În cadrul acestui articol, vom vorbi despre securitatea rețelei locale. O atenție deosebită va fi acordată protecției nivelului tehnic și recomandărilor practice pentru asigurarea unei LAN securizate. Având în vedere caracterul universal al temei, voi încerca să îndrept atenția cititorului asupra următoarelor întrebări: ce vulnerabilități sunt folosite cel mai des și ce politici de securitate pot contracara.
Arhitectura sigură este fundația
Astfel, pe lângă o politică de securitate centralizată, fără de care este de fapt imposibil să se construiască în principiu o rețea securizată, ar trebui acordată o atenție deosebită următoarelor aspecte:
1) Folosind protocoalele de comunicații securizate (nu este un secret faptul că protocoalele de text precum FTP și Telnet sunt o amenințare clară) și datele de tunel, de exemplu, prin SSH.
2) Criptarea datelor critice utilizând algoritmi de criptare fiabili.
3) Utilizarea unei arhitecturi care include prezența unei zone DMZ (zonă demilitarizată), deservită de două firewall-uri.
4) Utilizarea IDS (Sistem de detecție a intruziunilor), IPS (Sistem de prevenire a intruziunilor) și NAT.
5) Protecția periferiei prin intermediul unor clienți subțiri și al unui sistem de autentificare cu două factori.
DMZ. Proiectarea unei rețele de perimetru
Nu este un secret că sistemele deschise accesului direct din exterior sunt principalele ținte ale intrușilor. Pentru organizațiile care se ocupă de informații critice și confidențiale, problema protecției perimetrului rețelei este deosebit de acută. Politica de securitate a sistemelor externe (server web, server de mail, etc.) necesită o analiză atentă, deoarece acestea sunt susceptibile de a ataca în primul rând. Sarcina este de a limita accesul acestor sisteme la calculatoare cu adevărat importante și secrete situate în rețea, care se realizează prin tehnologiile descrise mai jos.
DMZ - scurt pentru zona demilitarizată - înseamnă un fragment de rețea care nu este complet de încredere. Scopul creării unui DMZ este de a proteja sistemul intern (în acest caz este LAN-ul nostru protejat) de acces, care este realizat de pe Internet. DMZ este creat prin implementarea unei zone de rețea medii, care se realizează prin utilizarea firewall-urilor sau a routerelor cu filtre stricte. Apoi, prin intermediul controalelor de rețea, este definită o politică, care trafic este permis să intre în DMZ și care trafic este permis să depășească DMZ. Evident, toate sistemele accesibile din mediul extern ar trebui să fie amplasate în zona demilitarizată. De asemenea, trebuie să se țină cont de faptul că, dacă sistemul este disponibil printr-o sesiune interactivă (cum ar fi telnet sau SSH), atunci devine posibilă efectuarea de atacuri împotriva altor sisteme din DMZ. Ca model, ia în considerare următoarele. O posibilă arhitectură pentru o rețea LAN securizată care utilizează zona demilitarizată este prezentată în Fig. 1:
În acest caz, rețeaua noastră include două firewall-uri de separare DMZ din exterior și rețeaua internă. Rețeaua externă este un router între furnizor și primul firewall-ul în timp ce DMZ între firewall-uri amplasate № № 1 și 2. Setările de firewall 1, cu condiția № permis de trecere numai traficul DMZ precum și traficul intern (cu unele excepții) . Numărul de firewall-ul 2 este configurat mai dur, dat fiind faptul că permite numai traficul de Internet la ieșire. Această configurație îmbunătățește semnificativ nivelul general de securitate LAN. Nu se poate nu sunt de acord cu faptul că utilizarea și menținerea unei perechi de arhitectura firewall-uri crește costul și necesită un efort suplimentar pentru a configura și gestiona, dar ... merită.
IDS - Sistem de detectare a intruziunilor. În mod ideal, un astfel de sistem va da doar o alarmă atunci când încearcă să penetreze. Detectarea intruziunilor ajută la identificarea proactivă a amenințărilor active prin alerte și avertismente că un atacator colectează informațiile necesare pentru a efectua un atac. Varietatea IDS este IPS, ale cărei capabilități depășesc detectarea simplă a intruziunilor și sunt completate de posibilitatea de contracarare preventivă. În prezent, există cel puțin două tipuri principale de IDS:
Un alt instrument pe care îl vom folosi atunci când proiectăm o rețea LAN securizată este NAT.
1. Când construiți o rețea LAN securizată, ar trebui să minimalizați numărul de servicii și servicii furnizate de rețea de către clienți de pe Internet.
2. Arhitectura LAN trebuie să asigure prezența unei zone DMZ-demilitarizate controlată de un firewall.
4. Este strict necesară instalarea celor mai recente actualizări.
Chiar dacă sistemul dvs. are cele mai recente actualizări, nu este necesar să vă relaxați: de la momentul în care noua vulnerabilitate este descoperită și până când patch-ul este oprit, oamenii inteligenți reușesc să scrie un exploit sau să creeze un vierme.
5. Desigur, atât pe server cât și pe stații de lucru, ar trebui instalat un program antivirus cu baze de date proaspete.
6. Dacă aveți în continuare sistemul de fișiere FAT32, schimbați-l la NTFS. NTFS de facto este mai sigur: vă permite să diferențiați accesul la resursele PC-ului dvs. și complicați în mod semnificativ procesul de hacking local și de rețea al parolelor SAM.
7. În proprietățile de conectare este foarte de dorit să se lase numai strictul, și anume TCP / IP. "Network File and Printer Sharing pentru Microsoft Networks" trebuie să fie oprit (se aplică vehiculelor care nu oferă SMS-acces), nu pentru a facilita sarcina tuturor fanilor „defoltovyh» C $, D $, ADMIN $ și așa mai departe. D.
8. Toate serviciile neutilizate ar trebui să fie dezactivate. Acest lucru nu numai că îmbunătățește performanța sistemului dvs., ci și închide automat o grămadă de porturi deschise (Figura 3):
9. Eliminați conturile în exces (cum ar fi HelpAssistant și SUPPORT_388945a0), și într-o gpedit.msc clipă dezactiva de intrare și de rețea locală pentru toți utilizatorii, lăsând folosit numai pe o anumită mașină.
10. Utilizatorul "Administrator" este mai bine să redenumiți (prin modulul snap-in gpedit.msc).
12. Rețeaua nu trebuie să uităm despre sniffer prin care parolele pot deveni „domeniu public“ (nu este un secret faptul că parolele pentru servicii, cum ar fi FTP și Telnet, sunt transmise prin LAN în clar). Folosind Sniffer (de exemplu, CainAbel), chiar parole criptate sunt usor de spart.
13. Securitatea minimă a sesiunilor ar trebui să însemne utilizarea unui algoritm cripto-stabil - NTLMv2:
Utilizarea NTLMv2-mecanism de schimb LM vulnerabile sau NT îmbunătățește semnificativ parolele criptografice (activate prin completare snap „Local Security Settings“) și reduce riscurile asociate cu interceptarea și decriptare hash-uri. Aceste metode de protecție / construirea unei rețele securizate - nu este un panaceu împotriva tuturor celor care au decis în mod serios să pătrundă în rețea. Conformitatea cu minimul de mai sus reduce semnificativ probabilitatea de cracare, ceea ce face rețeaua mai sigur la amenințările externe și interne.
Protecția 100% nu este, nu poate fi abordată decât ...