Технологія захист інформації в локальних мережах / security_brochure(rus)

внутренних аспектах уязвимости сети, таким образом позволяя им эффективно решать потенциальные проблемы безопасности.

Средства расчета и управления

В настоящее время Cisco предлагает набор средств расчета и управления. Трудностью является объединение всех решений на единой платформе и обеспечение всех необходимых функциональных возможностей для безопасного управления и отслеживания статистики трафика сети. Средства расчета, в настоящее время доступные для аудита потоков трафика сети, включают встроенные расчетные возможности протоколов TACACS+ и RADIUS , а также компонент Cisco IOS NetFlow. Продукт PIX Firewall обладает средствами централизованного управления для облегчения задания конфигурации и слежения за каким-либо количеством межсетевой экранов PIX Firewalls. Менеджер ресурсов Cisco Resource Manager является набором средств управления для слежения за маршрутизаторами и коммутаторами.

Средства расчета протоколов TACACS+ и RADIUS

Протоколы TACACS+ и RADIUS обладают функциями расчета, являющимися составной частью самих протоколов. Расчет в системе безопасности является третьей по счету важной функцией после идентификации и авторизации. Расчет может быть использован администраторами сети для выставления отделам или клиентам счетов за время подключения, Он также позволяет администраторам отслеживать попытки подозрительных подключений в сеть. Протоколы TACACS+ и RADIUS дают информацию подсчета, которая включает времена начала и окончания сеансов, продолжительность подключения и использованные ресурсы сети; однако, каждый протокол выдает подобную информацию в разном виде.

Программный компонент Cisco IOS Router NetFlow

Сетевой поток – это однонаправленная последовательность пакетов между источником и конечной точкой назначения. Потоки сети – высоко гранулированы; конечные точки потока идентифицируются как по адресу IP, так и по номерам портов приложения транспортного уровня (NetFlow также использует IP, тип сервиса [ToS] и порт интерфейса входа для уникальной идентификации потока). Коммутация потока NetFlow Switching поддерживает IP (и инкапсулированный IP) маршрутизированный поток для широкого диапазона типов интерфейсов и инкапсуляций, включая Ethernet, Fast Ethernet, Fiber Distributed Data Interface (FDDI), High-Speed Serial Interface (HSSI), Packet over SONET Interface Processor (POSIP), Channelized T3 (CT3), и сериал. Заметьте, что NetFlow в настоящее время не измеряет трафик Inter-Switch Link/virtual LAN (ISL/VLAN) или ATM LAN Emulation (LANE).

NetFlow является технологией измерения входного потока, которая должна быть внедрена на соответствующих интерфейсах на периметре/точках концентрации или маршрутизаторах доступа WAN для получения всестороннего обзора исходящего и обрабатываемого трафика с целью удовлетворения потребностей клиента к расчете, мониторинге или планирования потоков данных в сети.

NetFlow может быть внедрен инкрементально (т.е. интерфейс к интерфейсу) или стратегически (т.е. на тщательно выбранных маршрутизаторах) вместо широкого размещения NetFlow на каждом маршрутизаторе в сети. Cisco работает с клиентами для определения ключевых маршрутизаторов и ключевых интерфейсов, где NetFlow должен быть активирован на основе шаблонов потока трафика потребителя, топологии сети и архитектуры Информация, собранная маршрутизатором с использованием компонента NetFlow, может быть считана на какой-либо сервер для хранения информации расчета и исторических трендов через программный компонент экспорта NetFlow. Истекшие потоки группируются вместе в дейтаграмму потока для экспорта от маршрутизатора. Дейтаграммы потока экспортируются по крайней мере раз в секунду или же как только становится доступной полная дейтаграмма истекших потоков. Экспорт потока становится возможным на маршрутизаторе через использование команды IP flowexport ip-address udp-port. Данные параметры относятся к адресу IP и к порту UDP соответствующего коллектора потока с конфигурацией на прием данных экспортируемого потока.

71

Cisco Enterprise Accounting для NetFlow

Продукт Cisco Enterprise Accounting (CEA) для NetFlow использует данные собранные программным обеспечением Cisco's NetFlow FlowCollector. FlowCollector является надежным высокоскоростным решением для сбора данных, снижения их объема и управлением хранения потоков, основанных на программном обеспечении NetFlow и полученных от множества маршрутизаторов. FlowCollector

обеспечивает поддержку 15 первых по списку маршрутизаторов с полной конфигурацией. CEA для NetFlow обеспечивает поддержку до 100 коллекторов потока FlowCollectors, давая масштабируемое и мощное решение для контроля сетевого потока данных.

Более детальная информация может быть найдена по адресу: http://wwwin.cisco.com/Mkt/cc/cisco/mkt/enm/cea/ceanf_ds.htm.

Централизованное управление PIX

Для упрощенного управления серия продуктов Cisco PIX Firewall

включает Firewall Manager, средство управления и конфигурации с интуитивным графическим интерфейсом пользователя (GUI). Администраторы просто осуществляют вызов на определенной пиктограмме, которая отображает желаемый продукт PIX Firewall для контроля, редактирования параметров настройки и централизованного управления режимами безопасности. При наличии отчетов по управлению, менеджеры сети могут проводить статистический анализ по неразрешенным пользователям, объему трафика и регистрации событий для потенциального расчета стоимости. Менеджеры сети могут также редактировать журналы URL для слежения за тем, какие Web-сайты их пользователи посещают чаще всего. Посредством установки пороговых значений различных параметров администраторы автоматически в реальном масштабе времени могут получать сигналы тревоги через электронную почту или уведомление на пейджер о том, что межсетевой экран подвергся нападению хакеров.

Mенеджер ресурсов Cisco

Менеджер ресурсов является новым мощным набором средств управления Cisco, который сочетает простоту доступа из любой точки и в любое время с гибкостью решений по управлению на основе технологий Web для маршрутизаторов Cisco и коммутируемых сетей. Набор средств сетевых приложений Resource Manager включает сервер Web и следующие 4 приложения:

•Inventory Manager

•Аvailability Manager

•Syslog Analyzer

•Software Image Manager

Менеджер учета оборудования/Inventory Manager сканирует сеть с использованием протокола Simple Network Management Protocol (SNMP) и периодически посылает отчеты по изменениям в маршрутизаторах, программном обеспечении и коммутаторах. Отчеты представляют подробную информацию, которая включает: место расположения устройства, аппаратные и программные версии, размер Flash памяти, информацию по энергонезависимой памяти и интерфейсную информацию.

Менеджер готовности/Availability Manager быстро определяет оперативное состояние критических, с точки зрения функционирования сети, маршрутизаторов и коммутаторов. Его «панель доступности приборов» обеспечивает быстрый обзор наличия/готовности устройств, которые вы выбрали в качестве ключевых для работоспособности сети. Из монитора готовности/Availability Monitor вы можете контролировать каждое конкретное устройство и для получить детальную информацию по времени его реакции, готовности, перезагрузкам, протоколам и состоянию интерфейсов.

Анализатор системного журнала/Syslog Analyzer фильтрует сообщения системного журнала, записанные маршрутизаторами с Cisco IOS; затем он выдает объяснения возможной причины и рекомендуемые действия. Он использует встроенную технологию Cisco для обеспечения подробной информацию по устройству. Его отчеты на уровне сети основаны на определенных пользователем фильтрах, которые выделяют специфические ошибки или критичные состояния и помогают определить, когда

72

происходят важные события (такие как разрыв линии или перезагрузка устройства). Syslog Analyzer позволяет сообщениям системного журнала быть привязанным к информации, ориентированной на потребителя, такой как административные подсказки на базе Web или запуски сценариев интерфейса Common Gateway Interface (CGI) для выполнения исправляющих действий.

Менеджер образа программного обеспечения/Software Image Manager в значительной степени упрощает управление версиями и процедуру обновления программного обеспечения в маршрутизаторах и коммутаторах Cisco за счет планирования, загрузки и отслеживания изменений программного обеспечения. Он также представляет информацию о версиях программного обеспечения устройств для маршрутизаторов и коммутаторов в сети. Software Image Manager автоматизирует шаги, требуемые для обновления образов программного обеспечения, в то же время он скрывает сложности, связанные с возможностью возникновения ошибок в ходе процесса обновления. Он использует детальную информацию по устройствам от Inventory Manager для доступа непосредственно к необходимым образам Cisco IOS на CCO. Перед началом процесса обновления новые образы "привязываются" к каждому маршрутизатору или коммутатору, в которые они будут загружены, отмечая устройства, конфигурации которых не могут подлежат обновлению. Когда происходит обновление множества устройств, Software Image Manager синхронизирует задачи загрузки и позволяет пользователям определять и отслеживать прогресс выполнения запланированных работ. По завершению администратору по электронной почте отправляется сообщение с результатами каждой операции.

Средства регистрации ошибок

Syslog

Системный журнал Syslog является главным механизмом для регистрации ошибок оборудования Cisco. Главным образом это применяется для отслеживания нарушений политики безопасности, таких как попытки идентификации, которые провалились или трафика, который нарушает требования фильтра (допуск по списку). Создание конфигурации системного журнала syslog на устройства и использование анализатора системного журнала, описанное в предыдущем разделе, обеспечивает хороший механизм для слежения за журналами ошибок (и возможных попыток проникновения в сеть).

Средства сдерживания нападений типа «отказ в сервисе» Denial-of-Service Deterrents

Нападения типа «отказ в сервисе» DoS истощают сервис сети и не позволяют авторизованным пользователям применять легитимный сервис сети. В группу продуктов Cisco включены многочисленные программные компоненты для смягчения воздействия подобных нападений. Ниже приведен список хорошо известных нападений DoS и список программных компонентов семейства продуктов, которые могут быть использованы для борьбы с такими нападениями.

Нападения типа SYN Flood

Нападения типа SYN flood встречаются в трафике на базе протокола TCP, где должная последовательность установления соединения не завершена. Для установки сеанса ТСР должно произойти трехстороннее установление соединения, как показано на рисунке 47.

Рисунок 47. Установка сеанса TCP

73

Однако, если поток входящих пакетов запроса не имеет действительных IP адресов источника, сеансы никогда не будут установлены, и они останутся полуоткрытыми связями. Многие реализации TCP способны справиться лишь с небольшим числом текущих подключений на порт; таким образом, эти порты эффективно не доступны до тех пор, пока время полуоткрытого подключения не истечет (обычно это 75 секунд для машин UNIX). Кроме того, это нападение может вызвать истощение памяти сервера или израсходовать циклы процессора при поддержании информации состояния на этих подключениях.

Ряд усилий по борьбе с нападениями DoS сконцентрированы вокруг возможностей пакетного фильтрования, которое позволяет только пользователям с известными адресами иметь доступ к ресурсам, а также вокруг установки улучшенного программного обеспечения, имеющегося у ряда производителей серверов и хостов.

Однако, для сервиса в масштабе Интернет, такого как сервис на серверах Web, управление доступом на основе входящих адресов невозможно, и обновление самих серверов обычно является важным действием, но это может помочь лишь частично.

Важно признать, что практически невозможно остановить нападение типа TCP SYN flooding. Однако, что может быть сделано, - так это ограничение его воздействия на важные части сети. Обычно межсетевой экран настраивается на работу как уполномоченное устройство, когда установлена связь TCP. Устройство Межсетевой экран проверяет входящие запросы подключения TCP и как доверенное устройство отвечает от имени сервера назначения для того, чтобы удостовериться в том, что запрос подлинный, перед последующим подключением к серверу (смотри рисунок 48).

Рисунок 48. TCP Proxy

74

После того, как межсетевой экран установил подлинность подключения с клиентом и сервером, оно объединяет эти два подключения в единый сеанс источник/назначение. На случай фиктивного запроса межсетевой экран имеет параметры на установку очень агрессивного времени простоя на полуоткрытом подключении и параметры для уровней порога для количества текущего и входящего уровня запросов на ТСР подключение. Программными компонентами Cisco IOS, которые могут быть использованы для сдерживания нападений типа TCP SYN flooding, являются продукт TCP Intercept и

комплект Cisco IOS Firewall.

PIX Firewall может ограничить количество незавершенных сеансов ТСР принятых на адрес IP, а также может ограничить количество незавершенных подключений через его статическую команду.

Нападение типа ping-of-death

Нападение типа ping-of-death выполняется путем посылки ping пакета, размер которого превышает максимально допустимый размер IP пакета 65,536 байт. Это пакет делится на фрагменты, а когда получающий хост пытается вновь собрать этот большой пакет, многие машины при попытке выделить память для этого пакета с фиктивной длиной ведут себя не очень грациозно и обычно перезагружаются. Конечным решением является принятие мер поставщиками по недопустимости отправки пакетов размером больше 65,536 байт, и многие из них уже внесли это усовершенствование. Однако, для многих хостов потребуется некоторое время, чтобы стать невосприимчивыми к такому нападению. В то же время Cisco предлагает ряд программных компонентов, которые могут помочь сдерживать такого рода нападения. Программное обеспечение Cisco IOS не подвержено нападениям типа ping-of-death. PIX Firewall не поддается этому нападению, т.к. он не пропускает пакеты рing размером больше, чем 1472 бит. Все версии PIX Firewall имеют встроенную защиту от ping.

75

Нападение типа SMTP Flooding (Бомбы для электронной почты)

Бомбардировка электронной почты характерна для нарушителей, которые повторно посылают одно и то же сообщение по какому-либо конкретному адресу. Из-за трудностей, связанных с генераторами почты, которые по случайному закону выбирают IP адрес источника почты, посылаемой только одному адресату, потоки почты трудно поддаются эффективному подсчету без нанесения вреда продуктивности пользователей сети, к которым данная почта отправляется.

Программное обеспечение Cisco IOS может использовать фильтры, которые отвергают подключения Simple Mail Transfer Protocol (SMTP) от определенных хостов, внесенных в черный список. Однако спэммеры имеют тенденцию отводить почту от легитимных хостов, таким образом, этот метод создает риск блокирования легитимных сообщений.

PIX Firewall может использовать команду mailhost и ограничивать количество входящих подключений сервера почты, если данный сервер находится сзади PIX Firewall. Эта установка ограничивает частоту, при которой почта прибывает на почтовые сервера.

Примечание: Программный компонент "Защита почты/Mail Guard" в продукте PIX Firewall является полезным для предотвращения нападений, основанных на отправке по почте вирусов. Это обусловливает использование только семи команд, описанных в разделе 4.5.1 в RFC 821, для доступа к почте хоста. (Данными командами являются

HELO, MAIL, RCPT, DATA, RSET, NOOP и QUIT.)

Злобные апплеты

Некоторые программы на языках Java, JavaScript или ActiveX могут действовать как вирусы и вызывать разрушение или связывание ресурсов компьютера.

Обычно фильтрование на наличие этих мини-приложений апплетов выполняется с учетом магических байтов (последовательность битов, указывающих на присутствие мини-приложения апплета) Легитимные (не Java файлы), которые начинаются с сигнатуры Java также блокируются. Это является неизбежной особенностью неопределенности, присущей блокирующему механизму. Мини-приложения Java могут также доставляться к браузерам в инкапсулированных архивных файлах. В таких случаях межсетевой экран распакует архивный файл и произведет поиск сигнатуры Java. Мини-приложения Java applets могут быть также доставлены к браузеру через порты FTP, Gopher или даже через нестандартные порты HTTP, все это делает процесс блокирования Java applet более трудным. Все межсетевые экраны Cisco поддерживают различные формы блокирования Java апплетов. Наиболее применяемым компонентом блокирования является блокировка известных апплетов из известных мест расположения.

Набор программных компонентов Cisco IOS Firewall включает в себя блокирование Java. Оно основано на магическом числе в начале документов, которые возвращены через HTTP от серверов и отвергнуты блокирующим списком допуска через порт 80.

Продукт PIX Firewall может блокировать Java applets посредством использования команды outbound, которая создает список допуска, определяющий, каким образом внутренние адреса IP могут получить допуск к деятельности снаружи. Он используется совместно с командой apply для уточнения того, применяется ли список допуска к наружной сети или для загрузки информации от удаленного источника во внутреннюю сеть.

Дополнительные перспективные функциональные возможности по обеспечению безопасности

Программный компонент IPSec был выпущен в середине 1998 г. для программного обеспечения как PIX Firewall, так и IOS. Этот продукт обеспечивает более гибкие внедрения более мощной идентификации и механизмов шифрования данных. Cisco будет также работать над цифровой сертификационной поддержкой по всему семейству продуктов, в том числе, поддержкой сертификационного формата X.509 v3. Cisco является главным вкладчиком в усилия индустрии по созданию взаимодействующих внедрений IPSec и процессам сертификационной регистрации.

76

Современные сценарии обеспечения безопасности предприятия

В этом разделе в деталях рассмотрены три практических сценария осуществления политики безопасности предприятия. Показанные конфигурации являются не полными конфигурациями устройств, а скорее командами, необходимыми для выполнения данной политики безопасности через выбранные программные компоненты. Сценарии политики безопасности основаны на изменяющихся степенях жесткости системы безопасности, при этом дается большой объем деталей. Первый сценарий дает минимальную защитную среду, второй – необходимость в более жесткой защите, а третий – сценарий максимальной защиты. Важно отметить, что в качестве первого шага необходимо определение режимов безопасности. Затем следует выбрать соответствующие программные компоненты в инфраструктуре сети, которые будут соответствующим образом осуществлять выбранную политику в области безопасности.

Примечание: Для всех маршрутизаторов Cisco IOS, определенные компоненты, используемые по умолчанию, должны быть явно отключены, если в них нет необходимости. Они не будут показаны на образцовых конфигурациях, а вместо этого – показаны ниже:

Сценарий 1:Необходимость в минимальной безопасности

На рисунке 49 показан образец сети со всеми тремя составными частями предприятия: главный комплекс, подключение в Интернет и подключение удаленного доступа.

Рисунок 49. Корпоративная сеть – минимальная безопасность

77

В данном примере режим защиты является минимальным и может быть отнесен ко многим небольшим компаниям с минимальным уровнем риска. Главное в этой среде – это иметь некоторую защиту, но сводить ее стоимость к минимуму и сохранять максимально возможную открытость. Соответствующей политикой безопасности для каждого компонента сети являются:

Политика безопасности

Подключение в сеть Интернет:

•Доступ к аппаратуре инфраструктуры сети ограничен с защитой паролем

•Нет ограничений на то, кто может обратиться к внутренним ресурсам

•Минимальная защита во избежание явно фиктивного трафика от недействительных адресов источника и точки назначения

Подключение удаленного доступа:

•Доступ к аппаратуре инфраструктуры сети ограничен с защитой паролем

•Минимальная идентификация для идентификации входящих подключений

•Минимальная защита во избежание явно фиктивного трафика от недействительных адресов источника и точки назначения

•Минимальная защита во избежание явного фиктивного трафика от недействительных адресов источника и точки назначения

Доступ к комплексу:

•Доступ к аппаратуре инфраструктуры сети ограничен с защитой паролем

•Минимальная защита во избежание явного фиктивного трафика от недействительных адресов источника и точки назначения

Обеспечение политики

Общим элементом во всех трех составных частях предприятия является то, что для оборудование инфраструктуры сети требуется идентификация до того, как предоставлен физический (т.е. через терминал) или логический (т.е. через Telnet) доступ. Обычно лучше всего иметь единую политику по инфраструктуре сети и осуществлять тот же механизм идентификации для всего оборудования сети. В среде, где подразумевается простой режим безопасности, могут быть внедрены простые пароли, однако, рекомендуется их регулярно менять, в том числе, немедленно при смене персонала. В этой сети во всем оборудовании инфраструктуры используется 3 разных пароля:

78

•vty-secret для vty доступа к прибору

•con-secret для доступа к терминалу

•ena-secret для более привилегированного доступа

Они будут показаны на примерах соответствующей конфигурации оборудования, которые приведены ниже.

Подключение к сети Интернет

Т.к. существует требование только в минимальной защите и намерение избежать лишь наиболее очевидных нападений, при таком сценарии для выполнения простых функций защиты данных будет достаточно и обычных пакетных фильтров. Пакетные фильтры используются для предотвращения проникновения явно фиктивных трафиков в сеть комплекса (пакеты, использующие зарезервированные RFC адреса в качестве источника) и для допуска лишь действительных трафиков от комплекса. На рисунке 50 показано подключение периметра, где маршрутизатор Cisco IOS используется как межсетевой экран.

Рисунок 50. Подключение в сеть Интернет – минимальная безопасность

Далее следуют соответствующие команды конфигурации, которые должны использоваться для маршрутизатора периметра со стандартным программным обеспечением IOS:

Стандартные команды конфигурации маршрутизатора Cisco IOS

79

Подключение удаленного доступа

Подключение удаленного доступа является минимальным, а идентификация выполняется на локальной базе данных в NAS. Маршрутизатор отделения компании подключается к главному комплексу через ISDN и использует пароли CHAP для идентификации маршрутизатора для при установлении соединения с сервером удаленного доступа (NAS). Удаленные пользователи осуществляют удаленный доступ через линии последовательной передачи и используют CHAP или PAP для идентификации (рисунок 51).

Рисунок 51. Подключение удаленного доступа - минимальная безопасность

80