Руководство по технологиям объединенных сетей Cisco (953103), страница 159
Текст из файла (страница 159)
В настоящее время сетевое сообщество, постоянно сталкиваясь с проблемами защиты сетей, пришло к выводу, что обеспечение безопасности в сети, как и любой коммерческий процесс, осуществляется поэтапно. Колыю безопасности, показанное ца рис. 52.1, иллюстрирует рекомендуемый процесс поддержки безопасности в сети.
Пентром кольца является политика обеспечения безопасности. Ее реализация включает в себя описанные ниже этапы: Этап 1. Обеспечить безопасность сети. Для этого следует реализовать все механизмы защиты, определенные политикой защиты. Например, потребовать аутентификации лля всех маршрутизаторов и коммутаторов сети. Этап 2. Выполнить мониторинг сети. Установить программное обеспечение, такое как система обнаружения вторжения Впсшз!оп десесбоп зузсегп — 1ОЯ) для наблюдения за функционированием сети.
В частности, можно установить сетевую систему 103 для наблюдения за потоками данных, которым разрешено прохождение через !псегпес-брандмауэр. Этап 3. Протестировать безопасность сети. Необходимо регулярно тестировать безопасность сети для нахождения новых уязвимых мест. Для этого следует пригласить консультанта со стороны или использовать программное обеспечение сканера уязвимых мест для их нахождения и определения эффективности механизмов защиты, реализованных на первом этапе обеспечения безопасности.
Популярным средством разметки сети является программа )чсгпар ("песччог)с гпаррег"). Этап 4. Повысить уровень безопасности в сети. Основываясь па результатах тестирования повысить степень защиты сети. Например, если на этапе тестирования было 796 Часть Ч11. Управление сетями обнаружено уязвимое место в программном обеспечении %еЬ-сервера, то следует ус- тановить соответствующее программное исправление (ра!сЬ2 в соответствии с реко- мендациями произвошп еля. Защита сети Повышение уровни защиты Мониторинг сети Тестирование защиты Рис. 52, б Кольцо безопасности Стратегию концентрической зашиты можно сравнить с ремнем и подтяжками.
Если ремень расстегнулся, то подтяжки не дадут упасть брюкам. В сетях в качестве ремня может выступать фильтрующий маршрутизатор, а в качестве подтяжек выступает приложение брандмауэра. Иными словами„не следует полагаться только одну линию защиты. Каждая линия обороны обеспечивает дополнительную защиту на случай если предыдущая линия обороны вышла из строя или была взломана. На рис. 52.2 проиллюстрировано концентрическое решение. Внешнее Ирена прн Й" амцнтм Рис 52.2. Лилии защиты 797 Глава 52. Технологии защиты сетей На рис. 52.2 первой линией защиты сети являются фильтрующие маршрутизаторы- брандмауэры.
Второй линией обороны являются выделенные брандмауэры и 1ОЯ- сенсоры. Критические ресурсы, такие как серверы, дополнительно защищены ПЭВ на рабочих станциях, которые являются окончательнон линией защиты. Стратегия концентрической защиты строится на основе того„что сеть имеет несколько периметров или зон. Политика защиты сети определяет уровень защиты, который должен быть реализован в каждой зоне. Каждая зона защищает устройства, которые требуют различных уровней защиты, а между зонами требуется использовать дополнительные технологии защиты.
При необходимости зоны могут быть подразделены на подзоны. На рис. 52,3 показана сеть, разделенная на зоны и подзоны. Внимание! На протяжении всей настоящей главы термин "зона " используется вместо термина "периметр". Первичными зонами на рис. 52.3 являются !пгегпег и Сащрцз. Зона 1пгегпег подразделена на логические зоны меньшего размера (подзоны) — РцЫгс Вепйсеь и уУАХ. В юне !щегле! имеются устройства, кглорые имеют доступ к 1пгегпег. Серверы в зоне РцЫ1с Яспйсеа обеспечивают пользователям 1пгегпег сетевые службы, такие как НТТР и ГТР. В зоне 1пгегпег загцита осуществляется с помощью фильтруюших маршрутизаторов, приложения брандмауэра и программного обеспечения для обнаружения вторжений в сеть. В зоне Рцьйс бегу!сез используется обнаружение вторжения на рабочих станциях в качестве механизма дополняющего механизм защиты, реализованный в зоне ! пгегпег.
Зона!пгегпег Заяа кампуса Рис 523. Залы залиты 798 Часть ЧП!. Управление сетями Ослабление угроз безопасности сетей Не все угрозы безопасности сети могут быль полностью устранены; в этом причина того, что в настоящем разделе основнос вниманис уделено ослаблению угроз сетям. В конечном итоге компании должны использовать политику зашиты для определения приемлемого риска и методы ослабления всех возможных угроз.
Ниже приведены рекомендуемые метолы ослабления установленных угроз. ° Несанкциоюгрованиый доступ. Следует реализовать соответствующий контроль доступа, определяющий, каким потокам данных разрешено поступать в сеть и выходить из пее.
° Ненадежная аутентификация. Следует потребовать использования паролей на всех сетевых устройствах. В средах, где требуется належная аутентификация, следует реализовать механизмы аутентификации, такие как ОТР или биометрический анализ. ° Ненадежные пароли. Следует реализовать систему создания надежных паролей. Надежный пароль должен иметь длину от 7 до 14 символов и не должен включать в себя имеющиеся в словарях слова или сленговые термины, Следует установить срок действия паролей и контроль истории для того, чтобы от пользователей периодически требовалось менять пароли и не использовать пароли повторно. Большинство операционных систем позволяют реализовать политику надежных паролей. ° Использование аиаюааторов пакетов.
Все данные, передаваемые открытым текстом, могут быть перехвачены анализатором пактов. Для уменьшения этой угрозы применяются приведенные ниже стандартные методы. — Надежная аутентификация. Использование ОТР-паролей уменьшает вероятность использования перехваченных пролей, поскольку они используются лишь один раз. — Коммутация. Использование коммутаторов уменьшает непосредственную угрозу того, что анализатор пакетов розез в сети, в которой установлены концентраторы.
— Шифрование. В сетях, которым требуется особо надежная защита, следует использовать механизмы шифрования; в частности рекомендуется использовать механизмы протокола 1Р Зесцпгу (! Расс). ° Атаки па уровне приложений. Атаки уровня приложений не могут быть полностью исключены. Новые уязвимые места обнаруживаются практически ежедневно. Ниже приведены общие методы уменьшения такой угрозы. — Следует постоянно быть в курсе процесса поиска уязвимых мест используемых приложений; для этого рекомендуется подписаться на рассылку производителя.
— Установить программные заплатки, связанные с защитой системы. — На рабочих станциях и в сети в целом следует использовать 1РБ для обнаружения атак против серверов приложений. ° Вирусы, черви и "троянские коим". Для защиты настольных систем адекватную защиту обеспечивает антивирусное программное обеспечение. На настольных Глава 52. Технологии защиты сетей 799 системах могут быть установлены персональные брандмауэры.
На серверах, требующих дополнительной зашиты могуг быть использованы Ьозг-Ьазед П)Б. ° Подделка 1Р-адресов. Рекомендуется реализовать соответствующую входную и выходную фильтрацию, как рекомендуется в КГС 2827. Также целесообразно использовать фильтрацию адресов согласно КГС !9!8 ° Отказ в обслуживании. В дополнение к входной и выходной фильтрации рекомендуется согласовать с !псегпес-провайдером свои действия по ограничению скорости передачи на маршрутизаторе !пгегпег-провайдера. Такое ограничение можно также реализовать на граничном маршрутизаторе корпоративной сети.
Следует включить функции анти-РоБ, которые контролируют количество соединений, разрешенных конкретной рабочей станции. Средства защиты сетей Важнейшим аспектом обеспечения безопасности сети является знание того объекта, который необходимо защитить. Многие проблемы безопасности возникают вследствие того, что уязвимое устройство включается в сеть без уведомления обеспечения безопасности этом сетевого ааминистратора.
Лля того, чтобы быть уверенным в том, что известны всс имеющиеся в сети устройства и доступные службы, необходимо выполнить полную инвентаризацию сети. Для проведения такой инвентаризации обычно используются устройства сканирования портов. Ниже описаны базовые функции сканера порта, ° Сканер порта посылает эхо-пакеты !пгегпег-протокола управляющих сообщений (1пгегпег Сои!го! Меззайе Ргогосо! (1СМР) для обнаружения всех имеющихся в сети устройств. Это обычно называется р!п8 зюеер!пй сети. ° Он посылает пакеты запросов на соединение протокола транспортного управления (Тгапзрогг Сов!го! Ргогосо! (ТСР) для определения доступных общих ТСР-служб, таких как НТТР, ГТР Те!пе!.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
