В рамках даної статті ми поговоримо про безпеку локальної мережі. Особливу увагу буде приділено питанням захисту технічного рівня і практичним рекомендаціям щодо забезпечення безпечної LAN. З огляду на всеобьемлемость теми, я постараюся загострити увагу читача на наступних питаннях: які уразливості використовуються найчастіше і які політики безпеки їм можна протиставити.
Безпечна архітектура - це фундамент
Отже, крім централізованої політики безпеки, без якої de facto неможлива побудова безпечної мережі в принципі, особливу увагу слід звернути на таке:
1) Використання безпечних протоколів обміну (не секрет, що такі текстові протоколи, як FTP і Telnet, являють собою явну загрозу) і туннелирование даних, наприклад, за допомогою SSH.
2) Шифрування критичних даних з використанням надійних криптоалгоритмів.
3) Використання архітектури, що включає в себе наявність DMZ (демілітаризованої зони), що обслуговується двома файрволлами.
4) Використання IDS (Intrusion-Detection System), IPS (Intrusion-Prevention System) і NAT.
5) Захист периферії за допомогою тонких клієнтів і двухфакторной системи аутентифікації.
DMZ. Проектування демілітаризованої зони
Не секрет, що системи, відкриті для прямого доступу ззовні, є головними цілями зловмисників. Для організацій, що мають справу з критичною і конфіденційною інформацією, питання захисту периметра мережі стоїть особливо гостро. Політика безпеки зовнішніх систем (web-сервер, поштовий сервер та ін.) Вимагають самої ретельного опрацювання, так як вони схильні до нападу в першу чергу. Завдання полягає в тому, щоб обмежити доступ цих систем до дійсно важливих і секретних комп'ютерів, розташованим всередині мережі, що реалізується за допомогою технологій, описаних мною нижче.
DMZ - скорочення від demilitarized zone (демілітаризована зона) - має на увазі собою фрагмент мережі, який не є повністю довіреною. Сенс створення DMZ полягає в тому, щоб захистити внутрішню систему (в даному випадку це наша захищена LAN) від доступу, який здійснюється з Інтернету. DMZ створюється за допомогою реалізації полузащіщенной мережевий зони, що досягається шляхом застосування міжмережевих екранів або маршрутизаторів зі строгими фільтрами. Потім за допомогою елементів управління мережею визначається політика, якому трафіку дозволяється проникнення в DMZ, а якому трафіку дозволено виходити за межі DMZ. Очевидно, що всі системи, доступні із зовнішнього середовища, повинні бути розміщені в демілітаризованій зоні. Слід враховувати і те, що, якщо система доступна через інтерактивний сеанс (такий, як telnet або SSH), то відкривається можливість проведення атак проти інших систем, що знаходяться в DMZ. В якості моделі розглянемо наступну. Одна з можливих архітектур безпечної LAN c використанням демілітаризованої зони зображена на рис. 1:
В даному випадку наша мережа включає в себе два міжмережевих екрану, що відокремлюють DMZ від зовнішньої і внутрішньої мережі. Зовнішня мережа виявляється між маршрутизатором провайдера і першим фаєрволом, в той час як демілітаризована зона розміщується між міжмережевими екранами № 1 і № 2. У налаштуваннях брандмауера № 1 передбачено дозвіл проходження всього трафіку DMZ, а також всього внутрішнього трафіку (за деяким винятком) . Брандмауер № 2 налаштований більш жорстко з урахуванням того, що дозволено тільки вихідний інтернет-трафік. Подібна конфігурація значно підвищує загальний рівень безпеки LAN. Не можна не погодитися з тим, що використання і обслуговування пари міжмережевих екранів підвищує вартість архітектури і вимагає додаткових зусиль з управління та налаштування, але ... воно того варто.
IDS - система виявлення вторгнень. В ідеальному випадку така система лише видасть сигнал тривоги при спробі проникнення. Виявлення вторгнень допомагає при превентивної ідентифікації активних загроз за допомогою повідомлень і попереджень про те, що зловмисник здійснює збір інформації, необхідної для проведення атаки. Різновидом IDS є IPS, можливості якої виходять за рамки простого виявлення вторгнень і доповнюються можливістю превентивного протидії. В даний час можна виділити, принаймні, два основних типи IDS:
Ще одним інструментом, який ми застосовуємо при проектуванні безпечної LAN, стане NAT.
1. При побудові безпечної LAN слід мінімізувати кількість служб і сервісів, що надаються мережею, використовуваних клієнтами з мережі Інтернет.
2. Архітектура LAN в обов'язковому порядку повинна передбачати наявність DMZ - демілітаризованої зони, контрольованої фаєрволом.
4. Установка найостанніших оновлень строго обов'язкове.
Навіть якщо ваша система має останні оновлення, розслаблятися все одно не варто: з моменту виявлення нової уразливості і до моменту виходу заплатки «розумні люди» встигають написати експлоїт або створити хробака.
5. Зрозуміло, як на сервері, так і на робочих станціях має бути встановлене антивірусне ПЗ зі свіжими базами.
6. Якщо у вас до сих пір файлова система FAT32, змініть її на NTFS. NTFS de facto більш безпечна: вона дозволяє розмежувати доступ до ресурсів вашого ПК і значно ускладнить процес локального і мережевого злому паролів бази SAM.
7. У властивостях підключення вкрай бажано залишити тільки найнеобхідніше, а саме ТСР / IP. «Службу доступу до файлів і принтерів мережі Microsoft» необхідно відключити (стосується машин, що не надають SMS-доступ), щоб не полегшувати завдання всім любителям «дефолтовая» C $, D $, ADMIN $ і т. Д.
8. Всі невикористовувані сервіси бажано вимкнути. Це не тільки поліпшить продуктивність вашої системи, але і автоматично закриє купу відкритих портів (рис. 3):
9. Видаліть зайві облікові записи (такі, як HelpAssistant і SUPPORT_388945a0), а в оснащенні gpedit.msc забороніть локальний і мережевий вхід для всіх користувачів, залишивши тільки використовуваних на даній машині.
10. Користувача «Адміністратор» краще перейменувати (через оснащення gpedit.msc).
12. У локальній мережі не варто забувати і про сніффером, за допомогою яких ваші паролі можуть стати «суспільним надбанням» (не секрет, що паролі таких сервісів, як FTP і Telnet, передаються по LAN у відкритому вигляді). Використовуючи сниффер (наприклад, CainAbel), навіть зашифровані паролі легко зламати.
13. Мінімальна сеансовое безпеку повинна мати на увазі використання криптостійкого алгоритму - NTLMv2:
Використання NTLMv2-механізму замість уразливого LM або NT значно підвищує криптостойкость паролів (включається через оснащення "Локальні параметри безпеки») і знижує можливі ризики, пов'язані з перехопленням і розшифровкою хеш. Перераховані способи захисту / побудови безпечної мережі - аж ніяк не панацея проти всіх, хто всерйоз вирішив зламати вашу мережу. Дотримання перерахованого вище мінімуму значно знижує ймовірність злому, роблячи вашу мережу безпечнішою до зовнішніх і внутрішніх загроз.
100% захисту немає, до неї можна лише наблизитися ...