Лекция Сетевая безопасность. План защиты

Вид материала

Лекция

Содержание Лекция 14. Проектирование защиты Web-сервера. Входящие звонки

Подобный материал:

• Лекция (4 учебных часа – 2 ч 40 мин) Сетевая безопасность, 592.19kb.
• Безопасность Windows, 757.83kb.
• Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
• План мероприятий по обеспечению защиты пдн На листах, 107.13kb.
• К рабочей программе учебной дисциплины «Программно-аппаратные средства защиты информации», 24.23kb.
• Кыргызко-турецкий университет “манас” силлабус, 117.92kb.
• Грачев Г. В. Информационно-психологическая безопасность личности: состояние и возможности, 1891.38kb.
• Вопросы для подготовки к экзамену по дисциплине «Безопасность и управление доступом, 54.31kb.
• Главы Администрации Ростовской области от 17. 04. 1997 n 170 "О проведении Дней защиты, 74.25kb.
• Протокол заседания Правления, 266.1kb.

Лекция 13. Защита беспроводных сетей.

Под беспроводной сетью будем понимать такую сеть, в которой есть хотя бы один сегмент, соединяющий два и более беспроводных устройства по радиоканалу стандарта 802.11. Топологически такие сети можно разделить на два вида: с точкой доступа (через сервер с радиоустройством, одновременно подключенный к радиосети), ad hoc (клиенты взаимодействуют напрямую без точки доступа).

Рассмотрим беспроводную сеть с точкой доступа, реализованная по любому коммерческому стандарту 802.11 (a, b, g, i), кроме 802.1х. Вне зависимости от количества точек доступа беспроводной сетевой сегмент идентифицируется единственным идентификатором (SSID). Существуют три встроенных механизма безопасности для защиты беспроводных сетей: проверка подлинности, шифрование, WPA.

Подлинность проверяется двумя механизмами: открытой проверкой (на точке доступа задаются ограничения MAC-адресов беспроводных сетевых устройств), закрытым ключом (пользователям беспроводной сети сообщается пароль, который они вводят вручную при установке соединения).

Шифрование в беспроводных сетях осуществляется по алгоритму RC4. Шифрование поддерживает два вида ключей: глобальный и сеансовый. Глобальный ключ применяется для защиты группового и широковещательного исходящего трафика точки доступа, а сеансовый ключ – для одноадресного исходящего трафика точки доступа, а также группового и широковещательного входящего трафика точки доступа. Оба типа ключей распространяются между клиентами сети и вводятся вручную.

WPA обеспечивает улучшенное шифрование по протоколу TKIP, который контролирует и целостность данных. Проверка подлинности проверяется протоколом IAP.

Через беспроводные сети могут осуществляться следующие виды атак:

• перехват трафика,
  
• взлом адресов протокола ARP,
  
• атаки вирусов, попавших в сеть с компьютера взломщика,
  
• перенаправления (в данном случае осуществляется взлом на уровне SSL. Взломщик подделывает MAC-адрес точки доступа и направляет пользователю запрос на прием удостоверений нового сервера, подконтрольного ему.),
  
• несанкционированные подключения (к любой беспроводной сети можно подключить, приблизившись на достаточное расстояние. При использовании открытой системы идентификации любой может получить доступ к корпоративной сети.),
  
• подключение несанкционированных точек доступа (пользователи могут сами установить необходимое оборудование, не включив на нем защитных механизмов), перегрузка сети (атака типа DoS),
  
• радиопомехи.
  

Чтобы усилить защиту беспроводной сети следует:

• изменить заводской SSID,
  
• отключить широковещательную рассылку SSID,
  
• необходимо использовать шифрование с уникальными ключами,
  
• защитить протокол SSNP (изменить сообщество для этого протокола, заданное по умолчанию, продумать защиту от PROTOS),
  
• использовать фильтрацию MAC-адресов, установив в списке допустимых беспроводных клиентов,
  
• совместно со службой безопасности предприятия нужно бороться с установкой несанкционированных точек доступа (необходимо проверять какое оборудование вносят на предприятие и обнаруживать точки доступа с помощью SSNP-агентов.
  

Безусловно необходимо уделить внимание выбору и установке антенн у точек доступа. По возможности нужно использовать антенны направленного действия или передатчики с малым радиусом действия, чтобы не расширять территориальных границ беспроводной сети. Целесообразно считать точку доступа частью демилитаризованной зоны или сети, не пользующейся доверием. Поэтому рекомендуется отделять точки доступа от проводных сетей брандмауэром.

Качественным скачком в безопасности беспроводных сетей является стандарт 802.1х. Он позволяет использовать максимально безопасную проверку подлинности беспроводных клиентов и осуществлять безопасную шифрованную передачу данных. В этом стандарте для шифрования используются динамические ключи, которые не нужно устанавливать вручную. Однако для внедрения данного стандарта необходимо три вещи:

1. для аутентификации клиентов беспроводной сети необходимо настраивать RADIUS-сервер со специальной политикой удаленного доступа для беспроводных сетей;
   
2. в организации должна быть внедрена система Открытых ключей, т.к. для проверки подлинности стандарт 802.1х использует протокол EAP-TLS;
   
3. точку доступа можно организовать только под WS2003, а беспроводные клиенты должны управляться Windows XP SP1 или выше.
   

Таким образом, внедрение RADIUS-сервера может потребовать коренного изменения топологии корпоративной сети. Внедрение системы Открытых ключей потребует либо развертывание собственной иерархии центров сертификации, или приобретение сертификатов у сторонних фирм. Внедрение стандарта 802.1х обеспечивает максимальный уровень защиты беспроводной сети, но требует большой административной настройки и финансовых затрат.

^ Лекция 14. Проектирование защиты Web-сервера.

Web-сервера в корпоративных сетях часто становятся первым объектом для атаки, потому как они доступны не только внутренним пользователям, но и из внешнего Интернета. Поэтому нужно уделять особое внимание проектированию их защиты. Во-первых, нужно стараться, чтобы Web-сервер не выполнял никаких других серверных ролей, в полном объеме использовать принцип наименьших привилегий, и использовать на этом сервере только необходимые приложения и службы.

В дальнейшем рассмотрим базовые принципы защиты Web-сервера под управлением WS2003, созданного на базе технологии IIS 6.0. Для того чтобы свести к минимуму возможность атаки Web-сервера необходимо отключить ряд служб операционной системы, в частности:

• службу автоматического обновления и BITC (обновление может вызвать перебои в работе системы, а отключение Web-сервера недопустимо также как сбой контроллера домена. Для обновления Web-серверов рекомендуется использовать специальные механизмы, а не указанные службы),
  
• службу удаленного управления реестром,
  
• службу терминалов (с точки зрения удаленного администрирования эту службу не стоит отключать полностью, необходимо не устанавливать ее в режиме приложений),
  
• SMTP (если Web-сервер не предполагается использовать для управления почтовой рассылкой, эту службу нужно отключить).
  

Отключение указанных служб позволит сократить количество открытых портов в системе и уменьшить количество работающих процессов, что, в общем, повысит уровень безопасности сервера. Аналогичных рекомендаций нужно придерживаться при выборе наполнения самой службы IIS.

Необходимо ограничить набор функций, устанавливаемых на Web-сервер по умолчанию. Например, если Web-сервер не выполняет других серверных ролей, то можно не устанавливать консоль Сервер приложений (ее заменит Диспетчер IIS, а если администрировать Web-сервер предполагается удаленно, можно не устанавливать и его). Если на сервере нет распределенных приложений, можно не устанавливать Поддержку объектов COM+. Таким образом, однозначно установленными и включенными должны быть: служба Интернета и служба доступа к общим файлам..

Для ограничения доступа к размещенным на сервере Web-сайтам и прочим ресурсам можно ограничивать по IP-адресам и доменным именам. Это актуально для пользователей беспроводных сетей, которым, вполне возможно, потребуется запретить доступ к корпоративному сайту. При проектировании Web-сайта необходимо пользоваться следующими рекомендациями:

1. содержимое Web-сервера нужно хранить на диске отдельно от системного диска (это предотвратит атаку directory traversal);
   
2. настроить разрешения участников безопасности на доступ к корневому Web-каталогу;
   
3. размещать папки Web-сайтов в папках верхнего уровня;
   
4. размещать каждый Web-сайт в отдельном каталоге;
   
5. если для доступа к Web-сайту используются анонимные учетные записи, необходимо ограничить их доступ к другим частям сервера (это же касается всех учетных записей);
   
6. согласовать разрешения на доступ к файлам и папкам с разрешениями на доступ через Web.
   

Из последнего элемента списка следует, что при определении действующих разрешений для пользователя при доступе к Web-сайтам используются не только разрешения файловой системы NTFS (на томе которой расположен сайт), но и Web-разрешения. Как и при доступе к общим папкам действуют самые жесткие разрешения из пересечений разрешений указанных двух видов.

Данные Web-сервера также нуждаются в защите при передаче. В зависимости от типа канала их можно защищать с помощью SSL, IPSec, VPN. SSL использует сертификаты для аутентификации и шифрования данных, передаваемых между клиентами сервера. Если в организации внедрена система Открытых ключей, SSL рекомендуется для защиты клиент-серверных приложений (например, взаимодействие между SQL Server и IIS) или для создания прямого туннеля между IIS-сервером и брандмауэром, который будет передавать Web-данные клиенту. Для защиты канала связи, который использует администратор для управления Web-сервером, применяют IPSec. В случае если корпоративная сеть имеет несколько географически удаленных сегментов с распределенными по ним web-серверами для доступа к корпоративным клиентов к web-серверу компании выгодно использовать VPN. В этом случае можно будет организовать аутентификацию пользователей средствами активного каталога и безопасную передачу данных через туннель.

Технологии IIS поддерживают несколько методов аутентификации пользователей:

1. анонимная (доступ осуществляется без паролей и логина, доступ к сайтам осуществляется на основании разрешений NTFS и web-разрешений для учетной записи пользователя, с реквизитами которой он вошел в домен. Разрешение анонимного доступа проверяются первыми, даже если для web-сайта выбраны другие методы аутентификации);
   
2. встроенная проверка Windows (не поддерживается через прокси-сервер, основана на обмене данными по протоколу NTNL);
   
3. краткая проверка Windows (требует от пользователя логии и пароль, которые передаются серверу в зашифрованном виде по протоколу MD5);
   
4. базовая (требует логин и пароль, передаваемый по сети открытым текстом);
   
5. проверка с использованием паспорта .NET (используются реквизиты действующей учетной записи паспорта .NET).
   

В случае если для сайта назначены несколько методов аутентификации, IIS выберет самый защищенный. Однако если в числе прочих выбран анонимный доступ, он будет использоваться в первую очередь, а если выбрана аутентификация по паспорту .NET, другие методы будут недоступны.

Если Web-сервис требует надежной аутентификации, можно настроить службы IIS на использование сертификатов. Службы IIS имеют собственные хранилища сертификатов. Каждый Web-сайт располагает собственным списком доверенных сертификатов. Поэтому при использовании системы открытых ключей для доступа к web-сайту, для каждого из размещенных на сервере сайтов необходимо устанавливать свои сертификаты и управлять их списками отдельно. А вот список отозванных сертификатов в IIS общий.

В случае если доступ к Web-сайту осуществляется посредством VPN или по коммутируемой линии, для аутентификации применяют технологию RADIUS. При использовании этой технологии нужно пользоваться следующими рекомендациями:

1. в свойствах учетных записей пользователей на вкладке ^ Входящие звонки необходимо настроить управление подключением на основе политики удаленного доступа;
   
2. для доступа к Web-сайтам спроектировать специальные группы безопасности в зависимости от ролей пользователей;
   
3. для разработанных групп создать политики удаленного доступа;
   
4. необходимо шифровать данные, которыми обмениваются клиенты и сервис RADIUS;
   
5. необходимо вести анализ журналов безопасности сервиса RADIUS.
   

Мониторинг web-сервера должен быть основан на базовых принципах мониторинга производительности и безопасности для серверов. Количество записей в журнале безопасности на этом сервере, как и на любом другом, зависит от его загруженности и действующей политики аудита. Однако необходимо учесть, что служба IIS ведет собственные файлы журналов, для работы с которыми встроенной группе SYSTEM необходимо дать Полный доступ, Администраторам – разрешение на чтение, изменение и удаление, а группе Все полностью запретить доступ.