Вопрос 18. Защита от сетевых атак. Различные типы окружений для мсэ. Места установки мсэ.

Классификация средств сетевой защиты

В статье 274 УК 2 года тюрьмы, либо исправительные работы, либо отстранение от деятельности.

Административные методы защиты от сетевых атак:

1) Защита от анализа сетевого трафика. Основными средствами защиты IP пакетов, входящих за пределы сети (IPSec). Защита конкретных информационных ресурсов с помощью встроенных средств в приложение (SSL, Opop);

2) Защита от ложного ARP-сервера (ARP-spoofing). Основные методы защиты – это создание статической ARP-таблицы в виде файла, куда необходимо занести всю необходимую информацию о нужных IP и МАС адресах;

3) Защита от ложного DNS сервера. Внутри локальной сети для защиты можно установить внутренний DNS-сервер, который содержал бы статические записи о наиболее критичных посещаемых узлом сети Интернет;

4) Защита от DOS-атак. Основной метод защиты – использовать как можно более мощные компьютеры. На критичных узлах сети. Защищенная сетевая ОС.

Программно-аппаратные методы защиты от удаленных атак

1) Аппаратные шифраторы сетевого трафика;

2) Использование межсетевых экранов, как программных, так и программно-аппаратных;

3) Защищенные сетевые криптопротоколы;

4) Программно-аппаратный анализатор сетевого трафика;

5) Защищенная сетевая ОС;

6) Защищенные системы аутентификации сетевых ресурсов (Керберс).

Типы окружения МСЭ-ов

В смысле топология, в которой расположены МСЭ.

Основной термин, определяющий окружение МСЭ, является DMZ-сеть (сеть демилитаризованной зоны).

Эта сеть расположена между двумя FW-ми, в которых расположены сетевые ресурсы и защищена от внутренних и внешних угроз.

1) конфигурация с одной DMZ-сетью

Ресурсы DMZ должны быть доступны изнутри и из вне, при этом в самой DMZ отсутствуют пользователи, т.е. ресурсы защищены от внутренних угроз.

2) Service Leg – тип окружения

В данном случае FW имеет 3 интерфейса:

• Один соединен с внутренней сетью и имеет внутренний адрес;

• Второй соединен с внешней и имеет внешний реальный адрес;

• Третий формирует DMZ/

Т.е. МСЭ выступает в этой конфигурации как маршрутизатор для 3-х сетей, при этом часть правил или политик доступа могут быть реализованы настройками маршрутизатора.

Такая конфигурация является более простой, однако, она имеет следующие уязвимости. Т.к. FW виден из сети Интернет, он может быть объектом DOS-атаки, следовательно, деградация сервиса (рисковое событие). Соответственно для внутренних пользователей доступ к прикладным сервисам может быть затруднен.

3) конфигурация с двумя DMZ-сетями

При наличие в сети большого числа серверов (ресурсов) с различными требованиями доступа можно использовать FW пограничного роутера и два внутренних FW для создания двух DMZ, в одной из которых будут расположены ресурсы, требующие доступ из вне, а в другой – ресурсы, требующие из внутренней сети.

МСЭ 1 будет считаться основным FW-ом организации. Именно он будет защищать ресурсы от внешних атак. МСЭ 2 – от внутренних атак.

4) VPN – Virtual Person Net

Применяется для обеспечения безопасных сетевых соединений с использованием недоверяемых сетей. Создается поверх существующей сетевой среды и протоколов с использованием дополнительных протоколов, реализующих конфиденциальность и целостность трафика. Пограничный роутер в подобных сет является VPN-сервером, который используется в качестве конечной точки при создании туннельных (незащищенных) соединений. В случае конфигурации с 2-мя VPN-сетями VPN-сервером будет являться МСЭ 1.

Расположение ресурсов в DMZ-сетях

1) внешние доступные серверы - располагаются во внешней DMZ, при этом ПР обеспечивает для них фильтрацию трафика и предварительное управление доступом, а основной FW (МСЭ 1) должен предотвращать установку соединения от внешних серверов с внутренними системами;

2) внутренние серверы – должны быть размещены во внутренней сети, при этом на внутреннем FW (2) должен быть реализован Proxy Server, управляющий доступом к внутренним серверам;

3) DNS-сервер – сервер, которые хранят информацию о соотношении IP адреса и доменного имени. Т.к. DNS-сервер является критическим сервисом, необходимо применять дополнительные меры безопасности. Наиболее распространенным методом защиты является применение 2-х DNS-серверов (внутренний и внешний).

Внутренний DNS-сервер должен быть отделен от внешнего и содержать в большинстве своем статические записи. Он не обеспечивает доступ к внутренним ресурсам сети по их именам.

Внешний DNS-сервер не должен иметь записей о внутренних системах, к которым не предполагается доступ из вне.

4) SNTP-сервер. Если в организации существует собственный mail-сервер, обеспечивающий получение почты для внутренних пользователей, информация, хранящаяся на нем, является критичной и располагать этот сервер следует во внутренней DMZ-сети.

Для установления соединения с ним из сети на МСЭ 1 (основной FW) устанавливается специальный CNTP proxy, который позволяет допустить во внутреннюю сеть только разрешенные запросы на соединение протокола SNTP.