Сергей Петренко - Политики безопасности компании при работе в Интернет

Доступ к серверам баз данных предоставлен ограниченному списку администраторов баз данных из определенного списка IP-адресов. Таким же образом предоставляется доступ к серверам данных и для менеджеров, ответственных за наполнение Web-страниц приложения.

В сети тестирования тестируются приложения перед их перемещением в действующую сеть. Данная сеть полностью имитирует рабочие серверы и также используется для тестирования сервисных пакетов и обновлений перед их установкой на серверы и рабочие станции. Это позволяет уменьшить вероятность несовместимости приложений и увеличить надежность функционирования сети и приложений. Реализована процедура управления изменениями.

4.3. Настройки основных компонент системы защиты компании

4.3.1. Настройки пограничных маршрутизаторов

Пограничные маршрутизаторы являются первой линией защиты. Для создания технических настроек использовались руководства Агентства национальной безопасности США: NSA/SNAC Router Security Configuration Guide, NSA/SNAC Router Security Configuration Guide Executive Summary.

Пароли. Пароли на маршрутизаторах должны храниться в зашифрованном виде. Нельзя использовать епаЫе-пароль, так как для его шифрования используется слабый алгоритм и злоумышленник легко вскроет его. Необходимо применить следующие команды:

service password-encryption

enable secret Gh!U765H!!

no enable password

Отключение неиспользуемых возможностей управления. Для управления используется консольный доступ, поэтому все остальные способы доступа должны быть отключены:

line vty 0 15

no login

transport input none

transport output none

line aux 0

no login

transport input none

transport output none

Отключение возможности маршрутизатора загружать конфигурацию из сети:

no boot network

no service config

Настройка TACACS+. Необходимо защитить доступ для управления. Хотя этот доступ не разрешен по сети, нужно использовать TACACS+ для централизованного управления аутентификацией и авторизацией доступа с целью управления и журналирования изменений, произведенных на маршрутизаторах. TACACS+ был выбран вместо RADIUS по причине большей защищенности. Имя пользователя и пароль в TACACS+ шифруются, в то время как в RADIUS шифруется только пароль. При использовании Cisco ACS TACACS+ можно настроить детальные уровни доступа для различных пользователей и групп пользователей.

Определяем IP-адрес сервера TACACS+ и пароль для аутентификации:

tacacs-server 172.16.6.21

tacacs-server key F$!19Ty

tacacs-server attempts 3

ip tacacs source-interface Fa0/0

Далее настраивается аутентификация, авторизация и журналирование. TACACS+ будет использоваться в качестве главного средства аутентификации, а локальная база пользователей маршрутизатора будет использоваться в случае, если сервер TACACS+ станет недоступным. Для этого обязательно должны быть созданы локальные учетные записи на маршрутизаторе. Настройка использования TACACS+ для AAA:

ааа new-model

ааа authentication login default group tacacs+ local

aaa authentication enable default group tacacs+ enable

aaa authorization exec default group tacacs + local

aaa authorization commands 15 default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

Используемый метод аутентификации применяется для консольного доступа:

line console 0

login authentication default exec-timeout 5 0

logging synchronous

Предупреждающий баннер:

banner login «This is a private computer system for authorized use only.

All access is logged and monitored. Violators could be prosecuted».

«Ежедневное» сообщение, выводимое в первую очередь при попытке получения доступа к маршрутизатору:

banner motd «This is a private computer system for authorized use only.

All access is logged and monitored. Violators could be prosecuted».

Сообщение, выводимое при входе в непривилегированный (EXEC) режим:

banner exec «Any unauthorized access will be vigorously prosecuted».

Маршрутизация «от источника». Отключение маршрутизации «от источника». Маршрутизация от источника дает пакетам возможность переносить информацию о «верном» или более удобном маршруте и позволяет пренебречь правилами, которые предписаны в таблице маршрутизации для данного пакета, то есть модифицирует маршрут пакета. Это позволяет злоумышленнику управлять трафиком по своему желанию. Необходимо отключить маршрутизацию «от источника»:

no ip source-route

4.3.2. Сервисы маршрутизатора

Необходимо отключить все неиспользуемые и опасные сервисы на маршрутизаторе и сконфигурировать нужные сервисы для обеспечения безопасности. Некоторые из них уже отключены по умолчанию в версии IOS 12.3, поэтому здесь они приводятся для дополнительной проверки.

«Малые» сервисы. Отключение редко используемых UDP-и ТСР-сервисов диагностики:

no service tcp-small-servers

no service tcp-small-servers

Чтобы уменьшить для злоумышленника возможности получения дополнительной информации о маршрутизации, надо отключить сервисы finger и identd. Также требуется отключить HTTP-, DNS-, DHCP-, bootp-сервисы:

no ip finger

no service finger

no ip identd

no ip http server

no ip bootp service

no ip domain-lookup

no service pad

no service dhcp

no call rsvp-sync

Определяется максимальное количество получателей для SMTP-соединений для встроенной в IOS функции поддержки факсов. Установка максимального количества, равного 0, означает отключение сервиса:

mta receive maximum-recipients 0

Отключение протокола CDP (Cisco Discovery Protocol), который позволяет обмениваться информацией канального уровня с другими устройствами от компании Cisco:

no cdp running

Отключение функций proxy arp на маршрутизаторе. Proxy arp позволяет распространяться ARP-запросам по смежным сетям, что дает злоумышленнику дополнительную возможность узнать о структуре сети:

no ip proxy-arp

Для того чтобы в сообщениях, отправляемых по syslog, присутствовала временная метка, необходимо выполнить команды:

service timestamps debug datetime msec localtime showtimezone

service timestamps log datetime msec localtime showtimezone

Конфигурирование SNMP. Так как мониторинг сетевых устройств осуществляется из сети управления и является критичным аспектом обеспечения высокой доступности, решено использовать SNMP, несмотря на проблемы безопасности, связанные с ним. Для минимизации риска предприняты следующие шаги:

• запрещен SNMP-трафик в Интернет и из Интернета;

• ограничено количество используемых счетчиков.

Используемые команды:

snmp-server view NNM-Only internet included

snmp-server view NNM-Only ipRouteTable excluded

snmp-server view NNM-Only ipNetToMediaTable excluded

snmp-server view NNM-Only at excluded

Списки контроля доступа сконфигурированы для ограничения доступа только с HP OpenView NNM:

access-list 5 permit host 172.16.6.33

и SNMP используется только для чтения:

snmp-server community ThaaMasdf view NNM-Only RO 5

Маршрутизатор также сконфигурирован для отправки trap только к SNMP-серверу:

snmp-server host 172.16.6.33 Thaa!!asdf

snmp-server enable traps config

snmp-server enable traps envmon

snmp-server enable traps bgp

snmp-server trap-authentication

snmp-server trap-source Fa0/0

Конфигурирование протокола NTP Сконфигурирован список контроля доступа для ограничения получения времени через NTP только с сервера времени:

access-list 10 permit 172.16.6.41

access-list 10 deny any

ntp authentication-key 1 md5 Hn!hj

ntp authenticate

ntp trusted-key 1

ntp access-group peer 10

ntp update-calendar

ntp server 172.16.6.41 key 1

ntp source Fa0/0

Журналирование событий маршрутизатора. Для журналирования событий используется протокол syslog. Журналы собираются на Cisco SIMS:

logging buffered 16000

no logging console

logging source-interface Fa0/0

logging trap informational

logging facility local7

logging 172.16.6.25

Настройки безопасности на уровне интерфейса. Для предупреждения использования интерфейса как усилителя при проведении атаки типа «отказ в обслуживании», например smurf, надо отключить маршрутизацию пакетов на broadcast-адpеса. По умолчанию маршрутизатор не пропускает широковещательных сообщений с IP-адресом приемника 255.255.255.255. Для того чтобы ограничить негативное влияние направленных широковещательных сообщений на определенные сети, необходимо использовать эту команду: