Самоучитель
системного администратора

9.2. Меры защиты от внешних угроз

Первое, с чего начинаются мероприятия по защите, — это ограничение доступа к информационной системе как чисто физическое (охраняемые помещения), так и по каналам связи (межсетевые экраны). Цель одна — доступ должен существовать только в пределах осуществляемых функций (опубликованных служб организации).

Физическая безопасность

Особая опасность наличия физического доступа к компьютеру состоит в том, что опытный злоумышленник не только получит разовый доступ к информации, но и сможет произвести такую замену служебных файлов системы, что в дальнейшем сможет получать доступ к любым данным в любое время (например, сможет обойти запреты файловой системы NTFS или отключить контроль записи на сменные устройства), причем эти действия будут скрыты от текущих пользователей и администратора.

Ограничения доступа к станциям

Если во время работы компьютера операционная система препятствует чтению защищенных данных, то при наличии физического доступа к компьютеру специальных мер для "взлома" применять не нужно. При загрузке с другой операционной системы (например, с дискеты или компакт-диска, при переносе жесткого диска в другой компьютер) никакие установленные в исходной системе ограничения NTFS не будут препятствовать копированию любой информации.

Понятно, что вы не сможете реально ограничить доступ пользователей к рабочим станциям. Даже если вы отключите дисководы гибких дисков, устройства чтения компакт-дисков и опломбируете компьютер, то будет ли у вас уверенность в том, что кто-то не принес внешний CD-ROM? Или не восстановил после своих действий все пломбы? А если вы установили программу, которая блокирует доступ к таким устройствам (например, DeviceLock от SmartLine), то будете ли вы уверены, что опытный пользователь не отключил этот контроль? На большинстве предприятий контроль над рабочими станциями практически не организован. Поэтому требование ограничения физического доступа относится, прежде всего, к серверам компьютерной сети. Во-первых, администраторы должны включить аудит событий включения/выключения серверов; правилами эксплуатации должен быть предусмотрен обязательный разбор причин нештатных выключений серверных станций. Во-вторых, серверы следует устанавливать в специальные помещения (или шкафы с датчиками), оборудованные средствами сигнализации о несанкционированном доступе.

Уровень физической защиты зависит от конкретных условий. Автор встречал ситуации, когда в небольшой организации сервер просто устанавливался в сейф. Более крупные организации размещают серверное оборудование в охраняемом помещении, устанавливая особые правила доступа в него. Существуют возможности оборудования кроссовых шкафов датчиками проникновения, "фирменные" серверы фиксируют каждый случай открытия крышек корпуса и т. п.

Не следует забывать, что данные резервного копирования могут быть использованы для восстановления конфиденциальной информации. Например, можно провести восстановление папок контроллера домена в новое место и получить доступ ко всем защищенным данным. Поэтому меры защиты серверов резервного копирования (устройств, на которые осуществляется копирование данных) должны быть не менее жесткими, чем применяемые к защите контроллеров домена.

Межсетевые экраны

Для ограничения доступа к системе по каналам связи традиционно применяются межсетевые экраны. Использование их мы подробно обсуждали в главе 5.

Обратим только еще раз внимание читателя, что, во-первых, нужно контролировать как входящий, так и исходящий трафик. Во-вторых, межсетевой экран не препятствует использованию злоумышленником разрешенных протоколов для доступа к системам (пример доступа извне через МСЭ также приведен в главе 5). И в-третьих, межсетевые экраны должны быть задействованы как на периметре информационной системы, так и на каждой рабочей станции и сервере.

Ограничения подключения нового оборудования

Пользователям сегодня доступно большое количество сменных устройств, использование которых может быть потенциально опасным с точки зрения защиты информации. Например, после подключения внешних SG-модемов внутренняя сеть становится подключенной к сети Интернета. А на внешний диск можно записать порой в несколько раз больше данных, чем их хранится на сервере.

Существуют различные способы ограничения доступа пользователей к внешним устройствам. Во-первых, есть специальные программы, позволяющие точно настроить возможность работы пользователем с внешними дисководами, CD-RW и USB-портов. В качестве примера сошлюсь на GFI LANguard Portable Storage Control (http://www.gfi.com/). Данная программа устанавливает на рабочие станции специальные службы, которые контролируют доступ пользователя к подобным устройствам и разрешают операции только для тех учетных записей, которым подобные действия разрешены администратором. Аналогичными функциями обладает и продукт DeviceLock, сертифицированный в нашей стране. Опции контроля доступа к съемным носителям оснащены и программные комплексы защиты хоста, наиболее известным примером которых является Symantec EndPoint Protection.

Второй вариант — это создание групповой политики Windows, позволяющей контролировать USB-устройства. Подробно данный способ описан в статье KB555324 на сайте Microsoft.

При выборе варианта защиты следует учитывать:

  • позволяет ли продукт контролировать различные классы устройств (не только USB-устройства, но и, например, модемы, видеокамеры и т. п.);
  • можно ли обойти защиту простыми средствами (например, отключив службу или загрузившись в безопасном режиме и т. п.);
  • имеется ли возможность, запретив устройства по их классу, разрешить использование исключений по серийному номеру (реально всегда необходимо обеспечить такие исключения для администраторов, служебных устройств и т. п.).

Обеспечение сетевой безопасности информационной системы

Внешний доступ к информационной системе может быть получен и по каналам связи. Администратор должен обеспечить, чтобы к сети нельзя было подключить "чужое" устройство и чтобы по используемым каналам не было попытки взлома информационной системы.

Контроль проходящего трафика

По каналам связи могут осуществляться попытки взлома информационной системы с использованием как известных, так и неизвестных на настоящий момент уязвимостей. Обычно средствами предотвращений вторжений оснащаются системы защиты хоста. Но существуют способы и контроля всего трафика организации — специализированные средства обнаружения вторжений — Intrusion Detection System (IDS).

Решения по обнаружению попыток взлома могут быть как программными, так и аппаратными. Поскольку для такой обработки нужна очень высокая скорость вычислений, то обычно используются специализированные аппаратные устройства, позволяющие обновлять алгоритмы поиска зловредного кода.

Обычно IDS ведут анализ трафика, фиксируют предполагаемые отклонения и формируют соответствующие предупреждения администратору. Но на рынке есть и активные системы: они в реальном режиме времени могут блокировать трафик при обнаружении подозрительных кодов. Их называют Intrusion Prevention System (IPS).

Решения IDS/IPS представлены как открытыми продуктами (наиболее известный — Snort), так и коммерческими: Check Point IPS, McAfee IPS, IBM ISS Proventia IPS.

Контроль устройств по MAC-адресам

Самый простой способ контроля подключенного к сети устройства заключается в проверке его MAC-адреса. Этот контроль поддерживается практически всеми управляемыми коммутаторами. При включении этого режима коммутатор запоминает MAC-адрес из первого пришедшего пакета и в дальнейшем пропускает данные только с этого устройства.

Включение проверки MAC-адреса позволит защититься от такой уязвимости, как ARP-spoofing1, при реализации которой злоумышленник может "расположиться" между двумя компьютерами, обменивающимися данными, и перехватывать весь трафик.

Но поскольку при обнаружении пакета с другим адресом коммутатор блокирует порт до явного вмешательства, администраторы не любят включать такую возможность по собственной инициативе.

    Примечание

    Этот способ следует применять только тогда, когда другие методы недоступны. Например, для портов, к которым подключены сетевые принтеры. Существует много способов заменить реальный MAC-адрес на произвольное значение. Это легко сделать даже средствами Windows (рис. 9.5), не говоря уже о различных специализированных утилитах, таких как SMAC (http://www.klcconsulting.net/smac) и др.

Рис. 9.5.
Изменение MAC-адреса путем редактирования свойств адаптера. Если настройки сетевого адаптера не содержат возможности смены MAC-адреса, можно его изменить через реестр системы — параметр NetworkAddress ключа HKLM\SYSTEM\CurrentControlSet\Control\Class\. После изменения MAC-адреса желательно перезапустить сетевой интерфейс (отключить и снова включить)

Протокол 802.1х

Наиболее безопасным средством контроля подключения к сети в настоящее время является использование протокола 802.1х. Протокол 802.1х предназначен для аутентификации устройства, подключаемого к локальной сети. Первоначально он был разработан для беспроводных сетей, но впоследствии стал применяться и для контроля устройств, подключаемых к проводным сегментам.

Принципы подключения, описываемые в стандарте, достаточно просты (рис. 9.6, далее в скобках приведена нумерация этапов, указанных на этом рисунке). Первоначально порт, к которому подключается устройство, находится в отключенном состоянии и может пропускать только пакеты процесса аутентификации (эти пакеты передаются между подключаемым устройством и службой аутентификации). Подключаемое устройство можно идентифицировать (1) как по его параметрам (например, по заранее известному MAC-адресу или сохраненному сертификату), так и по данным пользователя (в этом случае порт будет открыт после входа пользователя в операционную систему). В качестве службы аутентификации используется RADIUS (2). В сетях с централизованным каталогом сервер RADIUS проверяет параметры подключения на сервере каталогов (3), от которого получает данные аутентификации пользователя (4) и передает на коммутатор разрешение на открытие порта (5). После получения подтверждения от RADIUS порт коммуатора открывается для передачи информации в обоих направлениях (6). При этом RADIUS -сервер может сообщить коммутатору и номер VLAN, в которую должен быть помещен клиент.

Рис. 9.6.
Последовательность подключения клиента по протоколу 802.1х

В процессе аутентификации могут быть использованы различные технологии подтверждения устройства. Наиболее безопасным считаются идентификации на основе сертификатов. Именно настройки данного варианта мы и опишем в настоящем разделе.

Особенности применения протокола 802.1х

Протокол 802.1х следует использовать только на портах подключения конечных устройств. Применить его на уровне распределения и выше невозможно.

Стандарт предусматривает открытие порта после получения подтверждения идентификации устройства. В результате к порту коммутатора можно подключить небольшой сетевой концентратор с несколькими устройствами. После открытия порта аутентифицированным устройством другие компьютеры смогут беспрепятственно работать в локальной сети.

Для предупреждения такой опасности можно применить несколько решений. Во-первых, включить на портах контроль по МАС-адресам; такую возможность поддерживает большинство коммутаторов. Обнаружение на порту второго устройства с другим MAC-адресом заблокирует порт. Вторая возможность предусматривает контроль за подключенными устройствами; данный режим реализован не для всех моделей коммутаторов. Например, для коммутаторов Cisco режим, когда через порт может работать только одно устройство, называется single-host, а описанный в стандарте — multiple-hosts.

Если предприятие использует IP-телефонию, то подключение телефонных аппаратов и компьютера обычно осуществляется к одному порту коммутатора (используется коммутатор на два порта в телефоне). Как правило, настраивать аутентификацию для IP-телефонов не имеет смысла, поскольку, во-первых, при правильном администрировании подключение аппарата сопровождается вводом соответствующего пароля с консоли телефона, во-вторых, данные аудиопотока выделяются в отдельную VLAN. Поэтому многие модели коммутаторов имеют настройки, позволяющие включить необходимость аутентификации по протоколу 802.1х для всего трафика, кроме IP-телефонии.

Есть ряд устройств, которые не поддерживают данный протокол: во-первых, это компьютеры, на которых установлены старые версии операционных систем, во-вторых, — сетевые принтеры и аналогичные устройства.

В этом случае на соответствующих портах следует использовать иные методы контроля подключенных устройств (например, по MAC-адресам).

Настройка протокола 802.1х

Самый безопасный вариант настройки этого протокола — это использовать сертификаты при аутентификации компьютеров и пользователей.

В этом случае администратор должен обеспечить следующие настройки:

  • настройку Центра сертификации;
  • настройку службы каталогов;
  • настройку службы RADIUS;
  • настройку клиентского компьютера;
  • настройку коммутатора.

Для аутентификации по протоколу 802.1х вам необходимо, чтобы, во-первых, клиенты имели соответствующие сертификаты, во-вторых, сертификат должен получить RADIUS-сервер.

Выдача сертификатов компьютерам

Часто для компьютеров, входящих в домен, удобно настроить автоматическую выдачу сертификатов. Это делается с помощью групповой политики путем настройки Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики открытого ключа | Параметры автоматического запроса сертификатов | Создать необходимый автоматический запрос.

RADIUS-серверу необходим специальный сертификат, который можно использовать при аутентификации по протоколу 802.1х. Этот сертификат могут выдать только центры сертификации, установленные на Enterprise-версии Windows-сервера. Их необходимо сначала опубликовать в центре сертификации, а затем сервере, на котором запущена служба IAS, открыть оснастку управления сертификатами локального компьютера с правами соответствующей учетной записи и запросить сертификат данного типа. После выполнения операции следует проверить наличие сертификата в соответствующем контейнере (рис. 9.7).

Рис. 9.7.
Публикация шаблона сертификата RADIUS-сервера. Для использования в протоколе 802.1х аутентификации на основе сертификатов сервер IAS должен получить специальный сертификат, который по умолчанию не опубликован в Центре сертификации

Настройка службы каталогов

При подключении по протоколу 802.1х аутентифицироваться могут как компьютеры (их учетные записи в домене), так и сами пользователи. Политики подключения RADIUS-сервера проверяют членство соответствующих учетных записей в группах безопасности. Поэтому для предоставления права доступа создайте в службе каталогов соответствующие группы безопасности и включите в них требуемые объекты.

Кроме того, не забудьте включить опцию разрешения входящих звонков для соответствующих учетных записей (в том числе и компьютеров).

Настройка службы RADIUS

Компьютер со службой IAS (реализация службы RADIUS в Windows) должен входить в специальную группу безопасности домена, чтобы иметь доступ к параметрам учетных записей. Эта операция выполняется путем авторизации службы в ее меню.

Настройка компьютера с IAS предполагает настройку клиентов и создание политик удаленного доступа.

Клиент — это коммутатор, который запрашивает у сервера RADIUS разрешения на включение порта. Каждый клиент должен быть зарегистрирован на RADIUS -сервере. Для этого необходимо ввести его IP-адрес и ключ. Ключ — это пароль, который должен быть одинаковым в настройках IAS и клиента. Рекомендуется для каждого клиента выбирать его уникальным и достаточно сложным — длиной более 20 символов; ключ вводится всего в двух конфигурациях и практически не меняется в процессе работы.

Возможность получения клиентом аутентификации от службы IAS всецело определяется политиками удаленного доступа. Обычно таких политик достаточно много (для различных вариантов подключения); они просматриваются по очереди, пока запрос клиента не совпадет с какой-либо из них.

Политику удаленного доступа следует создавать при помощи мастера создания политик, указывая вариант Ethernet и вводя на запрос о группах Windows названия групп, которым предоставлено право доступа.

В результате служба IAS будет проверять членство компьютера или пользователя в соответствующей группе. Если проверка выполнится успешно, то коммутатор получит соответствующее разрешение на открытие порта.

Настройка автоматического назначения VLAN для порта коммутатора

Многие коммутаторы имеют возможность назначить порт в тот или иной VLAN в соответствии с данными аутентификации. Для этого данные от службы IAS должны возвращать соответствующие параметры. Покажем, как это сделать.

После создания политики удаленного доступа откройте ее свойства и нажмите клавишу редактирования профиля. Выберите вкладку Дополнительно (рис. 9.8) и добавьте следующие три атрибута:

  • Tunnel-Medium-Type со значением 802 (includes all 802 media plus Ethernet canonical format);
  • Tunnel-Pvt-Group-ID со значением номера VLAN, в которую должен быть по-мещен порт в случае удачной аутентификации (на рисунке выбрана VLAN с номером 20);
  • Tunnel-Type со значением Virtual LANs.

Рис. 9.8.
Настройка атрибутов, используемых для автоматического назначения порта коммутатора в VLAN

При получении запроса служба последовательно проверит соответствие его данных имеющимся политикам удаленного доступа и возвратит первое удачное совпадение или отказ.

Настройка клиентского компьютера

Для использования протокола 802.1х при подключении к локальной сети на компьютере должна быть запущена служба Беспроводная настройка. Только в этом случае в свойствах сетевого подключения появится третья вкладка, определяющая настройки протокола 802.1х (рис. 9.9). По умолчанию настройки предполагают использование для аутентификации именно сертификатов, так что никаких изменений данных параметров не требуется.

Рис. 9.9.
Окно настройки протокола 802.1 х на клиенте

    Совет

    Проще всего настроить данную службу на режим автоматического запуска с использованием групповой политики. Для этого следует открыть Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Системные службы и указать для службы Беспроводная настройка вариант автоматического запуска.

Следующим шагом необходимо проверить наличие сертификата, на основании которого предполагается осуществить открытие порта коммутатора. Для этого нужно открыть консоль управления сертификатами, обратив внимание на выбор правильного контейнера для просмотра. Так, если предполагается аутентифицировать компьютер, следует просматривать контейнер Локальный компьютер.

Настройка коммутатора

Настройки коммутаторов отличаются для различных вендоров. Приведем в качестве примера вариант настройки коммутатора Cisco.

В данном примере использованы настройки по умолчанию для портов службы RADIUS, не включены параметры повторной аутентификации и некоторые другие. Кроме того, в качестве гостевой VLAN (в нее будет помещен порт, если устройство не поддерживает протокол 802.1х) определена VLAN с номером 200, а в случае неудачной аутентификации устройство будет работать в VLAN с номером 201.

Сначала в конфигурации коммутатора создается новая модель аутентификации, указывающая на использование службы RADIUS:

Далее включается режим использования протокола 802.1х и определяются параметры RADIUS-сервера:

После чего для каждого интерфейса настраивается использование протокола 802.1x. В качестве примера выбран порт номер 11:

Этих настроек достаточно, чтобы использовать на коммутаторе аутентификацию по протоколу 802.1x.

Технология NAP

При использовании описанной ранее технологии подключения по протоколу 802.1х проверяется только сертификат компьютера (или пользователя). Естественно, что разработчики попытались расширить объем проверок. Так появилась технология NAP (Network Access Protection, название используется Microsoft, для других продуктов возможно другое имя; например, Network Access Control для продуктов Symantec Endpoint Protection).

Среди продуктов, предназначенных для контроля доступа устройств, можно отметить решения Cisco, Microsoft, Symantec. Технология NAP от Microsoft поддерживается серверами Windows 2008. В качестве клиентов могут быть компьютеры с операционной системой Windows XP SP3 и старше.

Технология NAP предусматривает ограничение использования ненадежными системами следующих сетевых служб:

  • служб IPsec (Internet Protocol security protected communication);
  • подключений с использованием протокола 802.1x;
  • создания VPN-подключений;
  • получения конфигурации от DHCP-сервера.

      Идея проверки проста. Клиент, желающий получить один из перечисленных здесь сервисов, должен предоставить о себе определенные данные. Штатно существует возможность проверки выполнения параметров, определяемых центром безопасности сервера: наличия антивирусной программы, обновлений, настроек брандмауэра и т. п. Эти данные предоставляются специальной программой с клиентского компьютера (агентом) и анализируются службами сервера. В случае прохождения проверки (соответствия настроек параметрам, заданным администратором) клиентский компьютер получает сертификат, дающий право на использование запрашиваемых услуг. Если проверка не прошла, то дальнейшее поведение будет зависеть от выбранных администратором настроек: либо будет проведено обновление до нужного уровня безопасности, либо введены некоторые ограничения в работе и т. п.

      Для расширения числа контролируемых состояний параметров клиента, необходимо разрабатывать собственные модули. Соответствующие интерфейсы (API) описаны, но требуют привлечения подготовленного программиста.

      Как уже говорилось, технологии Cisco/Microsoft не являются единственными вариантами решений. На рис. 9.10 представлено сообщение, которое получает пользователь от системы безопасного доступа к сети, реализованной на оборудовании Nortel: программа предлагает посетить указанный сайт и установить отсутствующее программное обеспечение.

      Рис. 9.10.
      Сообщение системы безопасного доступа о действиях, требуемых от пользователя для подключения к сети

        Примечание

        Сходная технология ограничения была предусмотрена в Windows 2003 для подключения клиентов удаленного доступа (помещение клиентов в карантин с ограниченным доступом во внутреннюю сеть). На практике эта технология не нашла распространения, поскольку требовала разработки специальных программ, проверяющих выполнение условий, предъявляемых к подключаемым системам.

      За подробностями внедрения NAP мы отошлем читателя на сайт разработчика — страницу Networking and Access Technologies (http://technet.microsoft.com/en-us/network/bb545879).

      Обнаружение нештатной сетевой активности

      Вирусная эпидемия или атака на информационную систему не возникают "вдруг". Обычно существует некий период, который характеризуется повышенной нештатной сетевой активностью. Периодический анализ файлов протоколов систем и использование тех или иных обнаружителей сетевых атак могут предупредить администратора и дать возможность предпринять встречные шаги.

      Хотя профессиональные программы, предназначенные для обнаружения сетевых атак, достаточно дороги, требуют высокого уровня знаний от администратора и обычно не используются в малых и средних предприятиях, администраторы легко могут найти в Сети пакеты, которые позволяют прослушивать активность на TCP/IP-портах системы. Сам факт обнаружения активности на нестандартных портах уже может быть свидетельством нештатного поведения системы, а наличие сетевого трафика в неожидаемые периоды времени может косвенно свидетельствовать о "работе" троянов.

      Отмечу несколько бесплатных программ, которые часто применяются для сканирования сети:

      • nmap (http://www.insecure.org/nmap/, версии для Windows и Linux);
      • Nessus (http://www.nessus.org, Linux-версии);
      • NSAT (http://sourceforge.net/projects/nsat/, Linux-системы).

      Следует отметить, что преобладание Linux-версий объясняется большими возможностями настройки данной операционной системы на низком уровне по сравнению с Windows-вариантами.


      1Данная атака использует особенности реализации протокола разрешения имен (ARP) и не зависит от реализации программного обеспечения.


Рейтинг@Mail.ru