Базовые средства защиты сетевого периметра
Бизнес-приложения, ценность информационных ресурсов для этих приложений и бюджет организации, ориентированный на обеспечения безопасности этих ресурсов – вот три «кита» , взаимосогласованность которых определяет качество принятых проектных решений. Существенным для этих проектных решений является тот факт, что необходимо представить некую виртуальную границу, начиная с которой строятся «оборонительные сооружения» безопасности. Для корпоративных систем существует две таких границ, которые соответственно должны быть хорошо укреплены: граница защиты от внешних атак на внутренние сетевые информационные ресурсы корпоративной системы и внутренняя граница, которая должна быть хорошо укреплена от неумышленных или планированных атак как при взаимодействии с ресурсами корпоративной системы, так и при работе с сетью Интернет. n Все аппаратно – программные средства, протоколы и интерфейсы, являющиеся входными и выходными «воротами» (прямыми и косвенными) корпоративных сетей для взаимодействия с другими аналогичными или глобальными сетями образует сетевой периметр. Соответственно все аппаратно-программные средства, протоколы и интерфейсы, предназначенные для обеспечения конфиденциальности, целостности и доступности корпоративных информационных ресурсов с учетом всевозможных угроз из сетевого периметра образуют средства обеспечения безопасности этого же периметра. n
Плохое все равно произойдет. Наша с вами задача – свести возможный ущерб к минимуму.
n n n n Периметр – это укрепленная граница вашей сети, которая может включать: - маршрутизаторы - брандмауэры - систему обнаружения вторжений (IDS) - устройства виртуальной частной сети (VPN) - программное обеспечение - демилитаризованную зону (DMZ) и экранированные подсети
n n Пограничный маршрутизатор Маршрутизаторы (routers) можно сравнить с дорожными регулировщиками. Они осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети. Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
n Брандмауэр, или межсетевой экран (firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать это трафик по сети или нельзя. Область действия брандмауэра начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов брандмауэров, к которым относятся статические пакетные фильтры ( static packet filters), брандмауэры экспертного уровня (statefulбрандмауэры), а также прокси-брандмауэры (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – брандмауэры экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-брандмауэр, например Secure Computing's Sidewinder. Несмотря на то, что брандмауэры не являются совершенными модулями, они смогут заблокировать все, что мы укажем им блокировать, и разрешить все, что мы им разрешим.
n IDS (Intrusion Detection System – система обнаружения вторжений) — это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с брандмауэром, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в log-файле. Детекторы IDS могут составлять отчет для центральной базы данных, которая коррелирует поступающую от них информацию.
n VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть. Вы можете доверять безопасности вашего периметра, однако доверили бы вы безопасность одному из ваших сотрудников, работающему на дому или в номере гостиницы и использующему для связи кабельный модем? Даже если вы доверяете собственным сотрудникам и их защите, можете ли вы доверять защите ваших деловых партнеров, которые для вас являются удаленными пользователями, подключенными в вашу же VPN?
n n n Архитектура программного обеспечения Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Мы могли бы, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части: 1. Внешний web-интерфейс, отвечающий за то, в каком виде данное приложение будет представлено пользователю. 2. Код приложения, реализующий бизнес-логику приложения. 3. Внутренние базы данных, в которых хранятся данные, имеющие отношение к приложению. Архитектура программного обеспечения играет существенную роль при обсуждении инфраструктуры безопасности, поскольку основной задачей периметра сети является защита данных, относящихся к приложениям, и сервисов. При организации защиты приложения убедитесь, что архитектура приложения и сеть гармонируют между собой.
n Если бы летали на компьютерах, мы бы все погибли из-за их хрупких операционных систем.
n Демилитаризованные зоны Обычно мы используем термины "демилитаризованная зона" и "экранированные подсети", подразумевая небольшую сеть, содержащую ресурсы общего пользования, подключенные непосредственно к брандмауэру или другому фильтрующему устройству — которые и защищают ее от вторжений извне. DMZ (De. Militarized Zone – демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Термин DMZ берет свое начало еще со времен войны в Корее. Так называлась закрытая для военных действий полоса земли, расположенная на 38 параллели. DMZ представляет собой незащищенную область между защищенными участками. Если в Корее DMZ оказывалась перед любой линией обороны, то применительно к сетям DMZ размещается перед брандмауэром. Брандмауэр или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему. Запомните следующее: DMZ размещена перед брандмауэром, в то время как экранированная подсеть размещается позади брандмауэра. В контексте нашей книги мы будем твердо придерживаться этих определений.
n экранированные подсети (screened subnet) представляет собой изолированную сеть, соединенную с определенным интерфейсом брандмауэра или другого фильтрующего трафик устройства. Экранированная подсеть часто используется для изоляции серверов, к которым необходимо обеспечить доступ из Интернета, использующимися исключительно внутренними пользователями данной организации. Экранированная подсеть обычно содержит сервисы "общего использования" (public services), включая DNS, почту и web. Нам хотелось бы рассматривать подобные серверы в качестве бастионных хостов. Здесь под бастионом (bastion) мы подразумеваем хорошо укрепленную (fortified -фортификацированную) позицию. В применении к хостам в сети фортификацирование включает укрепление операционной системы и приложений наилучшим для этого способом. Как показывает опыт зарегистрированных атак, эти серверы не всегда в достаточной мере фортификацированы; на самом деле они бывают уязвимыми, вопреки их защищенности брандмауэрами. Как профессионалы в области безопасности, мы вынуждены укреплять защиту этих хостов, поскольку они являются мишенью для большинства атак и буквально весь мир через них видит вашу организацию.
n n n Эшелонированная защита (Defense in Depth) Думайте о защите вашей сети как о луковице. Когда вы снимаете самый верхний слой, под ним оказывается множество других слоев. Ни одна из концепций не является столь важной при анализе безопасности сети, как эшелонированная, многоуровневая защита; на страницах данной книги вы сможете увидеть, как она используется в качестве основы при проектировании и реализации периметра. Принцип эшелонирования поможет защитить ресурсы сети, даже если один из уровней периметра взломан. В конце концов, ни один из уровней защиты не может гарантировать необходимую устойчивость при каждой атаке. Мы работаем в реальном мире плохо сконфигурированных систем, дефектов в программном обеспечении, недовольных сотрудников и отягощенных заботами системных администраторов. Более того, любой практический проект безопасности нуждается в определенных капиталовложениях, направленных на открытие нескольких портов брандмауэров, на выполнение дополнительных сервисов на сервере или во избежание последующего внесения изменений в систему защиты, поскольку она может повредить важному бизнес-приложению. Попытайтесь рассматривать все компоненты безопасности периметра как части логически последовательной многоуровневой защиты – это поможет вам развернуть их таким образом, чтобы учесть все недостатки и достоинства каждого индивидуального компонента. Естественно, что с учетом требований вашей организации вы можете реализовать не все компоненты, которые рассматриваются в данной главе. Степень эшелонирования уровней защиты зависит от требований и возможностей вашего бизнеса.
n n n n Внутренняя сеть представляет собой сеть, защищенную периметром. Эта сеть содержит все серверы, рабочие станции и ИТ-инфраструктуру, с которой организация ведет свой бизнес. Как часто говорят администраторы: "Мы можем доверять нашим людям". Организации зачастую пренебрегают безопасностью внутренней сети в силу того, что риск от проявления внутренних атак не учитывается. Внутренняя атака не обязательно должна исходить от злоумышленного сотрудника — атаку может породить и небрежный сотрудник. Поскольку организации учатся на собственном опыте с появлением каждого нового червя, они не могут позволить себе пренебречь защищенностью внутренней сети! Давайте-ка на минутку отвлечемся от нашей темы. Представьте себе высококлассного взломщика — он атакует вашу сеть… сидя за вашим же столом. Как вам остановить его? Во внутренней сети мы можем иметь следующие устройства "периметра": - входящая и исходящая фильтрация на каждом маршрутизаторе; - внутренние брандмауэры для разделения ресурсов; - прокси для повышения производительности и безопасности; - детекторы IDS, функционирующие, подобно канарейкам в угольной шахте (они использовались в качестве живых индикаторов наличия в воздухе взрывоопасного метана), для мониторинга за внутренней сетью; Внутри мы можем использовать следующее: - персональные брандмауэры; - антивирусное ПО; - укрепление операционной системы; - управление конфигурацией; - аудиты.
Пакетная Филтрация n Пакетная фильтрация – одно из самых старых и наиболее распространенных средств управления доступом к сети. Идея пакетной фильтрации проста: установить, разрешено ли данному пакету вводить в сеть либо выходить из нее. Для этого анализируются некоторые идентифицирующие данные, размещенные в заголовке пакета. Технология пакетной фильтрации применяется в операционных системах, программных и аппаратных брандмауэрах, а также в большинстве маршрутизаторов.
n n Маршрутизатор Cisco в качестве пакетного фильтра На данный момент Cisco ACL представляет собой один из наиболее доступных пакетных фильтров. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом (access control list, ACL). ACL представляет собой длинный список всех элементов, которые маршрутизатор должен просматривать в заголовках пакетов для принятия решения относительно разрешения или запрета доступа пакету к сегменту сети. Эта процедура лежит в основе управления трафиком маршрутизатора Cisco.
n n n Cisco ACL – это просто средство фильтрации трафика, проходящего через ваш маршрутизатор. Его можно представить двумя основными синтаксическими типами: пронумерованными и именованными списками, он выполняет функции нескольких типов фильтрации, включая стандартную, расширенную и рефлексивную, которые мы рассмотрим далее в этой главе. Пронумерованные списки доступа вводятся в следующем формате: access-list <number> <criteria>
n n n Именованные списки используют следующий формат: ip access-list <type> <name> где код <type> указывает на тип списка — стандартный (standard), расширенный (extended) и т. д. . Код <name> представляет уникальное имя списка. Это позволяет сделать список более идентифицируемым. Например, "dnsinbound" может дать более наглядное представление о списке, чем "133".
n n n Порядок формулировки правил Многие списки доступа, демонстрируемые в качестве примера в этом тексте, являются запрещающими списками и показывают, как заблокировать определенный адрес или порт. Однако вследствие концепции, называемой неявным запретом, при переносе такого списка в ненастроенный маршрутизатор произойдет блокирование всего трафика! Неявный запрет осуществляется при добавлении в интерфейс маршрутизатора Cisco хотя бы одного списка доступа. Маршрутизатор прекращает выполнение своей обычной функции продвижения данных, и вместо этого начинает сравнивать все поступающие пакеты с новым добавленным списком доступа. Если трафик не соответствует примененному списку (-ам), он отбрасывается. Добавление одного простого списка доступа в корне меняет поведение маршрутизатора. Будут разрешены только те пакеты, которые совпадают с добавленным списком доступа. При добавлении нескольких правил ситуация усложняется. Поскольку обработка правил производится по списку сверху вниз, а пакет, который необходимо пропустить или запретить в соответствии с одним правилом, будет отброшен или пропущен в сеть, возникает необходимость в обязательном размещении некоторых фильтров перед общими фильтрами. В противном случае более общее правило может пропустить пакет, для которого у вас далее по списку специально сформулировано правило запрета. Когда пакет "соответствует" правилу, он немедленно отбрасывается (если это запрещающее правило) или продвигается далее (если это разрешающее правило) без проверки оставшимися правилами в списке доступа. При планировании порядка формулировки правил в списке доступа необходимо быть очень осторожным. Следует заблаговременно и очень тщательно готовить и проверять полный список правил доступа. Небрежное добавление правил – верный путь к неприятностям. Примечание Возьмите себе за правило составлять списки доступа для вашего маршрутизатора Cisco под девизом "разрешить все, что мне нужно", а не "запретить все, что мне не нужно".
n n n n Основы Cisco IOS Прежде чем перейти к подробностям синтаксиса списков доступа Cisco, нам следует рассмотреть интерфейс настройки маршрутизаторов Cisco. Существует несколько способов доступа к маршрутизаторам. Доступ к ним может быть осуществлен с помощью последовательного соединения к порту консоли на задней панели маршрутизатора, посредством сеанса Telnet, или же — в самых современных моделях — через web-браузер. После того как вам удастся осуществить доступ к маршрутизатору, войти в режим конфигурирования будет относительно просто. 1. Первым делом вы получите стандартное приглашение (обозначенное символом >) routername>. 2. Прежде чем войти в режим конфигурирования, вам необходимо инициировать режим разрешения. Введите enable и нажмите клавишу Enter. Вам будет предложено ввести пароль. После ввода пароля вы войдете в режим разрешения, который определяется приглашением routername# (обозначенный символом диез (#)). 3. Теперь необходимо инициировать режим конфигурирования терминала. Вы можете это сделать, введя config t (сокращение от configure terminal – конфигурирование терминала) и нажав Enter. Вы увидите приглашение глобального конфигурирования: routername(config)#. Отсюда можно вводить команды глобального конфигурирования, включая и списки доступа. 4. Из режима глобального конфигурирования вы можете инициировать режим конфигурирования интерфейса, введя int s 1, где int означает интерфейс, а s 1 – имя интерфейса (в нашем случае serial 1). Этот формат переносится и в интерфейсы Ethernet (е 0, е 1 и так далее), а также в другие типы интерфейсов. Ввод команды интерфейса изменяет приглашение на приглашение конфигурирования интерфейса: routername(config-if)#. Отсюда вы можете вводить команды, связанные с интерфейсом, и с помощью команды accessgroup применять списки доступа к индивидуальным интерфейсам. 5. Выход из любого уровня конфигурирования допускается с помощью команды exit. Полный выход из режима конфигурирования из любого уровня осуществляется путем нажатия Ctrl+Z. Выход из режима enable осуществляется с помощью команды disable.
n n Синтаксис для стандартного списка доступа следующий: access-list <list number 1 -99> <permit|deny> <source address> <mask> <log>
n n Предварительно составленный список доступа вводится в режиме глобальной конфигурации и с помощью оператора access-group может быть применен к интерфейсу в режиме конфигурирования интерфейса. ip access-group <list number> <in|out>
n n n router(config)#access-list 11 deny 190. 0 0. 0. 0. 255 Следующая команда применит список доступа к интерфейсу serial 1: router(config-if)#ip access group 11 in
n n n Пояснения к применению шаблонов Шаблоны являются одним из тяжело воспринимаемых элементов в синтаксисе Cisco ACL. Рассмотрим следующий пример: access-list 12 permit 192. 168. 1. 0 0. 0. 0. 255 В данном случае 0. 0. 0. 255 является шаблоном. Она обратна маске подсети и представляет собой часть диапазона IP-адресов для фильтрации всего трафика. Нули означают "Проверять эту часть адреса", а единицы означают "Игнорировать при проверке эту часть адреса ". Итак, предположим, что поступает пакет с адресом источника 192. 168. 2. 27. Поскольку в первом октете в шаблоне стоит ноль, маршрутизатор сравнивает первый октет поступающего пакета со значением 192, которое указано в списке доступа. В нашем случае они являются одинаковыми, поэтому маршрутизатор переходит ко второму октету в шаблоне, в котором также стоит ноль. И здесь второй октет в адресе источника поступающего пакета сравнивается со значением 168. Поскольку они совпадают, маршрутизатор переходит к третьему октету. Так как шаблон определяет ноль и в третьем октете, он переходит к проверке адреса, но по причине несоответствия значения в третьем октете пакет отбрасывается. Продолжая пример, рассмотрим четвертый октет, даже если на самом деле пакет на этой стадии уже отброшен. Значение в четвертом октете шаблона равно 255. В двоичной системе оно эквивалентно 1111. В нашем примере значение 0 в списке доступа не соответствует значению 27 сравниваемого пакета; тем не менее, поскольку групповой символ требует от нас игнорирования этого октета, список доступа разрешает прохождение пакета (полагая, что он прошел проверку предыдущего октета). Идея со значением группового символа, связанного со всем октетом, может показаться довольно простой, однако она таит в себе неприятный сюрприз на тот случай, когда вам потребуется иметь дело с диапазоном адресов меньше 255. Дело в том, что маршрутизатор будет тестировать не октет за октетом, а бит за битом по каждому из октетов.
n n n А если вам потребуется разрешить трафик, поступающий только от систем с диапазоном адресов 192. 168. 1. 16 -192. 168. 1. 31? Первые три октета группового символа простые: 0. 0. 0. Сложным окажется последний октет. Настало время доставать свой карманный калькулятор, поддерживающий двоичную систему. В двоичной системе число 16 будет выглядеть как 0001 0000. Теперь преобразуем число 31 – получится 0001 1111. Различие между этими двумя двоичными значениями заключено в последних четырех битах. Таким образом, значения между 16 и 31 находятся в диапазоне 10000 -11111. Чтобы разрешить эти значения вам необходимо проставить нули в маске группового символа в тех частях, которые должны соответствовать в точности, а единицы для двоичных значений, которые будут изменяться. Поскольку последние четыре бита представляют только те биты, которые будут изменяться в необходимом диапазоне, в маске группового символа на месте этих битов будут единицы. В двоичной системе наша маска группового символа будет выглядеть следующим образом: 00000000. 00001111 С помощью нашего двоичного калькулятора получаем: 0. 0. 0. 15. Этот шаблон работает для любого диапазона 15 адресов, которые вы сравниваете, поэтому для того чтобы он работал для 16 -31, необходимо правильно указать диапазон в части IP-адреса списка доступа. Окончательный список доступа у вас будет выглядеть следующим образом: access-list 10 permit 192. 168. 1. 16 0. 0. 0. 15 Шаблон всегда содержит нули и единицы без разделения между ними, как в примере, приведенном ранее. В некоторых случаях потребуется несколько операторов ACL и шаблон, охватывающий диапазон сетевых адресов. Например, если вам понадобится заблокировать адреса из диапазона 232 -255, вам необходимо будет выполнить следующие две команды: access-list 110 deny ip 192. 168. 1. 232 0. 0. 0. 7 any для блокировки диапазона 232 -239. Кроме этого, понадобится и другая команда: access-list 110 deny ip 192. 168. 1. 240 0. 0. 0. 15 any для блокировки диапазона 240 -255.
n n n Организация черного списка: блокировка определенных адресов router(config)#access-list 11 deny 192. 168. 1. 0 0. 0. 0. 255 router(config-ip)# ip access-ground 11 in
Фильтрация входящего трафика n n router(config)# access-list 11 deny 201. 0 0. 0. 0. 255 router(config)# access-list 111 permit tcp any established
Фильтрация исходящего трафика (Позор тем сайтам, которые не фильтруют исходящий трафик). n n router(config)#access-list 11 permit 192. 168. 1. 0 0. 0. 0. 255 router(config)#access-list 11 deny 192. 168. 100. 7 0. 0 router(config)#access-list 11 permit 192. 168. 100. 0. 0. 255 Пакеты данного хоста будут отфильтрованы до правила, разрешающего всем остальным системам в сети 192. 168. 100 вход в маршрутизатор
n n Регистрация отброшенного трафика При создании списков доступа маршрутизатора Cisco один из наиболее существенных недостатков в использовании ключевого слова log заключается в том, что регистрация события осуществляется лишь в случае полного соответствия правилу. Поэтому если правило является правилом разрешения, то вы теряете чрезвычайно важную информацию о том, каким пакетам было отказано в доступе. Чтобы проследить трафик, который был отфильтрован посредством неявного запрета, добавьте список управления доступом "deny any" с ключевым словом log (как показано в примере, приведенном в конце примечания) в самый конец списка. В функциональном плане команда deny any log выполняет то же, что может сделать неявный запрет, однако она упрощает регистрацию отклоненного трафика. Хорошим применением этой идеи является отслеживание аномального трафика, который был отфильтрован посредством неявного запрета в конце списка доступа фильтра исходящих пакетов. Использование этого метода позволяет отслеживать весь исходящий трафик, имеющий адрес источника, отличный от адреса вашей сети. Вот как можно заставить маршрутизатор регистрировать заблокированный трафик: access-list 11 deny any log
Политика Безопасности n n ***Запретить все, за исключением того, что разрешено частным образом. ***Разрешить все, за исключением того, что запрещено частным образом. Звучит здорово, но фальшиво. На самом деле существует одна политика: ***Запретить все, за исключением того, что разрешено частным образом, или того, что будет получено в любом случае.
Скачать презентацию Базовые средства защиты сетевого периметра Бизнес-приложения ценность
L10_без_аним.ppt