|
|
>>> Перейти на мобильный размер сайта >>> Учебное пособие Самоучитель системного администратора9.2. Меры защиты от внешних угрозПервое, с чего начинаются мероприятия по защите, — это ограничение доступа к информационной системе как чисто физическое (охраняемые помещения), так и по каналам связи (межсетевые экраны). Цель одна — доступ должен существовать только в пределах осуществляемых функций (опубликованных служб организации). Физическая безопасностьОсобая опасность наличия физического доступа к компьютеру состоит в том, что опытный злоумышленник не только получит разовый доступ к информации, но и сможет произвести такую замену служебных файлов системы, что в дальнейшем сможет получать доступ к любым данным в любое время (например, сможет обойти запреты файловой системы NTFS или отключить контроль записи на сменные устройства), причем эти действия будут скрыты от текущих пользователей и администратора.
Ограничения доступа к станциямЕсли во время работы компьютера операционная система препятствует чтению защищенных данных, то при наличии физического доступа к компьютеру специальных мер для "взлома" применять не нужно. При загрузке с другой операционной системы (например, с дискеты или компакт-диска, при переносе жесткого диска в другой компьютер) никакие установленные в исходной системе ограничения NTFS не будут препятствовать копированию любой информации. Понятно, что вы не сможете реально ограничить доступ пользователей к рабочим станциям. Даже если вы отключите дисководы гибких дисков, устройства чтения компакт-дисков и опломбируете компьютер, то будет ли у вас уверенность в том, что кто-то не принес внешний CD-ROM? Или не восстановил после своих действий все пломбы? А если вы установили программу, которая блокирует доступ к таким устройствам (например, DeviceLock от SmartLine), то будете ли вы уверены, что опытный пользователь не отключил этот контроль? На большинстве предприятий контроль над рабочими станциями практически не организован. Поэтому требование ограничения физического доступа относится, прежде всего, к серверам компьютерной сети. Во-первых, администраторы должны включить аудит событий включения/выключения серверов; правилами эксплуатации должен быть предусмотрен обязательный разбор причин нештатных выключений серверных станций. Во-вторых, серверы следует устанавливать в специальные помещения (или шкафы с датчиками), оборудованные средствами сигнализации о несанкционированном доступе. Уровень физической защиты зависит от конкретных условий. Автор встречал ситуации, когда в небольшой организации сервер просто устанавливался в сейф. Более крупные организации размещают серверное оборудование в охраняемом помещении, устанавливая особые правила доступа в него. Существуют возможности оборудования кроссовых шкафов датчиками проникновения, "фирменные" серверы фиксируют каждый случай открытия крышек корпуса и т. п. Не следует забывать, что данные резервного копирования могут быть использованы для восстановления конфиденциальной информации. Например, можно провести восстановление папок контроллера домена в новое место и получить доступ ко всем защищенным данным. Поэтому меры защиты серверов резервного копирования (устройств, на которые осуществляется копирование данных) должны быть не менее жесткими, чем применяемые к защите контроллеров домена. Межсетевые экраныДля ограничения доступа к системе по каналам связи традиционно применяются межсетевые экраны. Использование их мы подробно обсуждали в главе 5. Обратим только еще раз внимание читателя, что, во-первых, нужно контролировать как входящий, так и исходящий трафик. Во-вторых, межсетевой экран не препятствует использованию злоумышленником разрешенных протоколов для доступа к системам (пример доступа извне через МСЭ также приведен в главе 5). И в-третьих, межсетевые экраны должны быть задействованы как на периметре информационной системы, так и на каждой рабочей станции и сервере. Ограничения подключения нового оборудованияПользователям сегодня доступно большое количество сменных устройств, использование которых может быть потенциально опасным с точки зрения защиты информации. Например, после подключения внешних SG-модемов внутренняя сеть становится подключенной к сети Интернета. А на внешний диск можно записать порой в несколько раз больше данных, чем их хранится на сервере. Существуют различные способы ограничения доступа пользователей к внешним устройствам. Во-первых, есть специальные программы, позволяющие точно настроить возможность работы пользователем с внешними дисководами, CD-RW и USB-портов. В качестве примера сошлюсь на GFI LANguard Portable Storage Control (http://www.gfi.com/). Данная программа устанавливает на рабочие станции специальные службы, которые контролируют доступ пользователя к подобным устройствам и разрешают операции только для тех учетных записей, которым подобные действия разрешены администратором. Аналогичными функциями обладает и продукт DeviceLock, сертифицированный в нашей стране. Опции контроля доступа к съемным носителям оснащены и программные комплексы защиты хоста, наиболее известным примером которых является Symantec EndPoint Protection. Второй вариант — это создание групповой политики Windows, позволяющей контролировать USB-устройства. Подробно данный способ описан в статье KB555324 на сайте Microsoft. При выборе варианта защиты следует учитывать:
Обеспечение сетевой безопасности информационной системыВнешний доступ к информационной системе может быть получен и по каналам связи. Администратор должен обеспечить, чтобы к сети нельзя было подключить "чужое" устройство и чтобы по используемым каналам не было попытки взлома информационной системы. Контроль проходящего трафикаПо каналам связи могут осуществляться попытки взлома информационной системы с использованием как известных, так и неизвестных на настоящий момент уязвимостей. Обычно средствами предотвращений вторжений оснащаются системы защиты хоста. Но существуют способы и контроля всего трафика организации — специализированные средства обнаружения вторжений — Intrusion Detection System (IDS). Решения по обнаружению попыток взлома могут быть как программными, так и аппаратными. Поскольку для такой обработки нужна очень высокая скорость вычислений, то обычно используются специализированные аппаратные устройства, позволяющие обновлять алгоритмы поиска зловредного кода. Обычно IDS ведут анализ трафика, фиксируют предполагаемые отклонения и формируют соответствующие предупреждения администратору. Но на рынке есть и активные системы: они в реальном режиме времени могут блокировать трафик при обнаружении подозрительных кодов. Их называют Intrusion Prevention System (IPS). Решения IDS/IPS представлены как открытыми продуктами (наиболее известный — Snort), так и коммерческими: Check Point IPS, McAfee IPS, IBM ISS Proventia IPS. Контроль устройств по MAC-адресамСамый простой способ контроля подключенного к сети устройства заключается в проверке его MAC-адреса. Этот контроль поддерживается практически всеми управляемыми коммутаторами. При включении этого режима коммутатор запоминает MAC-адрес из первого пришедшего пакета и в дальнейшем пропускает данные только с этого устройства. Включение проверки MAC-адреса позволит защититься от такой уязвимости, как ARP-spoofing1, при реализации которой злоумышленник может "расположиться" между двумя компьютерами, обменивающимися данными, и перехватывать весь трафик. Но поскольку при обнаружении пакета с другим адресом коммутатор блокирует порт до явного вмешательства, администраторы не любят включать такую возможность по собственной инициативе.
Этот способ следует применять только тогда, когда другие методы недоступны. Например, для портов, к которым подключены сетевые принтеры. Существует много способов заменить реальный MAC-адрес на произвольное значение. Это легко сделать даже средствами Windows (рис. 9.5), не говоря уже о различных специализированных утилитах, таких как SMAC (http://www.klcconsulting.net/smac) и др.
Рис. 9.5. Протокол 802.1хНаиболее безопасным средством контроля подключения к сети в настоящее время является использование протокола 802.1х. Протокол 802.1х предназначен для аутентификации устройства, подключаемого к локальной сети. Первоначально он был разработан для беспроводных сетей, но впоследствии стал применяться и для контроля устройств, подключаемых к проводным сегментам. Принципы подключения, описываемые в стандарте, достаточно просты (рис. 9.6, далее в скобках приведена нумерация этапов, указанных на этом рисунке). Первоначально порт, к которому подключается устройство, находится в отключенном состоянии и может пропускать только пакеты процесса аутентификации (эти пакеты передаются между подключаемым устройством и службой аутентификации). Подключаемое устройство можно идентифицировать (1) как по его параметрам (например, по заранее известному MAC-адресу или сохраненному сертификату), так и по данным пользователя (в этом случае порт будет открыт после входа пользователя в операционную систему). В качестве службы аутентификации используется RADIUS (2). В сетях с централизованным каталогом сервер RADIUS проверяет параметры подключения на сервере каталогов (3), от которого получает данные аутентификации пользователя (4) и передает на коммутатор разрешение на открытие порта (5). После получения подтверждения от RADIUS порт коммуатора открывается для передачи информации в обоих направлениях (6). При этом RADIUS -сервер может сообщить коммутатору и номер VLAN, в которую должен быть помещен клиент.
Рис. 9.6. В процессе аутентификации могут быть использованы различные технологии подтверждения устройства. Наиболее безопасным считаются идентификации на основе сертификатов. Именно настройки данного варианта мы и опишем в настоящем разделе. Особенности применения протокола 802.1хПротокол 802.1х следует использовать только на портах подключения конечных устройств. Применить его на уровне распределения и выше невозможно. Стандарт предусматривает открытие порта после получения подтверждения идентификации устройства. В результате к порту коммутатора можно подключить небольшой сетевой концентратор с несколькими устройствами. После открытия порта аутентифицированным устройством другие компьютеры смогут беспрепятственно работать в локальной сети. Для предупреждения такой опасности можно применить несколько решений. Во-первых, включить на портах контроль по МАС-адресам; такую возможность поддерживает большинство коммутаторов. Обнаружение на порту второго устройства с другим MAC-адресом заблокирует порт. Вторая возможность предусматривает контроль за подключенными устройствами; данный режим реализован не для всех моделей коммутаторов. Например, для коммутаторов Cisco режим, когда через порт может работать только одно устройство, называется single-host, а описанный в стандарте — multiple-hosts. Если предприятие использует IP-телефонию, то подключение телефонных аппаратов и компьютера обычно осуществляется к одному порту коммутатора (используется коммутатор на два порта в телефоне). Как правило, настраивать аутентификацию для IP-телефонов не имеет смысла, поскольку, во-первых, при правильном администрировании подключение аппарата сопровождается вводом соответствующего пароля с консоли телефона, во-вторых, данные аудиопотока выделяются в отдельную VLAN. Поэтому многие модели коммутаторов имеют настройки, позволяющие включить необходимость аутентификации по протоколу 802.1х для всего трафика, кроме IP-телефонии. Есть ряд устройств, которые не поддерживают данный протокол: во-первых, это компьютеры, на которых установлены старые версии операционных систем, во-вторых, — сетевые принтеры и аналогичные устройства. В этом случае на соответствующих портах следует использовать иные методы контроля подключенных устройств (например, по MAC-адресам). Настройка протокола 802.1хСамый безопасный вариант настройки этого протокола — это использовать сертификаты при аутентификации компьютеров и пользователей. В этом случае администратор должен обеспечить следующие настройки:
Для аутентификации по протоколу 802.1х вам необходимо, чтобы, во-первых, клиенты имели соответствующие сертификаты, во-вторых, сертификат должен получить RADIUS-сервер. Выдача сертификатов компьютерамЧасто для компьютеров, входящих в домен, удобно настроить автоматическую выдачу сертификатов. Это делается с помощью групповой политики путем настройки Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики открытого ключа | Параметры автоматического запроса сертификатов | Создать необходимый автоматический запрос. RADIUS-серверу необходим специальный сертификат, который можно использовать при аутентификации по протоколу 802.1х. Этот сертификат могут выдать только центры сертификации, установленные на Enterprise-версии Windows-сервера. Их необходимо сначала опубликовать в центре сертификации, а затем сервере, на котором запущена служба IAS, открыть оснастку управления сертификатами локального компьютера с правами соответствующей учетной записи и запросить сертификат данного типа. После выполнения операции следует проверить наличие сертификата в соответствующем контейнере (рис. 9.7).
Рис. 9.7. Настройка службы каталоговПри подключении по протоколу 802.1х аутентифицироваться могут как компьютеры (их учетные записи в домене), так и сами пользователи. Политики подключения RADIUS-сервера проверяют членство соответствующих учетных записей в группах безопасности. Поэтому для предоставления права доступа создайте в службе каталогов соответствующие группы безопасности и включите в них требуемые объекты. Кроме того, не забудьте включить опцию разрешения входящих звонков для соответствующих учетных записей (в том числе и компьютеров). Настройка службы RADIUSКомпьютер со службой IAS (реализация службы RADIUS в Windows) должен входить в специальную группу безопасности домена, чтобы иметь доступ к параметрам учетных записей. Эта операция выполняется путем авторизации службы в ее меню. Настройка компьютера с IAS предполагает настройку клиентов и создание политик удаленного доступа. Клиент — это коммутатор, который запрашивает у сервера RADIUS разрешения на включение порта. Каждый клиент должен быть зарегистрирован на RADIUS -сервере. Для этого необходимо ввести его IP-адрес и ключ. Ключ — это пароль, который должен быть одинаковым в настройках IAS и клиента. Рекомендуется для каждого клиента выбирать его уникальным и достаточно сложным — длиной более 20 символов; ключ вводится всего в двух конфигурациях и практически не меняется в процессе работы. Возможность получения клиентом аутентификации от службы IAS всецело определяется политиками удаленного доступа. Обычно таких политик достаточно много (для различных вариантов подключения); они просматриваются по очереди, пока запрос клиента не совпадет с какой-либо из них. Политику удаленного доступа следует создавать при помощи мастера создания политик, указывая вариант Ethernet и вводя на запрос о группах Windows названия групп, которым предоставлено право доступа. В результате служба IAS будет проверять членство компьютера или пользователя в соответствующей группе. Если проверка выполнится успешно, то коммутатор получит соответствующее разрешение на открытие порта. Настройка автоматического назначения VLAN для порта коммутатораМногие коммутаторы имеют возможность назначить порт в тот или иной VLAN в соответствии с данными аутентификации. Для этого данные от службы IAS должны возвращать соответствующие параметры. Покажем, как это сделать. После создания политики удаленного доступа откройте ее свойства и нажмите клавишу редактирования профиля. Выберите вкладку Дополнительно (рис. 9.8) и добавьте следующие три атрибута:
Рис. 9.8. При получении запроса служба последовательно проверит соответствие его данных имеющимся политикам удаленного доступа и возвратит первое удачное совпадение или отказ.
Настройка клиентского компьютераДля использования протокола 802.1х при подключении к локальной сети на компьютере должна быть запущена служба Беспроводная настройка. Только в этом случае в свойствах сетевого подключения появится третья вкладка, определяющая настройки протокола 802.1х (рис. 9.9). По умолчанию настройки предполагают использование для аутентификации именно сертификатов, так что никаких изменений данных параметров не требуется.
Рис. 9.9.
Проще всего настроить данную службу на режим автоматического запуска с использованием групповой политики. Для этого следует открыть Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Системные службы и указать для службы Беспроводная настройка вариант автоматического запуска. Следующим шагом необходимо проверить наличие сертификата, на основании которого предполагается осуществить открытие порта коммутатора. Для этого нужно открыть консоль управления сертификатами, обратив внимание на выбор правильного контейнера для просмотра. Так, если предполагается аутентифицировать компьютер, следует просматривать контейнер Локальный компьютер. Настройка коммутатораНастройки коммутаторов отличаются для различных вендоров. Приведем в качестве примера вариант настройки коммутатора Cisco. В данном примере использованы настройки по умолчанию для портов службы RADIUS, не включены параметры повторной аутентификации и некоторые другие. Кроме того, в качестве гостевой VLAN (в нее будет помещен порт, если устройство не поддерживает протокол 802.1х) определена VLAN с номером 200, а в случае неудачной аутентификации устройство будет работать в VLAN с номером 201. Сначала в конфигурации коммутатора создается новая модель аутентификации, указывающая на использование службы RADIUS:
Далее включается режим использования протокола 802.1х и определяются параметры RADIUS-сервера:
После чего для каждого интерфейса настраивается использование протокола 802.1x. В качестве примера выбран порт номер 11:
Этих настроек достаточно, чтобы использовать на коммутаторе аутентификацию по протоколу 802.1x. Технология NAPПри использовании описанной ранее технологии подключения по протоколу 802.1х проверяется только сертификат компьютера (или пользователя). Естественно, что разработчики попытались расширить объем проверок. Так появилась технология NAP (Network Access Protection, название используется Microsoft, для других продуктов возможно другое имя; например, Network Access Control для продуктов Symantec Endpoint Protection). Среди продуктов, предназначенных для контроля доступа устройств, можно отметить решения Cisco, Microsoft, Symantec. Технология NAP от Microsoft поддерживается серверами Windows 2008. В качестве клиентов могут быть компьютеры с операционной системой Windows XP SP3 и старше. Технология NAP предусматривает ограничение использования ненадежными системами следующих сетевых служб:
|
|
|