19.09.2001, среда

 


CISCO SAFE
Архитектура безопасности корпоративных сетей
Михаил Кадер

Аннотация

Михаил Кадер Главная цель архитектуры Cisco для безопасности корпоративных сетей (SAFE) состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания защищенных сетей. SAFE призван помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. SAFE исходит из принципа глубоко эшелонированной обороны сетей от внешних атак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается на продуктах компании Cisco и ее партнеров.

Обзор архитектуры

Основы дизайна

SAFE с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности может быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:
  • безопасность и борьба с атаками на основе политики;
  • внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);
  • безопасное управление и отчетность;
  • аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;
  • обнаружение атак на критически важные ресурсы и подсети;
  • поддержка новых сетевых приложений.
Во-первых (и это самое главное) SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети - и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система обеспечения сетевой безопасности.

Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, включая отказы, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде.

На многих этапах проектирования сети инженер встает перед выбором между интеграцией множества функций в едином сетевом устройстве и использованием специализированных сетевых средств. Интеграция функций часто является более привлекательной, потому что ее можно реализовать на существующем оборудовании и потому что функции могут взаимодействовать в рамках единого устройства, создавая более эффективное функциональное решение. Специализированные устройства чаще всего используются для поддержки весьма продвинутых функций или высокой производительности. Решение принимается на основе сравнения емкости и функциональности отдельного устройства и преимуществ, которые может дать интеграция. Например, в некоторых случаях вы можете выбрать интегрированный высокопроизводительный маршрутизатор с операционной системой Cisco IOS( и встроенным программным межсетевым экраном, а в других - менее крупный маршрутизатор с отдельным межсетевым экраном. В нашей архитектуре используется как тот, так и другой тип систем. Наиболее важные функции безопасности передаются выделенным устройствам, чтобы поддержать высокую производительность крупных корпоративных сетей.

Принцип модульности

Большинство корпоративных сетей развивается по мере развития информационно-технологических потребностей корпорации, и поэтому архитектура SAFE строится на свободном принципе модульности. Этот принцип имеет два основных преимущества. Во-первых, он позволяет архитектуре учитывать политики безопасности, складывающиеся между различными функциональными блоками сети. Во-вторых, он позволяет дизайнерам оценивать и внедрять систему безопасности поэтапно, модуль за модулем, не пытаясь построить всю архитектуру сразу за один прием.

На рисунке 1 показан первый уровень модульности SAFE. Каждый блок представляет определенную функциональную зону. Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общую схему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности.

Рисунок 1. Корпоративный композитный модуль

  • Enterprise Campus - Корпоративный кампус
  • Enterprise Edge - Корпоративная периферия
  • SP Edge - Сервис-провайдерская периферия
  • ISP A - Провайдер А
  • ISP B - Провайдер В
  • PSTN - ТфОП
Второй уровень модульности, показанный на рисунке 2, демонстрирует модули в каждой функциональной области. Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного модуля на схеме не обязательно соответствует его масштабу в реальной сети. Так, например, "модуль здания", представляющий устройства конечных пользователей, может включать в себя до 80 процентов всех сетевых устройств. Дизайн безопасности каждого модуля описывается отдельно, но проверяется в комплексе, т.е. в составе всей корпоративной системы.

Рисунок 2. Блок-схема корпоративной системы SAFE.

  • Management - Модуль управления
  • Server - Модуль серверов
  • Enterprise Campus - корпоративный кампус
  • Building - модуль здания
  • Building Distribution - модуль распределения в здании
  • Core - модуль базовой сети
  • Edge Distribution - Модуль периферийного распределения
  • Enterprise Edge - Модуль корпоративной периферии
  • E-Commerce - Модуль электронной коммерции
  • Corporate Internet - Модуль Интернет
  • VPN & Remote Access - Модуль VPN и удаленного доступа
  • WAN - модуль глобальной сети
  • SP Egde - сервис-провайдерская периферия
  • ISP A - провайдер А
  • PSTN - ТфОП
Хотя большинство существующих корпоративных сетей нелегко разделить на отдельные модули, этот подход позволяет реализовать разные функции безопасности по всей сети. Авторы не думают, что сетевые инженеры будут проектировать сети, идентичные схеме SAFE. Скорее всего, они будут пользоваться сочетанием описанных модулей, интегрированных в существующую сеть.

Аксиомы SAFE

Цель - маршрутизаторы

Маршрутизаторы контролируют доступ из любой сети к любой сети. Они рекламируют сети и определяют тех, кто может получать к ним доступ. Поэтому потенциально маршрутизатор - это "лучший друг хакера". Безопасность маршрутизаторов является критически важным элементом любой системы сетевой безопасности. Основной функцией маршрутизатора является предоставление доступа и поэтому их нужно обязательно защищать, чтобы исключить возможность прямого взлома. Вы можете обратиться и к другим документам, где описана защита маршрутизаторов. Эти документы более детально описывают следующие вопросы:
  • блокировка доступа к маршрутизатору из сетей связи общего доступа;
  • блокировка доступа к маршрутизатору через протокол SNMP;
  • управление доступом к маршрутизатору через TACACS+;
  • отключение ненужных услуг;
  • вход в систему на определенных уровнях;
  • аутентификация обновлений маршрутизаторов.
Самые свежие документы, посвященные безопасности маршрутизаторов, можно найти по следующему адресу: http://www.cisco.com/warp/customer/707/21.html

Цель - коммутаторы

Коммутаторы (и обычные и многоуровневые), как и маршрутизаторы, имеют свои требования к безопасности. Однако данные об угрозах для безопасности коммутаторов и о смягчении этих угроз распространены гораздо меньше, чем аналогичные данные для маршрутизаторов. Большинство соображений, приведенных в предыдущем разделе для маршрутизаторов, годятся и для коммутаторов. Кроме того, в случае с коммутаторами вы должны предпринимать следующие меры предосторожности:
  • Если порт не должен подключаться к транку, то параметры транковых соединений на нем должны не устанавливаться в положение "auto", а отключаться (off). В результате хост не сможет стать транковым портом и получать трафик, который обычно поступает на такой порт.

  • Убедитесь в том, что транковые порты используют уникальный номер VLAN (виртуальной локальной сети), который не используется ни в каком другом месте этого коммутатора. В результате пакеты, имеющие метку с тем же номером, будут передаваться в другую сеть VLAN только через устройство Уровня 3. Более подробную информацию см. на сайте http://www.sans.org/newlook/resources/IDFAQ/vlan.htm

  • Объедините все неиспользуемые порты коммутатора в сеть VLAN, которая не имеет выхода на Уровень 3. Будет еще лучше, если вы вообще отключите все порты, которые реально не используются. В результате хакеры не смогут подключаться к таким портам и получать доступ через них к другим сетевым ресурсам.

  • Старайтесь не использовать технологию VLAN в качестве единственного способа защиты доступа между двумя подсетями. Постоянно присутствующая вероятность ошибок, а также тот факт, что сети VLAN и протоколы маркирования VLAN разрабатывались без учета требований безопасности, - все это не позволяет рекомендовать применение этих технологий в чувствительной среде. Если вы все-таки используете сети VLAN в защищенной среде, обратите особое внимание на конфигурации и рекомендации, перечисленные выше.
В существующей сети VLAN дополнительную защиту для некоторых сетевых приложений могут дать виртуальные частные локальные сети (private VLAN). Основной принцип из работы состоит в том, что они ограничивают число портов, которым разрешается связываться с другими портами в пределах одной и той же виртуальной сети VLAN. Порты, которые относятся к определенному сообществу могут сообщаться только с другими портами того же сообщества и портами общего доступа (promiscuous ports). Порты общего доступа могут связываться с любым портом. Это позволяет минимизировать ущерб от хакерского проникновения на один из хостов. Рассмотрим в качестве примера стандартный сетевой сегмент, состоящий из Web-сервера, сервера FTP и сервера доменных имен (DNS). Если хакер проник на сервер DNS, для работы с двумя другими серверами, ему уже не нужно преодолевать межсетевой экран. Но если у вас имеются виртуальные локальные частные сети, то в случае проникновения хакера на одну из систем, она не сможет связываться с другими системами. Единственными целями для хакера остаются хосты, находящиеся по другую сторону межсетевого экрана.

Цель - хосты

Хост является наиболее вероятной целью хакерской атаки. Кроме того, хост создает самые сложные проблемы для обеспечения безопасности. Существует множество аппаратных платформ, операционных систем и приложений - и все это периодически обновляется, модернизируется и корректируется, причем в разные сроки. Поскольку хосты предоставляют другим хостам услуги по требованию, их очень хорошо видно в сети. К примеру, многие посещали сайт Белого Дома (это хост), но вряд ли кто-нибудь пытался получить доступ к адресу s2-0.whitehouse.net (это маршрутизатор). Поскольку хосты так хорошо видны и заметны, именно через них чаще всего совершаются попытки несанкционированного доступа в сеть.

По этим причинам хосты чаще других устройств становятся жертвами удачных атак. Зачастую Web-сервер в сети Интернет работает на аппаратной платформе одного производителя с сетевым адаптером другого производителя, с операционной системой третьего поставщика и серверным программным обеспечением, которое либо является открытым, либо поставлено четвертой компанией. Кроме того, на этом Web-сервере могут работать приложения, свободно распространяемые через Интернет. И, наконец, этот сервер может связываться с сервером базы данных, где все "разнообразие" повторяется еще раз. Мы не хотим сказать, что угроза безопасности происходит из-за разнородности источников сетевых устройств. Цель у нас другая: показать, что по мере увеличения сложности системы повышается вероятность сбоев и отказов. Для защиты хоста необходимо внимательно следить за всеми компонентами системы. Все они должны быть самыми свежими, со всеми "заплатками" и коррекционными модулями. В частности, следите за тем, как эти модули влияют на функционирование других системных компонентов. Прежде чем установить модуль или новую версию в производственную среду, тщательно протестируйте их в испытательной среде. Если этого не сделать, новый модуль может привести к отказу в обслуживании (denial of service - DoS).

Цель - сеть

Самая ужасная атака - та, которую вы не можете остановить. При тщательной подготовке и исполнении именно такой является атака типа "распределенный отказ в обслуживании" (distributed denial of service - DDoS). Как показано в Приложении В "Основы сетевой безопасности", эта атака заставляет десятки или даже сотни машин одновременно отправлять ненужные данные на определенный IP-адрес. Цель атаки состоит в том, чтобы не просто "повесить" отдельный хост, а прекратить функционирование целой сети. Представьте себе организацию с каналом доступа DS3 (45 мбит/с), которая предоставляет услуги электронной коммерции пользователям своего Web-сайта. Этот сайт хорошо защищен от самых разных атак. Он имеет систему обнаружения атак, межсетевые экраны, систему авторизации доступа и средства активного мониторинга. К сожалению, все эти средства не могут защитить от хорошо подготовленной атаки типа DDoS.

Представьте сто устройств, находящихся в разных уголках мира. Каждое из них имеет канал доступа DS1 (1,5 мбит/с). Если этим системам в удаленном режиме дать соответствующую команду, они легко и просто заполнят канал DS3 ненужной информацией. Даже если каждый хост может сгенерировать трафик объемом 1 мбит/с (а лабораторные испытания показали, что при наличии специального средства DDoS обычная рабочая станция Unix может легко сгенерировать и 50 мбит/с), это более чем в два раза перекроет полосу пропускания атакуемого сайта. В результате сайт не сможет реагировать на реальные запросы, и с точки зрения пользователей будет неработоспособным. Разумеется, местный межсетевой экран отфильтрует ложные данные, но будет поздно. Ущерб уже будет нанесен. Трафик пройдет по каналу связи с глобальной сетью и заполнит весь канал до предела.

Компания может надеяться на отражение таких атак только с помощью Интернет-провайдера. Провайдер может определить максимально допустимые границы для трафика, передаваемого на корпоративный сайт. При достижении пороговой величины, нежелательный трафик будет отбраковываться. Главное здесь - правильно пометить трафик как нежелательный.

Обычно атаки типа DDoS проводятся в форме переполнения ICMP, переполнения TCP SYN или переполнения UDP. В среде электронной коммерции этот тип трафика очень легко категоризировать. Только в случае ограничения атаки TCP SYN на порту 80 (http) администратор рискует блокировать санкционированных пользователей. И даже в этом случае лучше временно блокировать несколько пользователей и сохранить маршрутизацию и каналы управления, чем "повесить" маршрутизатор и потерять все соединения.

Более изощренные хакеры используют атаки через порт 80 с установленным битом АСК таким образом, что трафик выглядит как обычный результат Web-транзакций. Администратор вряд ли сможет правильно распознать такую атаку, поскольку используемый ею трафик ТСР носит точно такой же характер, что и обычный трафик, который необходимо пропускать в сеть.

Одним из способов ограничения опасности таких атак является четкое следование рекомендациям RFC 1918 и RFC 2827. RFC 1918 определяет сети, зарезервированные для частного пользования, которые никогда не должны связываться с общедоступной сетью Интернет. Вы можете использовать RFC 1918 и 2827 для фильтрации входящего трафика на маршрутизаторе, подключенном к Интернету, чтобы предотвратить проникновение несанкционированного трафика в корпоративную сеть. При использовании у Интернет-провайдера такая фильтрация не позволяет передавать по каналам WAN пакеты DDoS, использующие эти адреса в качестве источников, что в принципе должно защитить полосу пропускания в случае атаки.Если бы все Интернет-провайдеры мира следовали рекомендациям RFC 2827, угроза спуфинга исходных адресов потеряла бы свою остроту. Хотя подобная стратегия не дает стопроцентной защиты от атак типа DDoS, она не позволяет хакерам маскировать источник атаки, что значительно облегчает поиск атакующей сети.

Цель - приложения

Исходные коды приложений, как правило, пишутся людьми и поэтому неизбежно содержат ошибки. Ошибки могут быть мелкими (например, ошибки, возникающие при распечатке документов) или весьма неприятными (к примеру, в результате ошибки номер вашей кредитной карты, хранящийся в базе данных, может стать доступным по протоколу FTP для анонимного пользователя). На обнаружение ошибок второго типа - а также других слабостей более общего характера - и нацелены системы обнаружения атак (intrusion detection system - IDS), которые действуют как системы предупреждения. Когда IDS обнаруживает что-то похожее на атаку, она может предпринять самостоятельные действия или уведомить систему управления, чтобы соответствующие действия мог предпринят сетевой администратор. Некоторые системы такого типа снабжаются более или менее эффективными средствами реагирования и отражения атак. Системы обнаружения атак, работающие на хостах (host-based IDS - HIDS), могут перехватывать вызовы операционных систем и приложений на отдельном хосте. Кроме того, они могут впоследствии проводить анализ локальных лог-файлов. Перехват позволяет лучше предотвращать атаки, а анализ представляет собой пассивное средство реагирования. Специфика хост-систем (HIDS) делает их более эффективными для предотвращения атак некоторых типов по сравнению с сетевыми системами NIDS (network IDS), которые обычно выдают сигнал тревоги только после обнаружения атаки. Однако та же специфика не дает хост-системам общесетевой перспективы, которой в полной мере обладают системы NIDS. Поэтому Cisco рекомендует сочетать системы обоих типов и размещать HIDS на критически важных хостах, а NIDS - для наблюдения за всей сетью. В результате такого сочетания возникает полномасштабная система обнаружения атак.

После установки системы необходимо настроить ее, чтобы повысить эффективность и сократить число ложных срабатываний. Под ложным срабатыванием понимается сигнал тревоги, вызванный не атакой, а обычным трафиком или обычной деятельностью. Отрицательным срабатыванием называется случай, когда система не обнаруживает настоящую атаку. После настройки системы IDS вы можете точно сконфигурировать ее для конкретных действий по ликвидации угроз. Как уже отмечалось, нужно нацеливать HIDS на ликвидацию наиболее опасных угроз на уровне хоста, потому что именно здесь HIDS может работать с наибольшей эффективностью.

Определяя роль системы NIDS, вы можете выбрать один из двух основных вариантов:

Первый вариант (и потенциально - в случае неправильного внедрения - наиболее опасный) - это "отрубание" трафика с помощью фильтров управления доступом, установленных на маршрутизаторах. Если система NIDS обнаруживает атаку, источником которой является какой-либо хост, она блокирует этот хост, не давая ему возможности на определенное время связываться с данной сетью. На первый взгляд этот способ кажется очень удобным и хорошо помогает администратору безопасности, однако в действительности прибегать к нему следует с большой осторожностью, а, возможно, и не прибегать вовсе. Первая проблема состоит в том, что хакер может пользоваться чужими адресами. Если система NIDS решает, что атака идет с определенного устройства, и "отрубает" это устройство, оно теряет права доступа к вашей сети. Однако если хакер пользуется чужим адресом, NIDS блокирует адрес, хозяин которого никогда не планировал никаких атак. Если для атаки хакер использовал IP-адрес мощного прокси-сервера HTTP, вы блокируете множество ни в чем не повинных пользователей. В руках творчески настроенного хакера этот механизм сам по себе может стать удобным инструментом для атаки типа DoS.

Для смягчения описанного выше риска метод "отрубания" нужно использовать только для трафика ТСР, то там, где спуфинг адресов осуществить гораздо труднее, чем в области UDP. Пользуйтесь этим методом только в случае реальной угрозы и при минимальной вероятности ложного срабатывания. Однако в пределах одной сети существует гораздо больше вариантов. Эффективное внедрение фильтрации RFC 2827 может значительно ограничить объем трафика, поступающего с чужих адресов. Кроме того, поскольку заказчики обычно не включаются в состав внутренней сети, вы можете предпринять более жесткие меры против атак, исходящих из внутрикорпоративных источников. Еще одна причина для более жестких внутренних мер состоит в том, что внутренние сети, как правило, не имеют таких мощных средств фильтрации с учетом состояния соединений (stateful filtering), которые обычно используются на границе сети. Поэтому во внутренней сети вам следует более серьезно полагаться на систему IDS, чем во внешней среде.

Вторым вариантом для NIDS является сокращение угроз за счет использования сброса TCP (TCP reset). Как видно из названия этого метода, он используется только для трафика ТСР. Прекращение атаки производится отправлением сообщений "TCP reset" на атакующий и атакуемый хост. Поскольку трафик ТСР хуже поддается спуфингу, этот метод является более предпочтительным, чем метод грубого "отрубания" адресов.

Этот метод чувствителен к производительности. Система NIDS отслеживает передаваемые пакеты. Если скорость передачи пакетов превосходит возможности NDS, снижения производительности в сети не происходит, так как NIDS не находится на пути потоков данных. Однако при этом теряется эффективность самой системы NIDS, которая начинает терять пакеты, срабатывать в спокойной обстановке и не замечать настоящих атак. Поэтому чтобы в полной мере воспользоваться всеми преимуществами NIDS, не превышайте возможностей этой системы. С точки зрения маршрутизации, IDS, как и многие системы, способные учитывать состояние, некорректно функционирует в асимметрично маршрутизируемой среде. Если группа маршрутизаторов и коммутаторов передает пакеты по одному маршруту, а принимает по другому, система IDS будет видеть только половину трафика, что вызовет ложные срабатывания и нулевую реакцию на реальные атаки.

Безопасное управление и отчетность

"Хотите записать данные? Тогда попробуйте сначала их прочитать." Простая мысль, не так ли? Любой специалист по сетевой безопасности наверняка высказывал ее хотя бы однажды. И все же запись и чтение информации, поступающей со ста с лишним устройств, представляет собой сложную задачу. Какие записи являются наиболее важными? Как отделить важные сообщения от рутинных уведомлений? Как обеспечить защиту данных во время передачи? Как синхронизировать метки времени, если множество устройств одновременно регистрируют атаку? Какую информацию нужно предоставлять правоохранительным органам, ведущим расследование? Как справиться с огромным объемом данных, которые генерирует большая сеть? Для эффективного управления журналами событий (лог-файлами) вам нужно найти ответ на каждый из этих вопросов. На уровне сетевого управления можно предложить другой набор вопросов. Как управлять устройством в безопасном режиме? Как передавать содержание на серверы общего доступа, чтобы исключить искажение данных во время передачи? Как отслеживать изменения в устройствах, чтобы исправить положение в случае атаки или сетевого сбоя?

С архитектурной точки зрения, первым шагом в реализации любой стратегии управления и отчетности является управление сетевыми системами по выделенной сети (out-of-band - OOB). Как видно из названия, это означает, что для управления используется сеть, по которой не передается производственный трафик. По возможности, устройства должны иметь прямой локальный доступ к такой сети. Если такой возможности нет (по географическим или системным причинам), подключение устройств должно происходить через производственную сеть по частному зашифрованному туннелю. Этот туннель должен быть настроен на связь только через определенные порты, предназначенные для управления и отчетности. Кроме того, туннель должен блокироваться так, чтобы открывать или закрывать его могли только определенные хосты. Убедитесь в том, что дополнительная сеть (OOB) не имеет своих собственных проблем с безопасностью. Более подробную информацию можно получить в разделе "Модуль управления".

После развертывания сети управления ООВ работа с лог-файлами и отчетностью становится более простой и логичной. При этом большинство сетевых устройств будут генерировать системные данные (syslog data), имеющие огромную ценность для диагностики сетевых проблем и анализа угроз безопасности. Эти данные можно передавать одному или нескольким хостам, отвечающим за анализ системных данных в сети управления. В зависимости от устройства, можно выбирать разные уровни регистрации данных, чтобы в лог-файлы поступало необходимое количество информации. Кроме того, вам необходимо помечать данные, относящиеся к тому или иному устройству, чтобы обеспечить точное и детальное рассмотрение и анализ данных. К примеру, во время атаки данные, предоставляемые коммутаторами Уровня 2, могут быть не столь интересны, как данные, предоставляемые системой обнаружения атак (IDS). Специализированные приложения, такие как IDS, часто пользуются собственными протоколами для передачи уведомлений об атаках. Обычно данные подобного типа должны сохраняться на отдельных хостах управления, которые лучше приспособлены для обработки таких уведомлений. Обобщение данных об атаке может дать представление об общем состоянии безопасности сети. Чтобы синхронизировать лог-сообщения о времени, необходимо синхронизировать системное время на хостах и сетевых устройствах. Точное время на всех устройствах можно поддерживать с помощью протокола сетевого времени NTP (Network Time Protocol), если устройства его поддерживают. При отражении атак счет времени идет на секунды и поэтому очень важно определить точную последовательность событий.

При управлении, к которому в настоящем документе мы относим все, что делает с устройством администратор за исключением отчетности и записей в лог-файлы, существуют другие проблемы и решения. Так же, как и в случае с записями с лог-файлы и отчетностью, сеть ООВ позволяет передавать информацию в контролируемой защищенной среде, где ее невозможно исказить. И все же, если есть возможность использовать дополнительные средства защиты, такие как SSL (secure socket layer) или SSH (secure shell), то они позволяют повысить уровень защищенности. К протоколу управления SNMP нужно относиться с величайшей осторожностью, так как этот протокол имеет свои точки уязвимости. Подумайте о том, чтобы предоставить доступ к устройствам по SNMP только на чтение. При этом к паролю для доступа к переменным SNMP (SNMP community string) следует относиться с таким же вниманием, как к корневому паролю на критически важном Unix-хосте.

Управление изменениями конфигурации также имеет отношение к безопасности. Когда сеть подвергается атаке, очень важно знать состояние критически важных сетевых устройств и сроки их последней модификации. План управления изменениями конфигурации должен быть составной частью вашей политики безопасности. Как минимум, следует записывать все изменения с помощью имеющихся на устройствах систем аутентификации и архивировать конфигурации через FTP или TFTP.

Корпоративный модуль

Корпорация состоит из двух функциональных областей: кампуса и периферии. Эти области, в свою очередь, делятся на модули, которые определяют детали функционирования каждой из областей. Модули подробно описываются в разделах "Корпоративный кампус" и "Корпоративная периферия". После этого в разделе "Корпоративные опции" описываются различные варианты дизайна.

Ожидаемые угрозы

Говоря об угрозах, следует отметить, что корпоративная сеть, как и большинство других сетей, подключена к Интернету. Внутренние пользователи должны получать выход в Интернет, а внешние пользователи должны получать доступ к внутрикорпоративной сети. Это создает ряд угроз общего характера, которые могут дать хакеру щелочку, через которую он может проникнуть к важным сетевым ресурсам.

Первая угроза - это угроза со стороны внутренних пользователей. Статистика приводит разные цифры, но все исследователи сходятся в том, что большинство атак начинается изнутри корпоративной сети. Потенциальными источниками таких атак являются обиженные сотрудники, промышленные шпионы, посетители и беспечные пользователи, допускающие ошибки. Разрабатывая систему безопасности, необходимо уделять особое внимание внутренним угрозам.

Второй является угроза подключенным к Интернет хостам общего доступа. Эти системы являются потенциальными объектами атак на уровне приложений и атак типа DoS.

И, наконец, еще одна угроза связана с тем, что хакер может попытаться определить ваши телефонные номера, которые используются для передачи данных, с помощью аппаратного и/или программного устройства под названием "war-dialer". Это устройство набирает множество телефонных номеров и определяет тип системы, находящейся на другом конце провода. Наиболее уязвимыми для них являются слабо защищенные персональные системы с программными средствами удаленного доступа, установленными пользователем. Такие системы расположены внутри зоны, защищенной межсетевым экраном, и поэтому хакер пытается получить доступ к ним через хост, поскольку это позволяет обезличить пользователя.

Корпоративный кампус

Ниже следует детальное описание всех модулей, расположенных в корпоративном кампусе.

Рисунок 3. Подробная схема корпоративного кампуса.

  • Management Module - модуль управления
  • OTP Server - сервер однократных паролей (сервер ОТР)
  • Access Control Server - сервер контроля доступа
  • Network Monitoring - сетевой мониторинг
  • IDS Director - Консоль IDS
  • System Admin - системный администратор
  • Term Server (IOS) - терминальный сервер (IOS)
  • Building Module (users) - модуль здания (пользователи)
  • Building Distribution Module - распределительный модуль здания
  • Core Module - базовый модуль
  • Edge Distribution Module - периферийный распределительный модуль
  • To e-Commerce Module - к модулю электронной коммерции
  • To Corporate Internet Module - к корпоративному Интернет-модулю
  • To VPN/Remote Access Module - к модулю VPN / удаленного доступа
  • To WAN Module - к модулю глобальных сетей
  • Server Module - серверный модуль
  • Internal Email - внутренняя электронная почта
  • Dept. Server - сервер отдела
  • Cisco CallManager - Cisco CallManager
  • Corporate Server - корпоративный сервер

Модуль управления

Главная цель модуля управления состоит в том, чтобы обеспечить безопасное управление всеми устройствами и хостами в корпоративной архитектуре SAFE. Потоки отчетности и информации для лог-файлов поступают с устройств на хосты управления, тогда как изменения конфигурации и новое программное обеспечение поступают с хостов управления на устройства.

Рисунок 4. Поток трафика управления.

  • Management Module - Модуль управления
  • IDS Log - IDS Log
  • Syslog Server - сервер Syslog
  • Device Monitoring - мониторинг устройств
  • Access Control - контроль доступа
  • Sys Admin - системный администратор
  • Apps - приложения
  • SAFE Network - сеть SAFE
  • Configuration Management - управление конфигурацией
  • Software Updates - обновление ПО
  • User Authentication - аутентификация пользователей
  • SNMP Monitoring - мониторинг SNMP
  • Syslog and Other Logs - Syslog и прочие системы регистрации (logs)
Основные устройства
  • хост управления SNMP - поддерживает функции управления устройствами по протоколу SNMP;
  • хост NIDS - собирает сигналы тревоги по всем устройствам NIDS в сети;
  • хост(ы) Syslog - получают информацию от межсетевого экрана и хостов NIDS;
  • сервер контроля доступа - обеспечивает аутентификацию доступа к сетевым устройствам с помощью однократные паролей;
  • сервер одноразовых паролей (сервер ОТР) - авторизирует информацию по однократным паролям, поступающую с сервера контроля доступа;
  • хост системного администратора - обеспечивает изменение конфигурации устройств и их программного обеспечения;
  • устройство NIDS - позволяет мониторить потоки трафика между хостами управления и управляемыми устройствами;
  • коммутатор Уровня 2 (с поддержкой виртуальных локальных частных сетей) - обеспечивает передачу данных с управляемых устройств только на межсетевой экран IOS.
Рисунок 5. Модуль управления: детали.

  • OTP Server - сервер однократных паролей (сервер ОТР)
  • Access Control Server - сервер контроля доступа
  • Network Monitoring - сетевой мониторинг
  • IDS Director - Консоль управления IDS
  • System Admin - системный администратор
  • To All Device Console Ports - ко всем консольным портам устройств
  • Encrypted In-Band Network Management - сетевое управление по защищенному каналу
  • Out-of-Band Network Management - сетевое управление по выделенной сети
Предотвращаемые угрозы
  • несанкционированный доступ - фильтры межсетевого экрана IOS пресекают почти все потоки несанкционированного трафика в обоих направлениях;
  • атаки типа Man-in-the-Middle - информация, связанная с управлением, передается по частной сети, что весьма затрудняет атаки этого типа;
  • хакерская разведка сети - поскольку весь трафик, связанный с управлением, передается по частной сети, он не попадает в производственную сеть, где его может перехватить хакер-разведчик;
  • атаки на пароли - сервер контроля доступа поддерживает мощную двухфакторную аутентификацию на каждом устройстве;
  • IP-спуфинг - межсетевой экран IOS пресекает (в обоих направлениях) потоки трафика, использующие чужие адреса;
  • снифинг пакетов - коммутируемая инфраструктура снижает эффективность снифинга;
  • злоупотребление доверием - виртуальные локальные частные сети не дает возможности выдавать за хост управления устройства, попавшие под контроль хакера.
Рисунок 6. Модуль управления: функции предотвращения атак.

  • Two-Factor Authentication - двухфакторная аутентификация
  • AAA Services - услуги ААА (аутентификации, авторизации и учета)
  • Read-Only SNMP - SNMP только для чтения
  • Network Log Data - сетевые регистрационные данные
  • SSH Where Possible - SSH (где возможно)
  • Config and Content Management - управление конфигурацией и содержанием
  • Hosts IDS for Local Attack - хост-система для обнаружения внутренних атак
  • OTP Server - сервер однократных паролей (сервер ОТР)
  • Access Control Server - сервер контроля доступа
  • Network Monitoring - сетевой мониторинг
  • IDS Director - консоль управления IDS
  • System Admin - системный администратор
  • To All Device Console Ports - ко всем консольным портам устройств
  • Encrypted In-Band Network Management - сетевое управление по защищенному
  • каналу Out-of-Band Network Management - отдельная сеть для сетевого управления
  • OOB Config Management - управление конфигурацией ООВ
  • Comprehensive Layer 4-7 Management - полное управление на Уровнях 4-7
  • Stateful Packet Filtering - фильтрация пакетов с учетом состояний соединений
  • IPSec Termination for Management - терминирование соединений IPSec, используемых для целей управления
  • Private VLANs - частные виртуальные локальные сети
Рекомендации по дизайну
Как видно из приведенной выше схемы, корпоративная сеть управления SAFE имеет два сетевых сегмента, которые разделены маршрутизатором IOS, выполняющим роль межсетевого экрана и устройства терминирования виртуальной частной сети (VPN). Сегмент, находящийся с внешней стороны межсетевого экрана, соединяется со всеми устройствами, которые нуждаются в управлении. Сегмент, находящийся с внутренней стороны, включает хосты управления и маршрутизаторы IOS, которые выступают в качестве терминальных серверов. Другой интерфейс подключается к производственной сети, но лишь для передачи защищенного средствами IPSec трафика управления с заранее определенных хостов. Это позволяет управлять даже теми устройствами Cisco, которые не имеют достаточного числа интерфейсов для подключения к внешней сети управления. Межсетевой экран IOS конфигурируется таким образом, чтобы передавать информацию syslog в сегмент управления, а также соединения telnet, SSH и SNMP, если таковые инициированы из внутренней сети.

Обе подсети управления работают в адресном пространстве, которое полностью отделено от производственной сети. В результате протоколы маршрутизации не распространяют данные о сети управления. Кроме того, устройства производственной сети блокируют любой трафик, попадающий из сети управления в производственные сегменты.

Модуль управления поддерживает управление конфигурацией практически всех сетевых устройств с помощью двух базовых технологий: маршрутизаторов Cisco IOS, действующих в качестве терминальных серверов, и сетевого сегмента, специально выделенного для управления. Маршрутизаторы выполняют функцию reverse-telnet для доступа к консольным портам на устройствах Cisco по всей корпорации. Более широкие функции управления (изменения ПО, обновления содержания, обобщение лог-данных и сигнлов тревоги, управление SNMP) поддерживаются с помощью выделенного сегмента сетевого управления. Все остающиеся неуправляемые устройства и хосты (а их остается крайне мало) управляются через туннели IPSec, которые идут от маршрутизатора управления.

Поскольку сеть управления имеет доступ с правами администратора практически ко всем областям сети, она может стать весьма привлекательной целью для хакеров. Поэтому в модуль управления встроено сразу несколько технологий, специально предназначенных для смягчения подобных рисков. Первым и основным риском является попытка хакера получить доступ к самой сети управления. Все остальные риски исходят из того, что первая линия обороны уже прорвана. Чтобы не дать хакеру завладеть каким-либо сетевым устройством, на межсетевом экране и на каждом устройстве имеются средства контроля доступа, которые предотвращают несанкционированный доступ к каналу управления. Захваченное хакером устройство не сможет связаться с другими хостами, находящимися в той же подсети, поскольку сегмент управления направляет весь трафик с управляемых устройств непосредственно на межсетевой экран IOS, где производится фильтрация. Сниффинг паролей вообще оказывается неэффективным, поскольку пароли являются одноразовыми. Кроме того, в подсети управления устанавливаются системы HIDS и NIDS, которые настраиваются на очень жесткий режим. Поскольку в этой подсети передается весьма ограниченное количество типов трафика, любое совпадение сигнатуры должно вызывать немедленную реакцию.

Управление по протоколу SNMP имеет собственные требования к безопасности. Поддержка трафика SNMP в сегменте управления позволяет ему пересекать изолированный сегмент, собирая информацию с устройств. В архитектуре SAFE средства управления SNMP только собирают информацию, но не имеют возможности принудительно вносить изменения в конфигурацию. Для этого каждое устройство настраивается на работу с SNMP в режиме "только для чтения".

Большое значение для правильного управления сетью имеет правильный сбор и анализ системной информации (syslog). Syslog предоставляет важные данные о нарушениях безопасности и изменениях конфигурации. От разных устройств могут потребоваться разные уровни информации syslog. Полная информация обо всех отправленных сообщениях является слишком объемной, что не позволяет эффективно обработать ее ни человеку, ни алгоритму syslog. Таким образом, запись всех данных в лог-файлы "на всякий случай" не может повысить безопасность сети.

Альтернативы
Полномасштабное управление по отдельному каналу не всегда возможно, так как некоторые устройства могут его не поддерживать. Кроме того, управление по основному каналу связи может потребоваться в силу некоторых географических различий. Если вы передаете управляющие сигналы по основному каналу связи, следует обратить особое внимание на защиту транспорта протоколов управления. Это достигается с помощью IPSec, SSH SSL или любых других технологий шифрования и аутентификации транспорта, позволяющих передавать данные управления в безопасном режиме. Когда для управления используется тот же интерфейс, что и для передачи пользовательских данных, особе внимание нужно обратить на пароли, community strings, криптографические ключи и списки доступа, которые контролируют связь с услугами управления.

Требования к архитектуре будущего
В настоящее время задачи отчетности и аварийной сигнализации распределены между множеством хостов. Некоторые из них лучше обрабатывают данные межсетевых экранов и систем IDS, другие лучше приспособлены для анализа данных маршрутизации и коммутации. В будущем все данные будут агрегироваться на одном и том же массиве избыточных хостов, что позволит сравнивать события, происходящие на всех устройствах.

Базовый модуль

В архитектуре SAFE базовый модуль практически идентичен базовому модулю любой другой сетевой архитектуры. Его задача состоит в маршрутизации и коммутации межсетевого трафика с как можно более высокой скоростью.

Основные устройства
  • Коммутация Уровня 3 - маршрутизация и коммутация данных в производственной сети с одного модуля на другой.

    Рисунок 7. Базовый модуль: детали.

    • To Building Distribution Module - к распределительному модулю здания
    • To Edge Distribution Module - к периферийному распределительному модулю
    • To Server Module - к серверному модулю
    Предотвращаемые угрозы
  • Сниффинг пакетов - коммутируемая инфраструктура ограничивает эффективность сниффинга.

    Рекомендации по дизайну
    Мы следовали стандартным рекомендациям по дизайну, которые обычно используются в хорошо спроектированных сетях Cisco на базовом уровне, уровне распределения и уровне доступа.

    Хотя архитектура SAFE не предъявляет никаких особых требований к базовой части корпоративной сети, при настройке коммутаторов этой сети необходимо следовать "аксиомам безопасности", изложенным в разделе "Цель - коммутаторы", чтобы должным образом защитить эти устройства от прямых атак.

    Распределительный модуль здания

    Этот модуль предоставляет услуги доступа коммутаторам здания. Эти услуги включают маршрутизацию, поддержку гарантированного качества услуг (QoS) и контроль доступа. Запросы о предоставлении данных поступают на коммутаторы и далее в базовую сеть. Ответный трафик следует по тому же маршруту в обратном направлении.

    Основные устройства
  • Коммутаторы Уровня 3 - агрегируют коммутаторы Уровня 2 в модуль здания и предоставляют продвинутые услуги.

    Рисунок 8. Распределительный модуль здания: детали.

    • To Building Access Module - к модулю доступа в здании
    • To Core Module - к базовому модулю
    Предотвращаемые угрозы
    • Несанкционированный доступ - атаки на ресурсы серверного модуля ограничиваются фильтрацией определенных подсетей на Уровне 3.
    • IP-спуфинг - фильтрация RFC 2827 пресекает практически любые попытки спуфинга.
    • Сниффинг пакетов - коммутируемая инфраструктура ограничивает эффективность сниффинга.
    Рисунок 9. Функции распределительного модуля здания, направленные на смягчение угроз.

    • To Building Access Module - к модулю доступа для здания
    • Inter-Subnet Filtering - внутренняя фильтрация в подсети
    • RFC2827 Filtering - фильтрация по стандарту RFC2827
    • To Core Module - к базовому модулю
    Рекомендации по дизайну
    Для усиления защищенности корпоративных пользователей использовались не только стандартные принципы сетевого проектирования, но и оптимизации, описанные в разделе "Цель - коммутаторы". Распознавание атак происходит не в распределительном модуле здания, а в модулях, где имеются ресурсы, которые являются потенциальными объектами атак из-за своего содержания (серверы, средства удаленного доступа, средства Интернет и т.д.). Распределительный модуль здания представляет собой первую линию обороны и предотвращения атак, источник которых находится внутри корпорации. Этот модуль с помощью средств контроля доступа может снизить вероятность получения одним отделом конфиденциальной информации с сервера другого отдела. К примеру, в сети, где имеются данные о маркетинге и НИОКР, можно выделить сервер НИОКР в отдельную виртуальную сеть (VLAN) и установить фильтр, допускающий к этой информации только сотрудников научно-исследовательского отдела. Для поддержки высокой производительности очень важно иметь контроль доступа на аппаратной платформе, которая могла бы фильтровать трафик со скоростью близкой к скорости передачи трафика по каналам связи. Обычно для этого используют не традиционные маршрутизирующие устройства, а коммутацию Уровня 3. Та же система контроля доступа с помощью фильтрации RFC 2827 может предотвращать локальный спуфинг адресов источника информации. И, наконец, для маршрутизации трафика типа "голос поверх IP" (VoIP) на CallManager и любые ассоциированные шлюзы используются отдельная виртуальная локальная сети и подсеть IP. Эта система не позволяет трафику VoIP пересекать те же сетевые сегменты, что и трафику данных. В результате снижается вероятность сниффинга голосовых сообщений и оптимизируется подержка гарантированного качества услуг (QoS).

    Альтернативы
    В зависимости от размеров сети и проектируемой производительности, уровень распределения может объединяться с базовым уровнем, чтобы снизить общее число устанавливаемых устройств.

    Модуль здания

    SAFE определяет модуль здания как значительную часть сети, которая содержит рабочие станции конечных пользователей, телефоны и связанные с ними точки доступа Уровня 2. Главная цель этого модуля состоит в том, чтобы предоставлять услуги конечным пользователям.

    Основные устройства
    • Коммутатор Уровня 2 - оказывает услуги Уровня 2 телефонам и рабочим станциям конечных пользователей.
    • Пользовательская рабочая станция - оказывает авторизованным пользователям услуги по обработке данных.
    • IP-телефон - оказывает пользователям сети услуги IP-телефонии.
    Рисунок 10. Модуль доступа для здания: детали


  • To Building Distribution Module - к модулю доступа для здания

    Предотвращаемые угрозы
    • Сниффинг пакетов - коммутируемая инфраструктура и услуги VLAN по умолчанию ограничивают эффективность сниффинга.
    • Вирусы и приложения типа "троянский конь" - сканирование программ на вирусы производится на хостах, что позволяет эффективно избавляться от большинства вирусов и многих "троянских коней".
    Рисунок 11. Борьба с атаками на уровне модуля доступа для здания.

    • Host virus scanning - сканирование вирусов на хосте
    • VLANs - виртуальные локальные сети (VLAN)
    • To Building Distribution Module - к распределительному модулю здания
    Рекомендации по дизайну
    Поскольку пользовательские устройства являются самым большим сетевым элементом, для них очень важно проведение последовательной и эффективной политики безопасности. С точки зрения безопасности, распределительный модуль здания - более чем какой-либо другой элемент в модуле здания - обеспечивает контроль доступа на уровне конечных пользователей. Это происходит, потому что коммутатор Уровня 2, к которому подключаются рабочие станции и телефоны, не имеет возможностей контроля, характерных для Уровня 3. Помимо принципов сетевой безопасности, описанных в разделе, где говорилось об аксиомах безопасности серверов, на уровне рабочих станций реализуется еще и сканирование программ на наличие вирусов. Такое сканирование обычно проводится на хостах.

    Серверный модуль
    Основная задача серверного модуля состоит в предоставлении прикладных услуг устройствам и конечным пользователям. Потоки трафика в серверном модуле проверяются средствами IDS, встроенными в коммутаторы Уровня 3.

    Основные устройства
    • Коммутатор Уровня 3 - оказывает серверам услуги Уровня 3 и проверяет проходящий по серверному модулю трафик с помощью системы NIDS.
    • Call Manager - выполняет функции маршрутизации вызовов для устройств IP-телефонии, установленных на предприятии.
    • Корпоративные серверы и серверы отделов - оказывают рабочим станциям модуля здания услуги по обработке файлов, услуги печати и услуги DNS.
    • Сервер электронной почты - оказывает корпоративным пользователям услуги SMTP и POP3.
    Рисунок 12. Серверный модуль: детали

    • To Core Module - к базовому модулю
    • Internal Email - внутренняя электронная почта
    • Dept. Server - сервер отдела
    • Cisco CallManager - Cisco CallManager
    • Corporate Server - корпоративный сервер
    Предотвращаемые угрозы
    • Несанкционированный доступ - препятствием для несанкционированного доступа служат средства обнаружения атак на хостах и средства контроля доступа.
    • Атаки на уровне приложений -операционные системы, устройства и приложения постоянно обновляются, к ним добавляются самые свежие модули безопасности. Кроме того, они защищаются системой HIDS.
    • IP-спуфинг - Фильтрация RFC 2827 предотвращает спуфинг адресов источников информации.
    • Сниффинг пакетов - коммутируемая инфраструктура снижает эффективность сниффинга.
    • Злоупотребление доверием - поскольку механизмы доверия являются весьма открытыми, частные сети VLAN позволяют хостам одной и той же подсети связываться друг с другом лишь в случае необходимости.
    • Переадресация портов - система HIDS не позволяет устанавливать программные агенты, которые занимаются переадресацией портов.
    Рисунок 13. Борьба с атаками на серверном модуле

    • To Core Module - к базовому модулю
    • Internal Email - внутренняя электронная почта
    • Dept. Server - сервер отдела
    • Cisco CallManager - Cisco CallManager
    • NIDS for Server Attacks - NIDS против атак на серверы
    • Private VLANs for Server Connections - частные сети VLAN для серверных соединений
    • RFC 2827 Filtering - фильтрация RFC 2827
    • Host IDS for Local Attack - HIDS против внутренних атак
    Рекомендации по дизайну
    При проектировании систем безопасности на серверный модуль обычно обращают мало внимания. Однако если посмотреть, какой уровень доступа к корпоративным серверам имеет большинство сотрудников, станет ясным, почему эти серверы часто становятся главным объектом внутренних атак. Внедрение эффективных паролей само по себе не может считаться надежной стратегией защиты от атак. Гораздо более надежную защиту дает сочетание систем HIDS, NIDS, частных локальных сетей (VLAN), средств контроля доступа и эффективных процедур системного администрирования (включая установку самых свежих версий ПО и коррекционных модулей).

    Поскольку системы NIDS могут анализировать ограниченный объем трафика, очень важно отправлять для анализа лишь тот трафик, который в наибольшей степени подвержен хакерским атакам. В разных сетях этот трафик может быть разным, но, как правило, он включает трафик SMTP, Telnet, FTP и WWW. Для этого выбирается система NIDS, работающая с серверами, поскольку эта система может отслеживать только интересующий вас трафик, передаваемый по всем сетям VLAN. Типы отслеживаемого трафика определяются политикой безопасности. После тщательной настройки эта система может устанавливаться на работу в очень строгом режиме, так как отслеживаемые потоки трафика являются хорошо известными.

    Альтернативы
    Серверный модуль, как и распределительный модуль здания, может объединяться с базовым модулем, если необходимость поддержки высокой производительности не потребует их разделения. В особо чувствительных сетях с высокой производительностью функции NIDS на коммутаторе Уровня 3 могут масштабироваться за счет установки нескольких модулей (blades) NIDS и балансирования трафика разных категорий безопасности междй ними.

    Периферийный распределительный модуль

    Задача этого модуля состоит в агрегации соединений разных сетевых элементов на сетевой периферии. Трафик фильтруется и направляется с периферийных модулей в базовую сеть.

    Основные устройства
  • Коммутаторы Уровня 3 - агрегируют периферийные соединения и предоставляют продвинутые услуги.

    Рисунок 14. Периферийный распределительный модуль: детали.

    • To Core Module - к базовому модулю
    • To e-Commerce Module - к модулю электронной комерции
    • To Corporate Internet Module - к корпоративному Интернет-модулю
    • To VPN/Remote Access Module - к модулю VPN/удаленного доступа
    • To WAN Module - к модулю глобальных сетей
    Предотвращаемые угрозы
    • Несанкционированный доступ - фильтрация предоставляет детальный контроль над отдельными периферийными подсетями и их способностью связываться с сетевыми элементами, расположенными в кампусе.
    • IP-спуфинг - фильтрация RFC 2827 ограничивает возможности внутренних атак, пользующихся результатами спуфинга.
    • Сетевая разведка - фильтрация ограничивает объем ненужного трафика, попадающего в кампус, и тем самым ограничивает возможности хакеров по ведению сетевой разведки.
    • Сниффинг пакетов - коммутируемая инфраструктура ограничивает эффективность сниффинга.
    Рисунок 15. Борьба с атаками на периферийном распределительном модуле.

    • To Core Module - к базовому модулю
    • Layer 3 Access Control - контроль доступа на Уровне 3
    • RFC 2827 Filtering - фильтрация RFC 2827
    • To e-Commerce Module - к модулю электронной комерции
    • To Corporate Internet Module - к корпоративному Интернет-модулю
    • To VPN/Remote Access Module - к модулю VPN/удаленного доступа
    • To WAN Module - к модулю глобальных сетей
    Рекомендации по дизайну
    По своей общей функциональности периферийный распределительный модуль похож на распределительный модуль здания. Оба модуля пользуются средствами контроля доступа для фильтрации трафика, хотя ряд возможностей сетевой периферии позволяет периферийному распределительному модулю поддерживать дополнительные функции безопасности. Для поддержки высокой производительности оба модуля пользуются коммутацией Уровня 3, но периферийный распределительный модуль обладает дополнительными возможностями в области безопасности, поскольку на сетевой периферии требования к производительности не столь высоки. Периферийный распределительный модуль представляет собой последнюю линию обороны для всего трафика, который передается с периферийного модуля на кампусный модуль. Эта линия должна пресекать попытки передачи пакетов с ложных адресов и несанкционированного изменения маршрутов, а также обеспечивать контроль доступа на уровне сети.

    Альтернативы
    Подобно серверному модулю и распределительному модулю здания, периферийный распределительный модуль может объединяться с базовым модулем, если требования производительности не являются такими же жесткими, как в приводимых здесь примерах архитектуры SAFE. В этом модуле отсутствует система NIDS, однако ее можно установить с помощью модулей IDS, работающих на коммутаторах Уровня 3. В этом случае сокращается необходимость в устройствах NIDS на выходе критически важных периферийных модулей, подключаемых к кампусу. Однако необходимость поддержки высокой производительности (как и в приводимом здесь примере архитектуры SAFE) может потребовать установки средств обнаружения атак на разных периферийных модулях, а не только на периферийном распределительном модуле.

    Корпоративная периферия

    В данном разделе приводится детальный анализ всех модулей, находящихся на периферии корпоративной сети.

    Рисунок 16. Детали корпоративной периферии - часть 1.

    • E-Commerce Module - модуль электронной коммерции
    • To Edge Distribution Module - к периферийному распределительному модулю
    • ISP A Module - модуль ISP A
    • ISP B Module - модуль ISP В
    • Corporate Internet Module - корпоративный Интернет-модуль
    • To Edge Distribution Module - к периферийному распределительному модулю
    • To VPN/Remote Access Module - к модулю VPN/удаленного доступа
    Рисунок 17. Детали корпоративной периферии - часть 2.

    • To Corporate Internet Module - к корпоративному Интернет-модулю
    • VPN/Remote Access Module - модуль VPN/удаленного доступа
    • To Edge Distribution Module - к периферийному распределительному модулю
    • PSTN Module - модуль ТфОП
    • PSTN - ТфОП
    • WAN Module - модуль глобальных сетей
    • To Edge Distribution Module - к периферийному распределительному модулю
    • Frame/ATM Module - модуль FR/ATM

    Корпоративный Интернет-модуль

    Корпоративный Интернет-модуль предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Трафик с этого модуля передается в виртуальные частные сети (VPN) и на модуль удаленного доступа, где происходит терминирование VPN. Этот модуль не предназначен для поддержки приложений электронной коммерции. Более подробная информация об электронной коммерции содержится в разделе "Модуль электронной коммерции".

    Рисунок 18. Поток корпоративного Интернет-трафика.

    • Edge Distribution Module - пограничный распределительный модуль
    • In/Out SMTP, DNS - вход/выход SMTP, DNS
    • Outgoing Internet - исходящий трафик Интернет
    • Corporate Internet Module - корпоративный Интернет-модуль
    • SMTP Inspection - проверка SMTP
    • Apps - приложения
    • URL Filtering - фильтрация URL
    • Out/In VPN - вход/выход VPN
    • ISP Module - модуль Интернет-провайдера (ISP)
    • Incoming FTP, Web, DNS, SMTP - входящий трафик FTP, Web, DNS, SMTP
    • Outgoing SMTP, DNS - исходящий трафик SMTP, DNS
    • Outgoing Internet - исходящий трафик Интернет
    • In/Out VPN - вход/выход VPN
    Основные устройства
    • Сервер SMTP - служит мостом между Интернет и серверами Интернет-почты - проверяет содержание.
    • Сервер DNS - служит внешним сервером DNS для предприятия, передает в Интернет запросы внутренних пользователей.
    • Сервер FTP/HTTP - предоставляет открытую информацию об организации.
    • Межсетевой экран - защищает ресурсы на уровне сети и производит фильтрацию трафика.
    • Устройство NIDS - поддерживает мониторинг ключевых сетевых сегментов модуля на Уровнях 4-7.
    • Сервер фильтрации URL - отфильтровывает несанкционированные запросы URL, исходящие от предприятия.
    Рисунок 19. Корпоративный Интернет-модуль: детали.

    • To Edge Distribution - к пограничному распределению
    • URL Filtering - фильтрация URL
    • ISP A - провайдер А
    • ISP B - провайдер В
    • To VPN/Remote Access - к VPN/удаленному доступу
    Предотвращаемые угрозы
    • Несанкционированный доступ - ликвидирует угрозы с помощью фильтрации на уровне провайдера (ISP), периферийного маршрутизатора и корпоративного межсетевого экрана.
    • Атаки на уровне приложений - ликвидируются с помощью IDS на уровне хоста и сети.
    • Вирусы и "троянские кони" - ликвидируются с помощью фильтрации содержания электронной почты и системы HIDS.
    • Атаки на пароли - ограничение возможностей смены паролей, контролируемые средствами операционной системы и IDS.
    • Отказ в обслуживании (DoS) - борьба с этой угрозой проводится с помощью CAR на периферии ISP и с помощью контроля установлений сессий TCP на межсетевом экране.
    • IP-спуфинг - фильтрация RFC 2827 и 1918 на периферии ISP и корпоративном периферийном маршрутизаторе.
    • Сниффинг пакетов - коммутируемая инфраструктура и система HIDS снижают эффективность сниффинга.
    • Сетевая разведка - IDS обнаруживает попытки ведения разведки, а фильтрация на уровне протоколов снижает ее эффективность.
    • Злоупотребление доверием - эта угроза снижается с помощью строгой модели доверия и за счет использования частных сетей VLAN.
    • Переадресация портов - эта угроза снижается с помощью строгой фильтрации и системы HIDS.
    Рисунок 20. Борьба с угрозами с помощью корпоративного Интернет-модуля.

    • Focused Layer 4-7 Analysis - сфокусированный анализ на Уровнях 4-7
    • Host IDS for Local Attack Mitigation - борьба с местными атаками с помощью HIDS
    • SMTP Content Inspection - проверка содержания SMTP
    • Spoof Mitigation - борьба со спуфингом
    • Basic Filtering - базовая фильтрация
    • To Edge Distribution - к периферийному распределению
    • ISP A - провайдер А
    • Focused Layer 4-7 Analysis - сфокусированный анализ на Уровнях 4-7
    • Inspect Outbound Traffic for Unauthorized URLs - проверка исходящего трафика на
    • наличие несанкционированных адресов URL
    • Stateful Packet Filtering - фильтрация пакетов с учетом состояний соединений
    • Basic Layer 7 Filtering - базовая фильтрация на Уровне 7
    • Host DoS Mitigation - борьба с угрозой атак DoS на хосты
    • Broad Layer 4-7 Analysis - широкий анализ на Уровнях 4-7
    • To VPN/Remote Access - к VPN/удаленному доступу
    • Spoof Mitigation - борьба со спуфингом
    • (D)DoS Rate-Limiting - ограничение масштаба атак (D)DoS
    Рекомендации по дизайну
    В основе модуля лежит пара отказоустойчивых межсетевых экранов, защищающих общедоступные услуги Интернет и внутренних пользователей. Экраны проверяют трафик, передаваемый во всех направлениях, и гарантируют пропускание только санкционированного трафика. Кроме средств, обеспечивающих устойчивость на Уровнях 2 и 3, и средств аварийного подхвата, все остальные элементы модуля нацелены на безопасность и борьбу с угрозами.

    Начиная с маршрутизатора, находящегося на периферии сети заказчика ISP, происходит отбрасывание несущественного трафика, объем которого превышает заранее установленные пороговые значения, что в значительной степени снижает угрозу атак типа (D)DoS. Кроме того, на выходе маршрутизатора ISP производится фильтрация RFC 1918 и 2827, что снижает угрозу спуфинга адресов локальных сетей и частных адресов.

    На входе первого маршрутизатора корпоративной сети производится базовая фильтрация, которая пропускает только ожидаемый (по адресам и IP-услугам) трафик. Этот фильтр "грубой очистки" помогает бороться с большинством наиболее распространенных атак. Здесь же происходит фильтрация RFC 1918 и 2827 для подкрепления фильтрации, проведенной на уровне ISP. Кроме этого, ввиду огромной угрозы, исходящей от фрагментированных пакетов, маршрутизатор настраивается на отбрасывание большинства таких пакетов, которые обычно не соответствуют стандартным типам трафика Интернет. Происходящие при этом потери санкционированного трафика считаются приемлемыми, если принять во внимание огромный риск, который несут в себе фрагментированные пакеты. И, наконец, любой трафик IPSec, адресованный на модуль VPN/удаленного доступа, передается по назначению. Фильтры, установленные на входе VPN пропускают только трафик IPSec, передаваемый с авторизованных узлов на авторизованные узлы. В сетях VPN с удаленным доступом IP-адрес системы, отправившей входящее сообщение, как правило, остается неизвестным, и поэтому фильтрация производится по центральным сетевым узлам, с которыми непосредственно связывается удаленный пользователь.

    Устройство NIDS, которое находится на общедоступной стороне межсетевого экрана, производит мониторинг атак, анализируя Уровни 4-7 и сравнивая результаты с известными сигнатурами. Поскольку ISP и периферийный маршрутизатор корпоративной сети отфильтровывают некоторые диапазоны адресов и портов, NIDS может сконцентрировать усилия на борьбе с более изощренными атаками. И все же это устройство NIDS работает в менее строгом режиме, чем аналогичные устройства, находящиеся с внутренней стороны межсетевого экрана. Это происходит, потому что замеченная им несанкционированная активность представляет собой не прорыв обороны, а лишь попытку такого прорыва.

    Межсетевой экран поддерживает состояние соединения и производит тщательную фильтрацию проходящих через него сессий. Серверы общего доступа получают некоторую защиту от переполнения TCP SYN за счет использования лимитов полуоткрытых соединений на межсетевом экране. Эти экраны не только ограничивают трафик на серверах общего доступа по определенному набору адресов и портов, но и фильтруют трафик, идущий в обратном направлении. Если хакер получил контроль над одним из серверов (обойдя межсетевой экран и системы HIDS и NIDS), такому серверу нельзя позволить стать платформой для дальнейших атак. Для этого используется специальная фильтрация, отбраковывающая любые несанкционированные запросы, которые генерируются серверами общего доступа для передачи в любом направлении. К примеру, Web-сервер может фильтроваться таким образом, чтобы не генерировать собственные запросы, а лишь отвечать на запросы клиентов. Это не позволит хакеру после первой удачной атаки загрузить на сервер дополнительные утилиты. Одним из примеров возможной атаки такого типа может служить генерация xterm с Web-сервера через межсетевой экран на машину хакера. Кроме того, частные сети VLAN не позволяют серверу общего доступа атаковать другие серверы, находящиеся в одном и том же сегменте. Такой трафик не проходит через межсетевой экран, поэтому использование здесь частных сетей VLAN является критически важным.

    В сегменте инспекции содержания передается только трафик, связанный с запросами URL, идущими от межсетевого экрана к устройству, которое осуществляет фильтрацию URL. Кроме этого, разрешаются авторизованные запросы от корпоративного устройства URL-фильтрации к мастер-серверу для обновления информации в базе данных. Устройство URL-фильтрации проверяет исходящий трафик на наличие несанкционированных запросов WWW. Это устройство напрямую связывается с межсетевым экраном и одобряет или отклоняет запросы URL, которые межсетевой экран передает своему механизму URL-инспекции. Решение об одобрении или отклонении запроса зависит от корпоративной политики безопасности, в которой используется классификация ресурсов WWW, предоставляемая третьей стороной. Инспекция URL является более предпочтительной по сравнению с обычной фильтрацией доступа, потому что IP-адреса несанкционированных Web-сайтов часто меняются и поэтому стандартные фильтры могут разрастаться до весьма больших размеров. Установленные на этом сервере средства HIDS предоставляют защиту от атак, которым по какой-либо причине удается обойти межсетевой экран.

    Сегмент услуг общего доступа включает устройство NIDS. Оно предназначено для обнаружения атак на те порты, которые межсетевой экран считает разрешенными. Таким образом пресекаются атаки на уровне приложений, направленные против конкретного устройства, или атаки против услуг, защищенных паролями. Это устройство NIDS должно настраиваться на более жесткий режим работы по сравнению с устройством NIDS, установленным с внешней стороны межсетевого экрана, поскольку здесь обнаруживаются атаки, успешно преодолевшие межсетевой экран. На каждом сервере устанавливаются программные средства для обнаружения атак, пресекающие любую несанкционированную активность на уровне операционной системы и на уровне обычных серверных приложений (HTTP, FTP, SMTP и т.д.). Хост DNS должен защищаться и реагировать только на разрешенные команды. Он не должен выдавать никаких ненужных ответов, которые могут облегчить хакерам задачу ведения сетевой разведки. Сюда входит запрещение передачи доменной информации (zone-transfers), кроме случаев, когда такая передача внутренним сервером DNS. На сервере SMTP установлены услуги проверки содержания электронной почты, защищающие от вирусов и "троянских коней", которые обычно проникают в систему с почтовыми сообщениями. Межсетевой экран сам проводит фильтрацию сообщений SMTP на Уровне 7 и пропускает на почтовый сервер только необходимые команды.

    Устройство NIDS, установленное с внутренней стороны межсетевого экрана, производит окончательный анализ атак. Обнаружение атак на этом этапе должно происходить крайне редко, так как сюда допускаются только ответы на санкционированные запросы и трафик, исходящий с нескольких санкционированных портов сегмента общего доступа. До этого уровня могут доходить только особо изощренные атаки, потому что обычно хакер стремится получить контроль над устройством общего доступа и использовать его в качестве платформы для последующей атаки внутренней сети. К примеру, если хакер захватил сервер SMTP, работающий в сети общего доступа, он может попытаться атаковать внутренний почтовый сервер через TCP-порт 25, которому разрешено передавать почтовые сообщения между хостами. Если атака обнаруживается на этом уровне, реакция должна быть намного более жесткой, чем в других сегментах, поскольку в данном случае какие-то системы уже наверняка находятся под контролем хакера. Следует серьезно рассмотреть вариант использования сброса ТСР (ТСР reset), который позволит, к примеру, отразить описанную выше атаку SMTP.

    Альтернативы
    Существует несколько альтернативных вариантов проектирования данного модуля. Так, например, в зависимости от вашего отношения к атакам, вы можете отказаться установки устройства NIDS с внешней стороны межсетевого экрана. Кроме того, этот тип мониторинга вообще не рекомендуется использовать без базовой фильтрации на маршрутизаторе доступа. Однако при наличии необходимых фильтров доступа, включенных в наш дизайн, внешнее устройство NIDS может дать ценную информацию об атаках, которая в любом другом случае была бы отбракована межсетевым экраном. Поскольку это устройство будет, по всей видимости, генерировать множество сигналов тревоги, эти сигналы должны иметь меньшую приоритетность по сравнению с сигналами, поступающими с внутренней стороны межсетевого экрана. Следует рассмотреть возможность регистрации этих сигналов на отдельной станции управления, чтобы не терять их для последующего анализа. Это важно еще и потому, что множество неудавшихся попыток атаки, регистрируемых внешним устройством NIDS, может дать представление о том, какие типы атак нацелены на вашу организацию. Кроме того, это позволит оценить эффективность фильтров провайдера (ISP) и фильтров, установленных на периферии корпоративной сети.

    Еще одна возможная альтернатива предложенному дизайну состоит в удалении маршрутизатора, расположенного между межсетевым экраном и периферийным распределительным модулем. Его функции вполне могут быть интегрированы в периферийный распределительный модуль, однако при этом будут нивелированы функциональные разграничения между модулями, поскольку для корректной маршрутизации коммутаторам периферийного распределения нужно знать всю топологию корпоративного Интернет-модуля. Кроме того, это ограничит возможности поэтапного модульного внедрения и масштабирования данной архитектуры. К примеру, если базовая сеть предприятия реализована на Уровне 2, вам потребуются функции маршрутизации, которые обеспечивает корпоративный Интернет-модуль.

    Модуль виртуальных частных сетей (VPN) и удаленного доступа

    Как видно из названия, этот модуль выполняет три основных задачи: терминирует трафик VPN, поступающий от удаленных пользователей, действует в качестве концентратора для терминирования этого трафика, а также терминирует обычных абонентов с модемным доступом. Весь трафик, направляемый в сегмент периферийного распределения, поступает от удаленных корпоративных пользователей, которые так или иначе аутентифицируются и лишь затем получают право прохода через межсетевой экран.

    Рисунок 21. Поток трафика через модуль VPN/удаленного доступа.

    • Edge Distribution Module - периферийный распределительный модуль
    • Clear Text Remote Traffic - текстовый удаленный трафик
    • Remote Access VPN Module - модуль удаленного доступа к VPN
    • User Authentication - аутентификация пользователей
    • IPSec Termination - терминация IPSec
    • ISP Module - модуль ISP
    • Dial Remote Access - модемный доступ
    • Encrypted Remote Access - зашифрованный удаленный доступ
    • Encrypted Site-to-Site - зашифрованный трафик между сайтами
    Основные устройства
    • Концентратор VPN - аутентифицирует удаленных пользователей с помощью средства расширенной аутентификации XAUTH и терминирует их туннели IPSec.
    • Маршрутизатор VPN - аутентифицирует доверенные удаленные сайты и обеспечивает связь через туннели GRE/IPSec.
    • Сервер модемного доступа - аутентифицирует индивидуальных удаленных пользователей с помощью TACACS+ и терминирует их аналоговые соединения.
    • Межсетевой экран - поддерживает свой уровень безопасности для каждого из трех типов удаленного доступа.
    • Устройство NIDS - поддерживает мониторинг ключевых сетевых сегментов данного модуля на Уровнях 4-7.
    Рисунок 22. Модуль VPN/удаленного доступа: детали.

    • To Edge Distribution Module - к периферийному распределительному модулю
    • Remote Access VPN - VPN удаленного доступа
    • Site-to-Site VPN - соединения VPN между сайтами
    • Traditional Dial Access Servers - серверы традиционного модемного доступа
    • PSTN - ТфОП
    • To Internet via the Corporate Internet Module - к Интернет через корпоративный
    • Интернет-модуль
    Предотвращаемые угрозы
    • Раскрытие сетевой топологии - в этот сегмент из Интернета допускаются только данные Internet Key Exchange (IKE) и Encapsulated Security Payload (ESP).
    • Атака на пароли - аутентификация с использованием однократных паролей (ОТР) снижает вероятность успеха такой атаки.
    • Несанкционированный доступ - услуги межсетевого экрана, следующие за расшифровкой пакетов, не дают возможности передавать трафик на несанкционированные порты.
    • Атака типа Man-in-the-Middle - вероятность снижается с помощью шифрования удаленного трафика.
    • Сниффинг пакетов - коммутируемая инфраструктура снижает эффективность сниффинга.
    Рисунок 23. Борьба с угрозами на уровне модуля VPN/удаленного доступа.

    • To Edge Distribution Module - к периферийному распределительному модулю
    • Focused Layer 4-7 Analysis - сфокусированный анализ на Уровнях 4-7
    • Stateful Packet Filtering - фильтрация пакетов с учетом состояний соединений
    • Basic Layer 7 Filtering - базовая фильтрация на Уровне 7
    • Authenticate Users - аутентификация пользователей
    • Terminate IPSec - терминирование IPSec
    • Authenticate Remote Site - аутентификация
    • Terminate IPSec - терминирование IPSec
    • Authenticate Users - аутентификация пользователей
    • Terminate Analog Dial - терминирование аналогового доступа
    • Allow Only IPSec Traffic - пропуск только трафика IPSec
    • To Internet via the Corporate Internet Module - к Интернет через корпоративный
    • Интернет-модуль
    • Broad Layer 4-7 Analysis - расширенный анализ на Уровнях 4-7
    • PSTN - ТфОП
    Рекомендации по дизайну
    Кроме надежности, базовыми требованиями к этому модулю являются аутентификация и терминация трех типов услуг для внешних пользователей. Поскольку трафик в корпоративную сеть поступает из разных внешних источников, было принято решение о поддержке отдельного интерфейса для каждой из трех услуг. Ниже приводятся Рекомендации по проектированию этих услуг.

    VPN удаленного доступа
    Трафик VPN передается с маршрутизаторов доступа, являющихся частью корпоративного Интернет-модуля. На выходе этих маршрутизаторов трафик фильтруется по IP-адресам и протоколам, входящим в состав услуг VPN. Современные виртуальные частные сети с удаленным доступом могут пользоваться несколькими протоколами туннелирования и безопасности. Хотя наиболее оптимальным является протокол IPSec, многие организации выбирают такие протоколы, как PPTP или L2TP, которые изначально поддерживаются наиболее популярными операционными системами для настольных устройств. В архитектуре SAFE используется протокол IPSec, потому что с одной стороны он требует минимальных усилий по конфигурированию клиентов, а с другой стороны поддерживает достаточно высокий уровень безопасности.

    Трафик VPN с удаленным доступом будет направляться на единый адрес общего доступа с помощью протокола IKE (UDP 500). Поскольку соединение IKE не может производиться без корректной аутентификации, на этом уровне потенциальный хакер должен испытывать определенные трудности. Технология XAUTH, которая является одним из расширений IKE (draft RFC), создает дополнительный механизм аутентификации пользователя, прежде чем этому пользователю будут присвоены какие-либо параметры IP. Концентратор VPN "подключается" к серверу контроля доступа через подсеть управления и интерфейс управления. При этом надежную защиту с помощью паролей предоставляет сервер однократных паролей.

    После аутентификации удаленный пользователь получает доступ. Для этого ему присваиваются IP-параметры с помощью MODCFG, еще одного расширения IKE. Кроме IP-адреса и местонахождения серверов имен (DNS и WINS), MODCFG предоставляет услуги аутентификации для контроля доступа данного удаленного пользователя. К примеру, в архитектуре SAFE абоненты не могут работать в туннеле и одновременно иметь прямой доступ в сеть Интернет. Вместо этого им приходится получать доступ в Интернет только через корпоративные каналы. При этом используются такие параметры IPSec, как 3DES (для шифрования) и SHA-HMAC (для контроля целостности данных). Модуль аппаратного шифрования, который входит в состав концентратора VPN, позволяет масштабировать услуги удаленного доступа VPN и предлагать их тысячам удаленных пользователей. После терминации туннеля VPN трафик передается через межсетевой экран, где происходит необходимая фильтрация пользователей VPN.

    Безопасное управление этой услугой достигается с помощью навязывания удаленным пользователям всех параметров IPSec и параметров безопасности с центрального сайта. Кроме того, подключение ко всем функциям управления происходит через специальный выделенный интерфейс.

    Пользователи с модемным доступом
    Традиционные пользователи с модемным доступом терминируются на одном из двух маршрутизаторов доступа, где имеются встроенные модемы. После установления связи между пользователем и сервером на Уровне 1, для аутентификации пользователя применяется протокол CHAP. Как и в случае с VPN удаленного доступа, для аутентификации и предоставления паролей используются сервер ААА и сервер однократных паролей. После аутентификации пользователей, им присваиваются IP-адреса, которые выбираются из IP-пула при установлении соединения протокола РРР.

    VPN для связи между сайтами
    Трафик VPN, предназначенный для связи между сайтами, состоит из туннелей GRE, защищенных протоколом IPSec в транспортном режиме с использованием технологии ESP (Encapsulated Security Payload). Как и в случае с удаленным доступом, трафик, исходящий из корпоративного Интернет-модуля, может поступать только на определенные адреса двух маршрутизаторов VPN. При этом адреса источников ограничиваются ожидаемыми адресами удаленных сайтов. Единственными ожидаемыми протоколами в этом канале являются протокол ESP (IP 50) и протокол IKE (UDP 500).

    Протокол GRE используется для обеспечения полнофункционального маршрутизируемого канала, по которому передается многопротокольный трафик. Здесь же поддерживается протоколы маршрутизации и режим многоадресной передачи (multicast). Поскольку протоколы маршрутизации могут распознавать обрыв связи в канале (для связи с удаленными сайтами используется протокол EIGRP - Enhanced Interior Gateway Routing Protocol), туннель GRE создает механизм устойчивости для удаленных сайтов, которые имеют два канала с инкапсуляцией GRE (по одному на каждый центральный маршрутизатор VPN).

    Как и в случае с VPN удаленного доступа, максимальная безопасность с приемлемым ущербом для производительности достигается с помощью алгоритмов шифрования и контроля целостности 3DES и SHA-HMAC. На маршрутизаторах VPN могут использоваться аппаратные акселераторы IPSec.

    Остальные компоненты модуля
    Межсетевой экран агрегирует трафик всех трех типов и направляет его на внутренний интерфейс, а затем - через пару маршрутизаторов - в периферийный распределительный модуль. На маршрутизаторе должен быть правильно настроен контроль доступа, чтобы пропускать к внутреннему интерфейсу экрана только санкционированный трафик. С внешней стороны межсетевого экрана устанавливается пара устройств NIDS для обнаружения любой "разведывательной" деятельности, направленной против устройств терминации VPN. В этом сегменте может передаваться только трафик IPSec (IKE/ESP). Поскольку системы NIDS не могут анализировать содержание пакетов IPSec, любой генерируемый ими сигнал тревоги может означать только отказ или захват хакером одного из окружающих устройств. В любом случае все подобные сигналы должны иметь высокий уровень приоритетности. Вторая пара устройств NIDS устанавливается с внутренней стороны межсетевого экрана для обнаружения любых атак, которым удалось обойти все предыдущие преграды. Эти устройства также должны устанавливаться на весьма жесткий режим работы. Весь трафик, проходящий через этот сегмент, должен передаваться на удаленный сайт или поступать с удаленного сайта, и поэтому любые операции типа "отрубания" адресов (shunning) или переустановки ТСР (TCP reset) будут влиять только на удаленных пользователей.

    Альтернативы
    В технологиях VPN и аутентификации существует множество альтернатив, применение которых зависит от специфических требований конкретной сети. Ниже приводится список этих альтернатив, однако их детальное описание выходит за рамки данного документа.
    • Аутентификация с помощью смарт-карт и/или биометрических устройств.
    • Туннели L2TP и/или PPTP для удаленного доступа к VPN.
    • Certificate Authorities (CA).
    • Механизм устойчивости IKE (IKE keep-alive resilience mechanism).
    • VPN с многопротокольной коммутацией по меткам (MPLS).

    Модуль глобальных сетей (WAN)

    Этот модуль предназначается для поддержки устойчивости и безопасности терминации соединений с глобальными сетями. При этом трафик передается между удаленными сайтами и центральным сайтом по сети Frame Relay.

    Основные устройства
  • Маршрутизатор IOS - использует механизмы маршрутизации, контроля доступа и гарантированного качества услуг (QoS).

    Рисунок 24. Модуль глобальных сетей: детали.

  • To Edge Distribution Module - к периферийному распределительному модулю

    Предотвращаемые угрозы
    • IP-спуфинг - борьба ведется с помощью фильтрации на Уровне 3.
    • Несанкционированный доступ - простой контроль доступа на маршрутизаторе может ограничить типы протоколов, к которым имеют доступ отделения компании.
    Рисунок 25. Борьба с угрозами на уровне модуля глобальных сетей.

    • To Edge Distribution Module - к периферийному распределительному модулю
    • Layer 3 Access Control - контроль доступа на Уровне 3
    Рекомендации по дизайну
    Устойчивость обеспечивается двойным соединением, идущим от сервис-провайдера через маршрутизаторы к периферийному распределительному модулю. Безопасность поддерживается с помощью функций IOS. Для блокирования всего нежелательного трафика, поступающего от отделений компании, используются списки доступа на входе.

    Альтернативы
    Некоторые организации, особо озабоченные защитой информации, шифруют конфиденциальный трафик, передаваемый по каналам глобальных сетей. Как и в случае с виртуальными частными сетями для связи между сайтами, поддержка такой политики безопасности может обеспечиваться с помощью протокола IPSec.

    Модуль электронной коммерции

    Поскольку главной заботой данного модуля является электронная коммерция, здесь необходимо найти оптимальное соотношение между удобством доступа и безопасностью. Разделение транзакции электронной коммерции на три компонента позволяет нашей архитектуре поддерживать разные уровни безопасности без ущерба для удобства доступа.

    Рисунок 26. Поток трафика электронной коммерции.

    • Edge Distribution Module - периферийный распределительный модуль
    • e-Commerce Module - модуль электронной коммерции
    • DB - база данных
    • Apps - приложения
    • ISP Module - модуль ISP
    • Incoming Requests - входящие запросы
    Основные устройства
    • Web-сервер - служит основным пользовательским интерфейсом для навигации по магазину электронной коммерции.
    • Сервер приложений - является платформой для различных приложений, которые требуются Web-серверу.
    • Сервер баз данных - содержит критически важную информацию, которая служит основой для электронной коммерции.
    • Межсетевой экран - управляет уровнями безопасности и доступа в системе.
    • Устройство NIDS - поддерживает мониторинг ключевых сетевых сегментов в модуле.
    • Коммутатор Уровня 3 с модулем ISP - масштабируемое устройство ввода для электронной коммерции с интегрированными средствами мониторинга безопасности.
    Рисунок 27. Модуль электронной коммерции: детали.

    • Database Servers - серверы баз данных
    • Application Servers - серверы приложений
    • Web Servers - Web-серверы
    • To Edge Distribution Module - к периферийному распределительному модулю
    Предотвращаемые угрозы
    • Несанкционированный доступ - межсетевой экран и списки доступа (ACL) снижают уязвимость протоколов.
    • Атаки на уровне приложений - борьба ведется с помощью систем обнаружения атак (IDS).
    • Отказ в обслуживании (DoS) - фильтрация на устройствах провайдера (ISP) и ограничение объемов снижают остроту атак типа (D)DoS.
    • IP-спуфинг - фильтрация в соответствии с RFC 2827 и 1918 ограничивают возможности удаленного спуфинга.
    • Сниффинг пакетов - коммутируемая инфраструктура и системы HIDS ограничивают эффективность сниффинга.
    • Сетевая разведка - работать можно только с ограниченным числом необходимых портов; возможности ICMP ограничены.
    • Злоупотребление доверием - межсетевые экраны обеспечивают поток трафика только в правильном направлении и для правильных услуг.
    • Переадресация портов - HIDS и фильтрация с помощью межсетевого экрана ограничивают эффективность этих атак.
    Рисунок 28. Борьба с атаками на уровне модуля электронной коммерции.

    • Focused Layer 4-7 Analysis - сфокусированный анализ на Уровнях 4-7
    • Host IDS for Local Attack Mitigation - борьба с локальными атаками с помощью HIDS
    • Focused Layer 4-7 Analysis - сфокусированный анализ на Уровнях 4-7
    • To Edge Distribution - к периферийному распределению
    • ISP A - провайдер А
    • Stateful Packet Filtering - фильтрация пакетов в учетом состояний соединений
    • Basic 7 Layer Filtering - базовая фильтрация на Уровне 7
    • Focused Layer 4-7 Analysis - сфокусированный анализ на Уровнях 4-7
    • Stateful Packet Filtering - базовая фильтрация на Уровне 7
    • Basic 7 Layer Filtering - сфокусированный анализ на Уровнях 4-7
    • Host DoS Mitigation - борьба с атаками DoS на хостах
    • Broad Layer 4-7 Analysis - расширенный анализ на Уровнях 4-7
    • Wire Speed Access Control - контроль доступа со скоростью передачи
    • Spoof Mitigation - борьба со спуфингом
    • (D)DoS Rate-Limiting - ограничение атак типа (D)DoS
    • Layer 4 Filtering - фильтрация на Уровне 4
    Описание внедрения
    В основе модуля лежат две пары отказоустойчивых межсетевых экранов, которые защищают три вида серверов: Web-серверы, серверы приложений и серверы баз данных. Дополнительная защита обеспечивается периферийными маршрутизаторами провайдерской (ISP) и корпоративной сети. Этот дизайн легко понять, если рассмотреть поток трафика и направление типовой электронной коммерческой транзакции.

    Заказчик, входящий в систему электронной коммерции, инициирует соединение HTTP с Web-сервером после получения IP-адреса с сервера DNS, находящегося в сети ISP. Сервер DNS находится в другой сети, чтобы сократить число протоколов, необходимых для приложения электронной коммерции. Первая группа межсетевых экранов должна пропускать этот протокол по конкретному адресу. Ответный трафик по этому же каналу также пропускается через экран, но для этого Web-серверу не нужно снова инициировать соединение для выхода в Интернет. Межсетевой экран блокирует этот маршрут, чтобы ограничить возможности хакеров, если они завладели одним из Web-серверов.

    Когда пользователь просматривает Web-сайт и выбирает переход по гиперссылке, Web-сервер инициирует запросы к серверу приложений, который находится с внутренней стороны межсетевого экрана. Это соединение вместе с ответным трафиком также должно разрешаться первым межсетевым экраном. Как и в случае с Web-сервером, серверу приложений не нужно инициировать соединение с Web-сервером или выход в Интернет. Вся пользовательская сессия проходит поверх HTTP и SSL без прямой связи с сервером приложений или сервером баз данных.

    В какой-то момент пользователь захочет совершить транзакцию. Web-сервер захочет защитить эту транзакцию, и ему понадобится протокол SSL. В то же время сервер приложений может сделать запрос или передать информацию серверу баз данных. Как правило, это происходит в форме запросов SQL, которые инициируются сервером приложений для сервера баз данных, но не наоборот. Эти запросы проходят через второй межсетевой экран и передаются на сервер баз данных. В зависимости от специфики используемого приложения, серверу баз данных может потребоваться связь с внутренними системами (back-end), которые находятся в корпоративном серверном модуле.

    В общем и целом, межсетевые экраны должны разрешать передачу трафика только по трем маршрутам, каждый из которых работает со своим протоколом, и блокировать все остальные попытки связи, если они не представляет собой передачу пакетов в ответ на запросы, поступившие по трем первоначальным маршрутам.

    Сами серверы также должны быть полностью защищены. Особое внимание следует уделять защите Web-сервера, предназначенного для общего доступа. Необходимо пользоваться самыми последними версиями операционной системы и приложений Web-сервера со всеми коррекционными модулями (патчами). Кроме того, эти средства должны находиться под постоянным наблюдением со стороны средств обнаружения атак (HIDS). Эти меры позволят снизить эффективность большинства первичных и вторичных атак, включая переадресацию портов и атаки типа root kit. Все другие серверы также должны иметь аналогичные средства защиты, на случай если хакеры захватят первый сервер или межсетевой экран.

    Сегменты, защищенные межсетевым экраном
    Межсетевые экраны для электронной коммерции обычно защищаются периферийным маршрутизатором заказчика, установленным у ISP. В точке выхода этого маршрутизатора, направленной к корпорации, ISP может до предела ограничить количество протоколов, необходимых для электронной коммерции, а также разрешить передачу трафика только на адрес Web-серверов. Кроме того, периферийным серверам необходимо обновление протокола маршрутизации (обычно это BGP - Border Gateway Protocol). Весь остальной трафик должен блокироваться. Для борьбы с атаками типа (D)DoS провайдер (ISP) должен ограничивать объемы трафика, как указано в разделе "Аксиомы SAFE". ISP должен также проводить фильтрацию по стандартам RFC 1918 и RFC 2827.

    В помещении предприятия первый маршрутизатор служит только в качестве интерфейса для связи с провайдером (ISP). Всю сетевую работу выполняет коммутатор Уровня 3, функции которого выполняются на аппаратных процессорах. Именно коммутаторы Уровня 3 принимают все решения по маршрутизации BGP, определяя, маршрут какого провайдера (ISP) наиболее оптимален для того или иного пользователя. Во-вторых, коммутаторы Уровня 3 выполняют функцию проверки фильтрации, обеспечивая ее соответствие описанной выше фильтрации ISP, что повышает уровень безопасности. В-третьих, коммутаторы Уровня 3 имеют встроенную функцию мониторинга для распознавания атак (IDS). Если емкость соединения с Интернет превышает возможности линейной карты IDS, вы можете проверять только входящие Web-запросы, поступающие на карту IDS из сети Интернет. Хотя в этом случае вы будете терять до 10 процентов аварийных сигналов, это все-таки лучше, чем проверять трафик, передаваемый в обоих направлениях, потому что при этом число пропускаемых аварийных сигналов будет больше. Другие средства NIDS, находящиеся с внутренней стороны межсетевого экрана, проверяют сегменты, пытаясь распознать атаки, успешно преодолевшие первую линию обороны. Так, например, если версия Web-сервера устарела, хакер, преодолевший систему HIDS, может захватить его с помощью атаки на уровне приложений. Как и в корпоративном Интернет-модуле, нужно попытаться свести к минимуму число ложных срабатываний систем распознавания атак, чтобы каждый сигнал тревоги вызывал должное внимание. Поскольку в определенных сегментах может присутствовать только определенный трафик, вы можете очень точно настроить свою сетевую систему обнаружения атак (NIDS).

    С точки зрения приложений, маршруты связи между разными уровнями (Web, приложения, базы данных) должны быть защищенными, транзакционными и обладать надежной системой аутентификации. К примеру, если сервер приложений получает данные от сервера баз данных через интерактивную сессию (SSH, FTP, Telnet и т.д.), хакер может воспользоваться интерактивностью для проведения атаки на уровне приложений. Использование надежных каналов связи поможет снизить потенциальный риск.

    Коммутаторы Уровня 2, поддерживающие разные сегменты, защищенные межсетевыми экранами, создают возможность использования частных сетей VLAN, создавая модель доверия, которая пропускает трафик, отвечающий определенным требованиям в рамках определенного сегмента, и отбраковывает весь остальной трафик. К примеру, нет никаких причин для того, чтобы позволяют одному Web-серверу связываться с другим Web-сервером.

    Управление всем модулем (как и всеми другими элементами данной архитектуры) происходит только по отдельной сети (out-of-band).

    Альтернативы
    Основной альтернативой данной архитектуре является размещение всей систему у провайдера (ISP). При этом (хотя общий дизайн системы не меняется) появляется два существенных различия. Во-первых, связь с ISP осуществляется по каналу LAN с более широкой полосой пропускания. Это, в принципе, позволяет избавиться от пограничных маршрутизаторов, хотя такой вариант использовать не рекомендуется. Кроме того, более широкая полоса пропускания вызывает новые требования в области борьбы с атаками типа (D)DoS. Во-вторых, обратное соединение с корпорацией должно по-другому управляться. Альтернативы включают шифрование и использование частных линий связи. Эти технологии вызывают дополнительные требования к системе безопасности в зависимости от местонахождения каналов связи и их использования.

    Существует несколько вариантов проектирования этого модуля. Мы лишь перечислим эти альтернативы. Их подробное освещение выходит за рамки данного документа.
    • В качестве альтернативы можно использовать дополнительные межсетевые экраны. В этом случае поток трафика будет выглядеть следующим образом: периферийный маршрутизатор - межсетевой экран - Web-сервер - межсетевой экран - сервер приложений - межсетевой экран - сервер баз данных. В результате каждый межсетевой экран будет контролировать связь только с одной базовой системой.
    • Технологии балансировки нагрузки и кэширования не рассматриваются в настоящем документе, однако они могут накладываться на данную архитектуру без особых модификаций. В будущем этот вопрос будет рассмотрен в отдельном документе.
    • Для среды с очень высокими требованиями к безопасности можно рассмотреть возможность использования межсетевых экранов разных типов. Сразу заметим, что это создает дополнительные проблемы в области управления, так как требует дублирования политики безопасности на разнородных системах. Этот вариант реализуется для того, чтобы прорыв одного межсетевого экрана не становился прорывом всей системы безопасности. Этот тип дизайна сфокусирован на межсетевых экранах. Он в недостаточной степени использует преимущества систем обнаружения атак (IDS) и других технологий безопасности, которые позволяют снизить риск прорыва одного межсетевого экрана.
    Корпоративные опции

    Процесс проектирования часто связан с компромиссами. В этом кратком разделе мы рассмотрим некоторые опции, к которым может прибегнуть инженер, который проектирует сеть в условиях нехватки средств. Некоторые компромиссы возможны на уровне модулей, другие - на уровне компонентов.

    Первая опция состоит в свертывании модуля распределения и его слиянии с базовым модулем. В результате наполовину сокращается количество коммутаторов Уровня 3. Экономия средств достигается за счет некоторого сокращения производительности базовой сети и снижения гибкости, необходимой для фильтрации на уровне распределения.

    Вторая опция состоит в слиянии функциональности модуля VPN/удаленного доступа и корпоративного Интернет-модуля. Структуры этих модулей очень сходны: пара межсетевых экранов в центре плюс устройства NIDS. Такое слияние не приводит к потере функциональности, если производительность компонентов соответствует общему объему трафика, который должны передавать оба модуля и если межсетевой экран имеет достаточное количество интерфейсов для поддержки необходимых услуг. При этом следует помнить, что по мере концентрации функций на единых устройствах увеличивается вероятность человеческих ошибок. Некоторые организации идут еще дальше и включают в корпоративный модуль VPN/Интернет функции электронной коммерции. Авторы считают, что при этом варианте риск намного перевешивает любую экономию, кроме случаев когда потребности электронной торговли являются минимальными. Отделение трафика электронной коммерции от общего Интернет-трафика позволяет лучше оптимизировать полосу пропускания за счет более строгой фильтрации и ограничений атак типа (D)DoS на уровне ISP.

    Третья опция состоит в удалении некоторых устройств NIDS. В зависимости от стратегии реагирования на угрозы, вам действительно может понадобиться меньше таких устройств. Кроме того, их количество зависит от числа установленных устройств HIDS, поскольку в некоторых случаях последние могут снизить потребность в обнаружении атак на сетевом уровне (NIDS). Этот вопрос обсуждается (там, где необходимо) в разделах, посвященных конкретным модулям.

    Совершенно ясно, что проектирование сетей не относится к числу точных наук. Проектировщик всегда может сделать тот или иной выбор в зависимости от реальных потребностей. Авторы не требуют обязательного принятия своей архитектуры в неизменном виде. Они просто хотят, чтобы инженеры, проектирующие сеть, сознательно выбирали варианты систем безопасности на основе опыта, полученного их предшественниками в ходе предыдущей работы.

    Стратегии миграции

    SAFE представляет собой руководство по внедрению систем безопасности в корпоративных сетях. Это не идеальная политика безопасности, годная для любой корпоративной сети, и не идеальный дизайн, гарантирующий полную безопасность всех существующих сетей. Это лишь шаблон, позволяющий инженерам проектировать и развертывать корпоративные сети с учетом требований безопасности.

    Первым шагом на пути к безопасной инфраструктуре является разработка политики безопасности. После разработки стратегии проектировщик должен рассмотреть аксиомы безопасности, описанные в первом разделе настоящего документа, и определить, каким образом реализовать политику безопасности в существующей сетевой инфраструктуре.

    Наша архитектура является достаточно гибкой, а вопросы дизайна описаны достаточно подробно, что позволяет адаптировать элементы архитектуры SAFE к большинству корпоративных сетей. К примеру, в модуле VPN/удаленного доступа различным потокам трафика, поступающего из сетей общего пользования, соответствует своя пара терминирующих устройств и отдельный интерфейс межсетевого экрана. С другой стороны, весь трафик VPN можно сконцентрировать на одной паре устройств, если это допускают параметры нагрузки и если для обоих типов трафика действует единая политика безопасности. В другой сети пользователи с традиционным модемным доступом и пользователи VPN с удаленным доступом могут беспрепятственно входить в сеть, поскольку система безопасности в достаточной степени доверяет механизмам аутентификации, допускающим подключение только санкционированных пользователей.

    SAFE позволяет проектировщику решать проблемы безопасности отдельно для каждой сетевой функции. Каждый модуль, как правило, является самодостаточным и исходит из того, что любой другой подключаемый к нему модуль имеет только базовые средства защиты. Это позволяет инженерам использовать поэтапный подход к проектированию безопасности корпоративной сети. Они могут повысить степень защиты наиболее важных сетевых функций, подчинив их определенной политике безопасности и не меняя при этом архитектуру всей остальной сети. Исключением является модуль управления. В ходе первоначального развертывания архитектуры SAFE модуль управления должен устанавливаться одновременно с первым модулем, а затем последовательно подключаться ко всем остальным модулям по мере их установки.

    Настоящая первая версия архитектуры SAFE предназначена для решения вопросов безопасности корпоративной сети общего характера. Авторы вполне отдают себе отчет в том, что существует множество областей, требующих более детальной проработки, изучения и совершенствования. Вот лишь некоторые из них:
    • глубокий анализ управления безопасностью и внедрения систем безопасности;
    • специализированная информация по проектированию малых сетей;
    • глубокий анализ систем аутентификации, услуг директорий, технологий ААА (аутентификации, авторизации и учета) и выдачи сертификатов (certificate authority);
    • масштабируемые версии центральной части VPN и проектирование глобальных сетей (WAN).
    Ссылки

    Руководства Cisco по конфигурации для программных продуктов в области обеспечения безопасности и для соответствующих программных компонентов

    Дополнительная информация

    Московский офис Cisco Systems
    Риверсайд Тауерз
    Космодамианская наб., 52
    Стр. 1, 4 этаж
    113054 Москва, Россия
    телефон: +7 095 9611410
    факс: +7 095 9611469
    World Wide Web: www.cisco.com
    Cisco Russia WWW: www.cisco.ru

    Вернуться на главную страницу обзора

  • Версия для печати

    Опубликовано в 2001 г.

    Техноблог | Форумы | ТВ | Архив
    Toolbar | КПК-версия | Подписка на новости  | RSS