Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5091 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный технический университет им. H.Э.Баумана
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Сети_РПЗ.docx
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
516.15 Кб
Скачать
►Содержание►

3.5 Требования к управлению учетными записями

Перечислим основные требования стандарта PCI DSS по управлению учетными записями:

  1. Для доступа к функционалу управления и администрирования должны использоваться индивидуальные учетные записи сотрудников или системных приложений;

  2. При использовании системных учетных записей для приложений осуществляющих автоматические операции по обслуживанию сетевого оборудования, доступ к их паролям должен быть ограничен, а системы мониторинга настроены на контроль несанкционированного использования этих учетных записей вне рамок процессов автоматизированных систем управления;

  3. Недопустимо сохранение паролей в автоматически выполняемых сценариях, хранящихся в файлах без дополнительной защиты;

  4. Для таких компонентов как сетевое оборудование и межсетевые экраны, политики по отношению к паролям должны быть разработаны с учетом особенностей оборудования, рекомендаций производителей и выполняться более строго;

  5. Запрет на использование встроенных и разделяемых учетных записей касается не только работы с серверами и базами данных, но так же относится и к сетевому оборудованию и межсетевым экранам;

  6. Все маршрутизаторы, коммутаторы и беспроводные точки доступа должны быть настроены на аутентификацию любого вида доступа, как консольного, так и удаленного;

  7. Встроенные учетные записи должны быть переименованы или отключены, а пароли, установленные производителями по умолчанию, заменены на новые;

  8. Учетные записи на устройствах должны создаваться согласно процедуре предоставления доступа, а привилегии для них настраиваться в соответствии с ролью или должностными обязанностями сотрудника;

  9. Использование группой технической поддержки единственной или встроенной учетной записи для администрирования сетевого оборудования недопустимо, так как не позволяет идентифицировать сотрудника вносящего изменения.

  10. Допустимо использование единственной учетной записи только в случае, если администрирование выполняет один сотрудник.

4. DMZ

4.1 Структура демилитаризованной зоны

Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей – там располагаются только серверы. Демилитаризованная зона, как правило, служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью, защищенной (или отделенной) от публичных и корпоративных сетей межсетевыми экранами.

Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется отдельная машина. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность, выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана – один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети. Именно такую схему будем использовать для организации демилитаризованной зоны корпорации CorpBDD.

В DMZ вынесем почтовый, web- и FTP-серверы, а также внешний DNS и сервер удаленного доступа RAS.

Сеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим – от локальной сети. При этом на внешнем межсетевом экране должен быть реализован доступ «снаружи» к нужным ресурсам.

Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй – в DMZ и третий – в локальную сеть.

Сетевой адаптер, подключенный к Интернету, будем называть WAN, интерфейс,

подключенный к демилитаризованной зоне, – DMZ, а к локальной сети – LAN.

На рис. 5 изображены два варианта подключения межсетевого экрана. В случае «б» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй – к DMZ и LAN, в случае «а» – один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.

Рис 5. Варианты развертывания межсетевого экрана и демилитаризованной зоны

При реализации второго варианта необходимо обратить внимание на его недостатки. Прежде всего, это общее снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям. Например, если у вас в сети один почтовый сервер, и он находится в демилитаризованной зоне, то при отключении межсетевого экрана он будет недоступен, и у пользователей в почтовом клиенте начнут появляться сообщения об ошибке соединения. Как следствие – поток звонков и жалоб системному администратору на неработоспособность сети.

Другой недостаток использования одного сервера – это то, что в случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна.

И наконец, пожалуй, самый важный недостаток такой топологии, в случае если злоумышленнику удастся проникнуть на сервер, он сможет получить доступ как в DMZ, так и локальную сеть.

Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из первого варианта можно превратить во второй вариант, добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается.

Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.

При проектировании корпоративной сети CorpBDD будем использовать второй вариант, но в качестве внутреннего межсетевого экрана будет использоваться Cisco Pix 501, а в качестве внешнего – маршрутизатор Cisco Router 3640.

Выбранный маршрутизатор поддерживает функции межсетевого экрана с учётом состояний, а также механизм защиты от атак Cyber Attack Defense Engine, приостанавливающий типичные атаки на сети, обеспечивая высокий уровень доступности критически важных интернет приложений. Кроме того, межсетевой экран поддерживает механизм адресации NAT и возможность переадресации портов.

Поскольку в данный маршрутизатор встроен так называемый packet filter, то необходимость в использовании отдельного (standalone) межсетевого экрана для отделения DMZ от Internet отпадает.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности