ление услуг, но наложить ограничения по времени или потребовать список доступа IP для канала РРР.
Следом за идентификацией и авторизацией следует журналирование, которое представляет собой запись действий пользователя. В системе TACACS+ журналирование может выполнять две задачи. Во-первых, оно может применяться для учета использованных услуг (например, для выставления счетов). Во-вторых, его можно применять в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что предоставление услуги только что прекратилось. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга все еще предоставляется.
Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные, такие, как время начала и окончания (если это необходимо), и данные об использовании ресурсов.
Механизм взаимодействия ACS и сервера TACACS+ выглядит следующим образом:
• ACS отсылает учетную запись серверу TACACS+, основываясь на выбранных методах и событиях;
• сервер TACACS+ отсылает ответный пакет ACS-серверу, подтверждая прием учетной записи.Zone Labs Integrity Server. Zone Labs Integrity Server v. 1.6 используется для принудительного применения политики безопасности организации VPN на компьютерах сотрудников, которые подключаются посредством VPN. В данном случае потребуется установка на каждом компьютере Integrity Agent для приема и применения политики во время установления VPN-соединения. Integrity Agent позволяет также производить мониторинг антивирусного программного обеспечения на клиенте и отключает VPN-соединение, если программное обеспечение не установлено или не имеет последних обновлений. Это очень важно, так как удаленный компьютер может быть не защищен надлежащим образом и стать точкой входа во внутреннюю сеть для вирусов и злоумышленников. Единственным устройством, которому разрешено устанавливать соединение с этим сервером, является VPN-концентратор.
HP OpenView. Для мониторинга всех сетевых устройств и серверов используется HP OpenView Network Node Manager v.6.31. Компания осознает необходимость мониторинга в режиме 24 часа в сутки 7 дней в неделю для обеспечения высокой доступности сервисов. Из-за большой степени риска разрешено использовать SNMP только в режиме read-only. Правила на межсетевых экранах разрешают данный трафик только на станцию управления NNM. Этот сервер использует Windows 2000 Server Service Pack 4 и защищен в соответствии с перечисленными выше руководствами. Все устройства сконфигурированы для отправления SNMP traps на сервер NNM, и любой другой доступ из-за пределов сети управления запрещен.
4.2.5. Зона защищаемых данных компании
В этой сети (см. рис, 4.5) находятся все данные Web-приложений. Также здесь располагаются серверы Active Directory, контроллеры доменов Web-приложения и DNS-серверы. Каждый из них является кластером, который состоит из двух компьютеров. На рис. 4.5 это не отображено для того, чтобы сделать его более читабельным.Рис. 4.5. Схема зоны защищаемых данных компании (Secure Data Network)
Система управления базами данных и файл-серверы. В качестве сервера баз данных используется Microsoft Windows 2000 Advanced Server Service Pack 4 и Microsoft SQL Server 2000 Service Pack 3. Файл-серверы построены на Microsoft Windows 2000 Server Service Pack 4 и Microsoft File and Print Services. Для обеспечения избыточности и высокой доступности на файл-серверах развернута интегрированная с Active Directory служба Distributed File System. Только серверы промежуточного уровня имеют доступ к Microsoft SQL Server. При этом стандартный порт TCP 1433 изменен на нестандартный порт TCP 2000. Доступ из внутренней сети к базе данных ограничен только выполнением запросов к базе данных и только с определенного списка IP-адресов.
Active Directory. «Лес» (forest) Active Directory Web-приложений полностью отделен от внутреннего «леса». Серверы из Web-зоны подключаются к контроллеру домена с использованием IPSec в режиме Authentication Header (АН). Этот дизайн имеет следующие преимущества:
• разрешается использование IPSec-фильтрования на самих серверах;
• упрощается конфигурирование межсетевого экрана, так как требуется только два правила;
• нагрузка на процессор минимальная, так как используется не шифрование, а только аутентификация.
Active Directory DNS-серверы сконфигурированы для использования DNS-серверов Web-зоны как перенаправляющих для разрешения внешних адресов. Резервное копирование реализовано с помощью Fiber Channel, поэтому не требуется дополнительный сетевой сегмент. Серверы, которые осуществляют резервное копирование, не имеют сетевых подключений за пределами сегмента.
4.2.6. Зона внутренней сети компании
Во внутренней сети находятся рабочие станции сотрудников и внутренние серверы. Сеть логически разделена на две части: подсеть серверов и подсеть сотрудников. Ядром проекта являются два коммутатора Cisco Catalyst 6509 с модулями маршрутизации MSFC2. Коммутаторы используют trunk для избыточности. Для каждой внутренней подсети создан отдельный VLAN и сконфигурирован HSRP на каждом из VLAN-интерфейсов для «горячего» резервирования. Раздельные маршрутизирующие интерфейсы для каждого VLAN позволяют задействовать дополнительные списки контроля доступа для ограничения доступа из определенных подсетей или компьютеров. На рис. 4.6 изображен только один сервер каждого типа для читабельности.Рис. 4.6. Пример организации сегмента сети (VLAN)
Внутренняя сеть Windows 2000 использует изолированный «лес» Active Directory со своими собственными DNS-серверами и контроллерами домена. На всех серверах установлен Windows 2000 Server Service Pack 4, при этом они защищены в соответствии с перечисленными выше руководствами.
DNS-серверы – это Microsoft DNS Server с использованием Dynamic DNS в режиме «Allow Secure Updates Only». Данные серверы применяются только для разрешения имен внутренних ресурсов и перенаправляют запросы на разрешение внешних имен в зону Интернета.
В качестве внутреннего сервера обмена сообщениями и совместной работы используется Microsoft Exchange 2000 Service Pack 3. Он работает на двухузловом кластере Windows 2000 Advanced Server Service Pack 4 для обеспечения избыточности и балансировки нагрузки. Все исходящие сообщения перенаправляются к SMTP-серверам в интернет-зону. В качестве антивирусного программного обеспечения применяется Sybari Antigen v.7.0 for Exchange с проверкой входящих и исходящих сообщений.
Работа с почтой удаленных пользователей обеспечивается сервером Exchange 2000 Service Pack 3 Outlook Web Access, который доступен через VPN-coединение поверх HTTPS. Выбор объясняется тем, что для подключения достаточно только одного порта (HTTPS). При обычном же способе доступа к Exchange пришлось бы открывать целый набор портов, что существенно увеличивает риск взлома системы.
Файл-серверы реализованы с использованием Microsoft SharePoint Portal Server 2003. Доступ к файлам осуществляется через VPN поверх HTTP/HTTPS. Это делает ненужной настройку межсетевого экрана для трафика SMB/CISF, что упрощает конфигурацию межсетевого экрана и делает дизайн более защищенным.
Исходящий доступ разрешен только для HTTP/HTTPS из сети сотрудников через ргоху-сервер. В целях обеспечения безопасности не разрешен доступ из подсети серверов в Интернет. При необходимости установки драйверов или обновлений они загружаются обслуживающим персоналом на свои рабочие места и далее переносятся на серверы на CD-дисках или дискетах.
Доступ к серверам баз данных предоставлен ограниченному списку администраторов баз данных из определенного списка IP-адресов. Таким же образом предоставляется доступ к серверам данных и для менеджеров, ответственных за наполнение Web-страниц приложения.
В сети тестирования тестируются приложения перед их перемещением в действующую сеть. Данная сеть полностью имитирует рабочие серверы и также используется для тестирования сервисных пакетов и обновлений перед их установкой на серверы и рабочие станции. Это позволяет уменьшить вероятность несовместимости приложений и увеличить надежность функционирования сети и приложений. Реализована процедура управления изменениями.
4.3. Настройки основных компонент системы защиты компании
4.3.1. Настройки пограничных маршрутизаторов
Пограничные маршрутизаторы являются первой линией защиты. Для создания технических настроек использовались руководства Агентства национальной безопасности США: NSA/SNAC Router Security Configuration Guide, NSA/SNAC Router Security Configuration Guide Executive Summary.
Пароли. Пароли на маршрутизаторах должны храниться в зашифрованном виде. Нельзя использовать епаЫе-пароль, так как для его шифрования используется слабый алгоритм и злоумышленник легко вскроет его. Необходимо применить следующие команды:
service password-encryption
enable secret Gh!U765H!!
no enable password
Отключение неиспользуемых возможностей управления. Для управления используется консольный доступ, поэтому все остальные способы доступа должны быть отключены:
line vty 0 15
no login
transport input none
transport output none
line aux 0
no login
transport input none
transport output none
Отключение возможности маршрутизатора загружать конфигурацию из сети:
no boot network