Политики безопасности компании при работе в Интернет
Шрифт:
Рис. 4.9. Правила «Before Last»
Существует много проблем, связанных с этими правилами по умолчанию. Для многих из них в качестве источника или получателя указан «любой», что ведет к уменьшению степени защищенности как самого межсетевого экрана, так и сети, которую он защищает. Другая проблема заключается в том, что действия по этим правилам не журналируются и нет возможности включить журналирование. Все неявные правила по умолчанию должны быть отключены и указаны явные правила для включения только тех сервисов, которые действительно необходимы. Для отключения правил по умолчанию можно использовать закладку Policy → Global Properties → Firewall-l (см. рис. 4.10).
Рис. 4.10. Отключение неявных правил безопасности межсетевого экрана
4.3.4. Настройки VPN
Для обеспечения удаленного доступа в сеть компании используется концентратор Cisco VPN 3030. В основу архитектуры VPN-доступа были положены следующие правила:
• для удаленного доступа используется протокол IPSec (проколы РРТР и L2TP не поддерживаются из-за низкой защищенности);
• для аутентификации и шифрования используется Encapsulating Security Protocol (ESP);
• для аутентификации IKE используются цифровые сертификаты (ргеshared-ключи не применяются из-за низкой защищенности);
• VPN-сертификаты сотрудников компании хранятся на устройствах Aladdin eToken USB. Это позволило обеспечить защищенное хранение сертификатов;
• для аутентификации пользователей VPN и выдачи IP-адресов VPN-клиентам применяется сервер Cisco Access Control Service с использованием протокола RADIUS;
• сервер Zone Labs Integrity используется для реализации политики безопасности и проверки настроек антивирусного программного обеспечения на подключаемых компьютерах. С его помощью осуществляется контроль программ и приложений, которые могут быть использованы внутри VPN-соединения;
• VPN-концентратор разрешает доступ только к некоторым подсетям и компьютерам, основываясь на членстве в группах пользователей, созданных на концентраторе.
Аутентификация пользователей VPN. Сервер Cisco Secure ACS выполняет аутентификацию пользователей VPN и выдачу IP-адреса. Конфигурирование VPN-концентратора необходимо выполнять только после того, как сконфигурирован сервер ACS с соответствующими идентификаторами пользователей, групп и диапазонами IP-адресов. Кроме этого VPN-концентратор должен быть сконфигурирован в качестве клиента сервера ACS, в противном случае он не сможет воспользоваться его сервисами.
Принципы аутентификации пользователей на VPN-концентраторе:
• создаются два раздельных пула IP-адресов – один для удаленных пользователей, другой для удаленного управления сетью. Эти диапазоны будут использованы в правилах внутренних межсетевых экранов для ограничения доступа на основе принадлежности к различным группам пользователей:
– удаленные пользователи – 172.16.61.1-254;
– удаленные администраторы – 172.16.62.1–6;
• внутренняя аутентификация на VPN-концентраторе не используется, но должны быть созданы локальные группы и названия групп должны быть идентичны названиям групп на сервере ACS;
• очень важно понимать, что названия групп должны быть идентичны первому полю клиентских сертификатов OU, потому что VPN-концентратор получает информацию о членстве в группе именно из этого поля;
• идентичные названия групп также должны быть установлены на сервере Zone Labs Integrity, потому что различные политики персональных межсетевых экранов будут выдаваться на основе анализа членства в группах;
• для журналирования доступа через VPN используется RADIUS.
4.3.5. Настройки внутренних межсетевых экранов
Этот уровень контролирует сетевой доступ между внутренними зонами безопасности. Данные зоны были созданы для разделения внутренних ресурсов, на основе их уровня безопасности и важности информации, а также для управления потоками информации во внутренней сети компании. В качестве внутренних межсетевых экранов используется Cisco Secure PIX 535 с программным обеспечением PIX OS v.6.3.3. Два межсетевых экрана функционируют в режиме «горячего» резервирования (failover).
Характеристика Cisco PIX. Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернета во внутреннюю сеть, так и наоборот.
Для настройки PIX можно использовать графическую оболочку Cisco PDM v.3.0, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров с помощью PIX можно осуществлять аутентификацию пользователей. Для этого используются протоколы TACACS+ и RADIUS, которые позволяют применять для аутентификации как обычные UNIX-пароли, так и систему одноразовых паролей S/Key.
Cisco Secure PIX Firewall позволяет поддерживать до 500 тыс. одновременных TCP/IP-соединений и обеспечивать общую пропускную способность до 1700 Мбит/с. PIX построен на базе сетевой операционной системы Cisco PIX OS, что гарантирует полную совместимость по протоколам и средствам мониторинга и управления с оборудованием Cisco, масштабируемость сетей, построенных на базе Cisco, привычный для администраторов Cisco-маршрутизаторов интерфейс.
Использование межсетевого экрана Cisco PIX позволяет обеспечить:
• управление информационными потоками на основе технологии контроля состояния защиты сетевых соединений, что позволяет ограничить доступ неавторизованных пользователей к сетевым ресурсам;
• аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS;
• поддержку более 500 тыс. одновременных соединений;
• поддержку нескольких сетевых интерфейсов (интерфейсов демилитаризованной зоны) для организации открытых для пользователей интернет-сервисов типа WWW, электронной почты и др.;
• поддержку протокола Oracle SQLfNet для защиты приложений «клиент-сервер»;
• дублирование и «горячее» резервирование;
• трансляцию сетевых адресов (NAT) согласно RFC 1631;
• трансляцию портов (PAT), позволяющую расширить пул адресов компании: через один IP-адрес можно отображать 64 тыс. адресов (16 384 одновременно);
• отображение перекрывающихся IP-адресов в одно адресное пространство с помощью псевдонимов сетевых адресов;
• возможность отмены режима трансляции адресов для зарегистрированных IP-адресов, что позволяет пользователям использовать их настоящие адреса;
• прозрачную поддержку всех распространенных TCP/IP-сервисов – WWW, FTP, Telnet и т. д.;
• поддержку мультимедийных типов данных с использованием трансляции адресов и без нее, включая Progressive Networks\' RealAudio, Xing Technologies\' Streamworks, White Pines\' CuSeeMe, Vocal Tec\'s Internet Phone, VDOnet\'s VDOLive, Microsoft\'s NetShow, VXtreme\'s Web Theater 2;
• поддержку приложений для работы с видеоконференциями, совместимыми с Н.323 спецификацией, включая Internet Video Phone (Intel) и Net-Meeting (Microsoft);
• возможность фильтрации потенциально опасных Java-апплетов;
• поддержку нескольких уровней входа в систему;
• поддержку прерываний (trap) SNMP-протокола;
• протоколирование и регистрацию сетевой активности;
• поддержку Management Information Base (MIB) для syslog;
• аудит использования URL и обменов по FTP-протоколу;
• поддержку удаленного вызова процедур (RPC);
• защиту от SYN-атак, ограждающую хост от атак типа «отказ в обслуживании».В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния.
Межсетевой экран PIX Firewall обеспечивает высокий уровень безопасности при использовании ASA. Каждый раз при установлении соединения наружу или вовнутрь через PIX Firewall информация о соединении сохраняется в таблице, которая содержит адреса источника и получателя, номера портов, информацию о TCP-последовательностях и дополнительные флаги сессии, такие, как SYN, АСК, FIN. Эта информация о сессии составляет так называемый «объект-соединение». Весь трафик данного соединения сверяется с данным объектом. Этот объект существует до завершения соединения.
Для безопасности ASA использует и содержит адреса источника и получателя, номера портов, информацию о TCP-последовательностях и дополнительные флаги сессии, а также результат применения хеш-функции к заголовку IP-пакета. Это хеширование является своего рода подписью клиента, установившего соединение, – данный код однозначно идентифицирует клиента. Таким образом, для подмены клиента злоумышленникам необходимо получить не только IP-адрес машины, но и номера портов, дополнительные флаги сессии, а также номер ТСР-последовательности. Последнее – невозможно, так как межсетевой экран PIX Firewall создает случайные номера TCP-последовательности для каждой сессии. Межсетевой экран PIX Firewall поддерживает аутентификацию и авторизацию с использованием сквозного механизма cut-through proxy, а также учет с использованием системного журнала и PIX Device Manager.
Высокая скорость работы межсетевого экрана PIX Firewall обеспечивается за счет cut-through proxy. В отличие от обычных proxy-серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI (что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.
Еще одним фактором, который замедляет работу обычного proxy-сервера является то, что для каждой TCP-сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 500 тыс. сессий одновременно.
Для обеспечения аутентификации пользователей межсетевой экран Cisco PIX Firewall использует механизм cut-through proxy. Данный механизм позволяет обеспечить:
• высокую пропускную способность;
• аутентификацию и авторизацию пользователей на прикладном уровне;
• возможность использования как TACACS+, так и RADIUS-сервера безопасности;
• аутентификацию как входящих, так и исходящих соединений.Механизм cut-through межсетевого экрана PIX Firewall начинает свою работу на прикладном уровне как proxy-сервер. Но как только пользователь аутентифицирован с помощью стандартной базы данных, построенной либо на TACACS+, либо на RADIUS, и проведена проверка политики, межсетевой экран PIX Firewall возвращает поток данных на сетевой уровень. Этот механизм обеспечивает значительное увеличение производительности без уменьшения уровня безопасности. Для гарантирования такой возможности не требуется никакого дополнительного программного обеспечения на машине клиента.
Механизм cut-through proxy работает следующим образом:
• пользователь выполняет попытку доступа к ресурсам, как будто он не находится за межсетевым экраном PIX Firewall;
• межсетевой экран PIX Firewall прерывает запрос на соединение и удостоверяется, что это новое соединение (оно отсутствует в списке уже установленных соединений);
• межсетевой экран PIX Firewall посылает запрос пользователю на ввод имени пользователя и пароля. Полученные имя и пароль межсетевой экран PIX Firewall передает серверу безопасности для проверки пользовательских привилегий. Поддерживается работа как с TACACS+, так и с RADIUS-серверами. Межсетевой экран PIX Firewall аутентифицирует следующие виды трафика: Telnet, FTP и HTTP;
• в случае успешной аутентификации межсетевой экран PIX Firewall инициирует соединение с запрашиваемым ресурсом;
• межсетевой экран PIX Firewall возвращает поток данных сессии на сетевой уровень, в высокоскоростное ядро сетевого уровня, и после этого весь трафик проходит непосредственно между источником и получателем.Имена интерфейсов и уровни безопасности. Каждый интерфейс должен иметь имя и уровень безопасности. Уровни безопасности определяют доступ между системами, расположенными за различными интерфейсами. В компании используется следующая схема наименования и распределения уровней безопасности (см. табл. 4.5). Таблица 4.5. Наименование и распределение уровней безопасности
Конфигурирование уровней безопасности и имен на каждом интерфейсе:
nameif ethernet0 AdminDmz security0
nameif ethernetl WebDMZ securityl0
nameif ethernet2 ServiceDMZ security20
nameif ethernet3 SecureData security60
nameif ethernet4 Management security80
nameif ethernet5 Internal security 100
nameif ethernet6 State security40
Интерфейс State используется только для обеспечения режима failover. Команды настройки маршрутизации здесь не показаны. Пароли:
enable password GHjiiuUIIH67JH encrypted
passwd Huhu&*8h9h encrypted
Конфигурирование NAT. Внутренние межсетевые экраны не используют трансляцию адресов, но таблица трансляции адресов NAT все же требуется для организации доступа в подсети с разными уровнями безопасности. Команда global не используется, так как реальной трансляции не происходит. Для разрешения доступа через интерфейс с низким уровнем безопасности со стороны интерфейсов с более высоким уровнем безопасности используется команда nat. Эта команда применяется только на тех интерфейсах, компьютерам которых требуется доступ к компьютерам, находящимся за интерфейсами с меньшим уровнем безопасности:
nat (internal) 0 172.16.16.0. 255.255.248.0
nat (internal) 0 172.16.32.0. 255.255.224.0
nat (Management) 0 172.16.6.0. 255.255.255.0
nat (SecureData) 0 172.16.5.0. 255.255.255.0
Для обеспечения доступа из интерфейсов с более высоким уровнем безопасности используется команда static: