Сергей Петренко - Политики безопасности компании при работе в Интернет

Характеристика инфраструктуры компании. Взаимодействие с партнерами, клиентами и поставщиками осуществляется с использованием сервисов Интернета. Для этих целей разработан ряд Web-приложений. Архитектура приложений использует три уровня для реализации разделения ресурсов:

 уровень представления – выполняется на Microsoft IIS 5.0 на Microsoft Windows 2000 Server Service Pack 4 со всеми необходимыми обновлениями. Вся бизнес-логика выполняется на серверах второго уровня архитектуры;

•  промежуточный уровень – содержит все бизнес-компоненты и также выполняется на Microsoft Windows 2000 Server Service Pack 4. К этому уровню нет доступа из Интернета. Страницы Active Server Pages на серверах уровня представления активируют компоненты СОМ+ и позволяют выполнить бизнес-логику. Компоненты запускаются под непривилегированной учетной записью с необходимым минимумом привилегий;

•  уровень баз данных – состоит из базы данных и защищенного хранилища данных. Microsoft SQL Server 2000 Service Pack 3 используется как сервер управления базой данных и выполняется на двухузловом кластере Microsoft Windows 2000 Advanced Server Service Pack 4 Cluster для обеспечения отказоустойчивости. Только серверы промежуточного уровня имеют доступ к этим серверам. Серверы расположены в изолированном сегменте сети, разделенном межсетевыми экранами.

Правила использования сервисов Интернета. Согласно принятой в компании политики безопасности для сотрудников определены следующие правила использования сервисов Интернета:

• разрешается исходящий Web-трафик – HTTP, SSL и FTP для различных групп сотрудников. Доступ в Интернет контролируется и регистрируется, доступ к некоторым категориям Web-pecypcoB блокируется в соответствии с политикой использования ресурсов Интернета;

• запрещается применять средства обмена мгновенными сообщениями (например, ICQ) и одноранговые файлообменные системы (например, Napster). Также запрещено получать и отправлять электронную почту с использованием внешних почтовых серверов, не принадлежащих компании (например, www.mail.ruV.

Правила доступа в сеть компании. Для сотрудников, работающих вне офиса компании, определяются следующие правила доступа в сеть компании:

• доступ к внутреннему почтовому серверу Outlook Web Access осуществляется через HTTPS. Обмен файлами реализуется с использованием Microsoft SharePoint Portal Server 2003 через HTTP/HTTPS. Это позволяет не настраивать межсетевой экран для трафика SMB/CISF, что упрощает конфигурацию межсетевого экрана;

Правила обеспечения физической безопасности. Для должного обеспечения физической безопасности все оборудование компании расположено в защищенных помещениях с резервными источниками питания, оборудованных системами пожаротушения и кондиционерами. Доступ в помещения осуществляется с использованием биометрической системы контроля доступа сотрудников. Действует правило обязательного сопровождения гостей компании во время деловых визитов. Над каждым рядом стоек находится видеокамера с датчиком движения, ведется запись всех действий сотрудников и приглашенных лиц компании.

4.2. Архитектура корпоративной системы защиты информации

Основной задачей при создании защищенной инфраструктуры компании (см. рис. 4.1) является реализация надежного контроля доступа на уровне приложений и сети в целом. При этом логический контроль доступа на уровне сети осуществляется путем сегментации сетей и разграничения трафика с помощью межсетевых экранов. Созданы две раздельные подсети – одна для доступа извне к Web-приложениям и вторая для доступа сотрудников в Интернет. Этим обеспечивается полное разделение входящего из Интернета и исходящего в Интернет трафика. Многоуровневый подход с несколькими межсетевыми экранами обеспечивает фильтрацию всего нежелательного трафика.

В компании было создано несколько зон безопасности:

•  зона подключения к Интернету – эта зона представляет собой подсеть между пограничным маршрутизатором и внешними межсетевыми экранами. Пограничные маршрутизаторы используют списки контроля доступа (ACL), сконфигурированные для фильтрации входящего и исходящего трафика и защиты внешних межсетевых экранов;

•  зона доступа к Web-приложениям компании (Web Access DMZ)  – в этой подсети находятся Web-приложения компании и разрешены только входящие через межсетевой экран запросы из Интернета. Доступ из внутренней сети запрещен;

•  зона выхода в Интернет (Service DMZ)  – эта зона представляет собой подсеть, с помощью которой сотрудникам компании предоставляется доступ в Интернет. Разрешен только исходящий через межсетевой экран трафик, за исключением доступа к электронной почте с помощью VPN;

•  зона управления ресурсами сети компании (Management Network)  – в этой зоне находятся приложения для мониторинга, аутентификации и журналирования событий в сети компании;

•  зона защищаемых данных компании (Secure Data Network)  – эта зона содержит все важные для компании Web-приложения, базы данных и базу данных пользователей (Active Directory);

•  зона внутренней сети компании (Internal Network)  – зона содержит серверы, рабочие станции сотрудников и приложения интранета.

Рис. 4.1. Архитектура корпоративной системы защиты информации

При этом компания использует следующие диапазоны IP-адресов: 70.70.70.0/24 и 90.90.1.0/30 (в действительности сети 70.х.х. х и 90.90.1.0/30 зарезервированы IANA, но мы будем считать, что они реально существуют). Сеть 70.70.70.0/24 разбита на подсети с использованием различных масок подсетей, задействована только первая часть – 70.70.70.0/25, все остальные адреса зарезервированы для последующего расширения сети. Для внутренней сети используется подсеть 172.16.0.0/16. Общее распределение адресного пространства подсетей компании представлено в табл. 4.1:

Теперь рассмотрим каждую из перечисленных зон безопасности компании подробно и определим правила безопасности.

Таблица 4.1. Распределение адресного пространства

4.2.1. Зона подключения к Интернету

Одно из главных бизнес-требований компании – обеспечение доступности Интернета 24 часа в сутки 7 дней в неделю. Для этого были выбраны два провайдера (ISP) (см. рис. 4.2).

Рис. 4.2. Схема подключения к Интернету

С целью надлежащего распределения маршрутизации и избыточности был сконфигурирован BGP v.4 между пограничными маршрутизаторами и маршрутизаторами провайдеров Интернета. В качестве пограничных маршрутизаторов используется Cisco 7204 VXR Router с Cisco IOS Release 12.3. Преимуществом этой модели является поддержка Cisco Express Forwarding (CEF), что существенно увеличивает производительность маршрутизаторов.

Пограничные маршрутизаторы – это первая линия обороны. Так как они являются первой точкой входа в сеть, то на них настроены списки контроля доступа (ACL) для фильтрации нежелательного трафика, что уменьшает нагрузку на остальную сетевую инфраструктуру. Реализована фильтрация как входящего, так и исходящего трафика. Для защиты от атак SYN Flood используется возможность Cisco IOS TCP Intercept. Другая задача, которую решают пограничные маршрутизаторы, – защита внешних межсетевых экранов от трафика, направленного на IP-адреса межсетевых экранов. Адресное пространство 70.70.70.16/28 используется для подсети между пограничными маршрутизаторами и внешними межсетевыми экранами. Подсети 70.70.70.4/30 и 70.70.70.8/29 зарезервированы для будущего решения с балансировкой нагрузки между межсетевыми экранами. «Горячее» резервирование на внутренних интерфейсах маршрутизаторов обеспечивает протокол HSRP (Hot Standby Routing Protocol). Для соединения устройств в DMZ используются коммутаторы Cisco Catalyst 3550. Коммутаторы не имеют IP-адресов и управляются посредством консольного доступа через Cisco 2620 Terminal Server.

Внешние межсетевые экраны. В качестве внешних межсетевых экранов используются Nokia IPSO v.3.6 FCS4, Check Point FW-1 NG FP3. К основным факторам, повлиявшим на выбор данных устройств, относятся:

• высокая надежность, защищенность и производительность аппаратных платформ Nokia;

• развитая функциональность и технологическая зрелость межсетевого экрана Check Point FW-1 NG FP3;

• наличие в компании подготовленных специалистов.

Как было сказано выше, в компании существуют две DMZ-зоны, одна для доступа к Web-приложениям и другая для выхода в Интернет, каждая из зон защищена межсетевыми экранами. Это было сделано для разделения ресурсов, чтобы проникновение злоумышленников в одну из зон не сказалось на работе другой зоны.

Каждый межсетевой экран имеет 5 интерфейсов, подключенных к разным зонам. Межсетевые экраны также имеют выделенный интерфейс для управления Out-of-band посредством сервера Check Point Management Console из зоны управления. Это повышает защищенность управляющего трафика и делает недоступным изменение наблюдаемого трафика, так как он не проходит через общую сеть.