Технологія захист інформації в локальних мережах / security_brochure(rus)

Примечание: При использовании протоколов TACACS+ или RADIUS, важно помнить, какие взаимные действия зашифрованы. Для обоих протоколов необходима настройка секретного ключа для клиента и сервера. В этом случае протокол TACACS+ зашифрует всю связь между сервером и клиентом. Протокол RADIUS зашифрует только пароль.

Внедрение индивидуальных и виртуальных профилей пользователей и Cisco IOS Version 11.3, используемых совместно с серверами безопасности обеспечивает гибкое, масштабируемое, легко поддерживаемое решение для клиентов с большим количеством удаленных пользователей. Информация о параметрах каждого индивидуального пользователя храниться на сервере безопасности и посылается этим сервером на сервер доступа или маршрутизатор в ответ на запрос авторизации в ходе этапа идентификации абонента РРР. Этот метод позволяет иметь индивидуальные профайлы для конкретных пользователей, обеспечивая индивидуальные возможности доступа для каждого. Для получения более подробной информации обратитесь к http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/dial_c/dcprt7/dc perusr.htm#9225.

На Рисунке 41 показан пример совместного применения семейства продуктов CiscoSecure и программного обеспечения Cisco IOS для идентификации и авторизации доступа по запросу в больших предприятиях.

Рисунок 41. Удаленный доступ CiscoSecure

61

Идентификация Cisco Firewall

Cisco предлагает функции межсетевого экрана в своих маршрутизаторах Cisco IOS, а также межсетевой экран PIX. Они выделяются тем, что расширяют возможности по решению задачи идентификации/авторизации в сети предприятия. Этими системными компонентами являются Cisco IOS Lock and Key и PIX Cut-Through Proxy. (Более обстоятельный обзор предложений Cisco в области межсетевых экранов будет приведен в разделе по безопасности периметра).

Cisco IOS Lock and Key

Технология Lock and Key (замок и ключ) является механизмом для обеспечения легкого создания списков динамического доступа (пакетных фильтров). Это требует от пользователя идентификации до того, как появится список временного доступа на устройстве Cisco IOS. Программный компонент Lock and Key на основании ответов пользователя при идентификации обеспечивает загрузку уникального списка доступа в локальный или удаленный маршрутизатор, с которым удаленный пользователь установил соединение. После правильных ответов на идентификационную последовательность Lock and Key создает "привязывает" временный список доступа только к тому порту, к которому подключен данный пользователь. Временный вход удаляется после истечения определенного холостого таймаута или абсолютного таймаута, настроенного менеджером системы. Менеджер системы также может явно удалить список временного доступа. Lock and Key является платформо-независимым средством и работает с такими сервисами, как ISDN, Frame Relay, X.25, dial-on-demand routing (DDR), а также PPP. Это помогает обеспечить безопасность для одного пользователя, многочисленных пользователей и многочисленных устройств в локальных и удаленных сетях.

Технологии идентификации, которые в настоящее время поддерживаются для данного системного компонента, включают следующие:

•TACACS+

•RADIUS

•Пароль линии/Line password

•Пароль и имя пользователя/Username password

На рисунке 42 показаны примеры взаимодействия Lock and Key.

62

Рисунок 42. Lock and Key

Для получения более подробной информации по конфигурации Lock and Key, обращайтесь к разделу по конфигурации безопасности документации Cisco IOS по адресу Интернет: http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt3/ sclock.htm

PIX Cut-Through Proxy

Системный продукт PIX Cut-Through Proxy обеспечивает идентификацию пользователя до использования определенных приложений. Эти приложения в настоящее время ограничены сеансами протоколов HTTP, Telnet и FTP. Идентификация поддерживает как TACACS+ так и RADIUS; таким образом, поддерживаемыми технологиями идентификации являются те, которые поддерживаются семейством идентификационных серверов CiscoSecure. Идентификация для сеансов протоколов HTTP, Telnet и FTP может быть установлена как для входящего, так и для исходящего трафика.

На рисунке 43 показан промер взаимодействия компонента PIX Cut-Through Proxy.

Рисунок 43. Программный компонент PIX Cut-Through Proxy

63

Cisco IOS Kerberos

Программное обеспечение Cisco IOS Release 11.2 включает Kerberos V Client

поддержку. Этот компонент позволяет организациям, уже внедряющим Kerberos, совместно использовать ту же иерархию идентификационных данных для работы между сетями. Следующие виды сетевого сервиса поддерживаются идентификационными возможностями Kerberos в программном обеспечении Cisco IOS Release 11.2:

•Протокол удаленной копии (rcp)

•Протокол удаленной оболочки (rsh)

•Remote shell daemon (rshd)

•Удаленное вхождение в связь (rlogin)

•Telnet

•Telnetd

Kerberos-зашифрованный Telnet поддерживается в Release 11.3ED. Поддержка со стороны Cisco выполнения Kerberos V client основана на коде, разработанном CyberSafe и взятом из кода MIT. В результате выполнение Cisco Kerberos

было успешно протестировано на полную совместимость с коммерческим сервером

Kerberos от CyberSafe Challenger и общим кодом сервера домена MIT.

64

Примечание: Так как идентификационный сервер поддерживает базу данных паролей (ключей шифрования), то для всех пользователей на объекте, чрезвычайно важно обеспечить его установку на тщательно и физически защищенной машине. По возможности, данная машина должна быть выделена только для работы идентификационного сервера, а количество пользователей, имеющих доступ, должно быть ограниченно. Начальные пароли для пользователей объекта должны быть зарегистрированы на идентификационном сервере. Если количество пользователей невелико, то первичную регистрацию лучше провести в присутствии администратора, который может проверить водительское удостоверение, паспорт или другой физический документ. На объектах с большим количеством пользователей и ограниченной численности персонала в администрационной системе приемлемым компромиссом может стать менее обременительная и менее безопасная процедура.

Например, если пользователи регулярно обращаются к проверенной системе, то программа вхождения в связь может быть изменена для регистрации паролей незарегистрированных пользователей после проверки правильности пароля. Будучи проще, чем персональная регистрация, такие методы самонастройки должны в то же время применятся с осторожностью, т.к. они изначально полагаются на безопасность более слабой идентификационной системы.

На рисунке 44 показан пример взаимодействия продукта Cisco IOS Kerberos

Рисунок 44. Cisco IOS Kerberos

65

Для получения более подробной информации по поддержке Cisco продукта Kerberos обращайтесь к разделу по конфигурации безопасности в отношении конфигурации Kerberos документации Cisco IOS по адресу в сети Интернет: http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt2/ sckerb.htm.

Целостность

Целостность включает комбинацию безопасности инфраструктуры, безопасности периметра и конфиденциальности данных. Ниже приведены продукты и параметры Cisco которые могут быть использованы для выполнения той части политики безопасности сети, которая относится к целостности:

•Безопасный доступ и конфигурация

•Безопасная рабочая группа – безопасность порта

•Безопасность периметра(межсетевые экраны)

•Cisco IOS packet filter firewall

•PIX Firewall

•Безопасная маршрутизация

•Безопасная пересылка данных

Безопасный доступ и конфигурация

Безопасный доступ и конфигурация относятся к обеспечения безопасности инфраструктуры через механизмы идентификации и авторизации перед получением физического (терминал) и логического (Telnet) доступа к устройствам, которые составляют инфраструктуру вашей сети. Это также предусматривает различные уровни защиты на основе разрешенных команд. Обычно этот сценарий достигается за счет по рядового уровня доступа, начиная от простых демонстрационных команд и до более высокого уровня управления, такого как команды конфигурации. Для устройств Cisco IOS идентификация для доступа через терминал или Telnet может включать:

•Разрешающий пароль

•TACACS+

•RADIUS

•Логический пароль

•Kerberos

•Пароль линии связи

Межсетевой экран PIX Firewall требует конфигурации хостов, которые могут иметь логический доступ к устройству (через Telnet или HTTP), и использует простой механизм пароля.

Семейство коммутаторов Catalyst® для контроля доступа через терминал или Telnet использует TACACS+, RADIUS или простые пароли.

Усовершенствование программного обеспечения безопасности

Все выпуски программного обеспечения Cisco на Cisco Connection Online (CCO) и все выпуски Cisco IOS на базе гибких дисков, следующие за и включающие выпуск версии 10.2(5) в настоящее время обеспечены использованием идентификацией имиджа MD5. MD5, определенная в RFC1321, сканирует имидж и вырабатывает уникальную 128битовую контрольную сумму. Математика алгоритма MD5 делает невозможным существование той же контрольной суммы MD5 для двух различных файлов. MD5 позволяет пользователю ССО убедиться, что ни одна единица информации не была испорчена в ходе передачи файла, тем самым снижая вероятность загрузки испорченного программного обеспечения в их маршрутизаторы. Проверка гибкого диска MD5 обеспечивает целостность имиджа при доставке информации на гибких дисках.

66

Безопасная рабочая группа

В зоне центрального комплекса все большее внимание уделяется обеспечению целостности на уровне рабочих групп. Продукт обеспечения безопасности порта в коммутаторах Catalyst обеспечивает более специфическое управление устройствами, которые подключаются к портам коммутаторов. Этот компонент позволяет коммутатору отслеживать, какой адрес управления доступа носителя информации Media Access Control (MAC) с каким портом связан. Если в порт начинает поступать трафик с адресом источника MAC, который отличается от ожидаемого, то включается система защиты и производится одно из трех действий:

•Порт отключается до тех пор, пока администратор вновь его не включит

•Порт отключается на определенное время

•Посылается сигнал тревоги

Программный компонент безопасности порта дает дополнительную гибкость выполнению операций.

Безопасность периметра

Безопасность периметра включает в себя все аспекты технологии защиты данных.

По существу, это механизм, который внедряется для определения какой трафик может проходить к и от различных зон сети. Хотя пакетные фильтры составляют саму базовую функцию защиты данных, что может быть достигнуто за счет применения списков доступа Cisco IOS (расширенных и рефлексивных), рекомендуется включение в периметр сети более мощных функциональных возможностей, входящих в один из двух типов продуктов защиты данных, которые Cisco в настоящее время предлагает: PIX и Cisco IOS Firewall Feature Set.

Межсетевой экран PIX Firewall является специальным устройством безопасности, которое предлагает наиболее передовой набор компонентов и широкую поддержку приложений в сочетании с прекрасным функционированием и масштабируемостью. Оно было легко внедрено в средах больших и малых сетей, которые требуют высокого уровня безопасности и низкой стоимости права владения. В настоящее время продукт PIX Firewall готов к реализации и предлагает выбор конфигураций платформ и различных возможностей. Межсетевой экран Cisco IOS Firewall является усовершенствованной версией, обеспечивающей широкую поддержку приложений и дополняющей полную маршрутизацию и возможности доступа WAN, предлагаемых программным обеспечением Cisco IOS. Этот дополнительный набор компонента позволяет легкую интеграцию в существующие среды на базе Cisco IOS и обеспечивает усиление режима доступа на основе списков в пределах инфраструктуры сети.

Набор Cisco IOS Firewall является гибким , легким в управлении решением, которое может способствовать существующему вложению маршрутизатора.

Он может использоваться для платформ маршрутизатора Cisco 1600 и 2500.

В таблице 2 представлено простое сравнение предложений межсетевых экранов Cisco.

Таблица 2. Решения Cisco Firewall

Методология контроля состояния основана на информации состояния по переговорам TCP и UDP. Средство защиты данных маршрутизатора Cisco IOS использует

67

управление доступом на базе подключения, которое основано на источнике и конечном пункте адресов протокола IP сети Интернет, номерам портов IP и наиболее распространенных протоколов приложений. PIX Firewall использует адаптивный алгоритм безопасности, где управление основано на адресах IP отправителя и получателя протокола, номерах портов IP, случайных чисел последовательностей TCP и большого диапазона протоколов приложений.

Какое из средств защиты данных внедрять в конкретной конструкции сети главным образом зависит от функциональных свойств и типа трафика. Более подробная информация по каждому из этих межсетевой экранов может быть найдена по адресу:

PIX: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v4/index.htm

Cisco IOS: http://wwwin.cisco.com/Mkt/cc/cisco/mkt/ios/tech/security/fire_ds.htm

Безопасная маршрутизация

Безопасная маршрутизация охватывает все области, которые обеспечивают целостность маршрутизации. Простейший путь произвести полное разрушение сети – это намеренно внедрить ложные маршруты в центральной сети. Данная проблема может быть решена путем применения идентификации и фильтрации маршрутов. Маршрутная идентификация гарантирует, что обновление маршрутизации исходит от проверенного источника и что никакие данные не испорчены. Она использует шифрование, одностороннюю хэш-функцию для обеспечения идентификации рабочего места и целостность содержания обновления маршрутизации. На рисунке 45 показан пример маршрутной идентификации.

Рисунок 45. Маршрутная идентификация

На всех маршрутизаторах в сети должны быть настроены специальные ключи и алгоритм шифрования. Рекомендуется алгоритм MD5. Протоколы маршрутизации IP, которые в настоящее время поддерживают маршрутную идентификацию, включают в себя следующие: Routing Information Protocol Version 2 (RIPv2), Border Gateway Protocol (BGP), Open Shortest Path First (OSPF), Enhanced Interior Gateway Routing Protocol (EIGRP) и Intermediate System-to-Intermediate System (IS-IS). Для получения более подробной информации по маршрутной идентификации обратитесь к «Руководству по обеспечению безопасности»/Security Configuration Guide, входящему в «Другие компоненты безопасности»/Other Security Features/«Маршрутная идентификация соседа»/Neighbor Router Authentication по адресу:

68

http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt5/i ndex.htm.

Для протоколов маршрутизации, которые не поддерживают маршрутную идентификацию МD5, применяются команды RIPv1 и IGRP типа validate-update-source, которые гарантируют, что IP адрес источника входящих обновлений маршрутизации находится в той же сети IP, что и один из адресов, определенных для принимающего интерфейса.

Этот параметр действует по умолчанию. Для получения дальнейшей информации обратитесь к источнику по адресу: http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/np1_r/1rrip.htm #xtocid2297115.

Кроме того, может применяться команда "distance" для изменения правдоподобности маршрута. За дальнейшей информации обратитесь к источнику по адресу: http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/np1_r/1rindep.ht m.

Фильтрация маршрутов может быть выполнена различными способами, которые показаны на рисунке 46.

Рисунок 46. Фильтрация маршрутов

Маршрутные фильтры полезны при управлении процессом выбора того, какие обновления маршрутизации будут посланы и к каким определенным частям сети, а также того, какие маршруты приемлемы от определенных интерфейсов маршрутизатора. Маршрутные фильтры используют пакетные фильтры Cisco IOS, а

также команду типа distribute list in/out.

Безопасная пересылка данных

Безопасная пересылка данных обеспечивает их конфиденциальность; это достигается за счет поддержки шифрования как со стороны Cisco IOS так и со стороны межсетевого экрана PIX.

Шифрование Cisco IOS доступно для программного обеспечения Cisco IOS Version 11.2 и использует шифрование DES 40или 56-бит. В PIX применяется IPSec и поддерживаются только 56-бит ключи шифрования. В настоящий момент в обоих

69

продуктах предлагается также поддерживается технология шифрации IPSec. Внедрение этой технологии в программном обеспечении PIX и Cisco IOS обеспечивает взаимодействие между устройствами периметра, а также с пакетами программного обеспечения пользователей, которые поддерживают IPSec.

Для получения более подробной информации по современным возможностям Cisco IOS по шифрованию, обратитесь к «белой книге» шифрования в Cisco IOS по адресу: http://wwwin.cisco.com/Mkt/cc/cisco/mkt/ios/tech/security/

А также руководству по конфигурации шифрования Cisco IOS по адресу: http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt4/i ndex.htm.

За более подробной информацией по программному компоненту PIX Private Link

обратитесь к документации PIX Firewall в Configuring by Feature/Configuring Private Link

по адресу: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v41/pixcfg41/pix41cfg.htm#xtoc id473423.

Активный аудит

Активный аудит включает механизмы для проверки правильного выполнения существующей политики безопасности, слежения в реальном масштабе времени за отклонениями и выявление вторжения. В настоящее время ведутся работы по объединению отдельных предложений в объединенные средства аудита. Среди существующих продуктов и программных компонентов Cisco, предназначенных для осуществления функции аудита, находятся следующие:

•Средства Netsys

•Сканер уязвимости системы безопасности/NetSonarTM Security Vulnerability Scanner

•Средства расчета и управления

•Средства регистрации ошибок (syslog)

•Средства сдерживания нападений типа «отказ в сервисе»/ Denial-of-service (DoS) deterrents

Средства Netsys

Средства технологии Netsys включают:

•Средства анализа соединений Netsys

•Средства функционирования Netsys

•Эдвайзер Netsys

Средства анализа соединений Netsys используются персоналом сетевого планировании в деятельности по решению проблем, проектированию и планированию соединений, анализу маршрутов и потоков данных.

Средства функционирования Netsys позволяют потребителю создать базу сети на основе конфигурации и данных функционирования и затем проанализировать взаимодействие между потоком трафика, топологией, параметрами маршрутизации и программными продуктами Cisco IOS. Пользователи могут также производить диагностику и решать операционные проблемы, проводить тесты по сценарию «что если», настраивать конфигурацию сети для улучшения ее работы, а также разрабатывать планы для будущих изменений сети.

Эдвайзер Netsys работает со средствами как анализа соединений, так и функционирования с целью быстрого определения проблем в сети и поиска их решения с использованием эксклюзивной «мыслящей» технологии на базе моделей.

Сканер уязвимости системы безопасности NetSonar

Программное обеспечение NetSonar обеспечивает всесторонний анализ уязвимости системы безопасности, выполняет подробное отображение сети и составляет электронную опись систем сети. Как проактивное приложение в наборе средств системы безопасности сети, программное обеспечение NetSonar обеспечивает современные средства уведомления конечного пользователя и консультантов по безопасности о

70