Защита сети изнутри (часть 1)
Введение
О защите компьютерных сетей написано много прекрасных статей и книг. Все они в основном касаются того, как укрепить вашу сеть от маршрутизатора до коммутатора, а затем, в конечном итоге, до самой рабочей станции. Во многих задокументированных случаях взлома сетей конечной целью хакера было подкупить саму рабочую станцию. Роутер, а иногда и какой-то сервер, на самом деле не были конечной целью хакера. Обычно нужно было закрепиться во внутренней сети с помощью эксплойта на стороне клиента. Является ли это эксплойтом операционной системы или другой уязвимостью, вопрос спорный. Чтобы иметь возможность получить доступ к, слишком часто, слабой изнанке внутренней сети, довольно часто цель взлома сети. Как только плацдарм установлен, именно тогда кейлоггер, анализатор пакетов, руткит и другие типы программ для дальнейшей или скрытой эксплуатации затем переправляются на скомпрометированный компьютер.
Как я уже упоминал выше, часто целью взлома является фактическая рабочая станция. Забавно то, что я часто слышал, как некоторые люди, занимающиеся компьютерной безопасностью, говорили: «Но они прорезают наш маршрутизатор и другие системы безопасности…». Ну, в этом весь смысл усиления защиты от операционной системы наружу. Следует предположить, что в конце концов решительный злоумышленник проберется к вышеупомянутой рабочей станции. Имея это в виду, следует начать укреплять то, что часто рассматривается как самое слабое звено в цепочке сетевой безопасности; рабочая станция. В этой статье мы попытаемся рассмотреть эту концепцию «безопасности изнутри» с некоторыми рекомендациями. Мы также должны помнить, что компьютерная безопасность и сложность на самом деле несовместимы. Чем сложнее система безопасности, тем выше вероятность того, что конечный пользователь не будет соблюдать ее. Последнее замечание перед тем, как начать эту статью, заключается в том, что меры безопасности, описанные ниже, написаны с учетом средних и крупных корпоративных сетей.
Первые шаги
Прежде всего я хотел бы воспользоваться шансом, чтобы сказать, что в этой статье не будет пытаться перечислить все варианты, доступные для защиты вашей сети, начиная с ОС и заканчивая ее выходом. Для меня слишком много переменных, не говоря уже о различных проектах сетевой архитектуры. Фокус информации с этого момента пытается быть немного более общим, чем конкретным.
Для начала следует понять, что самым первым шагом, который необходимо предпринять для защиты рабочей станции, является физическая безопасность. Вам не нужно разрешать всем доступ к рабочей станции в нерабочее время. После того, как отдел выполнил дневную работу, дверь в эту секцию должна быть заперта. Нет никаких причин, чтобы кто-то еще заглядывал в бухгалтерию из вашего отдела телемаркетинга. Вы также должны помнить о надежности уборщиков, которые, вероятно, приходят в нерабочее время, чтобы пропылесосить и убрать ваши офисные помещения. Эти люди, как правило, имеют беспрепятственный доступ к корпоративной рабочей зоне, где никого нет. Убедитесь, что уборщики должным образом проверены компанией, которую вы наняли для уборки.
Мы уже можем видеть на паре примеров, что физический доступ к рабочей станции в значительной степени является нашей самой большой угрозой. В связи с этим вы всегда должны относиться к этим рабочим станциям так, как если бы они были взломаны. Это может показаться параноидальным, но это поможет вам в возможном изменении архитектуры вашей сети. Теперь есть ряд шагов, которые следует предпринять, чтобы усилить доступ к рабочей станции. Такие проверенные методы, как пароль BIOS, очень приветствуются. Кроме того, это также значительно усложнит для кого-то установку живого дистрибутива Linux в лоток для компакт-дисков, поскольку затем ему будет предложено ввести пароль BIOS. Также очень важно ограничить доступ к BIOS, поскольку вы, надеюсь, отключили поддержку USB в настройках BIOS. Нет смысла вносить изменения в BIOS, если вы позволите кому-то другому просто изменить их после повторного использования.
Тема атак с использованием USB-накопителей в последнее время пользуется заслуженным вниманием. На этих картах памяти может быть практически все, что вы хотите, и они, конечно же, очень портативны. Это делает атаку довольно скрытной, так как они могут поместиться в любой карман. Отключение этого типа поддержки также может быть принудительно выполнено с помощью GPO. Объекты групповой политики — это один из лучших инструментов, который можно использовать для обеспечения безопасности, политики и стандартов в сети Windows 2K/XP/K3. По этой ссылке, предоставленной Microsoft, есть отличная ссылка на различные типы сетевых сценариев. Microsoft сами опубликовали много отличной информации о способах защиты вашей сети. В отличие от большей части риторики, которую вы можете услышать о безопасности Microsoft, вам рекомендуется ознакомиться с их разделом безопасности. Есть много, много отличной информации, которую можно получить. Зачем искать стороннее программное решение, если у Microsoft уже есть такое решение для вас.
Используя различные GPO, вы должны ограничить доступ к местам, к которым вы не хотите, чтобы пользователь имел доступ. Такие области, как реестр, cmd.exe, панель управления, могут значительно помочь вам в решении вашей задачи по усилению защиты операционной системы. Эти меры не являются надежными из-за распространения живых дистрибутивов Linux. Вы также должны иметь в виду, что административные элементы управления, такие как объекты групповой политики, иногда можно обойти. Прекрасным примером этого может быть системный администратор, блокирующий доступ к regedit через cmd.exe, но забывающий о regedt32.
Вот тут-то и пригодится ссылка во втором абзаце выше. Вам нужно будет разделить свою сеть на различные группы, а затем вместе с руководством решить, к каким группам пользователей должен быть доступ. Возьмем, к примеру, группу управления, которая может состоять из руководителей компании. Одной из мер, которые следует реализовать, является использование PKI для всех электронных писем, поступающих от группы управления. Это по определению, вероятно, одни из самых конфиденциальных данных, которые летают по вашей сети. Вы, конечно, не хотите, чтобы кто-то мог перехватить, а затем прочитать эти электронные письма, так как Base64 вряд ли является схемой шифрования. Он может показаться вам массой неразборчивых символов, однако легко и быстро конвертируется.
Возможно, вы только что перешли на новую работу и унаследовали чужую сетевую структуру, однако это не должно мешать вам рекомендовать новую архитектуру своему руководству. Модернизация вашей сети может принести большие дивиденды. Одним из таких дивидендов, который мы увидим позже, является сдерживание вредоносного ПО за счет некоторых продуманных соображений проектирования сети. На этом мы прервем эту серию статей из двух частей. До встречи во второй части!