Сергей Петренко - Политики безопасности компании при работе в Интернет
• ACS высылает пакет CONTINUE, содержащий пароль, введенный пользователем серверу TACACS+;
• сервер TACACS+ выполняет проверку полученной пары «имя-пароль» и в зависимости от результата проверки отсылает ACS-пакет, содержащий результат (FAIL – в случае несовпадения, PASS – успешная аутентификация). На этом процесс аутентификации завершается.Процесс обмена информацией между ACS и сервером TACACS+ во время процесса авторизации протекает по следующей схеме:
• ACS от отсылает пакет START AUTHORIZATION серверу TACACS+;
• сервер TACACS+ обрабатывает полученные данные и принимает решение, основываясь на политике безопасности, связанной с данным пользователем. Результат отсылается ACS-серверу в RESPONSE-пакете.Здесь под авторизацией понимается процесс определения действий, которые позволены данному пользователю. Обычно идентификация предшествует авторизации, однако это не обязательно. В запросе на авторизацию можно указать, что идентификация пользователя не проведена (личность пользователя не доказана). В этом случае лицо, отвечающее за авторизацию, должно самостоятельно решить, предоставлять такому пользователю запрашиваемые услуги или нет. Протокол TACACS+ предусматривает только положительную или отрицательную авторизацию и допускает настройку на потребности конкретного заказчика.
Авторизация может проводиться на разных этапах, например, когда пользователь впервые входит в сеть и хочет открыть графический интерфейс или когда пользователь запускает РРР и пытается использовать поверх РРР протокол IP с конкретным адресом IP. В этих случаях «демон» сервера TACACS+ может разрешить предоставление услуг, но наложить ограничения по времени или потребовать список доступа IP для канала РРР.
Следом за идентификацией и авторизацией следует журналирование, которое представляет собой запись действий пользователя. В системе TACACS+ журналирование может выполнять две задачи. Во-первых, оно может применяться для учета использованных услуг (например, для выставления счетов). Во-вторых, его можно применять в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что предоставление услуги только что прекратилось. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга все еще предоставляется.
Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные, такие, как время начала и окончания (если это необходимо), и данные об использовании ресурсов.
Механизм взаимодействия ACS и сервера TACACS+ выглядит следующим образом:
• ACS отсылает учетную запись серверу TACACS+, основываясь на выбранных методах и событиях;
• сервер TACACS+ отсылает ответный пакет ACS-серверу, подтверждая прием учетной записи.Zone Labs Integrity Server. Zone Labs Integrity Server v. 1.6 используется для принудительного применения политики безопасности организации VPN на компьютерах сотрудников, которые подключаются посредством VPN. В данном случае потребуется установка на каждом компьютере Integrity Agent для приема и применения политики во время установления VPN-соединения. Integrity Agent позволяет также производить мониторинг антивирусного программного обеспечения на клиенте и отключает VPN-соединение, если программное обеспечение не установлено или не имеет последних обновлений. Это очень важно, так как удаленный компьютер может быть не защищен надлежащим образом и стать точкой входа во внутреннюю сеть для вирусов и злоумышленников. Единственным устройством, которому разрешено устанавливать соединение с этим сервером, является VPN-концентратор.
HP OpenView. Для мониторинга всех сетевых устройств и серверов используется HP OpenView Network Node Manager v.6.31. Компания осознает необходимость мониторинга в режиме 24 часа в сутки 7 дней в неделю для обеспечения высокой доступности сервисов. Из-за большой степени риска разрешено использовать SNMP только в режиме read-only. Правила на межсетевых экранах разрешают данный трафик только на станцию управления NNM. Этот сервер использует Windows 2000 Server Service Pack 4 и защищен в соответствии с перечисленными выше руководствами. Все устройства сконфигурированы для отправления SNMP traps на сервер NNM, и любой другой доступ из-за пределов сети управления запрещен.
4.2.5. Зона защищаемых данных компании
В этой сети (см. рис, 4.5) находятся все данные Web-приложений. Также здесь располагаются серверы Active Directory, контроллеры доменов Web-приложения и DNS-серверы. Каждый из них является кластером, который состоит из двух компьютеров. На рис. 4.5 это не отображено для того, чтобы сделать его более читабельным....Рис. 4.5. Схема зоны защищаемых данных компании (Secure Data Network)
Система управления базами данных и файл-серверы. В качестве сервера баз данных используется Microsoft Windows 2000 Advanced Server Service Pack 4 и Microsoft SQL Server 2000 Service Pack 3. Файл-серверы построены на Microsoft Windows 2000 Server Service Pack 4 и Microsoft File and Print Services. Для обеспечения избыточности и высокой доступности на файл-серверах развернута интегрированная с Active Directory служба Distributed File System. Только серверы промежуточного уровня имеют доступ к Microsoft SQL Server. При этом стандартный порт TCP 1433 изменен на нестандартный порт TCP 2000. Доступ из внутренней сети к базе данных ограничен только выполнением запросов к базе данных и только с определенного списка IP-адресов.
Active Directory. «Лес» (forest) Active Directory Web-приложений полностью отделен от внутреннего «леса». Серверы из Web-зоны подключаются к контроллеру домена с использованием IPSec в режиме Authentication Header (АН). Этот дизайн имеет следующие преимущества:
• разрешается использование IPSec-фильтрования на самих серверах;
• упрощается конфигурирование межсетевого экрана, так как требуется только два правила;
• нагрузка на процессор минимальная, так как используется не шифрование, а только аутентификация.
Active Directory DNS-серверы сконфигурированы для использования DNS-серверов Web-зоны как перенаправляющих для разрешения внешних адресов. Резервное копирование реализовано с помощью Fiber Channel, поэтому не требуется дополнительный сетевой сегмент. Серверы, которые осуществляют резервное копирование, не имеют сетевых подключений за пределами сегмента.
4.2.6. Зона внутренней сети компании
Во внутренней сети находятся рабочие станции сотрудников и внутренние серверы. Сеть логически разделена на две части: подсеть серверов и подсеть сотрудников. Ядром проекта являются два коммутатора Cisco Catalyst 6509 с модулями маршрутизации MSFC2. Коммутаторы используют trunk для избыточности. Для каждой внутренней подсети создан отдельный VLAN и сконфигурирован HSRP на каждом из VLAN-интерфейсов для «горячего» резервирования. Раздельные маршрутизирующие интерфейсы для каждого VLAN позволяют задействовать дополнительные списки контроля доступа для ограничения доступа из определенных подсетей или компьютеров. На рис. 4.6 изображен только один сервер каждого типа для читабельности....Рис. 4.6. Пример организации сегмента сети (VLAN)
Внутренняя сеть Windows 2000 использует изолированный «лес» Active Directory со своими собственными DNS-серверами и контроллерами домена. На всех серверах установлен Windows 2000 Server Service Pack 4, при этом они защищены в соответствии с перечисленными выше руководствами.
DNS-серверы – это Microsoft DNS Server с использованием Dynamic DNS в режиме «Allow Secure Updates Only». Данные серверы применяются только для разрешения имен внутренних ресурсов и перенаправляют запросы на разрешение внешних имен в зону Интернета.
В качестве внутреннего сервера обмена сообщениями и совместной работы используется Microsoft Exchange 2000 Service Pack 3. Он работает на двухузловом кластере Windows 2000 Advanced Server Service Pack 4 для обеспечения избыточности и балансировки нагрузки. Все исходящие сообщения перенаправляются к SMTP-серверам в интернет-зону. В качестве антивирусного программного обеспечения применяется Sybari Antigen v.7.0 for Exchange с проверкой входящих и исходящих сообщений.
Работа с почтой удаленных пользователей обеспечивается сервером Exchange 2000 Service Pack 3 Outlook Web Access, который доступен через VPN-coединение поверх HTTPS. Выбор объясняется тем, что для подключения достаточно только одного порта (HTTPS). При обычном же способе доступа к Exchange пришлось бы открывать целый набор портов, что существенно увеличивает риск взлома системы.
Файл-серверы реализованы с использованием Microsoft SharePoint Portal Server 2003. Доступ к файлам осуществляется через VPN поверх HTTP/HTTPS. Это делает ненужной настройку межсетевого экрана для трафика SMB/CISF, что упрощает конфигурацию межсетевого экрана и делает дизайн более защищенным.
Исходящий доступ разрешен только для HTTP/HTTPS из сети сотрудников через ргоху-сервер. В целях обеспечения безопасности не разрешен доступ из подсети серверов в Интернет. При необходимости установки драйверов или обновлений они загружаются обслуживающим персоналом на свои рабочие места и далее переносятся на серверы на CD-дисках или дискетах.
