Поэтапное решение задачи обеспечения безопасности

Традиционное решение проблемы обеспечения безопасности является точечным решением или решением для одного устройства. Принцип такой защиты формулируется следующим образом: "Необходимо обеспечить безопасность сети или установить брандмауэр, что решает проблему защита сети". В настоящее время сетевое сообщество, постоянно сталкиваясь с проблемами защиты сетей, пришло к выводу, что обеспечение безопасности в сети, как и любой коммерческий процесс, осуществляется поэтапно.

Кольцо безопасности, показанное на рис. 52.1, иллюстрирует рекомендуемый процесс поддержки безопасности в сети. Центром кольца является политика обеспечения безопасности. Ее реализация включает в себя описанные ниже этапы:

Этап 1. Обеспечить безопасность сети. Для этого следует реализовать все механизмы защиты, определенные политикой защиты. Например, потребовать аутентификации для всех маршрутизаторов и коммутаторов сети.

Этап 2. Выполнить мониторинг сети. Установить программное обеспечение, такое как система обнаружения вторжения (intrusion detection system — IDS) для наблюдения за функционированием сети. В частности, можно установить сетевую систему IDS для наблюдения за потоками данных, которым разрешено прохождение через 1 nternet-брандмауэр.

Этап 3. Протестировать безопасность сети. Необходимо регулярно тестировать безопасность сети для нахождения новых уязвимых мест. Для этого следует пригласить консультанта со стороны или использовать программное обеспечение сканера уязвимых мест для их нахождения и определения эффективности механизмов защиты, реализованных на первом этапе обеспечения безопасности. Популярным средством разметки сети является программа Nmap ("network mapper").

Этап 4. Повысить уровень безопасности в сети. Основываясь на результатах тестирования повысить степень защиты сети. Например, если на этапе тестирования было обнаружено уязвимое место в программном обеспечении Web-cepeepa, то следует установить соответствующее программное исправление (patch) в соответствии с рекомендациями производителя.

Рис. 52.1. Кольцо безопасности

Стратегию концентрической защиты можно сравнить с ремнем и подтяжками. Если ремень расстегнулся, то подтяжки не дадут упасть брюкам. В сетях в качестве ремня может выступать фильтрующий маршрутизатор, а в качестве подтяжек выступает приложение брандмауэра. Иными словами, не следует полагаться только одну линию защиты. Каждая линия обороны обеспечивает дополнительную защиту на случай если предыдущая линия обороны вышла из строя или была взломана. На рис. 52.2 проиллюстрировано концентрическое решение.

На рис. 52.2 первой линией защиты сети являются фильтрующие маршрутизаторы- брандмауэры. Второй линией обороны являются выделенные брандмауэры и IDS- сенсоры. Критические ресурсы, такие как серверы, дополнительно защищены IDS на рабочих станциях, которые являются окончательной линией защиты.

Стратегия концентрической защиты строится на основе того, что сеть имеет несколько периметров или зон. Политика защиты сети определяет уровень защиты, который должен быть реализован в каждой зоне. Каждая зона защищает устройства, которые требуют различных уровней защиты, а между зонами требуется использовать дополнительные технологии защиты. При необходимости зоны могут быть подразделены на подзоны. На рис. 52.3 показана сеть разделенная на зоны и подзоны.

Внимание!

На протяжении всей настоящей главы термин "зона " используется вместо термина "периметр".

Первичными зонами на рис. 52.3 являются Internet и Campus. Зона Internet подразделена на логические зоны меньшего размера (подзоны) — Public Services и WAN. В зоне Internet имеются устройства, которые имеют доступ к Internet. Серверы в зоне Public Services обеспечивают пользователям Internet сетевые службы, такие как HTTP и FTP. В зоне Internet защита осуществляется с помощью фильтрующих маршрутизаторов, приложения брандмауэра и программного обеспечения для обнаружения вторжений в сеть. В зоне Public Services используется обнаружение вторжения на рабочих станциях в качестве механизма дополняющего механизм защиты, реализованный в зоне Internet.

Зона кампуса

Рис 52.3. Зоны защиты

Ослабление угроз безопасности сетей

Не все угрозы безопасности сети могут быть полностью устранены; в этом причина того, что в настоящем разделе основное внимание уделено ослаблению угроз сетям. В конечном итоге компании должны использовать политику защиты для определения приемлемого риска и методы ослабления всех возможных угроз. Ниже приведены рекомендуемые методы ослабления установленных угроз.

•          Несанкционированный доступ. Следует реализовать соответствующий контроль доступа, определяющий, каким потокам данных разрешено поступать в сеть и выходить из нее.

•          Ненадежная аутентификация. Следует потребовать использования паролей на всех сетевых устройствах. В средах, где требуется надежная аутентификация, следует реализовать механизмы аутентификации, такие как OTP или биометрический анализ.

•          Ненадежные пароли. Следует реализовать систему создания надежных паролей. Надежный пароль должен иметь длину от 7 до 14 символов и не должен включать в себя имеющиеся в словарях слова или сленговые термины. Следует установить срок действия паролей и контроль истории для того, чтобы от пользователей периодически требовалось менять пароли и не использовать пароли повторно. Большинство операционных систем позволяют реализовать политику надежных паролей.

•          Использование анализаторов пакетов. Все данные, передаваемые открытым текстом, могут быть перехвачены анализатором пактов. Для уменьшения этой угрозы применяются приведенные ниже стандартные методы.

—      Надежная аутентификация. Использование OTP-паролей уменьшает вероятность использования перехваченных пролей, поскольку они используются лишь один раз.

—      Коммутация. Использование коммутаторов уменьшает непосредственную угрозу того, что анализатор пакетов poses в сети, в которой установлены концентраторы.

—      Шифрование. В сетях, которым требуется особо надежная защита, следует использовать механизмы шифрования; в частности рекомендуется использовать механизмы протокола IP Security (IPSec).

•          Атаки на уровне приложений. Атаки уровня приложений не могут быть полностью исключены. Новые уязвимые места обнаруживаются практически ежедневно. Ниже приведены общие методы уменьшения такой угрозы.

—      Следует постоянно быть в курсе процесса поиска уязвимых мест используемых приложений; для этого рекомендуется подписаться на рассылку производителя.

—      Установить программные заплатки, связанные с защитой системы.

—      На рабочих станциях и в сети в целом следует использовать IDS для обнаружения атак против серверов приложений.

•          Вирусы, черви и "троянские коии". Для защиты настольных систем адекватную защиту обеспечивает антивирусное программное обеспечение. На настольных

системах могут быть установлены персональные брандмауэры. На серверах, требующих дополнительной защиты могут быть использованы host-based IDS.

•          Подделка IP-адресов. Рекомендуется реализовать соответствующую входную и выходную фильтрацию, как рекомендуется в RFC 2827. Также целесообразно использовать фильтрацию адресов согласно RFC 1918

•          Отказ в обслуживании. В дополнение к входной и выходной фильтрации рекомендуется согласовать с Internet-провайдером свои действия по ограничению скорости передачи на маршрутизаторе Internet-провайдера. Такое ограничение можно также реализовать на граничном маршрутизаторе корпоративной сети. Следует включить функции анти-DoS, которые контролируют количество соединений, разрешенных конкретной рабочей станции.

Средства защиты сетей

Важнейшим аспектом обеспечения безопасности сети является знание того объекта, который необходимо защитить. Многие проблемы безопасности возникают вследствие того, что уязвимое устройство включается в сеть без уведомления обеспечения безопасности этом сетевого администратора. Для того , чтобы бьггь уверенным в том, что известны все имеющиеся в сети устройства и доступные службы, необходимо выполнить полную инвентаризацию сети. Для проведения такой инвентаризации обычно используются устройства сканирования портов. Ниже описаны базовые функции сканера порта.

•          Сканер порта посылает эхо-пакеты Internet-протокола управляющих сообщений (Internet Control Message Protocol (ICMP) для обнаружения всех имеющихся в сети устройств. Это обычно называется ping sweeping сети.

•          Он посылает пакеты запросов на соединение протокола транспортного управления (Transport Control Protocol (TCP) для определения доступных общих TCP-служб, таких как HTTP, FTP Telnet.

•          Сканер рассылает устройствам сети потоки данных протокола пользовательских дейтаграмм (User Diagram Protocol — UDP) для выяснения доступности служб протокола UDP, таких как DNS и SNMP.

Сканер защиты сети используется для проверки уязвимости сетевых служб. Это устройство имеет базу данных, в которую заносятся известные уязвимые места и проверяет не являются ли уязвимыми сетевые службы. Ниже объяснены некоторые механизмы, используемые этим устройством для проверки уязвимости сетевых служб.

•          Сканер считывает версию операционной системы. Это называется "снятием отпечатков пальцев " (fingerprinting).

•          Он считывает версию программного обеспечения, используемого в системе.

•          Сканер имитирует реальную атаку на сеть. Например, если сервер некорректно обрабатывает запрос длинного URL, то сканер может послать длинный URL и проверить. Возвращает ли сервер соответствующий код.

Ниже приведены некоторые средства защиты, которые можно использовать для обеспечения безопасности сети.

•          Nmap представляет собой утилиту открытого источника для исследования сети и аудита безопасности. Эту утилиту можно выполнить на большинстве типов компьютеров; доступны ее консольная и графическая версии.

•         Препроцессор GTK+для Nmap доступен для пользователей, которые предпочитают графический интерфейс пользователя интерфейсу командной строки (рис. 52.4). Более подробная информация приведена на Web-сайте www.insecure.org.

•         Ncssus представляет собой бесплатную утилиту для аудита безопасности, которая способна находить уязвимые места в сети. Более подробная информация приведена на Web-сайте www.nessus.org. пример отчета, выдаваемого утилитой Nessus приведен на рис. 52.5.

•         SomarSoft включает в себя набор бесплатных утилит Microsoft Windows, предназначенных для того, чтобы предоставить сетевому администратору информацию, необходимую для защиты Windows-системы. Первой утилитой является DumpSec, которая представляет собой программу аудита безопасности в сети для операционных систем Windows NT и Windows 2000. Вторая утилита — DumpEvt, являете программой для Windows NT, которая dump the Event Log в формат, пригодный для импорта в базу данных. Третьей является утилита, представляющая собой программу для Windows NT and Windows 95, которая dumps системный реестр (Registry), что облетает нахождение ключей и значений, содержащих некоторую строку. Более подробная информация приведена на Web-сайте www.somarsoft.

•        John the Ripper представляет собой средство взлома паролей открытого источника, которое способно обнаруживать ненадежные пароли. Более подробная информация приведена на Web-сайте www.openwall.com/john/.

Рис 52.4. Препроцессор Nmap

Резюме

В настоящее время глобальная сеть Internet перестала быть просто средством передачи сообщений электронной почты и файлов. Она изменила нашу повседневную жизнь и стиль работы компаний. Обеспечение сетевой безопасности стало играть ключевую роль в достижении своих целей как частными лицами, так и коммерческими компаниями. Частным лицам требуется чтобы при онлайновых покупках или регистрации для онлайнового обучения сохранялась конфиденциальность их личной информации. Правительства требуют от компаний обеспечения сохранности данных, которые хранятся в их сетях.

Типичными угрозами для сетей являются: попытки несанкционированного доступа, попытки обойти ненадежную аутентификацию, взлом паролей, использование анализаторов пакетов, атаки уровня приложений, вирусы, черви, "троянские кони", подделка IP-адресов и DoS-атаки. Политика безопасности в сети представляет собой документально зафиксированную стратегию, которая определяет уровень безопасности в сети и описывает соответствующие требования к пользователям. Политика безопасности определяет каким образом пользователи, являющиеся сотрудникам компании могут использовать сеть, какие действия должны предприниматься в случае инцидентов, связанных с угрозами сетевой безопасности и каким образом компания осуществляет связь с сетями своих партнеров.

Концентрическое решение проблемы сетевой безопасности основано на принципе создания нескольких периметров защиты сети, образующих защитные зоны. Каждая зона обеспечивает дополнительные механизмы защиты для того, чтобы в случае прорыва какого-либо периметра защиты следующая зона не допустила успешного завершения атаки.

Методы устранения угроз и защиты сети зависят от типа возникшей угрозы. Для устранения угроз, связанных со взломом паролей используется метод периодической замены паролей. Для устранения угрозы подделки IP-адреосв используются методы входной и выходной фильтрации, описанные в RFC 2827. Для повышения уровня сетевой безопасности системные администраторы могут использовать сканеры портов, сканеры уязвимых мест и средства проверки надежности паролей. Сканеры портов позволяют определить какие сетевые устройства и службы являются доступными извне. Сканеры уязвимых мест находят уязвимые места устройств сети, таких как маршрутизаторы, коммутаторы, серверы и настольные персональные компьютеры. Средства проверки надежности паролей помогают повысить надежность паролей путем выявления паролей, которые не отвечают требованиям надежности.

Дополнительные источники

Web-сайты

•       CERT, www.cert.org

•       Cisco SAFE, www.cisco.com/go/safe

•       Fact Sheet on EU Privacy Directive, www.dss.state.ct.us/digital/eupriv.html

•       Health Privacy Project, www.healthprivacy.org/

•      RFC 1918, Address Allocation for Private Networks, www.ietf.org/rfc/rfcl918.txt

•      RFC 2196, Site Security Handbook, www.ietf.org/rfc/rfc2196.txt

•      RFC 2827, Network Address Ingress Filtering, www.ietf.org/rfc/rfc2827.txt

Книги

•      Carter, Earl. Cisco Secure Intrusion Detection, Cisco Press: Indianapolis, 2001.

•     Дэвид Чепмен, Энди Фокс. Брандмауэры Cisco Secure PIX. ИД "Вильяме", 2003.

•      Mason, Andrew. Cisco Secure Virtual Private Networks, Indianapolis: Cisco Press, 2001.

•     Wenstrom, Michael. Managing Cisco Network Security, Indianapolis: Cisco Press, 2001.

Группа новостей

•      Bugtraq mailing list, www.securityfocus.com

•          Cisco Security Consulting Security Bytes, www.cisco.com/en/US/netsol/nsll0/nsl29/ nsl 3 l/ns267/networking_solutions_newsletters_list.html

•     NTBugtraq mailing list, www.ntbugtraq.com

Глоссарий

Аутентификация (authentication). Процесс проверки идентичности обращающегося к сети устройства.

Стандарт шифрования данных (Data Encryption Standard — DES). Стандарт правительства США (FP046), определяющий алгоритм шифрования данных (Data Encryption Algorithm) и политику его использования для защиты неклассифицированных чувствительных данных.

Безопасность протокола Internet (Internet Protocol Security — IPSec). Общее название архитектуры и набора протоколов служб обеспечения безопасности для потоков данных протокола IP. См. www.ietf.org/rfc/rfc2401.txt.

Обнаружение вторжения (intrusion detection). Служба обеспечения безопасности, которая осуществляет мониторинг событий в системе и анализирует их с целью нахождения и обеспечения предупреждений реального времени и near-real-time о попытках несанкционированного доступа к системным ресурсам.

Одноразовый пароль (one-time password — OTP). Простой метод аутентификации, в котором пароль используется лишь один раз в качестве аутентификационной информации для проверки идентичности пользователя. Этот метод позволяет предотвратить угрозу атаки воспроизведения пароля, которая основана на воспроизведении перехваченного пароля.

ping sweep (ping sweep). Тип атаки на сеть, при котором посылаются эхо-запросы (ping-запросы) протокола ICMP (RFC 792) диапазону IP-адресов с целью нахождения станций, в которых есть уязвимые места.

Уязвимость (vulnerability). Пробел в проектировании, реализации, функционировании или управлении системы, который может быть использован для нарушения политики безопасности в сети.

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100