Проектирование и защита сети

Опубликовано: 11 Апреля, 2023

Дизайн компьютерной сети может сильно различаться от одной корпорации к другой. При этом большинство сетей следуют одним и тем же принципам проектирования. Под принципами проектирования я подразумеваю, что обычно существует демилитаризованная зона DMZ, где находятся такие серверы, как почта, DNS и веб-сервер. Эта DMZ остается относительно незащищенной и, в свою очередь, отделена брандмауэром от остальной части внутренней сети или интрасети. Эта демилитаризованная зона существует по уважительной причине, поскольку услуги, которые компании могут предложить, такие как их веб-сервер и сервер электронной почты, доступны через Интернет. Если они доступны, то они уязвимы для атаки. Все мы знаем, что в любой момент времени в Интернете наблюдается огромное количество «белого шума», то есть сканирования портов, активности ботов и т. д. Имея постоянную угрозу, имеет смысл только тогда, когда ваши общедоступные серверы отделены брандмауэром от остальной сети.


Одна картинка стоит тысячи слов


Что мы сейчас сделаем, так это взглянем на приведенную ниже визуальную диаграмму типичной конфигурации сети DMZ. Обратите внимание, что здесь я сказал типичный, поскольку существуют совершенно противоположные идеи относительно того, что представляет собой демилитаризованная зона. Это одна из горячих дискуссий, которую я просто обойду стороной, предложив этот принятый дизайн DMZ, показанный ниже. Я буду комментировать сеть от среднего до крупного размера, то есть несколько сотен компьютеров.



Что ж, как и во многих других случаях, будет разумно начать сверху и двигаться вниз. Тем не менее, лично я предпочитаю советовать вам усилить защиту вашей сети от рабочей станции наружу. Имея это в виду, давайте возьмем общепринятый подход усиления защиты от маршрутизатора вниз. Во-первых, вам нужно выяснить, кто должен иметь доступ администратора к самому маршрутизатору. После этого убедитесь, что они единственные, кто это делает. Во-вторых, я настоятельно рекомендую где-нибудь физически заблокировать сам маршрутизатор, чтобы предотвратить простой доступ к нему. Можете ли вы представить себе разгневанного сотрудника, вносящего какие-то непонятные изменения в длинный список ACL? Вам может потребоваться несколько дней, чтобы отследить проблему.


Еще одна довольно удобная тактика — настроить маршрутизатор так, чтобы все диапазоны bogon были удалены. Если сделать еще один шаг вперед, это также очень хорошая политика для фильтрации исходящего трафика на вашем маршрутизаторе. Разрешить вне вашей сети только те адреса, которые исходят из вашей сети. Маршрутизатор, если он правильно настроен, может стать очень мощной первой линией защиты. Хотя, как вы также прочтете, если вы посмотрите только что предоставленную гиперссылку, не все DDoS-атаки используют диапазоны bogon, однако любая небольшая дополнительная защита помогает.


Переключатели


В корпоративной сети, несомненно, будут коммутаторы. Эти устройства второго уровня обрабатывают довольно большие объемы трафика и являются излюбленной мишенью для внутренних злоумышленников. Причина, по которой в сети используются коммутаторы, состоит в том, чтобы сегментировать сеть на логические части. Если вы не хотите подвергаться очень легким атакам на ваши коммутаторы, было бы разумно жестко закодировать MAC-адреса в интерфейсах. Это не позволит внутреннему вредоносному присутствию запускать потоки ARP, пытаясь увидеть весь трафик в этом сегменте. Вы также должны следовать приведенному выше примеру в отношении физического доступа к коммутатору или маршрутизатору, то есть: физически ограничить доступ к ним с помощью замка и ключа! Все ваши средства защиты бесполезны, если кто-то имеет к ним физический доступ.


А как же наша ДМЗ?


В любом случае, какой смысл был в DMZ? Ну, это было для того, чтобы отделить серверы, которые предлагают услуги через Интернет, от корпоративной интрасети. Поскольку эти серверы открыты для доступа в Интернет, они становятся жертвами бесчисленных атак. Если один из них попадет под действие эксплойта, злоумышленнику больше некуда будет деваться. Он не может перевести этот скомпрометированный сервер во внутреннюю сеть, так как прямого пути к нему нет. В этом красота и простота наличия DMZ. Однако возникает вопрос, как вы управляете серверами? Ну, вы делаете это, настроив брандмауэр, чтобы разрешить одному внутреннему IP-адресу подключаться к серверу в DMZ. Эта консоль управления, расположенная в корпоративной интрасети, также должна подключаться к серверу только через безопасный туннель, например: ssh. Можно ли всего этого добиться с помощью хорошего брандмауэра корпоративного класса? Абсолютно! Существует множество отличных межсетевых экранов корпоративного класса. Вам не обязательно всегда использовать Cisco PIX для своих нужд.


Изоляция подсетей


Очень много сетей имеют просто плоский дизайн. Под этим я подразумеваю, что они не разделены на логические сегменты. Например, организуйте весь отдел продаж в один сегмент и так далее для других отделов корпоративной сети. В этом есть смысл, а также проще с точки зрения безопасности разработать очень надежную сеть. Я слышал, как кто-то сказал: «Приведите пример!». Тогда достаточно справедливо.


Все мы помним известное утверждение, приписываемое конструкторам «Титаника»: «Он непотопляем». Как мы все знаем, корабль действительно затонул. Подумайте о компьютерной сети, которая логически разделена маршрутизаторами. Эти маршрутизаторы, в свою очередь, настроены так, чтобы не пересылать широковещательные сообщения и разрешать только восходящее подключение. Большинство ботов и вредоносных программ распространяются через общие сетевые ресурсы и другие сервисы серверного типа. Что ж, если вы правильно сегментировали свою сеть с помощью маршрутизаторов или устройств другого типа, вы успешно сдержите распространение вредоносного ПО только в одном сегменте сети. Это довольно изящный способ еще больше укрепить то, что обычно является очень мягкой внутренней сетью.


Заворачивать


Хотя вышеописанная сеть является лишь общей, она служит цели предоставления высокоуровневого представления о сетевой безопасности. Он также иллюстрирует влияние маршрутизатора на вашу сеть и его способность применять политику сетевой безопасности. Правильная настройка, а затем обслуживание маршрутизатора может оказаться длительной задачей. Хотя это тот, который будет выплачивать дивиденды с первого дня. Не следует забывать и о коммутаторе, который соединяет фактическую рабочую станцию с остальной сетью и, в конечном счете, с Интернетом.


Вы должны практиковать по крайней мере какой-либо тип защиты коммутатора, чтобы предотвратить некоторые атаки, наблюдаемые во внутренних сетях. Хотя я только затронул тему DMZ, вы должны обратить пристальное внимание на ее конструкцию. Как я упоминал ранее, существуют различные интерпретации того, что такое демилитаризованная зона. Тем не менее, просто убедитесь, что вы используете его, чтобы усилить защиту вашей сети. Это был всего лишь обзор некоторых изменений, которые нужно внести во внутреннюю сеть, и, конечно же, не исчерпывающий. Если бы ваша компания могла себе это позволить, я бы серьезно подумал о проведении внутреннего теста пера, чтобы убедиться в состоянии безопасности вашей сети, если смотреть изнутри. Что ж, как всегда, я надеюсь, что вам понравилась статья, и, как всегда, буду рад вашим отзывам. До следующего раза!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023