Защита вашей многоплатформенной сети

Опубликовано: 9 Апреля, 2023


Введение


Современные сети становятся все более разнородными, содержат различные типы аппаратного и программного обеспечения и работают под управлением нескольких операционных систем, и все они должны иметь возможность взаимодействовать друг с другом. Магазинов с чистой Windows (или чистой UNIX) становится все меньше, и многие компании используют домены Windows параллельно с веб-серверами UNIX, к которым обращаются клиентские компьютеры под управлением Windows, Linux и Mac. Добавьте к этому различные смартфоны (Windows Mobile, iPhone, Android, Symbian и другие), которым необходимо загружать почту и, возможно, получать доступ к другим сетевым ресурсам, и вы получите настоящую проблему. В этой статье будет рассмотрено, как разработать жизнеспособную стратегию защиты такой многоплатформенной сети.


Проблемы безопасности в мультиплатформенной сети


Обеспечить взаимодействие систем, работающих под управлением различных операционных систем, может быть непростой задачей. Из-за этого акцент в мультиплатформенной сети смещается с безопасности на то, как заставить все работать. Возможность совместного использования на разных платформах становится целью, а ограничения на такой обмен могут быть забыты или принижены.


Большинство ИТ-персонала обучены работе с определенным типом системы (Windows, UNIX, мейнфрейм или другие). Часто управленческий персонал не разбирается в технологиях и делает предположения, что если человек «знает компьютеры», он или она одинаково хорошо разбирается в одном типе системы, как и в другом. Даже если у человека есть общие знания о том, как администрировать разные платформы, это не значит, что он понимает все аспекты безопасности. Безопасность — это специализированная область, поэтому вам нужен не только ИТ-персонал, способный настраивать и управлять различными типами систем в вашей сети, но и люди, прошедшие обучение по обеспечению безопасности этих различных типов систем. Это включает в себя как хорошую основу для общих концепций ИТ-безопасности , так и обучение для конкретного поставщика. Это позволяет вам использовать встроенные механизмы безопасности конкретной операционной системы в своих интересах и знать, когда необходимо обратиться к сторонним решениям.


Компетентность частично основана на привычном поведении. Если человек должен помнить разные шаги и процедуры для разных типов устройств, возрастает риск путаницы и неправильной настройки, которые могут сделать сеть уязвимой. Вот почему в разнородной сети лучше всего иметь разных сотрудников, специализирующихся на разных типах систем. К сожалению, в экономике, где мантрой является «делать больше с меньшими затратами», многие компании не могут позволить себе роскошь нанимать несколько специалистов.


Инвентаризация сети


Во многих ИТ-средах не было реального плана; вместо этого сеть как бы «росла таким образом», поскольку новые потребности приводили к покупке и развертыванию новых систем в мешанине. Первым шагом к обеспечению безопасности сети является точное знание того, что у вас есть, поэтому необходимо провести инвентаризацию сетевого оборудования и программного обеспечения. Существует множество инструментов, которые можно использовать для обнаружения и документирования компонентов, составляющих вашу сеть. Ключевым моментом является использование инструмента, который поддерживает все операционные системы, существующие в вашей сети.


Платформы, которые чаще всего упускаются из виду (и поэтому остаются незащищенными или плохо защищенными), включают платформы, работающие на ноутбуках и телефонах пользователей, которые не подключены к сети постоянно, а также платформы, работающие на виртуальных машинах. Компьютер A может работать под управлением Windows в качестве основной ОС, но если на этом компьютере также размещена виртуальная машина под управлением Linux, вы должны рассматривать виртуальную ОС как другую машину в сети и соответствующим образом защищать ее. Кроме того, помните, что многие пользователи Linux и Mac также запускают Windows в виртуализированной среде, потому что им нужны определенные приложения Windows, которые они не могут запустить каким-либо другим способом. У вас также могут быть машины, особенно в ситуациях разработки или тестирования, на которых можно запускать разные операционные системы.


Тщательная инвентаризация должна включать все оборудование и все программное обеспечение, работающее в вашей сети, даже если оно не находится в сети постоянно.


Обновление и/или обновление


Я наткнулся на эту строчку в недавно прочитанном романе ( «Ключ судного дня» Джеймса Роллинза): «Нет неприступных замков». Это было хорошим напоминанием о том, что независимо от платформы любая система, которая может подключаться к Интернету, также предоставляет канал, через который умный злоумышленник может проникнуть в сеть.


Распространенной ошибкой, основанной на неточной отчетности и рекламе, является предположение, что системы, отличные от Windows, всегда «безопасны». Это не так. Например, прошлым летом в большинстве версий Linux была обнаружена серьезная уязвимость ядра, позволяющая злоумышленнику полностью завладеть компьютером. См. полную статью здесь.


И несмотря на распространенное мнение, что компьютеры Mac неуязвимы, в мае прошлого года Apple выпустила патч, исправляющий 67 (правильно, шестьдесят семь) недостатков безопасности в OS X и браузере Safari — и все еще пропуская важную уязвимость Java. См. полную статью здесь.


На самом деле, эксперт по безопасности Mac Дай Зови (автор книги The Mac Hacker's Handbook) говорит, что когда хакеры начнут тратить свое время и усилия на нацеливание на OS X — а они будут делать это по мере того, как операционная система становится все более популярной — она окажется столь же уязвимой, как и Окна. А соавтор Чарли Миллер говорит, что Mac будет легче использовать. См. полную статью здесь.


Цель состоит не в том, чтобы очернить операционные системы, отличные от Windows, а в том, чтобы разубедить ИТ-персонал в том, что регулярно обновлять нужно только машины с Windows. Не менее важно применять обновления к машинам UNIX/Linux и Mac по мере их выпуска.


Еще один важный фактор, который следует учитывать, заключается в том, что в большинстве случаев новые версии ОС более безопасны, чем даже полностью исправленные старые версии. Например, Windows 7 и Vista включают многочисленные механизмы безопасности, такие как UAC, защищенный режим IE, шифрование диска BitLocker и т. д., которых нет в XP. Последняя версия OS X, Snow Leopard, в отличие от своих предшественников, имеет встроенную функцию обнаружения вредоносных программ (хотя, по общему признанию, она не очень сложна). Он также использует более надежные контрольные суммы для защиты от атак с повреждением памяти. Последняя версия OpenSUSE поддерживает технологию TPM (Trusted Platform Module). Во многих случаях обновление до новейших версий любой ОС, которую вы используете, может значительно повысить безопасность.


То же самое относится и к операционным системам мобильных телефонов. Например, новые iPhone включают улучшенные функции безопасности, такие как поддержка сложных паролей, в которых используются буквенные, цифровые и символьные символы, а также возможность удаленного стирания данных, чего не было в оригинальном iPhone.


Примечание:
iPhone по-прежнему представляет проблемы с безопасностью для корпоративной среды, поскольку он может реализовать лишь несколько доступных политик безопасности Exchange, а iTunes, установленный на всех iPhone, также может представлять угрозу безопасности.


Объясните основы


Одни и те же базовые концепции безопасности применяются как к гетерогенным, так и к гомогенным сетям, поэтому само собой разумеется, что независимо от платформы (платформ) вам следует:



  • Защитите периферию с помощью хорошего брандмауэра/шлюза управления угрозами и системы обнаружения/предотвращения вторжений.

  • Используйте антивирусное и антивредоносное программное обеспечение (в том числе в системах, отличных от Windows), и обновляйте определения

  • Внедрение аудита/мониторинга безопасности для обнаружения попыток взлома

  • Защитите системы, отключив ненужные службы

  • Закрыть неиспользуемые порты

  • Ограничить физический доступ к системам

  • Ограничить административный/рут-доступ тем, кому он действительно нужен; в системах UNIX ограничьте root-доступ защищенными терминалами

  • Реализовать разрешения на уровне файлов; в системах UNIX разбивайте файловую систему на разделы и используйте разделы только для чтения для хранения файлов, которые не часто изменяются, и используйте ACL (списки контроля доступа) для сложного управления разрешениями.

  • В системах UNIX ограничьте доступ процессов к файловой системе с помощью интерфейсов chroot и ulimit.

  • Применение политик надежных паролей

  • В средах с высоким уровнем безопасности требуется двухфакторная аутентификация.

  • В системах UNIX используйте SSH (Secure Shell) для удаленного доступа к командной строке.

  • Используйте шифрование: для защиты файлов на диске, для защиты данных при передаче по сети, для защиты операционной системы от несанкционированного доступа

  • Внедрить инфраструктуру открытых ключей для выпуска цифровых сертификатов

Наймите внешнего аудитора безопасности


Аудит безопасности третьей стороной может быть полезен для оценки и предоставления рекомендаций по реализации безопасности в любой сложной сети, но в гетерогенной сети это удваивается. В компании, которая зарабатывает на жизнь аудитом безопасности, будет персонал, имеющий опыт проверки различных типов систем, и он будет в курсе новых уязвимостей и новых решений, на которые у вашего ИТ-персонала может не хватить времени. Они могут провести тестирование на проникновение для реальной оценки того, где находятся уязвимости, и они могут посоветовать вам наиболее эффективные и наиболее рентабельные способы устранения пробелов.


Резюме


Многоплатформенные сети создают некоторые особые проблемы безопасности, но ИТ-администраторы должны научиться справляться с этими проблемами, потому что такие сети становятся все более распространенными, а не менее распространенными. Самое главное помнить, что безопасность — это процесс, а не продукт. Одни и те же базовые концепции применяются независимо от платформы, но они будут выполняться по-разному в разных операционных системах. Если позволяет размер вашего ИТ-отдела, разделение ответственности, которое позволяет разным людям сосредоточиться на разных системах и управлять ими, может сделать сеть в целом более безопасной. В противном случае привлечение группы (или, в идеале, нескольких групп) «сторонних глаз» может помочь вам выявить дыры в безопасности, которые вы слишком близко не видите, и дать вам свежие идеи о том, как их устранить.