2.4 Безпека
2.4.1 Загальні дії по забезпеченню захисту локальної мережі
Захист як локальних мереж, так комп’ютерів, що входять в мережу здійснюється на основі концепції безпеки, тобто переліку організаційно-технічних дій, які забезпечать компроміс між функціональністю системи та рівнем її безпеки. Будь-яка концепція безпеки повинна базуватись на деякій степені недовіри до людей як всередині мережі, так і за її межами.
Розрізняють два рівні захисту локальної мережі та серверного обладнання:
фізичний захист;
програмний захист.
До фізичного захисту локальної мережі та серверного обладнання входять дій щодо недопущення несанкціонованого доступу до мережі, ресурсів серверного обладнання на фізичному рівні.
До програмного захисту локальної мережі входить її захист через firewall та захист серверів локальної мережі. Виходячи з даних вимог потрібно забезпечити:
Захист
локальної мережі від несанкціонованого
доступу ззовні використовуючи firewall.Розподіл ресурсів (FTP, HTTP, т.п.) локальної мережі шляхом аутентифікації користувачів.
Захист серверів локальної мережі паролями, профільний доступ користувачів до серверів.
Для всіх серверів локальної мережі, які виконують роль шлюзів, серверів додатків, що працюють в привілейованому режимі, потрібно проводити жорстку політику щодо використання безпечних паролів. Якщо є кілька облікових записів користувачів на важливих серверах потрібно обмежити їх доступ до конфігураційних файлів тих чи інших сервісів.
Протоколювання мережевого трафіку, діяльності користувачів різних сервісів та використання утиліт, що забезпечують виявлення мережевих атак.
Резервне копіювання всієї важливої інформації
Резервне копіювання важливої інформації (до якої як правило відносять інформацію про мережевий трафік для шлюзів та діяльність користувачів для різних сервісів, основні конфігураційні файли, файли облікових записів користувачів, основні файли системи) дозволить швидко відновити необхідні дані в разі збоїв обладнання чи атаки на них. Як правило, резервні копію повинні зберігатись на носіях недоступних з локальної мережі або на носіях з обмеженим доступом.
2.4.2 Захист мережі за допомогою nat-firewall та списків доступу (acLs)
Функцію захисту корпоративної мережі ззовні, а саме, забезпечення ініціалізації зовнішніх з’єднань до сервісів DNS, e-mail, www та заборону будь-яких інших з’єднань, виконує маршрутизатор mdf налаштований в режимі NAT-firewall. Додатковий захист відбувається на основі технології списків доступу (ACLs) завдяки наступному сценарію налаштування маршрутизатора mdf:
!--- захист корпоративної мережі від зовнішніх з’єднань
mdf(config)#access-list 1 deny 192.168.0.0 0.0.255.255
mdf(config)#interface E1
mdf(config-if)#ip access-group 1 in
mdf(config-if)#^Z
!--- забезпечення доступу до зовнішньої мережі лише через головний сервер MDF
mdf(config)#access-list 2 permit host 192.168.0.1
mdf(config)#access-list 2 deny any
mdf(config)#ip nat inside source list 2 interface E1 overload
!---
доступ internet-користувачів до DNS, e-mail та
www сервісів корпоративної мережі
mdf(config)#ip nat inside source static tcp 192.168.0.1 53 X.X.X.X 53
mdf(config)#ip nat inside source static tcp 192.168.0.1 25 X.X.X.X 25
mdf(config)#ip nat inside source static tcp 192.168.0.1 80 X.X.X.X 80
!--- забезпечення доступу підмереж IDF1 лише до головного сервера MDF
idf1(config)#access-list 101 permit 192.168.1.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 permit 192.168.10.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 permit 192.168.11.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 permit 192.168.12.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 permit 192.168.13.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 permit 192.168.14.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 permit 192.168.15.0 0.0.0.255 host 192.168.0.1 eq any
idf1(config)#access-list 101 deny any any any log
idf1(config)#interface E1
idf1(config-if)#ip access-group 101 in
idf1(config-if)#^Z
!--- забезпечення доступу підмереж IDF2 лише до головного сервера MDF
idf2(config)#access-list 101 permit 192.168.2.0 0.0.0.255 host 192.168.0.1 eq any
idf2(config)#access-list 101 permit 192.168.16.0 0.0.63.0 host 192.168.0.1 eq any
idf2(config)#access-list 101 permit 192.168.17.0 0.0.0.255 host 192.168.0.1 eq any
idf2(config)#access-list 101 permit 192.168.18.0 0.0.63.0 host 192.168.0.1 eq any
idf2(config)#access-list 101 permit 192.168.19.0 0.0.0.255 host 192.168.0.1 eq any
idf2(config)#access-list 101 permit 192.168.20.0 0.0.63.0 host 192.168.0.1 eq any
idf2(config)#access-list 101 permit 192.168.21.0 0.0.0.255 host 192.168.0.1 eq any
idf2(config)#access-list 101 deny any any any log
idf2(config)#interface E1
idf2(config-if)#ip access-group 101 in
idf2(config-if)#^Z
!---
забезпечення доступу підмереж
IDF3
лише до
головного сервера MDF
idf3(config)#access-list 101 permit 192.168.3.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.22.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.23.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.24.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.25.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.26.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.27.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.28.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.29.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 permit 192.168.30.0 0.0.0.255 host 192.168.0.1 eq any
idf3(config)#access-list 101 deny any any any log
idf3(config)#interface E1
idf3(config-if)#ip access-group 101 in
idf3(config-if)#^Z
Таким чином, прямий доступ до зовнішньої мережі отримав лише головний MDF сервер, на якому для розподілу доступу до internet всіх інших корпоративних хостів буде встановлено проксі-сервер.
Для захисту підрозділів університету всередині корпоративної мережі застосовано технологію розширених списків доступу на маршрутизаторах, встановлених у допоміжних комунікаційних кімнатах (idf1, idf2, idf3). При цьому доступ усіх хостів з підмереж допоміжних комунікаційних кімнат дозволено лише до головного сервера MDF.