Безопасность корпоративных сетей
Отчет по практике - Компьютеры, программирование
Другие отчеты по практике по предмету Компьютеры, программирование
?вых, это может быть дизайн основной сети предприятия, которая имеет соединения с другими офисами подобных предприятий. Например, крупное юридическое агентство может построить главную сеть на основе дизайна среднего предприятия, а сети филиалов - на основе малого. Во-вторых, дизайн может быть разработан как сеть филиала, т. е. как часть сети крупного предприятия. В этом случае примером может служить крупная автомобильная компания, где дизайн крупной сети используется в штаб-квартирах, а для прочих подразделений - от филиалов до удаленных работников - применяются дизайны средних и малых предприятий.с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:
безопасность и борьба с атаками на основе политики;
внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);
безопасное управление и отчетность;
аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;
обнаружение атак на критически важные ресурсы и подсети;
поддержка новых сетевых приложений.
Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети - и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система обеспечения сетевой безопасности.
Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде. Тем не менее, на всем протяжении этого документа мы рассматриваем возможности ограничения сложности дизайна.
Принцип модульности
Хотя по мере роста требований большинство сетей развивается, архитектура SAFE использует открытый модульный подход. Такой подход имеет два основных преимущества: во-первых, он описывает дизайн с точки зрения защиты взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщику оценивать защищенность каждого модуля по отдельности, а не только всей системы в целом. Защищенный дизайн каждого модуля можно описать и реализовать по отдельности, а оценить в рамках всей системы.
Хотя многие сети нельзя четко разграничить на отдельные модули, такой подход дает ориентиры при внедрении в сети функций защиты. Сетевым инженерам не предлагается строить свои сети в строгом соответствии с SAFE, но рекомендуется комбинировать описанные здесь модули и использовать их в имеющихся сетях. На рисунке 3 показан первый уровень модульности SAFE. Каждый блок представляет определенную функциональную зону.
Рисунок 3 - Первый уровень модульности
Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общую схему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности.
Второй уровень модульности, показанный на рисунке 4, демонстрирует модули в каждой функциональной области. Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного модуля на схеме не обязательно соответствует его масштабу в реальной сети. Так, например, "модуль здания", представляющий устройства конечных пользователей, может включать в себя до 80% всех сетевых устройств. Дизайн безопасности каждого модуля описывается отдельно, но проверяется в комплексе, т. е. в составе всей корпоративной системы.
Рисунок 4 - Блок схема корпоративной системы SAFE
Хотя большинство существующих корпоративных сетей нелегко разделить на отдельные модули, этот подход позволяет реализовать разные функции безопасности по всей сети. Авторы не думают, что сетевые инженеры будут проектировать сети, идентичные схеме SAFE. Скорее всего они будут пользоваться сочетанием описанных модулей, интегрированных в существующую сеть.
Цель - маршрутизаторы
Маршрутизаторы контролируют доступ из любой сети к любой сети. Они рекламируют сети и определяют тех, кто может получать к ним доступ. Поэтому потенциально маршрутизатор - это "лучший друг хакера". Безопасность маршрутизаторов является критически важным элементом любой системы сетевой безопасности. Основной функцией маршрутизаторов является предоставление доступа, и поэтому маршрутизаторы нужно обязательно защищать,