Сетевой периметр и его назначение

n Все аппаратно – программные средства, протоколы и интерфейсы, являющиеся входными и выходными «воротами» (прямыми и косвенными) корпоративных сетей для взаимодействия с другими аналогичными или глобальными сетями образует сетевой периметр. Соответственно все аппаратно-программные средства, протоколы и интерфейсы, предназначенные для обеспечения конфиденциальности, целостности и доступности корпоративных информационных ресурсов с учетом всевозможных угроз из сетевого периметра образуют средства обеспечения безопасности этого же периметра.

Периметр – это укрепленная граница вашей сети, которая может включать:

n - маршрутизаторы

n - брандмауэры

n - систему обнаружения вторжений (IDS)

n - устройства виртуальной частной сети (VPN)

n - программное обеспечение

n - демилитаризованную зону (DMZ) и экранированные подсети

 

Пограничный маршрутизатор

Маршрутизаторы (routers) можно сравнить с дорожными регулировщиками. Они осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети.

Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.

Автономная система может содержать множество маршрутизаторов, но взаимодействие с другими AS она осуществляет только через один маршрутизатор, называемый пограничным (border gateway, именно он дал название протоколу BGP).

Пограничный маршрутизатор нужен лишь тогда, когда автономная система имеет более одного внешнего канала, в противном случае его функции выполняет порт внешнего подключения (gateway; поддержка внешнего протокола маршрутизации в этом случае не требуется).

Пограничный маршрутизатор сообщает связанным с ним другим пограничным маршрутизаторам, какие сети каких автономных систем достижимы через него. Обмен подобной информацией позволяет пограничным маршрутизаторам занести в таблицу маршрутов записи о сетях, находящихся в других АС. При необходимости эта информация потом распространяется внутри своей автономной системы с помощью протоколов внутренней маршрутизации с тем, чтобы обеспечить внешнюю коннективность своей АС.

65. Брандмауэр, или межсетевой экран

(firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать это трафик по сети или нельзя. Область действия брандмауэра начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов брандмауэров, к которым относятся статические пакетные фильтры (static packet filters), брандмауэры экспертного уровня (stateful-брандмауэры), а также прокси-брандмауэры (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – брандмауэры экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-брандмауэр, например Secure Computing's Sidewinder. Несмотря на то, что брандмауэры не являются совершенными модулями, они смогут заблокировать все, что мы укажем им блокировать, и разрешить все, что мы им разрешим.

66. IDS (Intrusion Detection System – система обнаружения вторжений) — это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с брандмауэром, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в log-файле. Детекторы IDS могут составлять отчет для центральной базы данных, которая коррелирует поступающую от них информацию.

67. VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть. Вы можете доверять безопасности вашего периметра, однако доверили бы вы безопасность одному из ваших сотрудников, работающему на дому или в номере гостиницы и использующему для связи кабельный модем? Даже если вы доверяете собственным сотрудникам и их защите, можете ли вы доверять защите ваших деловых партнеров, которые для вас являются удаленными пользователями, подключенными в вашу же VPN?

68. Архитектура программного обеспечения

Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Мы могли бы, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части:

n 1. Внешний web-интерфейс, отвечающий за то, в каком виде данное приложение будет представлено пользователю.

n 2. Код приложения, реализующий бизнес-логику приложения.

n 3. Внутренние базы данных, в которых хранятся данные, имеющие отношение к приложению.

n Архитектура программного обеспечения играет существенную роль при обсуждении инфраструктуры безопасности, поскольку основной задачей периметра сети является защита данных, относящихся к приложениям, и сервисов. При организации защиты приложения убедитесь, что архитектура приложения и сеть гармонируют между собой.

69. Демилитаризованные зоны Обычно мы используем термины "демилитаризованная зона" и "экранированные подсети", подразумевая небольшую сеть, содержащую ресурсы общего пользования, подключенные непосредственно к брандмауэру или другому фильтрующему устройству — которые и защищают ее от вторжений извне. DMZ (D e M ilitarized Z one – демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Термин DMZ берет свое начало еще со времен войны в Корее. Так называлась закрытая для военных действий полоса земли, расположенная на 38 параллели. DMZ представляет собой незащищенную область между защищенными участками. Если в Корее DMZ оказывалась перед любой линией обороны, то применительно к сетям DMZ размещается перед брандмауэром. Брандмауэр или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему. Запомните следующее: DMZ размещена перед брандмауэром, в то время как экранированная подсеть размещается позади брандмауэра. В контексте нашей книги мы будем твердо придерживаться этих определений.

70. экранированные подсети (screened subnet) представляет собой изолированную сеть, соединенную с определенным интерфейсом брандмауэра или другого фильтрующего трафик устройства. Экранированная подсеть часто используется для изоляции серверов, к которым необходимо обеспечить доступ из Интернета, использующимися исключительно внутренними пользователями данной организации. Экранированная подсеть обычно содержит сервисы "общего использования" (public services), включая DNS, почту и web. Нам хотелось бы рассматривать подобные серверы в качестве бастионных хостов. Здесь под бастионом (bastion) мы подразумеваем хорошо укрепленную (fortified -фортификацированную) позицию. В применении к хостам в сети фортификацирование включает укрепление операционной системы и приложений наилучшим для этого способом. Как показывает опыт зарегистрированных атак, эти серверы не всегда в достаточной мере фортификацированы; на самом деле они бывают уязвимыми, вопреки их защищенности брандмауэрами. Как профессионалы в области безопасности, мы вынуждены укреплять защиту этих хостов, поскольку они являются мишенью для большинства атак и буквально весь мир через них видит вашу организацию.

71. Эшелонированная защита (DefenseinDepth)

Ни одна из концепций не является столь важной при анализе безопасности сети, как эшелонированная, многоуровневая защита; она используется в качестве основы при проектировании и реализации периметра. Принцип эшелонирования поможет защитить ресурсы сети, даже если один из уровней периметра взломан. В конце концов, ни один из уровней защиты не может гарантировать необходимую устойчивость при каждой атаке.

Мы работаем в реальном мире плохо сконфигурированных систем, дефектов в программном обеспечении, недовольных сотрудников и отягощенных заботами системных администраторов. Более того, любой практический проект безопасности нуждается в определенных капиталовложениях, направленных на открытие нескольких портов брандмауэров, на выполнение дополнительных сервисов на сервере или во избежание последующего внесения изменений в систему защиты, поскольку она может повредить важному бизнес-приложению. Попытайтесь рассматривать все компоненты безопасности периметра как части логически последовательной многоуровневой защиты – это поможет вам развернуть их таким образом, чтобы учесть все недостатки и достоинства каждого индивидуального компонента. Естественно, что с учетом требований вашей организации вы можете реализовать не все компоненты, которые рассматриваются в данной главе. Степень эшелонирования уровней защиты зависит от требований и возможностей вашего бизнеса.

Должным образом защитить сеть могут многие компоненты, работающие совместно. Эшелонированная (многослойная, многоуровневая) защита (defenseindepth), представляет собой совокупность уровней таких компонентов, в которой возможности каждого компонента выполняют свои функции должным образом. Эта технология является гибкой в том смысле, что позволяет выбирать компоненты, соблюдая при этом технические ограничения, ограничения бюджета и ограничения в политике, и комбинируя их таким способом, который бы не подверг риску общую безопасность или степень использования сети.

72. Внутренняя сеть

Внутренняя сеть представляет собой сеть, защищенную периметром. Эта сеть содержит все серверы, рабочие станции и ИТ-инфраструктуру, с которой организация ведет свой бизнес.

Как часто говорят администраторы: "Мы можем доверять нашим людям". Организации зачастую пренебрегают безопасностью внутренней сети в силу того, что риск от проявления внутренних атак не учитывается. Внутренняя атака не обязательно должна исходить от злоумышленного сотрудника — атаку может породить и небрежный сотрудник. Поскольку организации учатся на собственном опыте с появлением каждого нового червя, они не могут позволить себе пренебречь защищенностью внутренней сети!

Во внутренней сети мы можем иметь следующие устройства "периметра", которые способны остановить атаку взломщика:

- входящая и исходящая фильтрация на каждом маршрутизаторе;

- внутренние брандмауэры для разделения ресурсов;

- прокси для повышения производительности и безопасности;

- детекторы IDS, функционирующие, подобно канарейкам в угольной шахте (они использовались в качестве живых индикаторов наличия в воздухе взрывоопасного метана), для мониторинга за внутренней сетью;

Внутри мы можем использовать следующее:

- персональные брандмауэры;

- антивирусное ПО;

- укрепление операционной системы;

- управление конфигурацией;

- аудиты

Внутренняя сеть - это сеть предприятия, которая не подключена кИКС напрямую и компьютеры которой выходят в интернет через ИКС.

 

Концепция пакетной фильтрации. Примеры

Пакетная фильтрация – одно из самых старых и наиболее распространенных средств управления доступом к сети. Идея пакетной фильтрации проста: установить, разрешено ли данному пакету вводить в сеть либо выходить из нее. Для этого анализируются некоторые идентифицирующие данные, размещенные в заголовке пакета. Технология пакетной фильтрации применяется в операционных системах, программных и аппаратных брандмауэрах, а также в большинстве маршрутизаторов.

Маршрутизатор Cisco в качестве пакетного фильтра

На данный момент Cisco ACL представляет собой один из наиболее доступных пакетных фильтров. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом (access control list, ACL). ACL представляет собой длинный список всех элементов, которые маршрутизатор должен просматривать в заголовках пакетов для принятия решения относительно разрешения или запрета доступа пакету к сегменту сети. Эта процедура лежит в основе управления трафиком маршрутизатора Cisco.

Cisco ACL – это просто средство фильтрации трафика, проходящего через ваш маршрутизатор. Его можно представить двумя основными синтаксическими типами: пронумерованными и именованными списками, он выполняет функции нескольких типов фильтрации, включая стандартную, расширенную и рефлексивную, которые мы рассмотрим далее в этой главе.