Защита сети изнутри (часть 2)

Опубликовано: 12 Апреля, 2023

Что-то более конкретное

До сих пор я говорил только о различных методах повышения безопасности операционной системы в целом и пока не касался ничего конкретного. Что я сейчас сделаю, так это поставлю вещи в контекст, подробно описав некоторые шаги для решения типичной сети среднего и крупного предприятия от рабочей станции до внешнего.

Одна из первых вещей, которую нужно сделать снова, — это контролировать физический доступ к вашим рабочим станциям. Затем вы также должны убедиться, что установлен пароль BIOS, чтобы ограничить доступ к нему. У вас также должен быть один из стандартных шаблонов безопасности, который позволит вам использовать возможности GPO для вашей среды W2K и XP. Количество настроек, предоставляемых вам с помощью GPO, действительно впечатляет, и их можно настроить практически для любой среды. Я не буду углубляться в тему GPO, так как не считаю себя экспертом в них. О них есть отличная статья в Microsoft's Technet Magazine. В нем Дерек Мелбер подробно описывает, что он считает 10 основными настройками GPO, которыми вы должны воспользоваться. Параметр Дерека номер четыре GPO, который я редко когда-либо видел, используется, и, как он говорит, замедляет попытки грубой силы злоумышленников войти в компьютер.

Идя рука об руку с блокировкой GPO рабочей станции, необходимо иметь корпоративное программное обеспечение. Этот базовый набор одобренного корпоративного сетевого программного обеспечения должен быть затем дополнен дополнительной установкой программного обеспечения, требующей привилегий системного администратора. Это не идеальное решение, так как есть способы обойти это, но это еще одно препятствие, которое может обойти доверенный инсайдер. Кроме того, предложение вашим сотрудникам образа базового программного обеспечения также поможет защитить вашу сеть, когда и если они подключат к ней свои ноутбуки. Слишком часто рабочие ноутбуки становятся переносчиками инфекций и вспышек вредоносных программ. Были примеры некоторых компаний, ставших жертвами корпоративного шпионажа, когда сотрудник был атакован дома. Это проверенный и надежный метод проникновения в защищенную корпоративную сеть, поскольку часто сотрудники компании не имеют такого же уровня защиты на своем домашнем компьютере. Поэтому очень важно предложить своим сотрудникам базовый образ корпоративного программного обеспечения для домашнего использования. Если ничего другого, то, возможно, следует предложить какое-то аудио/видео и ч/б решение. Если вы работаете в крупной компании, то, скорее всего, ваша лицензия позволяет это сделать.

Еще одна технология, которую следует применять к рабочей станции, — это система защиты хоста от вторжений, или HIPS. Наличие HIPS может защитить от множества эксплойтов на стороне клиента, которые могут быть исправлены не так быстро, как должны. Довольно часто патчи Microsoft необходимо протестировать перед применением, если они нарушают некоторые функции в сети. Эта технология также защитит рабочую станцию от слишком распространенных атак переполнения буфера, строки форматирования и канонизации. Доверенный инсайдер может, обладая небольшими знаниями, быстро узнать через SNMP-обмены, какие серверы были пропатчены, а какие нет. Если вы сомневаетесь в этом, то просто подумайте о запросе времени безотказной работы, отправленном серверу. Это даст вам хорошее представление о том, был ли он исправлен для конкретного эксплойта. Если его время безотказной работы больше, чем недавно выпущенный эксплойт, вы можете предположить, что он не был исправлен из-за того, что требуется перезагрузка, чтобы патч эксплойта вступил в силу.

Учитывая вышеизложенное, пришло время взглянуть на общий дизайн сетевой архитектуры. Для сети среднего и крупного предприятия имеет смысл сегментировать ее только на логические части. Это можно сделать с помощью маршрутизаторов не только для сегментации различных отделов, но и для управления доступом к ресурсам. Ощутимым дополнительным преимуществом этой сегментации с помощью маршрутизаторов является сдерживание вредоносных программ. Если по какой-либо причине червь проберется, скажем, в отдел маркетинга, он будет содержаться там. Это может быть связано с тем, что все маршрутизаторы в вашей сети не пересылают трафик NetBIOS. Это один из способов размножения червей. Только порты, которые считаются абсолютно необходимыми, должны быть открыты для обеспечения доступа к интрасети. Эта точка забивается время от времени и снова, когда новые черви прорывают дыру в плоской сети. Внося такие простые изменения, вы можете сдерживать вспышки вредоносных программ. По крайней мере, это даст вам возможность навести порядок, не отключая всю сеть. Такое радикальное решение по очистке быстро приведет к увеличению долларовых затрат на вспышку вредоносного ПО.

Помимо использования маршрутизаторов для сегментации отделов, хорошей идеей будет повесить IDS на коммутатор позади него. Это также даст вам информацию о любой незаконной деятельности в разных отделах. Таким образом также легче обнаружить любые проблемные отделы, которые могут нуждаться в дополнительных мерах безопасности. Еще один отличный способ управления вашей сетью — включить еженедельный, ежемесячный или, как вы считаете нужным, анализ трафика. Вы действительно должны делать это на регулярной основе, регистрировать весь сетевой трафик, а затем просеивать его в поисках ненужных пакетов. Таким образом, вы также можете найти программы, которые каким-то образом проникли в вашу сеть. Постоянная проблема трафика P2P и IRC для одного может быть обнаружена с помощью этого анализа трафика.

Если у вашего штатного персонала нет необходимых для этого навыков, заключите с ним контракт или обучите этому ваш персонал. Обычно всегда есть фрагменты интересного трафика, которые можно извлечь с помощью анализа сетевого трафика или интеллектуального анализа данных, как это также называется. P2P и IRC — это способы взлома обычно хорошо защищенной сети благонамеренным сотрудником. Много раз я проводил интеллектуальный анализ данных для клиента и заканчивал тем, что сообщал им о проблемах, возникших в результате использования P2P и IRC. Эти протоколы должны быть строго запрещены для использования во внутренней сети.

Также рекомендуется соблюдать нормальную защиту коммутаторов в вашей сети. Все MAC-адреса должны быть статически сопоставлены, чтобы предотвратить обычные атаки ARP. В дополнение к этому должно быть надлежащее усиление на маршрутизаторе. Нет необходимости разрешать какой-либо диапазон богонов в вашей сети или за ее пределами. Мы, как специалисты по сетевой безопасности и системные администраторы, должны помнить, что мы предоставляем услугу. Эта услуга должна предоставить конечному пользователю простой и удобный способ ведения бизнеса через свой компьютер. Усложнение этой задачи для них приведет только к попыткам обойти эти политики безопасности и/или приведет к снижению производительности. Обвинение конечного пользователя во всех проблемах с сетью не только неприемлемо, но и является той причиной, по которой мы работаем, то есть: чтобы все было просто и безопасно.

Я искренне надеюсь, что вам понравилась эта статья. Еще раз я хотел бы напомнить вам, что я не пытался дать очень подробный совет, а скорее общий обзор того, как вы можете помочь защитить свою сеть от операционной системы извне. До следующего раза!

«Защита сети изнутри» (часть 1)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023