Файл: Вопросы для подготовки к экзамену Функциональноструктурная организация информационных систем на архитектуре клиентсервер.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2023
Просмотров: 243
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Тема 3.2. Технические решения по защите межсетевого взаимодействия и передачи информации. Средства криптографической защиты информации.
3.2.1. Общие технические решения для защиты корпоративной сети
1. Пользователи должны иметь доступ к сетевым серверам, выделенным в отдельный сегмент, через строго определенный набор протоколов связи и приложений с использованием прокси-механизмов.
2. Пользователи, внешние по отношению к сети, не должны иметь доступа к ресурсам корпоративной сети региона за исключением ресурсов демилитаризованных зон «открытого» контура ЛВС согласно строго определенному набору протоколов связи и приложений.
3. Удаленное администрирование систем безопасности в сети должно осуществляться с использованием шифрования трафика управления IP-уровнем или с использованием протоколов управления, поддерживающих шифрование данных (SNMP v3).
4. Управление активным сетевым оборудованием корпоративной сети должно контролироваться специалистами отдела информационной безопасности с использованием механизмов регулярного аудита сетевого оборудования. Подсистема аудита должна управляться подразделениями информационной безопасности.
5. Защита сети должна основываться на следующих решениях:
– магистральное шифрование сетевого трафика в сегменте региональной сети при передаче между «закрытыми» контурами ИС;
– построение системы защиты сетевого уровня с помощью виртуальных частных VPN-сетей при передаче трафика между «открытыми» контурами ИС;
– использование брандмауэров для разграничения ресурсов физических и виртуальных сетей подразделений ИС;
– применение средств фильтрации информации на прикладном уровне и прокси-систем наряду с пакетными фильтрами;
– создание сегментов ЛВС на основе оборудования структурированной кабельной системы, и обеспечение защиты физического уровня на этой основе;
– минимизация количества точек доступа к периметру «открытых» контуров ИЭ и их обязательный контроль;
– применение средств усиленной аутентификации пользователей и ресурсов корпоративной сети;
– применение систем обнаружения вторжений на сетевом, системном и прикладном уровнях;
– обеспечение удаленного администрирования и аудита всех компонентов системы безопасности, организация регистрации событий и подотчетность пользователей и администраторов.
6. Необходимо применять специальное антивирусное программное обеспечение ко всей почте, а также осуществлять автоматический антивирусный контроль ЛВС и почтовых серверов.
3.2.2. Технические решения по защите сетевого оборудования
Для защиты сетевого оборудования необходимо выполнить следующие настройки и операции.
1. Конфигурировать активное оборудование ЛВС со встроенной защитой и обеспечить:
– авторизацию адресов системы оконечных устройств портами концентратора для доступа к этому порту только из конкретной системы оконечных устройств;
– автоматическое отключение порта при несанкционированном обнаружении адреса;
– режим работы портов концентратора, обеспечивающий прием пакетов, адресованных только конкретному подключенному АРМ;
2. В ЛВС на физическом и/или логическом уровнях обеспечить разделение контуров для разных функциональных целей (например, конфиденциальной информации, общего пользования и др.).
3. Выделить серверы ИС в отдельный сегмент ЛВС.
4. «демилитаризованные зоны» подключить непосредственно к компьютеру, который обеспечивает межсетевое экранирование и шифрование IP-пакетов при передаче трафика между «открытыми» контурами ИС;
5. Во внутренней «демилитаризованной зоне» разместить:
– сервер DNS, «заявляющий» внешним сетям некоторое, строго регламентируемое адресное пространство, используемое приложениями для взаимодействия внешних и внутренних абонентов сети;
– прочие сервера, доступ к которым должен быть обеспечен по незащищенным каналам удаленным пользователям.
6. Во внешней «демилитаризованной зоне» разместить серверы:
– доступа внешних абонентов;
– авторизации внешних абонентов.
7. Исключить возможность использования так называемых «опасных» сервисов (приложений) на серверах внешней «демилитаризованной зоны», что может дать потенциальному нарушителю возможность перенастроить систему, скомпрометировать ее и, опираясь на скомпрометированные ресурсы, атаковать корпоративную сеть.
8. Запретить внешний доступ к ресурсам, расположенным в «открытом» контуре ИС за пределами «демилитаризованных зон».
Размещение информационных ресурсов и услуг, доступных извне (из других сетей), кроме «демилитаризованных зон» в «открытом» контуре ИС должно быть запрещено.
9. Запретить доступ из «открытого» контура ИС в обход внешнего брандмауэра уровня приложений. Контролируемый доступ от одного «открытого» контура к другому должен осуществляться с фильтрацией трафика через VPN.
10. Организовать доступ к сегменту серверов «открытого» контура ИС только через брандмауэр прикладного уровня, чтобы защитить их от атак типа «отказ в обслуживании».
11. Настраивать фильтры на брандмауэрах с учетом принципа «все, что не разрешено, запрещено». Правила фильтрации должны блокировать внешние пакеты с исходными IP-адресами компьютеров «открытого» контура, а также пакеты с установленным битом маршрутизации.
12. Минимизировать количество служб, выполняемых на хостах, оставляя только необходимые службы.
13. Брандмауэры (межсетевые экраны) прикладного уровня должны скрывать от внешних сетевых пользователей структуру корпоративной сети (IP-адреса, доменные имена и т.д.). Эти брандмауэры должны определять, какие пользователи, от каких хостов, в направлении каких хостов, в какое время, какие сервисы можно использовать. Брандмауэры должны определять способ аутентификации каждого пользователя при доступе к службе и должны фильтровать Telnet, Rlogin, FTP, SMTP, POP3, HTTP, LP, Rsh, Finger, NNTP, Sql * Net и другие, а также поддерживать внешнюю авторизацию и учет на основе протоколов RADIUS/TACACS и интегрироваться в систему обнаружения вторжений.
14. Минимизировать количество портов маршрутизатора и межсетевого экрана, открытых для TCP-соединений, предотвращать прохождение через маршрутизаторы брандмауэры пакетов с маршрутизацией по источнику, а также пакетов с направленной широковещательной передачей.
15. Организовать оперативное распространение АИБ статистических данных об использовании услуг, попытках НДД и т.д.
16. Для администрирования оборудования использовать локальную консоль или протокол SMNP v.3 для шифрования управляющего трафика. Управление другим активным сетевым оборудованием ЛВС должно осуществляться с использованием аналогичных мер информационной безопасности, описанных выше.
17. Параметры аудита внешнего маршрутизатора должны включать аудит нарушений, правила фильтрации и другие ограничения, а также все команды пользователя на уровнях привилегий. Вся информация аудита должна автоматически отправляться на сервер аудита безопасности для дальнейшего анализа. Данные системного журнала также должны быть отправлены на сервер аудита безопасности.
3.2.3. Технические решения для организации защиты межсетевого взаимодействия с применением межсетевых экранов
Для межсетевой защиты в корпоративной сети и ее экранирования от атак извне, для обнаружения и регистрации внешних атак необходимо применение межсетевых экранов. С помощью журналов аудита межсетевых экранов необходимо отслеживать:
– попытки соединения с ЛВС «открытого» контура с неразрешенных IP-адресов;
– попытки использования неразрешенных протоколов уровня TCP/UDP и соединения с неразрешенными портами серверов ЛВС «открытого» контура извне;
– попытки компрометации защищенных IP-соединений к ресурсам корпоративной сети;
– попытки использования незащищенных IP-соединений при межсетевом взаимодействии в региональной корпоративной сети.
Для оперативного анализа информации аудита необходимо настроить журнал syslogd межсетевых экранов таким образом, чтобы события аудита дублировались на сервер аудита службы безопасности, т. е. для всех межсетевых экранов хост loghost в файле /etc/hosts должен ссылаться на сервер аудита службы безопасности.
Для обеспечения надежности функционирования механизмов фильтрации трафика необходимо резервировать межсетевые экраны.
3.2.4. Технические решения для защиты корпоративной сети на базе сканеров безопасности
Одним из важнейших элементов технологии IP-безопасности организации является периодическая оценка корпоративной сетевой безопасности. Одним из методов автоматизации процессов такой оценки является метод, построенный на технологии интеллектуальных программных агентов или сканеров безопасности. Они предназначены для сканирования известных уязвимостей сетевых служб и неверных параметров конфигурации ОС, приводящих к «отказу в обслуживании», выявления уязвимостей, специфичных для конкретной сетевой ОС, проверки надежности службы NFS, проверки служб удаленного доступа и т. д.
Сканеры безопасности включают в себя продукты семейства Internet Scanner и System Scanner от ISS [24]. Они управляются централизованно и обеспечивают тестирование и создание отчетов с консоли безопасности. Система System Scanner (S2) установлена на серверах и брандмауэрах. Консоль управления S2 - на АРМ администратора безопасности ИС, система Internet Scanner - на АРМ администратора безопасности ИС и настроена на проверку уязвимости серверов ИС, маршрутизаторов, брандмауэров, DNS-сервера и т. д. Тестирование безопасности системы должно выполняться ежедневно при наименьшей загрузке протестированных ресурсов с экспортом результатов в базу данных аудита.
3.2.5. Технические решения для защиты корпоративной сети на базе систем обнаружения вторжений
Сканеры безопасности позволяют оценить безопасность корпоративной сети. Однако они не обнаруживают проникновение злоумышленника в сеть, поэтому вторым необходимым элементом защиты сети является система быстрого обнаружения и реагирования на атаки RealSecure, которая позволяет обнаружить атаку на сетевой узел путем обнаружения статистических шаблонов сетевого трафика и сравнения их с масками, хранящимися в базе данных. RealSecure - это система мониторинга сетевого трафика в режиме реального времени. Основная задача, которую выполняет этот продукт, - своевременное обнаружение атак. Идея их идентификации проста: любая атака соответствует определенному сетевому трафику, поэтому ее анализ позволяет определить факт проведения атаки и зафиксировать «следы» злоумышленника. Поскольку анализ информационных потоков выполняется в реальном времени, время отклика АИБ на атаку или неисправность может быть минимизировано. Система RealSecure использует распределенную архитектуру и имеет два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение атак и реагирование на них и состоит из двух модулей - RealSecure Network Engine (RNE) и RealSecure System Agent (RSA). Сетевой агент устанавливается в «открытом» сетевом сегменте и обнаруживает атаки, «прослушивая» трафик. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированные действия, выполняемые на этом узле. Компонент RealSecure Manager отвечает за конфигурирование и сбор информации с детектора RealSecure. Управлять компонентами системы RealSecure можно как с помощью централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (RealSecure OpenView Manager).
Системы обнаружения вторжений (IDS) также отслеживают, регистрируют, анализируют и реагируют в режиме реального времени на попытки использования протоколов и служб, нарушающих политики безопасности. Эти системы делятся по методу анализа входной информации: на основе знания (сигнатуры) или на поведении субъекта (статистики). Классификация (таксономия) систем указанного класса может осуществляться по источникам информации, используемым для этих систем. Входная информация может быть записями аудита, системными загрузками или сетевыми пакетами. Термин «аудит» относится к информации, предоставляемой системой относительно ее внутренних действий и поведения. Существуют IDS сетевого уровня (прослушивание сети и анализ сетевых пакетов для обнаружения атак), системного уровня (мониторинг операционных систем для обнаружения признаков вторжения) и прикладного уровня (мониторинг отдельных приложений). IDS может анализировать события двумя способами: сигнатурным или статистическим.
3.2.1. Общие технические решения для защиты корпоративной сети
1. Пользователи должны иметь доступ к сетевым серверам, выделенным в отдельный сегмент, через строго определенный набор протоколов связи и приложений с использованием прокси-механизмов.
2. Пользователи, внешние по отношению к сети, не должны иметь доступа к ресурсам корпоративной сети региона за исключением ресурсов демилитаризованных зон «открытого» контура ЛВС согласно строго определенному набору протоколов связи и приложений.
3. Удаленное администрирование систем безопасности в сети должно осуществляться с использованием шифрования трафика управления IP-уровнем или с использованием протоколов управления, поддерживающих шифрование данных (SNMP v3).
4. Управление активным сетевым оборудованием корпоративной сети должно контролироваться специалистами отдела информационной безопасности с использованием механизмов регулярного аудита сетевого оборудования. Подсистема аудита должна управляться подразделениями информационной безопасности.
5. Защита сети должна основываться на следующих решениях:
– магистральное шифрование сетевого трафика в сегменте региональной сети при передаче между «закрытыми» контурами ИС;
– построение системы защиты сетевого уровня с помощью виртуальных частных VPN-сетей при передаче трафика между «открытыми» контурами ИС;
– использование брандмауэров для разграничения ресурсов физических и виртуальных сетей подразделений ИС;
– применение средств фильтрации информации на прикладном уровне и прокси-систем наряду с пакетными фильтрами;
– создание сегментов ЛВС на основе оборудования структурированной кабельной системы, и обеспечение защиты физического уровня на этой основе;
– минимизация количества точек доступа к периметру «открытых» контуров ИЭ и их обязательный контроль;
– применение средств усиленной аутентификации пользователей и ресурсов корпоративной сети;
– применение систем обнаружения вторжений на сетевом, системном и прикладном уровнях;
– обеспечение удаленного администрирования и аудита всех компонентов системы безопасности, организация регистрации событий и подотчетность пользователей и администраторов.
6. Необходимо применять специальное антивирусное программное обеспечение ко всей почте, а также осуществлять автоматический антивирусный контроль ЛВС и почтовых серверов.
3.2.2. Технические решения по защите сетевого оборудования
Для защиты сетевого оборудования необходимо выполнить следующие настройки и операции.
1. Конфигурировать активное оборудование ЛВС со встроенной защитой и обеспечить:
– авторизацию адресов системы оконечных устройств портами концентратора для доступа к этому порту только из конкретной системы оконечных устройств;
– автоматическое отключение порта при несанкционированном обнаружении адреса;
– режим работы портов концентратора, обеспечивающий прием пакетов, адресованных только конкретному подключенному АРМ;
2. В ЛВС на физическом и/или логическом уровнях обеспечить разделение контуров для разных функциональных целей (например, конфиденциальной информации, общего пользования и др.).
3. Выделить серверы ИС в отдельный сегмент ЛВС.
4. «демилитаризованные зоны» подключить непосредственно к компьютеру, который обеспечивает межсетевое экранирование и шифрование IP-пакетов при передаче трафика между «открытыми» контурами ИС;
5. Во внутренней «демилитаризованной зоне» разместить:
– сервер DNS, «заявляющий» внешним сетям некоторое, строго регламентируемое адресное пространство, используемое приложениями для взаимодействия внешних и внутренних абонентов сети;
– прочие сервера, доступ к которым должен быть обеспечен по незащищенным каналам удаленным пользователям.
6. Во внешней «демилитаризованной зоне» разместить серверы:
– доступа внешних абонентов;
– авторизации внешних абонентов.
7. Исключить возможность использования так называемых «опасных» сервисов (приложений) на серверах внешней «демилитаризованной зоны», что может дать потенциальному нарушителю возможность перенастроить систему, скомпрометировать ее и, опираясь на скомпрометированные ресурсы, атаковать корпоративную сеть.
8. Запретить внешний доступ к ресурсам, расположенным в «открытом» контуре ИС за пределами «демилитаризованных зон».
Размещение информационных ресурсов и услуг, доступных извне (из других сетей), кроме «демилитаризованных зон» в «открытом» контуре ИС должно быть запрещено.
9. Запретить доступ из «открытого» контура ИС в обход внешнего брандмауэра уровня приложений. Контролируемый доступ от одного «открытого» контура к другому должен осуществляться с фильтрацией трафика через VPN.
10. Организовать доступ к сегменту серверов «открытого» контура ИС только через брандмауэр прикладного уровня, чтобы защитить их от атак типа «отказ в обслуживании».
11. Настраивать фильтры на брандмауэрах с учетом принципа «все, что не разрешено, запрещено». Правила фильтрации должны блокировать внешние пакеты с исходными IP-адресами компьютеров «открытого» контура, а также пакеты с установленным битом маршрутизации.
12. Минимизировать количество служб, выполняемых на хостах, оставляя только необходимые службы.
13. Брандмауэры (межсетевые экраны) прикладного уровня должны скрывать от внешних сетевых пользователей структуру корпоративной сети (IP-адреса, доменные имена и т.д.). Эти брандмауэры должны определять, какие пользователи, от каких хостов, в направлении каких хостов, в какое время, какие сервисы можно использовать. Брандмауэры должны определять способ аутентификации каждого пользователя при доступе к службе и должны фильтровать Telnet, Rlogin, FTP, SMTP, POP3, HTTP, LP, Rsh, Finger, NNTP, Sql * Net и другие, а также поддерживать внешнюю авторизацию и учет на основе протоколов RADIUS/TACACS и интегрироваться в систему обнаружения вторжений.
14. Минимизировать количество портов маршрутизатора и межсетевого экрана, открытых для TCP-соединений, предотвращать прохождение через маршрутизаторы брандмауэры пакетов с маршрутизацией по источнику, а также пакетов с направленной широковещательной передачей.
15. Организовать оперативное распространение АИБ статистических данных об использовании услуг, попытках НДД и т.д.
16. Для администрирования оборудования использовать локальную консоль или протокол SMNP v.3 для шифрования управляющего трафика. Управление другим активным сетевым оборудованием ЛВС должно осуществляться с использованием аналогичных мер информационной безопасности, описанных выше.
17. Параметры аудита внешнего маршрутизатора должны включать аудит нарушений, правила фильтрации и другие ограничения, а также все команды пользователя на уровнях привилегий. Вся информация аудита должна автоматически отправляться на сервер аудита безопасности для дальнейшего анализа. Данные системного журнала также должны быть отправлены на сервер аудита безопасности.
3.2.3. Технические решения для организации защиты межсетевого взаимодействия с применением межсетевых экранов
Для межсетевой защиты в корпоративной сети и ее экранирования от атак извне, для обнаружения и регистрации внешних атак необходимо применение межсетевых экранов. С помощью журналов аудита межсетевых экранов необходимо отслеживать:
– попытки соединения с ЛВС «открытого» контура с неразрешенных IP-адресов;
– попытки использования неразрешенных протоколов уровня TCP/UDP и соединения с неразрешенными портами серверов ЛВС «открытого» контура извне;
– попытки компрометации защищенных IP-соединений к ресурсам корпоративной сети;
– попытки использования незащищенных IP-соединений при межсетевом взаимодействии в региональной корпоративной сети.
Для оперативного анализа информации аудита необходимо настроить журнал syslogd межсетевых экранов таким образом, чтобы события аудита дублировались на сервер аудита службы безопасности, т. е. для всех межсетевых экранов хост loghost в файле /etc/hosts должен ссылаться на сервер аудита службы безопасности.
Для обеспечения надежности функционирования механизмов фильтрации трафика необходимо резервировать межсетевые экраны.
3.2.4. Технические решения для защиты корпоративной сети на базе сканеров безопасности
Одним из важнейших элементов технологии IP-безопасности организации является периодическая оценка корпоративной сетевой безопасности. Одним из методов автоматизации процессов такой оценки является метод, построенный на технологии интеллектуальных программных агентов или сканеров безопасности. Они предназначены для сканирования известных уязвимостей сетевых служб и неверных параметров конфигурации ОС, приводящих к «отказу в обслуживании», выявления уязвимостей, специфичных для конкретной сетевой ОС, проверки надежности службы NFS, проверки служб удаленного доступа и т. д.
Сканеры безопасности включают в себя продукты семейства Internet Scanner и System Scanner от ISS [24]. Они управляются централизованно и обеспечивают тестирование и создание отчетов с консоли безопасности. Система System Scanner (S2) установлена на серверах и брандмауэрах. Консоль управления S2 - на АРМ администратора безопасности ИС, система Internet Scanner - на АРМ администратора безопасности ИС и настроена на проверку уязвимости серверов ИС, маршрутизаторов, брандмауэров, DNS-сервера и т. д. Тестирование безопасности системы должно выполняться ежедневно при наименьшей загрузке протестированных ресурсов с экспортом результатов в базу данных аудита.
3.2.5. Технические решения для защиты корпоративной сети на базе систем обнаружения вторжений
Сканеры безопасности позволяют оценить безопасность корпоративной сети. Однако они не обнаруживают проникновение злоумышленника в сеть, поэтому вторым необходимым элементом защиты сети является система быстрого обнаружения и реагирования на атаки RealSecure, которая позволяет обнаружить атаку на сетевой узел путем обнаружения статистических шаблонов сетевого трафика и сравнения их с масками, хранящимися в базе данных. RealSecure - это система мониторинга сетевого трафика в режиме реального времени. Основная задача, которую выполняет этот продукт, - своевременное обнаружение атак. Идея их идентификации проста: любая атака соответствует определенному сетевому трафику, поэтому ее анализ позволяет определить факт проведения атаки и зафиксировать «следы» злоумышленника. Поскольку анализ информационных потоков выполняется в реальном времени, время отклика АИБ на атаку или неисправность может быть минимизировано. Система RealSecure использует распределенную архитектуру и имеет два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение атак и реагирование на них и состоит из двух модулей - RealSecure Network Engine (RNE) и RealSecure System Agent (RSA). Сетевой агент устанавливается в «открытом» сетевом сегменте и обнаруживает атаки, «прослушивая» трафик. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированные действия, выполняемые на этом узле. Компонент RealSecure Manager отвечает за конфигурирование и сбор информации с детектора RealSecure. Управлять компонентами системы RealSecure можно как с помощью централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (RealSecure OpenView Manager).
Системы обнаружения вторжений (IDS) также отслеживают, регистрируют, анализируют и реагируют в режиме реального времени на попытки использования протоколов и служб, нарушающих политики безопасности. Эти системы делятся по методу анализа входной информации: на основе знания (сигнатуры) или на поведении субъекта (статистики). Классификация (таксономия) систем указанного класса может осуществляться по источникам информации, используемым для этих систем. Входная информация может быть записями аудита, системными загрузками или сетевыми пакетами. Термин «аудит» относится к информации, предоставляемой системой относительно ее внутренних действий и поведения. Существуют IDS сетевого уровня (прослушивание сети и анализ сетевых пакетов для обнаружения атак), системного уровня (мониторинг операционных систем для обнаружения признаков вторжения) и прикладного уровня (мониторинг отдельных приложений). IDS может анализировать события двумя способами: сигнатурным или статистическим.