Сергей Петренко - Политики безопасности компании при работе в Интернет
В компании организован центр управления сетью для мониторинга и управления сетевыми устройствами. Центр находится в защищенном от проникновения посторонних лиц помещении. График работы персонала 16 часов в сутки 5 дней в неделю. Поддержка в ночное время реализуется через VPN-соединения. Сотрудник должен сначала зайти на один из компьютеров данной сети и только потом, с этого компьютера, он может получить доступ к сетевому оборудованию. Это является дополнительным уровнем защиты. Кроме того, доступ к любому сетевому оборудованию ограничен списком IP-адресов сети управления. Пограничные маршрутизаторы и все коммутаторы управляются через консоль с использованием маршрутизатора доступа Cisco 2620, остальные управляющие интерфейсы на устройствах отключены. Другие устройства – SMTP-серверы, VPN-концентратор – управляются с помощью SSH. Серверы с операционной системой Windows 2000 работают под управлением Microsoft Terminal Services, который поднят на внутренних интерфейсах серверов и сконфигурирован для использования максимального уровня шифрования. Помимо этого фильтры IPSec настроены таким образом, чтобы разрешать доступ к серверам с использованием Terminal Services (TCP 3389), если соединение инициируется из сети управления.
Консоль управления IDS. В качестве сетевой системы обнаружения вторжений используется Cisco IDS 4250, а на серверах установлены системы предупреждения вторжений Cisco Security Agent v.4.0 (продукция компании Okena, продаваемая под торговой маркой Cisco). В системе Cisco IDS 4250 один интерфейс работает в режиме сниффера и не имеет IP-адреса, а другой используется для получения сообщений о найденных сигнатурах и для управления. Передача сообщений осуществляется по протоколу SSL. В качестве устройства управления выбран Cisco Works VPN/Security Management Solution v.2.2. Данное программное обеспечение позволяет управлять конфигурациями следующих устройств:
• Cisco PIX Firewall,
• Cisco VPN Router,
• Cisco IDS 4200,
• Cisco Security Agent.
В состав продукта входят следующие функциональные модули:
• Cisco Works Common Services,
• Management Center for Firewalls,
• Management Center for IDS Sensors,
• Management Center for Cisco Security Agents,
• Management Center for VPN Routers,
• Monitoring Center for Security,
• Monitoring Center for Performance,
• Cisco View,
• Auto Update Server,
• Resource Manager Essentials.Monitoring Center for Security позволяет принимать и коррелировать сообщения со всех вышеперечисленных устройств, а кроме того, он оснащен средствами мониторинга производительности и инвентаризации сети. Доступ к этому устройству из сети, отличной от сети управления, запрещен.
Сервер Check Point Management Console. Сервер Check Point Management Console используется для управления модулями Check Point Firewall-1 и журналирования событий. Доступ к нему ограничен IP-адресами интерфейсов администрирования Nokia Check Point FW-1.
Сервер времени. Синхронизация сетевого времени – очень важный аспект правильного функционирования сети и надлежащего журналирования. Если на нескольких устройствах установлено разное время, то при анализе журналов очень трудно будет разбираться, когда реально и в какой последовательности произошли события, к тому же каждый из сертификатов имеет определенный срок жизни и, при неправильно установленном времени, его будет невозможно эксплуатировать. Нередко слабости в защите протокола NTP или неправильные настройки сетевых устройств дают злоумышленникам возможность проведения атак с целью установки неверного времени и, таким образом, выведения из строя всех устройств и соединений, использующих сертификаты. Кроме того, Microsoft Active Directory для аутентификации применяет протокол Kerberos, который очень сильно зависит от точных настроек времени. Из-за важности обеспечения точного времени был приобретен аппаратный сервер времени Datum TymServe TS2100 с GPS-антенной для синхронизации с сервером времени NIST (Национальный институт стандартов США). Это устройство служит мастер-сервером для всех устройств в сети. К нему разрешен только NTP-трафик и используется NTP-аутентификация везде, где это возможно. На случай отказа сервера компания заключила соглашение с владельцами одного из NTP-серверов в Интернете о получении точного времени. В случае возникновения такой ситуации будут внесены соответствующие изменения в списки доступа на межсетевых экранах.
Cisco Terminal Server. Для управления всеми сетевыми устройствами (маршрутизаторами, коммутаторами) с помощью консольного соединения используется Cisco Router 2620. На всех устройствах отключены все протоколы сетевого управления. Соединения к самому Cisco Router 2620 ограничены списком IP-адресов из сети управления и определенным списком инженеров, подключающихся через VPN-соединение. Разрешен доступ только по SSH, и все сотрудники должны быть аутентифицированы с использованием TACACS+. Уровень доступа регулируется членством в группах и настройками на сервере TACACS+.
Cisco Security Information Management Solution. Cisco Security Information Management Solution v.3.1 (продукт компании Netforensics) на аппаратной платформе Cisco 1160 используется для сбора, коррелирования, анализа и хранения журналов. Данное программное обеспечение позволяет производить мониторинг безопасности в режиме реального времени и поддерживает широкий перечень устройств и программных продуктов (28 источников), от которых оно может принимать и обрабатывать сообщения. В компании используется часть из них:
• Check Point Firewall-1,
• Cisco IOS ACL, FW, IDS,
• Cisco Secure ACS,
• Cisco Secure IDS,
• Cisco Secure PIX,
• Cisco Secure PIX IDS,
• Cisco Security Agent,
• Концентратор Cisco VPN,
• Cisco Firewall Switch Module,
• Tripwire NIDS,
• Web-серверы Microsoft IIS,
• Windows Events,
• UNIX OS Events.Центр управления сертификатами. В сети широко применяются сертификаты: для доступа посредством VPN, к Web-сайтам по SSL, для шифрования электронной почты. Сервер центра управления сертификатами является частью внутренней инфраструктуры открытых ключей и используется для выпуска или отзыва внутренних сертификатов и публикации списка отозванных сертификатов (Certificate Revocation List). Центр управления сертификатами развернут на неподключенном к сети Windows 2000 Server Service Pack 4. В качестве процедуры установки инфраструктуры открытых ключей основной (root) центр управления сертификатами был использован только однажды, с целью выпуска сертификата для выпускающего центра управления сертификатами, и после этого был немедленно переведен в офлайн-режим. Секретный (private) ключ основного центра сертификации был перемещен на дискету, удален с жесткого диска, и эта дискета была помещена в сейф отдела информационной безопасности. Копия дискеты хранится за пределами офиса в защищенном помещении в сейфе.
Cisco Secure ACS Server. С помощью Cisco Secure ACS Server v.3.3 for Windows осуществляется аутентификация:
• сотрудники, использующие VPN, аутентифицируются и получают IP-адрес из ACS-сервера на основе протокола RADIUS;
• доступ к сетевым устройствам для администрирования контролируется с использованием протокола TACACS+.
TACACS+ является протоколом последнего поколения из серии протоколов TACACS. TACACS – это простой протокол управления доступом, он основан на стандартах User Datagram Protocol (UDP), разработанных компанией Bolt, Веranek, and Newman, Inc. (BBN) для военной сети Military Network (MILNET). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результате появилась ее собственная версия TACACS, известная как TACACS+. TACACS+ пользуется транспортным протоколом TCP. «Демон» (процесс, запускаемый на машине UNIX или NT) сервера «слушает» порт 49, который является портом протокола IP, выделенным для протокола TACACS. Этот порт зарезервирован для выделенных номеров RFC в протоколах UDP и TCP. Все текущие версии TACACS и расширенные варианты этого протокола используют порт 49.
Протокол TACACS+ работает по технологии «клиент-сервер», где клиентом TACACS+ обычно является NAS, а сервером TACACS+, как правило, считается «демон». Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и журналирования (AAA – Authentication, Authorization, Accounting). Это позволяет обмениваться идентификационными сообщениями любой длины и содержания и, следовательно, использовать для клиентов TACACS+ любой механизм аутентификации, в том числе РРР PAP, РРР CHAP, аппаратные карты и Kerberos.
Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего ключа – «секрета», который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и «демоном» сервера TACACS+. Процесс обмена информацией между ACS и сервером TACACS+ во время процесса аутентификации протекает по следующей схеме:
• ACS посылает START-запрос на сервер TACACS+ для начала процесса аутентификации;
• сервер отсылает ACS-пакет с запросом GETUSER, содержащий запрос пользователю на ввод имени;
• ACS отображает запрос пользователю и отсылает серверу TACACS+ введенное пользователем имя в пакете CONTINUE;
• сервер отсылает ACS-пакет с запросом GETPASS, содержащий запрос пользователю на ввод пароля;
