Дизайн защищенной сети: внедрение систем безопасности в корпоративных сетях
ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ИБ) ОЧЕНЬ ПОХОЖЕ НА РЕМОНТ
ВАШЕЙ КВАРТИРЫ. ПЕРВОЕ, С ЧЕГО НАЧИНАЕТСЯ РЕМОНТ, – ИЗУЧЕНИЕ ТОГО, ЧТО У ВАС
ЕСТЬ В ПОМЕЩЕНИИ, ВЫЧИСЛЕНИЕ РАЗМЕРОВ, МЕСТ И ПУТЕЙ ПРОХОЖДЕНИЯ РАЗЛИЧНЫХ
КОММУНИКАЦИЙ И Т.П. ДЛЯ ЭТИХ ЦЕЛЕЙ ВЫ МОЖЕТЕ ВЫЗВАТЬ ОБМЕРЩИКА, А МОЖЕТЕ
ВЫПОЛНИТЬ ВСЕ ЭТО САМОСТОЯТЕЛЬНО. В ИБ СИТУАЦИЯ АНАЛОГИЧНАЯ – АУДИТ СЕТИ МОЖЕТ
ОСУЩЕСТВЛЯТЬСЯ КАК ВНЕШНЕЙ КОНСАЛТИНГОВОЙ КОМПАНИЕЙ, ТАК И СИЛАМИ СОБСТВЕННЫХ
СПЕЦИАЛИСТОВ.
После изучения ситуации начинается творческий процесс составления
дизайн-проекта нового облика жилища. Этой цели также можно достичь двумя путями.
Можно пригласить архитектора и дизайнера, которые выполнят проект по вашим
требованиям, не забыв при этом соблюсти все законы и распоряжения из этой сферы.
Если вы считаете себя прирожденным дизайнером и так и «сыпете» идеями, то
логичным развитием событий будет самостоятельное создание проекта жилища вашей
мечты. При проектировании сети ситуация аналогичная – вы можете привлечь
консультантов или воспользоваться своим знанием и опытом, создав защищенную сеть
с минимумом затрат. Подспорьем в этом могут служить различные программные
продукты, «берущие на себя» роль аналитиков-консультантов.
После создания проекта начинается его реализация, то есть закупка
стройматериалов и строительство из этих «кирпичиков» дома-крепости. И тут путей
развития событий несколько. Вы можете сделать это сами (не лучший вариант). Вы
можете пригласить бригаду гастрбайтеров из стран ближнего зарубежья и за
небольшие деньги сделать «красиво». А можете обратиться в фирму «с именем»,
которая сделает так, чтобы у вас не было проблем в ближайшие годы. Разумеется,
это будет стоить дороже, зато вам не придется через полгода после ремонта заново
перекладывать коммуникации, переставлять входную дверь, затыкать течь из трубы и
т.д. В безопасности все то же самое – можно попробовать сделать все
самостоятельно (но без квалификации эта затея не будет результативной), а можно
обратиться к профессионалам (главное - не нарваться на клоунов в спецовках). Но
в обоих случаях все должно начинаться с дизайна защищенной сети. Без него все
попытки создать безопасную, надежную и эффективную сеть обречены на провал.
Защищенный дизайн
Полная и абсолютная безопасность может быть достигнута только отключением
вашей системы от сети и заключением ее в бетонный саркофаг, который лучше всего
поместить в подвалы Форт Нокса, где до сих пор хранится золотой запас США. Там
ваши данные будут отлично защищены, но совершенно недоступны. Однако вы можете в
достаточной степени защитить свою сеть, если будете внедрять разумную политику
безопасности (исходим из предположения, что она у вас уже имеется), следовать
рекомендациям и постоянно следить за последними событиями в мире безопасности.
Предлагаемый дизайн представляет собой схему, которая должна предотвратить
нанесение злоумышленниками серьезного ущерба ценным сетевым ресурсам. Атаки,
которые преодолевают первую линию обороны или ведутся изнутри, нужно быстро
обнаруживать и отражать. Однако даже хорошо защищенная сеть должна предоставлять
пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и
надежную защиту, и хорошую функциональность сети – и это возможно.
Кроме этого, описываемый дизайн является устойчивым и масштабируемым.
Устойчивость сетей включает физическую избыточность, защищающую сеть от любых
аппаратных отказов, в том числе тех, которые могут произойти из-за ошибочной
конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более
простые проекты. Мы в качестве примера используем более сложный дизайн,
поскольку планирование безопасности представляет собой серьезную проблему именно
в сложной, а не в простой среде.
Модульность
Хотя по мере роста требований большинство сетей развивается, наш дизайн
использует открытый модульный подход. Такой подход имеет два основных
преимущества: во-первых, он описывает дизайн с точки зрения защиты
взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщику
оценивать защищенность каждого модуля по отдельности, а не всей системы в целом.
При этом защищенный дизайн каждого модуля можно описать и реализовать по
отдельности, а оценить в рамках всей системы. Хотя не все сети возможно четко
разграничить на отдельные модули, такой подход дает ориентиры при внедрении в
сети функций безопасности.
Первый рисунок демонстрирует модули в каждой функциональной области. Эти
модули выполняют в сети вполне определенную роль и имеют определенные
потребности в области безопасности. Размер того или иного модуля на схеме не
обязательно соответствует его масштабу в реальной сети. Так, например, «модуль
здания» («building» в разделе «enterprise campus»), представляющий
пользовательские компьютеры, может включать в себя до 80% всех сетевых
устройств. Любая компания состоит из двух функциональных областей: кампуса и
периферии (периметра). Эти области, в свою очередь, делятся на модули, которые
определяют детали функционирования каждой из областей.
При проектировании защищенной сети надо понимать, что может стать целью для
злоумышленников. Это позволит выбрать правильные цели и расставить приоритеты.
На наш взгляд, такими целями в корпоративной сети могут стать: маршрутизаторы и
коммутаторы, компьютеры и принтеры, приложения и отдельные сетевые сегменты или
целые сети. При этом каждый модуль, помимо своей функциональной задачи, имеет
свой модуль угроз и свои рекомендации по защите.
Модуль внутренней сети
Говоря об угрозах, следует отметить, что корпоративная сеть, как и
большинство других сетей, подключена к интернету. Внутренние пользователи должны
получать выход в интернет, а внешние пользователи должны получать доступ к
внутрикорпоративной сети. Это создает ряд угроз общего характера, которые могут
дать хакеру возможность проникнуть к важным сетевым ресурсам.
Первая угроза – это угроза со стороны внутренних пользователей. Статистика
приводит разные цифры, но все исследователи сходятся в том, что большинство атак
начинается изнутри корпоративной сети. Потенциальными источниками таких атак
являются обиженные сотрудники, промышленные шпионы, посетители и беспечные
пользователи, допускающие ошибки. Разрабатывая систему безопасности, необходимо
уделять особое внимание внутренним угрозам. Второй является угроза подключенным
к интернету хостам общего доступа. Эти системы являются потенциальными объектами
атак на уровне приложений и атак типа «отказ в обслуживании» (DoS).
Кампусный модуль содержит несколько основных частей:
- Модуль управления;
- Серверный модуль;
- Модуль здания;
- Модуль ядра;
- Модуль распределения трафика в здании;
- Модуль взаимодействия с периметром.
Модуль управления
Главная цель модуля управления состоит в том, чтобы обеспечить безопасное
управление всеми устройствами и узлами в корпоративной архитектуре. Сигналы
тревоги и сообщения поступают с устройств на системы управления, тогда как
изменения конфигурации и новое программное обеспечение инициируется с узлов
управления в направлении устройств.
Поскольку сеть управления имеет доступ с правами администратора практически
ко всем областям сети, она может стать весьма привлекательной целью для
злоумышленников. Поэтому в модуль управления встроено сразу несколько
технологий, специально предназначенных для смягчения подобных рисков. Первым и
основным риском является попытка хакера получить доступ к самой сети управления.
Все остальные риски исходят из того, что первая линия обороны уже прорвана.
Чтобы не дать нарушителю завладеть каким-либо сетевым устройством, на межсетевом
экране и на каждом устройстве есть средства контроля доступа, которые
предотвращают несанкционированный доступ к каналу управления. Захваченное
хакером устройство не сможет связаться с другими хостами, находящимися в той же
подсети, поскольку сегмент управления направляет весь трафик с управляемых
устройств непосредственно на межсетевой экран, где производится фильтрация.
Сниффинг паролей вообще оказывается неэффективным, поскольку пароли являются
одноразовыми (one-time password). Кроме того, в подсети управления
устанавливаются сетевые и хостовые системы предотвращения атак, которые
настраиваются на очень жесткий режим. Поскольку в этой подсети передается весьма
ограниченное количество типов трафика, любое совпадение с сигнатурой должно
вызывать немедленную реакцию.
В настоящее время задачи анализа сигналов тревоги распределены между
множеством узлов. Некоторые из них лучше обрабатывают данные межсетевых экранов
и систем IPS, другие лучше приспособлены для анализа данных маршрутизаторов и
коммутаторов. В будущем (хотя такие решения есть уже сейчас) все данные будут
агрегироваться на одном и том же узле, что позволит сравнивать события,
происходящие во всей корпоративной сети.
Модуль ядра
В нашей архитектуре модуль ядра практически идентичен аналогичному по задачам
модулю любой другой сетевой архитектуры. Его задача состоит в маршрутизации и
коммутации сетевого трафика с как можно более высокой скоростью.
Хотя наш дизайн не предъявляет никаких особых требований к базовой части
корпоративной сети, при настройке коммутаторов этой сети необходимо следовать
«аксиомам безопасности», изложенным ранее (цель – коммутаторы), чтобы должным
образом защитить эти устройства от прямых атак.
Модуль распределения трафика в здании
Этот модуль предоставляет услуги доступа коммутаторам здания: маршрутизацию,
поддержку гарантированного качества услуг (QoS) и контроль доступа. Запросы о
предоставлении данных поступают на коммутаторы и далее в ядро. Ответный трафик
следует по тому же маршруту в обратном направлении.
Распознавание атак происходит не в распределительном модуле здания, а в модулях,
где имеются ресурсы, которые являются потенциальными объектами атак из-за своего
содержания (серверы, средства удаленного доступа, средства взаимодействия с
интернетом и т.д.). Распределительный модуль здания представляет собой первую
линию обороны и предотвращения атак, источник которых находится внутри
корпорации. Этот модуль с помощью средств контроля доступа может снизить
вероятность получения одним отделом конфиденциальной информации с сервера
другого отдела.
Для поддержки высокой производительности очень важно иметь контроль доступа
на аппаратной платформе, которая могла бы фильтровать трафик со скоростью,
близкой к скорости передачи трафика. Обычно для этого используют не традиционные
маршрутизаторы, а коммутаторы третьего уровня. Та же система контроля доступа с
помощью фильтрации RFC 2827 может предотвращать локальный спуфинг (spoofing).
Модуль здания
Наш дизайн определяет модуль здания как значительную часть сети, которая
содержит рабочие станции конечных пользователей, IP-телефоны, точки
беспроводного доступа и т.д. Главная цель этого модуля состоит в том, чтобы
предоставлять услуги конечным пользователям защищенным образом.
Модуль серверов
Основная задача серверного модуля состоит в предоставлении прикладных услуг
устройствам и конечным пользователям. При проектировании систем безопасности на
серверный модуль обычно обращают мало внимания. Однако если посмотреть, какой
уровень доступа к корпоративным серверам имеет большинство сотрудников, станет
ясно, почему эти серверы часто становятся главным объектом внутренних атак.
Внедрение эффективных паролей само по себе не может считаться надежной
стратегией защиты от атак. Гораздо более надежную защиту дает сочетание систем
HIPS, NIPS, частных локальных сетей (VLAN), средств контроля доступа и
эффективных процедур системного администрирования (включая установку самых
свежих версий ПО и патчей).
Модуль взаимодействия с периметром
Задача этого модуля состоит в агрегации соединений разных сетевых элементов
на сетевой периферии. Трафик фильтруется и направляется с периферийных модулей в
базовую сеть. По своей общей функциональности модуль взаимодействия с периметром
похож на распределительный модуль здания. Оба модуля используются средствами
контроля доступа для фильтрации трафика, хотя ряд возможностей сетевой периферии
позволяет периферийному распределительному модулю поддерживать дополнительные
функции безопасности. Для поддержки высокой производительности оба модуля
пользуются коммутацией уровня 3, но периферийный распределительный модуль
обладает дополнительными возможностями в области безопасности, поскольку на
сетевой периферии требования к производительности не столь высоки. Периферийный
распределительный модуль представляет собой последнюю линию обороны для всего
трафика, который передается с периферийного модуля на кампусный модуль. Эта
линия должна пресекать попытки передачи пакетов с ложных адресов и
несанкционированного изменения маршрутов, а также обеспечивать контроль доступа
на уровне сети.
Модуль периметра содержит несколько основных частей (последние два модуля в
этой статье не рассматриваются):
- Интернет-модуль;
- Модуль удаленного доступа;
- Модуль электронной коммерции;
- WAN-модуль.
Интернет-модуль
Корпоративный интернет-модуль предоставляет внутрикорпоративным пользователям
доступ к интернет-услугам и информации, расположенной на серверах общего
доступа. Трафик с этого модуля передается в виртуальные частные сети (VPN) и на
модуль удаленного доступа, где происходит терминирование VPN. В основе модуля
лежит пара отказоустойчивых межсетевых экранов, защищающих общедоступные услуги
интернета и внутренних пользователей. Экраны проверяют трафик, передаваемый во
всех направлениях, и гарантируют пропускание только санкционированного трафика.
Кроме средств, обеспечивающих устойчивость на уровнях 2 и 3, и средств
аварийного подхвата, все остальные элементы модуля нацелены на безопасность и
борьбу с угрозами.
Начиная с маршрутизатора, находящегося на периферии сети заказчика ISP,
происходит отбрасывание несущественного трафика, объем которого превышает
заранее установленные пороговые значения, что в значительной степени снижает
угрозу атак типа DoS и DDoS. Кроме того, на выходе маршрутизатора ISP
производится фильтрация RFC 1918 и 2827, что снижает угрозу спуфинга адресов
локальных сетей и частных адресов.
Сенсор IPS, который находится на общедоступной стороне межсетевого экрана,
производит мониторинг атак, анализируя уровни 4-7 и сравнивая результаты с
известными сигнатурами. Поскольку ISP и периферийный маршрутизатор корпоративной
сети отфильтровывают некоторые диапазоны адресов и портов, NIPS может
сконцентрировать усилия на борьбе с более изощренными атаками. И все же IPS
работает в менее строгом режиме, чем аналогичные устройства, находящиеся с
внутренней стороны межсетевого экрана. Это происходит потому, что замеченная им
несанкционированная активность представляет собой не прорыв обороны, а лишь
попытку такого прорыва.
Модуль удаленного доступа
Этот модуль выполняет три основных задачи: терминирует трафик VPN,
поступающий от удаленных пользователей, действует в качестве концентратора для
терминирования этого трафика, а также терминирует обычных абонентов с модемным
доступом. Весь трафик, направляемый в сегмент периферийного распределения,
поступает от удаленных корпоративных пользователей, которые так или иначе
аутентифицируются и лишь затем получают право прохода через межсетевой экран.
Кроме надежности базовыми требованиями к этому модулю являются аутентификация
и терминирование трех типов услуг для внешних пользователей. Поскольку трафик в
корпоративную сеть поступает из разных внешних источников, было принято решение
о поддержке отдельного интерфейса для каждой из трех услуг.
- Трафик VPN передается с маршрутизаторов доступа, являющихся частью
корпоративного интернет-модуля. На выходе этих маршрутизаторов трафик
фильтруется по IP-адресам и протоколам, входящим в состав услуг VPN.
Современные виртуальные частные сети с удаленным доступом могут пользоваться
несколькими протоколами туннелирования и безопасности. Хотя наиболее
оптимальным является протокол IPSec, многие организации выбирают протоколы
PPTP или L2TP, которые изначально поддерживаются наиболее популярными
операционными системами для настольных устройств.
- Традиционные пользователи с модемным доступом терминируются на одном из
двух маршрутизаторов доступа, где имеются встроенные модемы. После
установления связи между пользователем и сервером на уровне 1 для
аутентификации применяется протокол CHAP. Как и в случае с VPN удаленного
доступа, для аутентификации и предоставления паролей используются сервер ААА
и сервер однократных паролей. После аутентификации пользователей им
присваиваются IP-адреса, которые выбираются из IP-пула при установлении
соединения протокола РРР.
- Трафик VPN, предназначенный для связи между сайтами, состоит из туннелей
GRE, защищенных протоколом IPSec в режиме ESP. Как и в случае с удаленным
доступом, трафик, исходящий из корпоративного интернет-модуля, может
поступать только на определенные адреса двух маршрутизаторов VPN. При этом
адреса источников ограничиваются ожидаемыми адресами удаленных сайтов.
Компромиссы
Процесс проектирования часто связан с компромиссами. Некоторые компромиссы
возможны на уровне модулей, другие – на уровне компонентов. Первая возможность
состоит в свертывании модуля распределения и его слиянии с модулем ядра. В
результате наполовину сокращается количество коммутаторов уровня 3. Экономия
средств достигается за счет некоторого сокращения производительности ядра и
снижения гибкости, необходимой для фильтрации на уровне распределения.
Второй вариант состоит в слиянии функциональности модуля VPN/удаленного
доступа и корпоративного интернет-модуля. Структуры этих модулей очень сходны:
пара межсетевых экранов в центре плюс устройства NIDS. Такое слияние не приводит
к потере функциональности, если производительность компонентов соответствует
общему объему трафика, который должны передавать оба модуля, и межсетевой экран
имеет достаточное количество интерфейсов для поддержки необходимых услуг. При
этом следует помнить, что по мере концентрации функций на единых устройствах
увеличивается вероятность ошибок. Некоторые организации идут еще дальше и
включают в корпоративный модуль VPN/интернет функции электронной коммерции. Но
при этом варианте риск намного перевешивает любую экономию, кроме случаев, когда
потребности электронной торговли являются минимальными. Отделение трафика
электронной коммерции от общего интернет-трафика позволяет лучше оптимизировать
полосу пропускания за счет более строгой фильтрации и ограничений атак типа (D)DoS
на уровне ISP.
Третий возможный вариант заключается в удалении некоторых сенсоров IPS. В
зависимости от стратегии реагирования на угрозы, вам действительно может
понадобиться меньше таких устройств. Кроме того, их количество зависит от числа
установленных на узлах систем HIPS, поскольку в некоторых случаях последние
могут снизить потребность в обнаружении атак на сетевом уровне.
Заключение
Описанная нами архитектура представляет собой руководство по внедрению систем
безопасности в корпоративных сетях. Это не идеальная политика безопасности,
годная для любой корпоративной сети, и не идеальный дизайн, гарантирующий полную
безопасность всех существующих сетей. Это лишь шаблон, позволяющий инженерам
проектировать и развертывать корпоративные сети с учетом требований
безопасности.
Этот дизайн позволяет проектировщику решать проблемы безопасности отдельно
для каждой сетевой функции. Каждый модуль, как правило, является самодостаточным
и исходит из того, что любой другой подключаемый к нему модуль имеет только
базовые средства защиты. Это позволяет специалистам по безопасности использовать
поэтапный подход к проектированию защищенной корпоративной сети. Они могут
повысить степень защиты наиболее важных сетевых функций, подчинив их
определенной политике безопасности и не меняя при этом архитектуру всей
остальной сети. Исключением является модуль управления. В ходе первоначального
развертывания описываемой архитектуры модуль управления должен устанавливаться
одновременно с первым модулем, а затем последовательно подключаться ко всем
остальным модулям по мере их установки.
|
Обсуждение статьи
|
|
|
|
RE: Дизайн защищенной сети: внедрение систем безопасности в корпоративных сетях
wscol |
|
RE: Дизайн защищенной сети: внедрение систем безопасности в корпоративных сетях
помогите нам !!!! |
|
RE: Дизайн защищенной сети: внедрение систем безопасности в корпоративных сетях
незнаю что делать ... это очень страшно...гребанные сети.. аааааааааааааааааааа |
|
RE: Дизайн защищенной сети: внедрение систем безопасности в корпоративных сетях
hi |
|
|
Keywords: zPOSTz zMAIN_THEMEz z10047z
Для Авторов: edit  delete
Автор: Алексей Лукацкий
Дата: 19.12.2008 11:11:54©
|
Архив номеров
