSв лаборатории SAFE.
Коммутаторы IOS используют конфигурацию, практически идентичную конфигурациям маршрутизаторов.!!Turn on NTP!set timezone PST -8set summertime PSTset summertime recurringset ntp authentication enableset ntp key 1 trusted md5 -UN&/6[oh6set ntp server 192.168.254.57 key 1set ntp client enable!! turn off un-needed services!set cdp disableset ip http server disable!!turn on logging and snmp!set logging server 192.168.253.56set logging server 192.168.253.51set logging timestamp enableset snmp community read-only Txo~QbW3XMset ip permit enable snmpset ip permit 192.168.253.51 snmp!!Turn on AAA!set tacacs server 192.168.253.54 primaryset tacacs key SJj)j~t]6set authentication login tacacs enable telnetset authentication login local disable telnetset authorization exec enable tacacs+ deny telnetset accounting exec enable start-stop tacacs+set accounting connect enable start-stop tacacs+!!set passwords and access restrictions!set banner motd <c>This is a private system operated for and by Cisco VSEC BU.Authorization from Cisco VSEC management is required to use this system.Use by unauthorized persons is prohibited.<c>!console password is set by ‘set password’!enter old password followed by new password!console password = X)[^j+#T98!!enable password is set by ‘set enable’!enter old password followed by new password!enable password = %Z<)|z9~zq!!the following password configuration only works the first time!set passwordX)[^j+#T98X)[^j+#T98set enablecisco%Z<)|z9~zq%Z<)|z9~zq!!the above password configuration only works the first time!set logout 2set ip permit enable telnetset ip permit 192.168.253.0 255.255.255.0 telnetïÓÒÚ˚На хостах используются самые свежие коррекционные модули (патчи).
Кроме того, используются средства HIDS (приложение ClickNet Entercept). Более подробную информацию можно получить на сайтеhttp://www.clicknet.comëÂÚ¸ ÍÛÔÌÓ„Ó Ô‰ÔËflÚËflåÓ‰Ûθ ÛÔ‡‚ÎÂÌËflИспользуемые продукты●●●●●●●●●●Коммутаторы Уровня 2 Cisco Catalyst 3500XL(все — в качестве коммутаторов)Маршрутизатор Cisco 3640 IOS с функциями межсетевого экрана (eIOS-21)Маршрутизатор Cisco 2511 IOS (терминальныесерверы)Сенсор обнаружения атак Cisco SecureIntrusionDetection System (CSIDS)Сервер RSA SecureID OTP ServerСервер безопасного доступа Cisco Secure AccessControl ServerCisco Works 2000Cisco Secure Policy ManagerСредство анализа netForensics syslog analysis toolСистема обнаружения атак на уровне хостовCiscoSecure Host IDSêËÒÛÌÓÍ 75.
åÓ‰Ûθ ÛÔ‡‚ÎÂÌËfl65EIOS-21Ниже следуют параметры межсетевых экранов IOS Firewall, устанавливаемые по умолчанию:ipipipipipipipipipipipipipipipipipipinspect audit-trailinspect max-incomplete low 150inspect max-incomplete high 250inspect one-minute low 100inspect one-minute high 200inspect udp idle-time 20inspect dns-timeout 3inspect tcp idle-time 1800inspect tcp finwait-time 3inspect tcp synwait-time 15inspect tcp max-incomplete host 40 block-time 0inspect name mgmt_fw tcp timeout 300inspect name mgmt_fw udpinspect name mgmt_fw tftpinspect name mgmt_fw httpinspect name mgmt_fw fragment maximum 256 timeout 1audit notify logaudit po max-events 100Ниже следуют настройки защищенного сетевого управления по основному каналу:66crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key A%Xr)7,_) address 172.16.224.24crypto isakmp key A%Xr)7,_) address 172.16.224.23!crypto ipsec transform-set vpn_module_mgmt esp-3des esp-sha-hmac!crypto map mgmt1 100 ipsec-isakmpset peer 172.16.224.24set transform-set vpn_module_mgmtmatch address 111crypto map mgmt1 200 ipsec-isakmpset peer 172.16.224.23set transform-set vpn_module_mgmtmatch address 110access-list 110 permit ip 192.168.253.0 0.0.0.255 host 172.16.224.23access-list 110 permit udp 192.168.254.0 0.0.0.255 host 172.16.224.23access-list 111 permit ip 192.168.253.0 0.0.0.255 host 172.16.224.24access-list 111 permit udp 192.168.254.0 0.0.0.255 host 172.16.224.24Следующая конфигурация определяет параметры контроля доступа для трафика, входящего из сети, гденаходятся администрируемые системы IDS.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
