Технологія захист інформації в локальних мережах / security_brochure(rus)

•Расширенная операция является новой в версии 3, она введена для обеспечения определения дополнительных операций для тех видов сервиса, которые недоступны где-либо еще в протоколе; например, отмеченные цифровым способом операции и результаты.

Примечание. Связывающая операция протокола LDAP в версии 2 позволяет лишь простую идентификацию, состоящую из пароля открытого (незашифрованного текста), и идентификацию Kerberos версии 4. В версии 3 допущен любой механизм SASL уровня безопасности и простой идентификации. SASL позволяет обращаться к сервису обеспечения целостности и секретности. Также допускается возврат идентификационных данных сервером клиенту, если сервер изберет именно этот путь.

Для получения большего объема технической информации и последних достижений обращайтесь к ASID (поиск, поиск и индексирование директорий) и рабочие группы IETF по созданию новых версий протокола LDAP, имеющих следующие адреса в сети Интернет, соответственно: http://www.ietf.org/html.charters/asid-charter.html и http://www.ietf.org/html.charters/ldapext-charter.html .

DNSSEC

Система имени домена DNS стала важной действующей частью инфраструктуры сети Интернет. И все же она еще не имеет сильного механизма защиты для обеспечения целостности данных или идентификации. Расширения к DSN обеспечивают эти виды сервиса для устройств с функциями защиты или для приложений за счет использование криптографических цифровых подписей. Эти цифровые подписи включены в защищенные зоны в виде ресурсных записей. Во многих случаях защита все еще может быть обеспечена даже через DNS сервера, в которых функции защиты не предусмотрены. Эти расширения также предусматривают хранение идентифицированных общих ключей в DSN. Такое хранение ключей может поддерживать общий сервис распределения общих ключей так же, как и безопасность DNS. Хранящиеся ключи позволяют устройствам с функциями защиты запомнить идентифицирующий ключ зон в дополнение к тем зонам, к которым они изначально настроены. Ключи, связанные с именами DNS, могут быть запрошены для поддержки других протоколов. Предусмотрено применение целого ряда алгоритмов и типов ключей. Расширения защиты предусматривают дополнительную идентификацию трансакций протокола DSN.

Для ознакомления с текущими разработками и получения дополнительных технических подробностей обращайтесь к рабочей группе IETF Domain Name System Security (dnssec) по адресу в сети Интернет: http://www.ietf.org/html.charters/dnssec-charter.html.

Разработка политики безопасности предприятия

Определение политики безопасности предприятия является одним из краеугольных камней разработки сети предприятия. Это так же важно, как и определение диапазона требований или потребностей резервирования. Политика безопасности определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации. Ниже приведены преимущества разработки корпоративной политики безопасности:

• Создание структуры для совершенствования элементов безопасности в инфраструктуре сети

•Обеспечение процесса проверки существующей системы безопасности сети

•При необходимости – создание базы для юридических действий

Политика безопасности предприятия является результатом оценки риска и определения важных средств и возможных угроз. Средства сети в себя включают:

•Хосты сети (такие как ПК; включает операционные системы, приложения и данные хостов)

•Устройства сети (такие как маршрутизаторы, коммутаторы и межсетевые экраны)

•Данные сети (данные, которые передаются по данной сети)

51

Вы должны установить, как средства Вашей сети, так и степень, в которой каждое из этих средств должно быть защищено. Если устройства сети или данные подвергнуты риску, приведет ли это к затруднению или краху? Чем больше вероятность краха, тем строже должна быть политика обеспечения безопасности.

Угрозы обычно возникают в виде перехвата или кражи информации, нарушения возможности доступа к ресурсам сети (нападения типа «отказ в сервисе»), несанкционированный доступ к ресурсам или манипуляция данными. Особыми внимание уделяется зонам подключения к сети, точкам удаленного доступа, а также важным устройствам и серверам инфраструктуры сети.

При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно. Для начала необходимо определить, что и от чего должно быть защищено. Кроме того, должна быть учтена вероятность угроз. Обычно самым легким путем является разделение сети предприятия на три отличительных составных части: главный комплекс зданий - далее по тексту "комплекс", подключение удаленного доступа и подключение к сети Интернет, как показано на Рисунке 36.

Рисунок 36: Составные части сети предприятия

Сеть главного комплекса включает центральную сеть предприятия. Компонент удаленного доступа содержит подключение для удаленных отделений предприятия, надомных и/или мобильных пользователей. Компонент сети Интернет, который может быть назван периметром сети, обеспечивает подключение от центрального комплекса к сети Интернет. Все три компонента: главный комплекс, удаленный доступ и сеть Интернет могут быть рассмотрены отдельно для разработки всеобъемлющей политики безопасности.

В политике безопасности рассматриваются три главных элемента: идентичность, целостность и аудит. Идентичность – это элемент, который включает как идентификацию, так и авторизацию. Функция идентификации отвечает на вопрос: «Кто Вы?» и «Где Вы?», а функция авторизации - «К чему Вы имеете допуск?».

Механизмы идентичности необходимо внедрять осторожно, т.к. даже самая продуманная политика может быть расстроена, если сложно использовать усовершенствования. Классическим примером является запись пароля на клочке бумаги и прикрепление его к монитору компьютера – что является выходом для потребителя, который должен помнить множество паролей для получения доступа к меняющимся

52

составным частям сети. Обременительные или чрезмерно дублированные системы верификации и авторизации могут расстроить пользователей, поэтому их следует избегать. Целостность – это элемент, который включает безопасность устройства инфраструктуры сети (физический и логический доступ), безопасность периметра и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования сети в специально созданных для этого оборудования шкафах, которые имеют ограниченный доступ.

Безопасность логического доступа главным образом относится к обеспечению механизмов идентичности (идентификации и авторизации) перед тем, как дать доступ для сети связи Telnet или для терминала к компонентам инфраструктуры общей сети (например, маршрутизаторам или межсетевым экранам).

Безопасность периметра связана с функциями межсетевых экранов, определяющих, какой трафик разрешен или запрещен от различных зон сети, обычно – между сетью Интернет и главным комплексом или между пользователями удаленного доступа и главным комплексом. Последним главным элементом системы безопасности является аудит, который необходим для слежения и верификации процесса исследования политики безопасности.

Для испытания эффективности инфраструктуры системы безопасности, аудит безопасности должен происходить часто, через равные промежутки времени, а также должен включать проверки установки новой системы, методы для определения возможной вредительских действий кого-либо из внутреннего персонала и возможного наличия особого класса проблем (нападения типа «отказ в сервисе»), а также общее следование политике безопасности объекта.

Ниже приведен примерный список вопросов для оказания помощи в определении политики безопасности предприятия для данной среды. Сами по себе вопросы достаточно прямые. Именно ответы могут стать сложными из-за неизвестного риска для информации, находящейся под угрозой. Во-первых, необходимо выполнить общую оценку в масштабах компании с последующим уточнением деталей для составных частей: внутреннего комплекса, внешнего подключения удаленного допуска и внешней сети Интернет.

Политика в отношении информации

•Какая информация является конфиденциальной и должна быть защищена?

•Как эта информация будет защищена?

•Будет ли эта конфиденциальная информация зашифрована?

•Будет ли существовать ограниченный доступ к информации?

•Кто может обратиться к информации и внести в ней изменения?

•Кто может аннулировать доступ к информации?

•Кто имеет право настроить и задать конфигурацию инфраструктуры сети?

Доступ внутреннего комплекса

На рисунках 37, 38 и 39 отдельно показаны три составные части сети вместе с образцами вопросов для облегчения выработки соответствующей политики безопасности.

Рисунок 37. Внутренний комплекс

53

Идентичность

•Должны ли все иметь доступ ко всем ресурсам?

•Будет ли ограниченный доступ к различным ресурсам?

•Будет ли ограниченный доступ к некоторым отделам?

•Будет ли ограниченный доступ к некоторым объектам?

•К каким ресурсам будет ограничен доступ и от кого?

•Какие механизмы будут использованы для обеспечения идентичности между объектами?

Целостность

•Какие требования должны быть удовлетворены, прежде чем устройство может быть подключено к корпоративной сети?

•Какие требования должны быть удовлетворены, прежде чем удаленный объект устройство может быть подключен к корпоративной сети?

•Какие механизмы будут использованы для обеспечения целостности данных при работе между объектами?

•Какие механизмы будут использованы для обеспечения конфиденциальности данных при работе между объектами?

54

Активный аудит

•Как политика проверяется и внедряется?

•Как осуществляется слежение для выявления вторжения?

Внешний удаленный доступ

Рисунок 38. Внешний удаленный доступ

Идентичность

•Какие механизмы будут использованы для идентификации пользователей удаленного доступа?

Целостность

•Как осуществлено подключение к внешним сетям?

•Кто может настроить модемы для удаленного доступа к сети и доступа к наружным сетям?

•Кто может настроить удаленные маршрутизаторы?

•Какие механизмы будут использованы для обеспечения целостности данных при работе между объектами?

•Какие механизмы будут использованы для обеспечения конфиденциальности данных при работе между объектами?

Активный аудит

•Как политика проверяется и внедряется?

•Как осуществляется слежение для выявления вторжения?

55

Внешний доступ сети Интернет

Рисунок 39. Внешняя сеть Интернет

Идентичность

•Какие механизмы будут использованы для идентификации пользователей сети Интернет?

•Кто должен иметь доступ к сети Интернет?

•Что этот персонал может выполнять в сети Интернет?

•Кто должен получить доступ к Вашей сети из сети Интернет?

•Что разрешено выполнять пользователям, входящих в Вашу сеть из сети Интернет?

Целостность

•Кто может задать конфигурацию устройств периметра?

•Как установлены связи к и от сети Интернет?

•Какие механизмы будут использованы для обеспечения целостности данных ?

•Какие механизмы будут использованы для обеспечения конфиденциальности данных?

Активный аудит

•Как политика проверяется и внедряется?

•Как осуществляется слежение для выявления вторжения?

Эти вопросы предлагают упрощенную модель начала процесса разработки политики безопасности в масштабах предприятия. Для получения всеобъемлющих руководящих принципов по выработке политики безопасности обращайтесь к руководству по безопасности объекта, которое является информационным запросом на комментарии

(RFC 2196) из IETF: ftp://ds.internic.net/rfc/rfc2196.txt. Имейте в виду, что политика обеспечения безопасности не может оставаться статичной. Поскольку организации постоянно подвергаются изменениям, политика по обеспечению безопасности должна систематически обновляться для отражения новых направлений в бизнесе, технологических изменений и распределения ресурсов. При разработке политики обеспечения безопасности самое время обратить внимание на то, как обеспечить Обеспечение выбранной политики в инфраструктуре сети.

56

Существующие разработки Cisco по обеспечению безопасности сети предприятия

Вэтом разделе рассмотрены системные компоненты существующих продуктов Cisco, которые могут быть использованы уже сейчас для выполнения политики обеспечения безопасности какой-либо данной сети предприятия. Эти системные компоненты включают такие элементы, как идентичность, целостность и аудит в инфраструктуру вашей сети.

Взависимости от особенностей политики обеспечения безопасности предприятия, степени защиты, требуемой для каждой зоны, процесс внедрения этих элементов для главного комплекса, компонентов удаленного доступа и доступа сети Интернет может отличатся. Некоторые технологии обеспечивают более интенсивную защиту, но это обычно достигается за счет более высокой стоимости при повышенном использовании возможностей центрального процессора. При разработке политики определите требования по обеспечению безопасности перед определением безопасности, а не ее обеспечением с тем, чтобы Вы не пришли к простому оправданию конкретных технических решений, которые в действительности могут и не требоваться.

Данный раздел не является всеобъемлющим глубоким изучением продукта и системных компонентов, а скорее представляет собой обстоятельный обзор для помощи в выборе,

вкотором какой-либо системный компонент наилучшим образом сообразуется с применением существующей системы обеспечения безопасности.

Ccылки на документацию Cisco, которая в подробностях описывает продукты и системные компоненты, даны в конце каждого раздела.

Идентичность

На рисунке 40 показана сеть большого предприятия, которая состоит из трех основных областей доступа:

•Доступ через Интернет

•Удаленный доступ

•Доступ в рамках комплекса зданий

Рисунок 40. Составные части сети предприятия

Для всех трех областей доступа мы хотим установить идентичность потребителей или устройств (Кто Вы? и Где Вы?) перед авторизацией доступа к определенным частям сети или особых приложений. Обычно с доступом сети Интернет и удаленным доступом

57

это является предпочтительным для идентификации особых потребителей. В пределах самого комплекса главным образом существует требование в идентификации клиентов (т.е. конечных хостов, серверов, принтеров), однако, в настоящее время начинает превалировать тенденция устанавливать личность отдельного пользователя даже в пределах комплекса перед тем, как позволить допуск к определенным частям сети или особым приложениям.

Для установления идентичности пользователей и хостов перед допуском к ресурсам сети (т.е. использование механизмов идентификации и авторизации) у Cisco имеются следующие продукты и системные компоненты:

•Cisco PPP PAP/PPP CHAP

•Cisco TACACS+/RADIUS client

•CiscoSecure TACACS+/RADIUS servers

•Cisco firewall authentication

•Cisco IOS® Lock and Key

•PIX' Firewall cut-through proxy

•Cisco IOS Kerberos

Ниже показано, как эти продукты и системные компоненты могут применяться.

Cisco PPP PAP/PPP CHAP

Программное обеспечение Cisco IOS обеспечивает полную поддержку стандартных протоколов идентификации PPP PAP и PPP CHAP. Для больших сред удаленного доступа должна быть использована центральная структура базы данных такая, как TACACS+ и RADIUS с целью облегчения отслеживания клиентов и паролей, а также различных уровней авторизации.

Клиенты Cisco TACACS+/RADIUS

В средах удаленного доступа достигнуто масштабируемое решение в отношении идентификации посредством использования протоколов TACACS+ или RADIUS. Оба протокола разработаны как взаимодействие клиент/сервер и предусматривают распределенную и масштабируемую архитектуру ААА для пользователей удаленного доступа.

Программное обеспечение Cisco IOS поддерживает программное обеспечение

TACACS+ client с момента выпуска Release 10.3(3) и RADIUS client c момента выпуска

Release 11.1. Обычно сервер удаленного доступа функционирует как TACACS+ или RADIUS client для удаленных пользователей в большой корпоративной сети.

Серверы Cisco TACACS+/RADIUS

Продукты управления доступом CiscoSecure были разработаны для централизации контроля доступа серверов доступа, межсетевых экранов, коммутаторов и маршрутизаторов использующих при этом функциональные возможности программного обеспечения Cisco IOS. Набор продуктов CiscoSecure имеет диапазон от простых в использовании продуктов начального уровня, которые позволяет администраторам внедрить архитектуру ААА, до наиболее сложных приложений, ориентированных на поставщиков услуг и обеспечивающих преобразование протоколов безопасности и распределенную обработку запросов. Эти продукты включают CiscoSecure EasyACS, CiscoSecure ACS для Windows NT, CiscoSecure Access Control Server (ACS) для UNIX и CiscoSecure Global Roaming Server (GRS) для UNIX, краткие описания которых приведены ниже.

CiscoSecure EasyACS

Поставляемый с каждым сервером доступа CiscoSecure EasyACS является программным обеспечением сервера безопасности начального уровня, который может функционировать на сервере операционной системы Windows NT, обслуживая один сервер удаленного доступа. Это позволяет поставщикам услуг и предприятиям начать обеспечение централизованного контроля доступа и осуществление мер безопасности. Продукт CiscoSecure EasyACS обеспечивает базовую поддержку протокола TACACS+ и

58

интерфейс на основе браузера для упрощения и распределения конфигурации пользователей и групп пользователей, а также для настройки самого EasyACS. Его поддержка базы пользователей Windows NT обеспечивает единую процедуру вхождения в сеть. Учетная информации, хранящейся в формате «значение, разделенное запятой»/comma-separated-value (CSV) обеспечивает удобный процесс импорта данных для приложений выставления счетов за услуги. Обеспечивается также поддержка монитора производительности Windows NT для просмотра статистики в реальном масштабе времени.

CiscoSecure ACS для Windows NT

CiscoSecure ACS для Windows NT является важным продуктом обеспечения безопасности удаленного доступа для предприятий и рабочих групп, которым необходимо масштабирование политики безопасности для инфраструктуры Windows NT. CiscoSecure ACS для Windows NT обеспечивает одновременную поддержку TACACS+ and RADIUS. Поддержка баз данных Windows NT обеспечивает единую процедуру вхождении в связь при использовании протоколов идентификации PAP или MS-CHAP. Поддержка коммутируемых виртуальных сетей обеспечивается как на уровне сервера удаленного доступа поставщика услуг, так и на уровне шлюза корпоративной сети. Кроме того CiscoSecure ACS для Windows NT включает поддержку клиентов для серверов аппаратных средств идентификации Security Dynamics и Axent Technologies. В

конечном счете, переход от CiscoSecure EasyACS к CiscoSecure ACS для Windows NT

весьма прост.

CiscoSecure ACS для UNIX

CiscoSecure ACS для UNIX включает системные компоненты, которые расширяют возможности поставщиков услуг по предложению сервисов по снижению затрат для корпоративных пользователей. Это ПО также обеспечивает надежный, безопасный сервер ААА, в котором нуждаются большие корпоративные потребители для защиты своих сетей и информационных средств. CiscoSecure ACS для UNIX одновременно поддерживает полные версии протоколов TACACS+ и RADIUS, в то же время обеспечивая поддержку баз данных для Oracle, Sybase или Sequenced Query Language (SQL) Anywhere. Кроме того, данный продукт может выступать клиентом для серверов аппаратных средств контроля доступа, например компаний Security Dynamics, Secure Computing и CryptoCard. Возможность контроля максимального количества сессий для одного пользователя может быть использована для предотвращения нескольких одновременных сеансов. Этот продукт также, как CiscoSecure для NT обеспечивает поддержку коммутируемых виртуальных сетей (VPDN) для создания туннелей L2F как у поставщика услуг, так в сети предприятия.

CiscoSecure GRS для UNIX

Вместе с CiscoSecure GRS, пользователи сети Интернет и мобильного доступа с использованием коммутируемых виртуальных сетей будут способны подключиться в глобальную сеть с обеспечением роуминга, состоящую из региональных поставщиков услуг и поставщиков услуг Интернет, использующих существующие сервера безопасности TACACS+ или RADIUS. Глобальный роуминг значительно снизит затраты, связанные с мобильным доступом к корпоративным сетям и сети Интернет на больших расстояниях. GRS работает следующим образом: вместо установления соединения с основным офисом компании, расположенном на большом расстоянии, мобильные пользователи могут подключатся к ближайшим точкам доступа к сети Интернет или их корпоративной сети, таким образом устраняя высокие затраты, связанные с стоимостью международных или междугородних соединений по коммутируемым линиям связи. Поставщики услуг также могут использовать GRS для превращения существующих инфраструктур удаленного доступа в глобальную сеть с роумингом. Этот сценарий значительно увеличивает количество точек доступа для поставщиков услуг сети Интернет или корпоративных партнеров. Т.к. CiscoSecure GRS может взаимодействовать с любым сервером TACACS+ или RADIUS, поставщики услуг могут продолжать использовать свои существующие инфраструктуры ААА или базы данных.

59

CiscoSecure GRS для UNIX обеспечивает быстрое и удобное внедрение сервиса глобального роуминга; возможности сервера - посредника (proxy) , обеспечивающего трансляцию и пересылку данных TACACS+ или RADIUS. Данный продукт также может ограничить количество сеансов роуминга на домен, давая поставщикам услуг мощные средства для управления качеством услуг и получения дохода. Кроме того, возможности подсчета дают гибкие решения для поставщика услуг и его клиентов.

Матрица системных компонентов для всех продуктов CiscoSecure представлена в Таблице 1.

Таблица 1. Матрица возможностей продуктов CiscoSecure ACS

60