Сергей Петренко - Политики безопасности компании при работе в Интернет Страница 37

Правило 16

Источник: сервер HP OpenView NNM.

Получатель: внутренние интерфейсы пограничных маршрутизаторов.

Сервис: SNMP-read, ICMP echo request (используется для Open View polling).

Правило 17

Источник: внутренние интерфейсы пограничных маршрутизаторов.

Получатель: сервер HP OpenView NNM.

Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).

Журналирование: выключено.

Описание: правило позволяет осуществлять мониторинг пограничных маршрутизаторов с помощью сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Разрешен только доступ в режиме read-only; 16-е и 17-е правила используются редко, поэтому расположены именно здесь.

Правило 18

Источник: внутренние интерфейсы пограничных маршрутизаторов.

Получатель: сервер времени.

Сервис: NTP.

Журналирование: выключено.

Описание: правило разрешает пограничным маршрутизаторам синхронизировать время с сервером времени.

Правило 19

Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24). Получатель: VPN-шлюз.

Правило 20

Источник: VPN-шлюз.

Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Сервис: IPSec: IKE, ESP, TCP 7456 (Cisco IPSec tunneling over TCP).

Журналирование: включено (для журналирования всей активности, связанной с использованием VPN).

Описание: 19-е и 20-е правила разрешают удаленный доступ через VPN. Журналирование используется, хотя VPN-концентратор имеет свое собственное журналирование, потому что VPN-шлюз обеспечивает доступ во внутреннюю сеть компании, что очень важно. Публичные IP-адреса компании были исключены из списка для предупреждения попыток осуществить VPN-соединение из внутренней сети компании, VPN-соединение должно быть доступно только из Интернета.

Правило 21

Источник: любой из публичной IP-подсети (70.70.70.0/24). Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Правило 22

Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Получатель: любой из публичной IP-подсети (70.70.70.0/24).

Сервис: ICMP source quench.

Журналирование: включено.

Описание: 21-е и 22-е правила разрешают сообщения ICMP source quench для оптимизации скорости передачи, увеличивающей производительность.

Правило 23

Источник: любой.

Получатель: любой.

Сервис: любой.

Журналирование: включено; весь трафик, не удовлетворяющий предыдущим правилам, должен быть записан и проанализирован.

Описание: правило блокирует весь трафик, который не был явно разрешен в предыдущих правилах. Действие на это правило – drop, а не reject для того, чтобы к отправителю не посылался никакой трафик. В этом случае злоумышленникам трудно провести сетевую разведку.

Настройки безопасности Nokia IPSO. Выбор Nokia IPSO был обусловлен следующим:

• операционная система – урезанная версия Unix BSD;

• все исполняемые файлы находятся в файловой системе в режиме «только для чтения»;

• все настройки конфигурации хранятся в одном файле, что упрощает резервное копирование и проверки внесенных изменений;

• сервис Inetd стартует пустым, и каждый новый сервис должен быть добавлен явно;

• нет сервисов, способных отдать дополнительную информацию о системе удаленным пользователям, типа finger, who или talk;

• нет экспортируемой файловой системы или X Windows;

• система однопользовательская, то есть отсутствует угроза повышения привилегий непривилегированными пользователями;

• нет возможности добавлять новых пользователей.

Также были проделаны следующие шаги по повышению защищенности системы:

• начальное конфигурирование было произведено без подключения в сеть;

• все неиспользуемые интерфейсы отключены;

• для удаленного администрирования используется SSH v.2 в режиме RSA, отключен SSH v.l;

• Telnet отключен;

• HTTP отключен, для начального администрирования был использован SSL. После настройки конфигурации SSL был отключен и для администрирования используется только SSH и локальный браузер Lynx;

• доступ для управления и администрирования ограничен определенным списком IP-адресов через списки контроля доступа;

• на межсетевых экранах используется статическая маршрутизация.

Настройки безопасности сервера управления Check Point Firewall-1. Сервер управления установлен на Windows 2000 Service Pack 4 и сконфигурирован в соответствии с руководствами по безопасности, указанными ранее. Глобальные свойства Check Point Firewall-1. Первый и наиболее важный шаг после начальной настройки Firewall-1 – отключить неявные правила, установленные по умолчанию на закладке Global Properties. На рис. 4.8 показаны правила, имеющие обозначение «First», то есть они обрабатываются перед любыми другими правилами.

...

Рис. 4.8. Пример правил безопасности межсетевого экрана

...

Рис. 4.8а. Пример правил безопасности межсетевого экрана (продолжение)

Вдобавок существуют и два правила, именуемые «Before Last», которые исполняются перед последним правилом в списке (см. рис. 4.9).

...

Рис. 4.9. Правила «Before Last»

Существует много проблем, связанных с этими правилами по умолчанию. Для многих из них в качестве источника или получателя указан «любой», что ведет к уменьшению степени защищенности как самого межсетевого экрана, так и сети, которую он защищает. Другая проблема заключается в том, что действия по этим правилам не журналируются и нет возможности включить журналирование. Все неявные правила по умолчанию должны быть отключены и указаны явные правила для включения только тех сервисов, которые действительно необходимы. Для отключения правил по умолчанию можно использовать закладку Policy → Global Properties → Firewall-l (см. рис. 4.10).

...

Рис. 4.10. Отключение неявных правил безопасности межсетевого экрана

4.3.4. Настройки VPN

Для обеспечения удаленного доступа в сеть компании используется концентратор Cisco VPN 3030. В основу архитектуры VPN-доступа были положены следующие правила:

• для удаленного доступа используется протокол IPSec (проколы РРТР и L2TP не поддерживаются из-за низкой защищенности);

• для аутентификации и шифрования используется Encapsulating Security Protocol (ESP);

• для аутентификации IKE используются цифровые сертификаты (ргеshared-ключи не применяются из-за низкой защищенности);

• VPN-сертификаты сотрудников компании хранятся на устройствах Aladdin eToken USB. Это позволило обеспечить защищенное хранение сертификатов;

• для аутентификации пользователей VPN и выдачи IP-адресов VPN-клиентам применяется сервер Cisco Access Control Service с использованием протокола RADIUS;

• сервер Zone Labs Integrity используется для реализации политики безопасности и проверки настроек антивирусного программного обеспечения на подключаемых компьютерах. С его помощью осуществляется контроль программ и приложений, которые могут быть использованы внутри VPN-соединения;

• VPN-концентратор разрешает доступ только к некоторым подсетям и компьютерам, основываясь на членстве в группах пользователей, созданных на концентраторе.

Аутентификация пользователей VPN. Сервер Cisco Secure ACS выполняет аутентификацию пользователей VPN и выдачу IP-адреса. Конфигурирование VPN-концентратора необходимо выполнять только после того, как сконфигурирован сервер ACS с соответствующими идентификаторами пользователей, групп и диапазонами IP-адресов. Кроме этого VPN-концентратор должен быть сконфигурирован в качестве клиента сервера ACS, в противном случае он не сможет воспользоваться его сервисами.

Принципы аутентификации пользователей на VPN-концентраторе:

• создаются два раздельных пула IP-адресов – один для удаленных пользователей, другой для удаленного управления сетью. Эти диапазоны будут использованы в правилах внутренних межсетевых экранов для ограничения доступа на основе принадлежности к различным группам пользователей: