Рекомендации по сетевой безопасности, которые улучшат вашу сеть Windows

Защита вашей сети должна рассматриваться с наивысшим приоритетом. Знание того, что ваша сеть подвергается атаке, является большим преимуществом, которое послужит мощным инструментом. Если ваша стратегия сетевой безопасности используется правильно, у вас не должно возникнуть серьезных проблем со злоумышленниками. В этой статье основное внимание будет уделено сети в целом, и были даны рекомендации по обнаруженным недостаткам безопасности, которые помогут вам укрепить вашу сеть. Не стесняйтесь использовать эти методы после того, как они будут протестированы в вашей лаборатории. Пожалуйста, проверьте все рекомендации, так как они имеют разные результаты в зависимости от различных обстоятельств, которые могут существовать.

Большинство людей оставляют сетевую безопасность на волю случая, реагируя только тогда, когда они чувствуют возникновение угрозы или когда кризис действительно материализуется. Забегая вперед, я дал рекомендации, и, если они будут реализованы должным образом, эти рекомендации укрепят вашу сеть и усложнят злоумышленнику доступ к вашим сетевым ресурсам.

Никаких причудливых движений ногами.

Давайте начнем с самого начала, когда вы запускаете сеть Windows. Когда вы посмотрите на простую сеть, вы заметите, что угрозы намного меньше по сравнению с более сложными взаимосвязанными сетями. Итак, моя первая рекомендация будет заключаться в том, чтобы сеть была простой и хорошо документированной с самого начала. Если вы будете использовать эту стратегию, вы извлечете из нее большую пользу. Защитите документацию.

Стандартизируйте тип связи для вашей сети Windows.

Протоколы — это набор правил, которые компьютеры используют для связи друг с другом. Наиболее распространенным протоколом на данный момент является TCP/IP. Понимание TCP/IP жизненно важно. Это язык, с помощью которого хакеры атакуют вашу сеть, и он известен многим злоумышленникам. Недавний опрос показал, что 94% сетей в основном используют TCP/IP. Заблокируйте все другие протоколы, которые могут быть установлены. Если вы не уверены в том, какие протоколы вы установили, существуют различные способы проверки. Вы можете запустить хороший анализатор протоколов в своей сети и искать все типы протоколов. Обычно протоколы представляются на графике определенным цветом, и это позволяет легко идентифицировать протокол, отличный от TCP/IP. В настоящее время последние версии Windows устанавливают TCP/IP по умолчанию. Вы также можете проверить сетевые свойства каждой машины, но я считаю этот метод утомительным.

Сканирование сети Windows.

Если вы хотите поймать злоумышленника, используйте тактику злоумышленника! Большинство экспертов по сетевым вторжениям сначала используют утилиты сетевого сканирования, прежде чем пробовать другие, менее жизнеспособные способы. Сканирование сети легко и занимает меньше времени, чем поиск целевых машин по следам и ошибкам. Если вы еще не знакомы со сканированием, позвольте мне рассказать вам об этом. Сканирование сети — это процесс, который начинается, когда злоумышленник идентифицирует общедоступный IP-адрес, который может находиться в DMZ (демилитаризованной зоне) или в зоне, которая на первый взгляд может показаться безопасной. Сетевой сканер — это приложение, которое сканирует стек TCP/IP на любом целевом компьютере. Затем сканирование будет искать любые открытые порты, на которых могут работать службы. Почему злоумышленнику интересны сервисы, которые вы можете запускать? Что ж, во многих сценариях вторжения службы, написанные для работы с определенными номерами портов, могут иметь определенные уязвимости, известные злоумышленнику. Злоумышленник идентифицирует запущенные службы, а затем попытается использовать уязвимости в качестве рычага, чтобы получить доступ к вашей сети или остановить вашу сеть.

Нет замены

Рекомендация: пожалуйста, не заменяйте IDS вашим брандмауэром. IDS — это бесплатный продукт, который должен быть частью вашей стратегии безопасности. Некоторые брандмауэры имеют встроенные системы IDS и функционируют как брандмауэры, предоставляя при этом ограниченные возможности IDS. Простым объяснением может быть то, что чем больше мер безопасности используется, тем сложнее это становится для злоумышленников.

Не исключайте никаких возможностей.

Злоумышленник получит доступ к вашей сети, если вы не знаете о нем! Вам нужен сигнал тревоги, чтобы уведомить, когда кто-то пытается получить доступ к вашей сети. IDSec (Intrusion Deployed Security Software) является такой системой и может использоваться для определения того, пытается ли злоумышленник атаковать или сканировать вашу сеть. Имейте в виду, что ICMP-пакеты, отправленные в вашу сеть, в некоторых сценариях могут представлять собой сетевую атаку. Это может вас удивить, но злоумышленник может использовать периодический ICMP-пакет, такой как эхо-ответ или утилита ping, для получения соответствующей информации о вашей сети.. Используя команду trace route ping и различные другие утилиты для устранения неполадок, хорошо проинструктированный злоумышленник может быстро определить и определить, как может быть построена ваша маршрутизация, построить в своем уме виртуальную карту того, как получить доступ к вашей сети. Эти простые инструменты также могут помочь злоумышленнику определить схему вашей сети.

Если вы видите единичный случай необычной сетевой активности, не игнорируйте это и надейтесь, что это исчезнет, немедленно расследуйте эту активность, даже если она кажется невинным запросом ping или DNS, который может быть направлен на любой из ваших организаций объединенных в сеть машин.

(ДМЗ) Демилитаризованная зона

Эта сеть иногда существует между локальной сетью и Интернетом. Поскольку демилитаризованная зона действует как буферная сеть между локальной сетью и Интернетом, демилитаризованная зона затрудняет атаку злоумышленников на вашу локальную сеть.

Для создания защищенной DMZ можно использовать три маршрутизатора и брандмауэр. Ваш брандмауэр должен иметь три карты сетевого интерфейса, по одной подключенной к каждому из маршрутизаторов. Пометьте каждую сетевую карту, чтобы не перепутать их. Эта простая процедура может оказаться бесценной в серверной комнате, полной кабелей. Хорошим советом является цветовая маркировка сетевых карт и кабелей Ethernet, ведущих к маршрутизаторам.

IPsec

IPsec можно развернуть в сети, обеспечивая аутентификацию на уровне компьютера, а также шифрование данных. IPsec можно использовать для создания VPN-подключения между двумя сетями с использованием протокола L2TP. Если у вас есть сайт в удаленном месте, к которому необходимо подключиться, вам следует внедрить IPsec. Серверы IPsec должны быть расположены в вашей локальной сети. Трафик проходит через ваш внешний маршрутизатор, который направляет весь трафик в Интернет, затем внешний маршрутизатор передает трафик на вечный сетевой адаптер брандмауэра, а затем направляет пакеты после их фильтрации на внутренний сетевой адаптер брандмауэра. Затем внутренний сетевой адаптер брандмауэра находит сервер IPsec в локальной сети и передает трафик непосредственно на сервер IPsec. Затем трафик расшифровывается и доставляется на хост назначения.

IDS, где он должен быть установлен?

Многие люди отметили, что это спорный вопрос, и у меня есть очень простое решение. Имейте в виду, что использование коммутатора может полностью обойти вашу систему IDS, если ваш коммутатор настроен неправильно. Имейте это в виду, что концентратор рассылает пакеты всем машинам в сети, когда конкретная машина пытается установить связь. Отправляемый трафик имеет IP-адрес предполагаемого получателя и в конечном итоге будет доставлен. У коммутатора достаточно интеллекта, чтобы понять, что машина А разговаривает с машиной Б, и он в обход всей сети соединит машину А с машиной Б напрямую. В этом сценарии вы обнаружите, что ваша система IDS может не принять это, потому что информация не передается в сеть. Кажется, что нормой является установка системы IDS либо до, либо после маршрутизатора-шлюза. Рекомендация: Разместите систему IDS в месте, которое вы хотите защитить от злоумышленников. Думайте о IDS как о тревожном датчике движения. Если вы устанавливаете датчики сигнализации в доме, то типичное место будет у подъездов. То же самое будет применяться в компьютерной среде.

Содержите свою сеть.

Если у вас есть другие сети, которые не контролируются вашей компанией, вы не можете обеспечить сетевую безопасность. Ваша сеть должна иметь по крайней мере брандмауэр и маршрутизатор, отделяющий ее от ненадежной внешней сети, которая не находится во владении вашей компании. Рекомендуется настроить брандмауэр между вашей сетью и ненадежной сетью с помощью Microsoft ISA VPN. На www.Isaserver.org есть много хороших статей о том, как настроить VPN-соединения с помощью ISA-сервера. Наличие неконтролируемых ссылок на сети, которые находятся вне вашего контроля, представляет собой серьезный риск, и этот сценарий следует рассматривать так, как если бы вы были подключены к Интернету.

Служба удаленного доступа

RAS следует использовать только в случае крайней необходимости. Одной из основных проблем, с которыми сегодня сталкиваются наши более сложные сети, является удаленный доступ. Многие организации используют службы удаленного доступа, которые являются стандартными для серверов Windows. Я считаю, что этой службой крайне пренебрегают, и ею не следует пренебрегать, так как она может открыть действующую ссылку на вашу сеть. Вам может быть трудно идентифицировать эту ссылку как попытку злоумышленника. Сохранение простого, но эффективного удаленного обслуживания будет ключом к управлению доступом к вашей сети. На мгновение давайте рассмотрим конкретный сценарий, который может возникнуть в сети Windows. Если ваш ноутбук украдут, и на нем уже настроена функция RAS, вы обнаружите, что даже имя пользователя и пароль не помешают продвинутому злоумышленнику войти на ваш компьютер. Как только злоумышленник войдет на ваш компьютер, он будет использовать учетные данные на вашем ноутбуке, чтобы получить доступ к вашей сети. Рекомендация: используйте опцию RAS, которая будет дозваниваться до пользователя по заранее определенному номеру. Включите эту опцию и не разрешайте любой другой тип доступа через RAS, так как это может представлять огромную угрозу безопасности.

Политика паролей

Создайте и применяйте политику паролей. Без политики паролей вы не сможете предпринять какие-либо действия, если кто-то пренебрегает изменением или сохранением своего пароля в секрете. Причина, по которой на самом деле используются пароли, заключается в том, что пользователи могут иметь привилегированный доступ к ресурсам, указанным при идентификации. Единственный способ, которым вы можете активно управлять разрешениями, — это имя пользователя и пароль. Политика паролей должна включать информацию и заявления, информирующие пользователей о том, что они несут прямую ответственность за все, что происходит, когда задействовано его или ее имя пользователя. Это важный аспект, особенно если вы используете сеть, в которой конфиденциальная информация хранится на серверах, пользовательских компьютерах и устройствах хранения в локальной сети.

Имейте в виду, что без политики ничего нельзя сделать с проблемой, которая возникает, потому что пользователь может утверждать, что он/она не знал о правиле. Мораль этой истории такова: напишите политику паролей и ратифицируйте ее, заставьте пользователей подписать ее и применяйте ее. Хорошо написанная и хорошо продуманная политика паролей может оказаться чрезвычайно эффективной и в большинстве случаев составляет большую часть риска вашей стратегии безопасности.

Регулируйте доступ к вашей сети.

Физический доступ к вашей сети должен тщательно контролироваться. Используйте встроенные функции Windows, такие как NTFS, чтобы требовать аутентификацию пользователя при просмотре общих сетевых ресурсов. Не позволяйте никому, кто не принадлежит к вашей организации, подключаться к вашей сети через физический Ethernet. Регулярно проверяйте свою сеть на предмет активности, которая может быть подозрительной, и записывайте IP-адреса при запуске программного или аппаратного сниффинга в сети. Убедитесь, что в списке нет внешних IP-адресов. Если вы найдете чужой IP-адрес, проследите маршрут до этого IP-адреса. Как только вы обнаружите, откуда исходит этот иностранный IP-адрес, вы можете принять меры. Если вы не уверены, физически отключите сегмент сети, в котором может находиться потенциальный злоумышленник. Иногда это единственный способ обеспечить безопасность.

Резюме: Самое важное в любом типе безопасности — это знать об угрозе. Если вы не знаете об угрозе, как вы защищаете себя? Следить за последними недостатками и уязвимостями безопасности — это работа на полный рабочий день, если вы этого не делаете, будьте уверены, что злоумышленники, которые хотят проникнуть в вашу сеть, это сделают.

Резюме

Самое главное в любом типе безопасности — это знать об угрозе. Если вы не знаете об угрозе, как вы защищаете себя? Следить за последними недостатками и уязвимостями безопасности — это работа на полный рабочий день, если вы этого не делаете, будьте уверены, что злоумышленники, которые хотят проникнуть в вашу сеть, так и делают.