Лекция Сетевая безопасность. План защиты
Вид материала | Лекция |
- Лекция (4 учебных часа – 2 ч 40 мин) Сетевая безопасность, 592.19kb.
- Безопасность Windows, 757.83kb.
- Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
- План мероприятий по обеспечению защиты пдн На листах, 107.13kb.
- К рабочей программе учебной дисциплины «Программно-аппаратные средства защиты информации», 24.23kb.
- Кыргызко-турецкий университет “манас” силлабус, 117.92kb.
- Грачев Г. В. Информационно-психологическая безопасность личности: состояние и возможности, 1891.38kb.
- Вопросы для подготовки к экзамену по дисциплине «Безопасность и управление доступом, 54.31kb.
- Главы Администрации Ростовской области от 17. 04. 1997 n 170 "О проведении Дней защиты, 74.25kb.
- Протокол заседания Правления, 266.1kb.
Лекция 1. Сетевая безопасность. План защиты.
Независимо от объема компьютерной сети проблема защиты информации и общей сетевой безопасности никогда не потеряет своей актуальности по той причине, что термин сетевая безопасность включает в себя не только процедуры защиты информации от хищения или изменения, но и, главным образом, комплекс мероприятий по предотвращению в сети всевозможных сбоев. Таким образом, специалист по сетевой безопасности должен владеть не только инструментами по безопасному хранению и передаче информации, но и адекватно реагировать на системные сбои.
Как и в любом проекте, при разработке системы безопасности сетевой инфраструктуры необходимо руководствоваться известным принципом «цель оправдывает средства». При чем этот принцип необходимо учитывать со всех сторон. То есть при разработке системы сетевой безопасности необходимо четко определить цель – защитить автоматические бизнес-процессы, протекающие на предприятии и, во-вторых, выбрать для решения этой задачи адекватные средства. Для этого необходимо определить требования руководства предприятия к защите сети в форме единого документа. В дальнейшем единый документ, согласованный сторонами, должен быть дополнен планом выполнения поставленных задач. Анализ поставленных руководством требований к безопасности сети необходимо проводить, учитывая следующие факторы:
- сметная стоимость проекта (успешная реализация любого проекта, в т.ч. связанного с обеспечение сетевой инфраструктуры зависит от реальных финансовых возможностей предприятия);
- соответствие системы безопасности требованиям закона (зачастую данные определенного типа и методы работы с ними подчинены законодательному регулированию, например, личные данные работников; необходимо, чтобы проектируемая система безопасности отвечала государственным стандартам по работе с данными);
- принцип совместимости (проект должен реализовываться «малой кровью» с максимальным использованием возможностей уже имеющихся на предприятии систем);
- принцип масштабируемости (при разработке системы безопасности всегда необходимо учитывать возможный в будущем рост корпоративной сети);
- принцип удобства сопровождения (система документирования является одной из основных частей безопасности, поэтому возможность эффективной поддержки системы должна быть «поставлена во главу угла»);
- удобство работы конечных пользователей (в случае если система безопасности сети внедряется на предприятии управленческим решением, то, как правило, это вызывает негативную реакцию со стороны конечных пользователей в силу того, что им приходится отказываться от выработанных привычек при работе с сетью; негативное отношение персонала может свести на нет всю проделанную работу, поэтому при разработке и внедрении систем защиты корпоративной сети с пользователями необходимо вести разъяснительную работу).
Таким образом, очевидна необходимость проведения аудита уже имеющихся на предприятии систем, опрос конечных пользователей системы и интервьюирование руководства предприятия для того, чтобы анализ адекватности системы безопасности корпоративной сети можно было успешно завершить. Результатом проведенного анализа должен стать комплект документов, содержащий описание аппаратных и программных средств, используемых в корпоративной сети, описание автоматизированных бизнес-процессов, которые необходимо защитить, классификацию информации, используемой организацией, характеристику рисков используемой системы и описание влияния сотрудников на автоматизированную систему. Необходимо выяснить для чего используются те или иные данные, каков будет ущерб от ошибок или нехватки данных, а также определить степень конфиденциальности той или иной информации, поскольку данные разных типов требуют разной степени защиты. В данном случае цена ошибки или угрозы определяет количество затрат на защиту данных от этих ошибок и угроз.
Не нужно забывать, что одним из самых уязвимых мест в автоматизированной системе является человек. При разработке системы безопасности для последующего разграничения прав доступа к ресурсам и полномочий на действия в корпоративной сети необходимо иметь структурную схему предприятия и связанную с ней схему прав и полномочий сотрудников с выделением границ безопасности.
План защиты сети должен состоять из следующих структурных элементов:
- описание способов профилактики и устранения последствий атак на корпоративную сеть;
- применяемые базовые принципы защиты информации;
- методы моделирования угроз;
- описание ответных действий при атаке;
- описание процедуры аварийного восстановления;
- описание сетевых сегментов.
В этой связи под базовыми принципами защиты информации необходимо понимать следующее:
- принцип открытости системы (использование общепринятых стандартизированных алгоритмов зачастую гораздо лучше и эффективнее, чем использование малоизвестных или самостоятельно разработанных защитных алгоритмов);
- принцип простоты (при взаимодействии с конечным пользователем система защиты должна быть простой, чтобы не создать путаницу; сложные механизмы должны быть отделены от пользователя);
- принцип минимальной уязвимости (в случае если нужно защитить информацию от копирования, нужно просто снять с системных блоков пишущие устройства, а не применять сложных прав доступа к ним);
- принцип наименьших привилегий (по умолчанию все порты и доступ к файлам для пользователей закрыты, сами пользователи разделены на группы и получают минимальных набор прав, необходимый для выполнения их производственных функций);
- принцип контроля (всегда необходимо контролировать состояние системы, поддерживая ее техническое состояние на актуальном уровне, при этом также необходимо контролировать поведение администратора системы с помощью аудита, не забывая, что человек является слабым звеном в системе).
При разработке плана защиты около 30 процентов времени необходимо выделять моделированию угроз. В конечном итоге это снизит риск уязвимости системы. Процесс моделирования угроз необходимо проводить следующим образом:
- сформировать команду по моделированию (в нее должны входить специалисты, имеющие опыт работы с внедряемым оборудованием и программным обеспечением);
- использовать данные анализа, проведенного на предыдущих этапах построения концептуального плана защиты (на этой стадии выявляются недостатки собранной и разработанной к данному моменту документации);
- поиск угроз (обсуждаются и прорабатываются все высказанные варианты атак с указанием степени их опасности и разработкой плана реакции на каждую из угроз);
- выбор механизмов и методов предотвращения смоделированных угроз (при выборе технических средств необходимо учитывать их совместимость с уже имеющимися в корпоративной сети устройствами и программами. После проведения аудита имеющихся систем необходимо иметь список их технических ограничений для того, чтобы можно было в полной мере использовать возможности нового оборудования и программ и во избежание конфликтов новых систем с уже имеющимися).
После выбора технических средств реализации системы безопасности необходимо позаботиться о трех важных аспектах, два из которых являются техническими (спланировать процедуры восстановления и обсудить возможность сегментирования сети), а третий – психологический (это публичная реакция на атаку корпоративной сети).
Разделение сети на обособленные сегменты должно обеспечивать соответствие ее физической и логической инфраструктур. Компьютеры, выполняющие сходные задачи должны объединяться в группы. Разным группам компьютеров в зависимости от их задач требуется разная степень защиты, реализуемая разными механизмами. Сегментированная сеть понятнее в администрировании, т.к. разные администраторы четко знают пределы своей ответственности.
Процедуры экстренного восстановления нельзя сбрасывать со счетов, поскольку часто от скорости восстановления системы после сбоя зависит количество убытков организации. Поэтому при разработке плана защиты сети необходимо утвердить стратегию архивации, создать специальную группу администраторов, занимающихся восстановлением.
Что касается психологического аспекта, необходимо учесть, что активное внедрение в сознание пользователей информации о защите системы почти столь же эффективно, как и непосредственное наличие этой системы защиты. В случае обнаружения атаки на корпоративную сеть и ее успешного отражения, необходимо доводить информацию об этом до сведения сотрудников. Подобная информация остановит большинство внутренних атак на сеть, которые могли быть предприняты сотрудниками предприятия.
^ Лекция 2. Службы сертификации и их применение.
В концептуальном плане защиты корпоративной сети предприятия необходимо уделять внимание многим аспектам, в том числе защите логической и физической инфраструктуры сети в отдельности, и этим двум элементам в совокупности. Под логической инфраструктурой сети, как правило, понимают набор программных компонент, использующихся в сети и обеспечивающих ее функционирование. Основными элементами, требующими защиты в данном случае, является целостность данных и возможность контроля данных об отправителе в момент их приема. Решить обе эти задачи возможно с помощью механизма электронной цифровой подписи (ЭЦП). Определенные значения, используемые в этом механизме хэш-функции, говорят о том, изменялись ли данные с момента их создания и кем были проведены данные изменения.
В Windows Server 2003 реализовать механизм ЭЦП можно с помощью служб сертификации. Сертификаты являются одним из элементов системы Открытых ключей (PKI). Эта система позволяет контролировать не только целостность информации и аутентифицировать отправителя и получателя, но и обеспечивает конфиденциальность информации с помощью шифрования. Рекомендация по использованию PKI одна - ее нужно использовать при любой возможности (для опознавания пользователей, компьютеров, шифрования данных, при передаче их по VPN и пр.).
Может показаться, что PKI – панацея от несанкционированного доступа к данным. В действительности имеется ряд трудностей при внедрении этой системы на предприятии в эксплуатацию: сложная техническая настройка, дополнительное вложение на приобретение лицензии и необходимость постоянного аудита сбоев. В случае если для компании перечисленные аспекты не представляют трудностей, система Открытых ключей и цифровых сертификатов будет представлять собой мощнейшую систему защиты информации.
Система ^ Открытых ключей состоит из центров сертификации (ЦС), выстроенных в иерархическую структуру; политики применения сертификатов; собственно цифровых сертификатов.
^ Центр сертификации – это служба, отвечающая за выдачу сертификатов пользователям, компьютерам или организациям. Каждый сервер под управлением WS2003 может выполнять роль ЦС. С точки зрения серверной роли ЦС может быть корневым или подчиненным. Корневой ЦС сам себе выдает сертификат, а подчиненный получает его от другого ЦС (не обязательно от корневого). Центры сертификации могут интегрироваться в домен, а могут быть изолированными от домена. ЦС могут выстраиваться в многоуровневую иерархию, на вершине которой находится корневой ЦС, выдающий сертификаты центрам сертификации первого уровня. Центры сертификации первого уровня выдают сертификаты центрам сертификации второго уровня. Последние выдают сертификаты конечным пользователям, компьютерам и службам. Данная иерархия является трехуровневой. В этом случае ЦС второго уровня называются промежуточными, а ЦС третьего уровня – выдающими. В зависимости от типа компании и структуры ее сети в иерархии ЦС может отсутствовать второй уровень. Но в любом случае, иерархия ЦС не должна иметь меньше двух уровней, т.к. если корневой ЦС будет выдавать сертификаты конечным пользователям, это снизит общую безопасность сети.
В зависимости от физического расположения ЦС иерархия этой структуры может быть: географической (корневой ЦС в главном офисе, выдающие – в филиалах; при этом промежуточные сервера могут быть размещены по одному для нескольких филиалов), организационной (корневой ЦС – в отделе управления, выдающие ЦС – в обособленных структурных подразделениях), комбинированной (для организации с географически удаленными филиалами, имеющие обособленные структурные подразделения).
В любом случае, при проектировании иерархии ЦС необходимо руководствоваться следующими рекомендациями:
- корневой ЦС не интегрировать в домен и не держать постоянно подключенным к сети;
- по возможности ограничить доступ к корневому ЦС, лучше держать его в закрытом сейфе и подключать к сети только по необходимости;
- по возможности разрешить выдающим ЦС выдачу сертификатов только отдельных типов (например, один сервер выдает сертификаты для смарт-карт, второй – для шифрования и т.д.).
^ Цифровой сертификат – это набор данных, позволяющий поставить открытый ключ с объектом, имеющим соответствующий закрытый ключ. В этом наборе содержатся следующие данные: имя владельца; имя ЦС, выдавшего сертификат; подпись ЦС, выдавшего сертификат; задачи, для которых используется сертификат и копия открытого ключа. Сертификаты могут выдаваться для следующих целей: для идентификации контроллера домена, для проверки подлинности сервера, для подписи сертификата и списка отозванных сертификатов, для шифрования в IPSec и для EFS.
Вне зависимости от задачи, для которой выдан сертификат, механизм проверки подлинности основан на механизме построения цепочки сертификатов, который включает в себя следующие шаги:
- ЦС подписывает все выданные им сертификаты своим закрытым ключом, а открытый ключ ЦС позволяет установить факт выдачи указанного сертификата данным ЦС (при наличии в иерархии только корневого ЦС все сертификаты указывают только на него; в двухуровневой иерархии открытый ключ выдающего ЦС используется для проверки подписи сертификата пользователя, а открытый ключ корневого ЦС – для проверки подписи сертификата выдающего ЦС; при трехуровневой иерархии в этой системе появляется еще одно дополнительное звено);
- Построенная на первом шаге цепочка сертификатов будет действительной, если она оканчивается на доверяемом корневой ЦС – таком ЦС, информация о котором присутствует в хранилище сертификатов компьютера, производящего проверку сертификата конечного пользователя;
- Если цепочку сертификатов не удается построить до доверяемого корневого ЦС, то ей (а значит и полученным данным) доверять нельзя. Однако надежность того или иного центра сертификации может быть подтверждена самим пользователем.
Если цепочка сертификатов разорвана, это значит, что, либо нет нужных данных в хранилище сертификатов компьютера, либо на каком-то шаге построения цепочки был обнаружен отозванный сертификат. Все отозванные сертификаты образуют так называемый список отзыва сертификатов (CRL).
Основная идея использования сертификатов в том, что на предприятии создается собственная система, позволяющая в любой момент отследить подлинность информации и участников безопасности. При использовании длинных шифровальных ключей эту систему практически невозможно взломать, однако пользователи должны доверять только той информации, которая имеет действительный сертификат, вся остальная информация и соединения автоматически отклоняются. Это значит, что необходимы механизмы для выдачи и контроля над актуальностью сертификатов.
Заявки на сертификаты можно подавать для самих центров сертификации и для конечного пользователя вручную или автоматически.
Заявка на сертификат для пользователя может быть подана через браузер или специальную оснастку Сертификаты. Заявка для ЦС формируется при его установке. В обоих случаях необходимо указывать ЦС, выдающий сертификат и цели его использования. В зависимости от настройки ЦС сертификат выдается либо сразу, либо после подтверждения заявки администратором, либо после того, как он сгенерирован на изолированном ЦС. В случае если заявка одобрена, сертификат помещается в хранилище сертификатов, на сервере запускаются службы сертификации, а клиенты могут осуществлять необходимые действия.
Если в системе ЦС настроены специальные шаблоны сертификатов возможна автоматическая подача заявок на них. Для этого администраторы ЦС должны настроить соответствующие политики распространения сертификатов на ЦС. Подача заявки заканчивается либо установкой сертификата, либо отказом в его выдаче. В любом случае до начала функционирования автоматической системы подачи заявок на сертификаты необходимо настроить процедуру распространения сертификата корневого ЦС через сведения о центрах сертификации в домене, и процедуру распространения CRL корневого ЦС.
При выдаче сертификата устанавливается срок его действия. После истечения этого срока выполнение задач, для которых был выдан сертификат, становится невозможным. В этом случае сертификат можно продлить путем направления нового запроса в ЦС. В случае если обновление сертификатов происходит автоматически, необходимо проверять подлинность подавшего заявку о продлении сертификата.
В зависимости от задач сертификаты могут действовать в течение пяти лет, но как правило, сертификаты выдаются на год. Однако в течение этого времени администратор может отозвать любой выданный ЦС сертификат и поместить информацию о нем в CRL. При этом необходимо учесть, что на центрах сертификации публикуются разностные CRL (содержащие информацию об отозванных сертификатах с момента опубликования полных CRL). Далеко не все приложения могут работать с разностными CRL. Поэтому администратору ЦС необходимо публиковать на соответствующих серверах полный CRL как можно чаще и следить за этой процедурой постоянно.
Размещение ЦС, политики подачи заявок и контроля отозванных сертификатов должны быть утверждены административным решением на предприятии. Неукоснительное следование этим решениям позволит клиентам корпоративной сети общаться только с доверенными пользователями и использовать неизмененную во время передачи информацию. Проектировщику системы безопасности при разработке указанных документов необходимо учитывать множество параметров как, то привилегии учетных записей пользователей на запрос сертификатов, сроки действия сертификатов, иерархию ЦС, методы кэширования CRL, время распространения информации по сети и пр. Хотя WS2003 предоставляет администратору консоли Центр сертификации и Сертификаты, упрощающие первичную настройку, проектированию системы открытых ключей на предприятии необходимо уделить не менее 25% рабочего времени и трудозатрат.
^ Лекция 3. Защитные экраны.
Защита границ корпоративной сети предприятия от внешних угроз, контроль входящего и исходящего Интернет трафика и маршрутизация внутри локальных подсетей являются важными элементами системы безопасности. С каждым разом угроза заражения данных вирусами и уровень хакерских атак на сеть возрастают, а нерадивые пользователи стремятся «обойти» установленные ограничения. Решить задачи по контролю маршрутизации пакетов можно с помощью профессиональных программных брандмауэров.
Одним из таких решений является ^ Microsoft Internet Security and Acceleration Server 2004 (ISA Server). Этот брандмауэр может контролировать сетевой трафик на пяти уровнях стека протоколов TCP/IP, кроме канального и физического уровней. Он способен контролировать не только заголовки пакетов, но и раскрывать их содержимое, анализировать скрытую информацию. Этой системой также, безусловно, поддерживается контроль адресов пакетов.
ISA Server можно использовать не только как внешний сетевой экран, с помощью которого корпоративная сеть отделяется от Интернета, но также и как контролер Интернет-трафика во внутренней сети. Также ISA Server можно использовать в качестве прокси. Он способен кэшировать содержимое внешних web-узлов. При этом их содержимое будет сохраняться в локальной сети. В случае повторного обращения пользователей к внешнему web-серверу ответ даст ISA Server компании, что существенно разгрузит внешний канал связи. Его кэш достаточно производителен, т.к. содержимое сохраняется не только на жестких дисках, но и в оперативной памяти сервера. При этом сам кэш представляет собой единый индексированный файл, что существенно ускоряет поиск нужной информации. Кэшировать объекты можно по расписанию.
Это полезно если клиенты корпоративной сети часто пользуются одним и тем же сайтом, информация на котором меняется. В этом случае ISA Server может загружать новую версию сайта раз в несколько минут, предоставляя пользователям максимально адекватную времени информацию. В случае если на предприятии используются несколько ISA Serverов, между ними можно распределить задачи по кэшированию.
Располагая ISA Server на границе корпоративной сети и внешнего Интернета, можно использовать его как брандмауэр. В этом случае внешний адрес присваивается только ISA Server, который проводит безопасную идентификацию внешних пользователей и осуществляет их связь с внутренними серверами компании. При этом внутренние серверы компании не видны из Интернета, но прошедшие проверку пользователи могут получить доступ к их сервисам.
Как брандмауэр ISA Server поддерживает множество фильтров, пакетов, каналов и приложений, что позволяет дать доступ только к явно указанным ресурсам в случае необходимости. Используя комбинацию фильтров можно защитить данные даже тогда, когда протоколы, по которым происходит связь, сами по себе являются небезопасными. Также брандмауэр способен определять вторжение в автоматическом режиме по заранее заданным шаблонам.
ISA Server имеет очень гибкий инструмент по настройке внутренней и внешней сетевой топологии. Этот элемент является важным, т.к. позволяет отделить внутренние сети от внешних и применять различные политики доступа к различным сетевым сегментам. Компьютеры объединяются в группы в соответствии с диапазонами адресов, что позволяет в настройках ISA Serverа создать максимально точную модель корпоративной сетевой топологии. Поэтому можно управлять потоками данных не только между внутренней сетью и внешним Интернетом, но и между отдельными сетевыми сегментами предприятия.
ISA Server 2004 поставляется в двух вариантах: ^ Standard Edition и Enterprise Edition. ISA Server Standard Edition также входит в комплект поставки Small Business Server Premium Edition. Версии продукта отличаются друг от друга возможностью масштабирования и интеграции с Активным каталогом. В дальнейшем мы будем рассматривать ISA Server 2004 Enterprise Edition, которая поддерживает до 25 серверов в одном массиве, поддерживает технологию балансировки сетевой нагрузки (NLB), возможность управления несколькими серверами централизованно и полную интегрируемость в Активный каталог.
С точки зрения аппаратных требований этот программный продукт поддерживает процессоры от 1 ГГц, оперативную память от 512 Мб, неограниченное число сетевых адаптеров и не менее двух выделенных разделов дисковой системы. Следует отметить, что ISA Server не является самостоятельной операционной системой и устанавливает поверх Windows Server 2003.
Важным аспектом является лицензирование ISA Server. Отличительной чертой является необходимость лицензии на каждый используемый в системе процессор. Поэтому при модернизации процессоры выгоднее заменять более быстрыми, а не увеличивать их число. Однако для многоядерных процессоров достаточно одной лицензии.
Управлять возможностями ISA Server и проводить его настройку можно с помощью множества мастеров и консоли ^ Управление ISA Server. ISA Server поддерживает средства удаленного администрирования.