Четыре периметра безопасности

Считается, что ресурсы локальной сети гораздо лучше защищены от вторжения, чем сервисы, непосредственно доступные из интернета. От чего зависит реальная безопасность?

Все информационные ресурсы условно делятся на три зоны: красную, желтую и зеленую.

К красной зоне относятся хосты, имеющие реальные IP-адреса, их ресурсы являются внешним периметром, находящимся, что называется, «на острие атаки».

Сервера в желтой зоне имеют частные IP-адреса, но размещенные на них ресурсы доступны как из интернета, так и из локальной сети. Они располагаются в демилитаризованной зоне (DMZ), и только часть из них доступна через интернет.

Ресурсы локальной сети относятся к зеленой зоне и не предоставляют никакие сервисы за ее пределами.

Подобная организация сетевой инфраструктуры предполагает эшелонированную систему обороны, при которой каждая из зон представляет собой отдельный слой фортификационных сооружений, и эти слои как бы вложены друг в друга для обеспечения безопасности локальной сети.

Зеленая зона считается относительно безопасной, так как к ней запрещен доступ из интернета. Иллюзия безопасности усиливается при использовании домена Active Directory, который создает свой «круг доверия», используя централизованную базу данных с настройками доступа к ресурсам локальной сети. Управляющий сервер в домене называется контроллером домена. В чем же ахиллесова пята Active Directory? Некоторым приложениям для полного доступа к службе каталогов требуются административные привилегии, а следовательно, взлом любого из таких сервисов даст злоумышленнику контроль над всеми компьютерами сети.

Как правило, для снижения рисков, связанных со взломом сетевых сервисов в рамках локальной сети, используются следующие меры:

  • Для защиты Windows-серверов
    • Использование непривилегированных учетных записей для запуска сетевых сервисов
    • Установка ограничений с помощью групповых политик
    • Настройка брандмауэра Windows
    • Установка антивируса, антиспама и антитрояна
  • Для защиты UNIX-серверов (Linux/FreeBSD)
    • Использование непривилегированных учетных записей для запуска сетевых сервисов (демонов)
    • Запуск сервисов в Chroot
    • Настройка межсетевого экрана
    • Для почтовых серверов используются антивирусы и антиспам-решения
    • Для серверов, выступающих в роли интернет-шлюзов, применяются прокси-сервера

К сожалению, вышеуказанных мер нередко оказывается недостаточно для предотвращения несанкционированного доступа. И причина этого в недостаточном внимании, уделяемом защите хостов, на которых размещаются сетевые сервисы. Для каждой из операционных систем существуют дополнительные возможности, применение которых способно минимизировать риски возможного взлома сервисов.

Например, специфика типовой настройки политик безопасности для Windows-платформ в том, что ради совместимости с предыдущими версиями многие из политик, доступных в новых версиях, остаются неактивными, то есть возможности политик редко задействуются более чем на 30 процентов. Кроме ранее перечисленных, на платформе Windows 2008 R2 доступны следующие методы защиты серверов:

  • Усиление политик безопасности там, где не требуется совместимость с предыдущими версиями Windows
  • Виртуализация серверов с использованием технологии Hyper-V
  • Виртуализация приложений с использованием технологии App-V (ранее SoftGrid)
  • Использование службы управления правами (AD RMS)
  • Рекомендуется использовать шифрование файловых систем на серверах, к которым возможен несанкционированный физический доступ

Для рабочих станций на Windows 7 также предусмотрены дополнительные возможности повышения безопасности:

  • Применение новых групповых политик в отношении непривилегированных учетных записей системы
  • Использование XP mode для запуска уязвимых сервисов
  • Настройка UAC-виртуализации
  • Развертывание клиентской части службы управления правами (AD RMS)
  • Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ

UNIX-системы (Linux/FreeBSD/MacOS X) в дополнение к ранее перечисленным предлагают не менее развитые средства обеспечения безопасности:

  • Применение сетевого суперсервера для ограничения доступа к сервисам
  • Использование политик безопасности SELinux/AppArmor в Linux, MAC во FreeBSD
  • Виртуализация серверов с использованием технологий OpenVZ/LXC в Linux и Jail в FreeBSD
  • Виртуализация приложений путем совмещения помещения сервисов в Chroot и применения к ним политик безопасности
  • На файловых серверах, работающих в Windows-окружении, целесообразно использовать антивирусные средства защиты (это позволит проверить каждый файл двумя разными антивирусами — сначала на сервере, а затем на клиенте)
  • Рекомендуется использовать шифрование файловых систем на серверах, к которым возможен несанкционированный физический доступ

Рабочие станции на Linux также позволяют использовать эффективные средства защиты:

  • Использование политик безопасности SELinux/AppArmor
  • Мощный межсетевой экран (netfilter) с возможностью настройки для неподготовленного пользователя через Firestarter
  • Применение сетевого суперсервера для ограничения доступа к сервисам
  • Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ

Методы защиты рабочих станций MacOS X не слишком отличаются аналогичных методов для Linux, поэтому они отдельно рассматриваться не будут. Из минусов средств безопасности MacOS X можно назвать лишь неприменимость MAC ввиду несовместимости с ней Carbon, предоставляющего API для приложений.

Нетрудно заметить, что обеспечению безопасности на уровне хоста редко уделяется достаточно внимания, а для злоумышленника, получившего доступ в зеленую зону, это сильно облегчает жизнь.

К счастью, не нужно изобретать велосипед, так как в best practice уже предусмотрено 4 периметра безопасности: внешние ресурсы (красная зона), DMZ (желтая зона), локальная сеть (зеленая зона) и, наконец, уровень хоста. Обеспечив полноценную защиту каждого хоста, независимо от того, является ли он рабочей станцией в зеленой зоне или сервером в красной зоне можно сильно повысить безопасность IT-инфраструктуры в целом. И не забывайте про превентивные меры — применение системы обнаружения вторжений вкупе с организационными мерами.

Запись опубликована в рубрике Без рубрики, Публикации. Добавьте в закладки постоянную ссылку.

Добавить комментарий