Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

В компании было создано несколько зон безопасности:

• зона подключения к Интернету – эта зона представляет собой подсеть между пограничным маршрутизатором и внешними межсетевыми экранами. Пограничные маршрутизаторы используют списки контроля доступа (ACL), сконфигурированные для фильтрации входящего и исходящего трафика и защиты внешних межсетевых экранов;

• зона доступа к Web-приложениям компании (Web Access DMZ) – в этой подсети находятся Web-приложения компании и разрешены только входящие через межсетевой экран запросы из Интернета. Доступ из внутренней сети запрещен;

• зона выхода в Интернет (Service DMZ) – эта зона представляет собой подсеть, с помощью которой сотрудникам компании предоставляется доступ в Интернет. Разрешен только исходящий через межсетевой экран трафик, за исключением доступа к электронной почте с помощью VPN;

• зона управления ресурсами сети компании (Management Network) – в этой зоне находятся приложения для мониторинга, аутентификации и журналирования событий в сети компании;

• зона защищаемых данных компании (Secure Data Network) – эта зона содержит все важные для компании Web-приложения, базы данных и базу данных пользователей (Active Directory);

• зона внутренней сети компании (Internal Network) – зона содержит серверы, рабочие станции сотрудников и приложения интранета.

...

Рис. 4.1. Архитектура корпоративной системы защиты информации

При этом компания использует следующие диапазоны IP-адресов: 70.70.70.0/24 и 90.90.1.0/30 (в действительности сети 70.х.х. х и 90.90.1.0/30 зарезервированы IANA, но мы будем считать, что они реально существуют). Сеть 70.70.70.0/24 разбита на подсети с использованием различных масок подсетей, задействована только первая часть – 70.70.70.0/25, все остальные адреса зарезервированы для последующего расширения сети. Для внутренней сети используется подсеть 172.16.0.0/16. Общее распределение адресного пространства подсетей компании представлено в табл. 4.1:

Теперь рассмотрим каждую из перечисленных зон безопасности компании подробно и определим правила безопасности.

Таблица 4.1. Распределение адресного пространства

4.2.1. Зона подключения к Интернету

Одно из главных бизнес-требований компании – обеспечение доступности Интернета 24 часа в сутки 7 дней в неделю. Для этого были выбраны два провайдера (ISP) (см. рис. 4.2).

...

Рис. 4.2. Схема подключения к Интернету

С целью надлежащего распределения маршрутизации и избыточности был сконфигурирован BGP v.4 между пограничными маршрутизаторами и маршрутизаторами провайдеров Интернета. В качестве пограничных маршрутизаторов используется Cisco 7204 VXR Router с Cisco IOS Release 12.3. Преимуществом этой модели является поддержка Cisco Express Forwarding (CEF), что существенно увеличивает производительность маршрутизаторов.

Пограничные маршрутизаторы – это первая линия обороны. Так как они являются первой точкой входа в сеть, то на них настроены списки контроля доступа (ACL) для фильтрации нежелательного трафика, что уменьшает нагрузку на остальную сетевую инфраструктуру. Реализована фильтрация как входящего, так и исходящего трафика. Для защиты от атак SYN Flood используется возможность Cisco IOS TCP Intercept. Другая задача, которую решают пограничные маршрутизаторы, – защита внешних межсетевых экранов от трафика, направленного на IP-адреса межсетевых экранов. Адресное пространство 70.70.70.16/28 используется для подсети между пограничными маршрутизаторами и внешними межсетевыми экранами. Подсети 70.70.70.4/30 и 70.70.70.8/29 зарезервированы для будущего решения с балансировкой нагрузки между межсетевыми экранами. «Горячее» резервирование на внутренних интерфейсах маршрутизаторов обеспечивает протокол HSRP (Hot Standby Routing Protocol). Для соединения устройств в DMZ используются коммутаторы Cisco Catalyst 3550. Коммутаторы не имеют IP-адресов и управляются посредством консольного доступа через Cisco 2620 Terminal Server.

Внешние межсетевые экраны. В качестве внешних межсетевых экранов используются Nokia IPSO v.3.6 FCS4, Check Point FW-1 NG FP3. К основным факторам, повлиявшим на выбор данных устройств, относятся:

• высокая надежность, защищенность и производительность аппаратных платформ Nokia;

• развитая функциональность и технологическая зрелость межсетевого экрана Check Point FW-1 NG FP3;

• наличие в компании подготовленных специалистов.

Как было сказано выше, в компании существуют две DMZ-зоны, одна для доступа к Web-приложениям и другая для выхода в Интернет, каждая из зон защищена межсетевыми экранами. Это было сделано для разделения ресурсов, чтобы проникновение злоумышленников в одну из зон не сказалось на работе другой зоны.

Каждый межсетевой экран имеет 5 интерфейсов, подключенных к разным зонам. Межсетевые экраны также имеют выделенный интерфейс для управления Out-of-band посредством сервера Check Point Management Console из зоны управления. Это повышает защищенность управляющего трафика и делает недоступным изменение наблюдаемого трафика, так как он не проходит через общую сеть.

Система межсетевых экранов реализована в варианте с полной избыточностью и масштабируемостью. Это достигается путем использования Nokia IPSO VRRP и возможностью синхронизации соединений Firewall-1. Через межсетевые экраны разрешен ограниченный набор трафика согласно принятой в компании политики безопасности. На этом же уровне реализована и защита от атак SYN Flood.

4.2.2. Зона доступа к Web-приложениям компании

Эта зона защищена на уровне представления, промежуточном уровне, а также на уровне баз данных компании. Серверы названной зоны защищены в соответствии с рекомендациями руководств SANS (www.sans.org): Level-1 Benchmark for Windows 2000, Level-2 Windows 2000 Professional Operating System Benchmark, Level-2 Windows 2000 Server Operating System Benchmark, а также в соответствии с официальными руководствами компании Microsoft (www.microsoft.com): Security Operations Guide for Windows 2000, Hardening Guide for Windows 2000.

Для централизованного управления обновлениями используется продукт Microsoft SMS 2003. На Web-cepeepax выполняется Microsoft IIS 5.0. Серверы имеют по два сетевых интерфейса. Через один интерфейс поступают запросы из Интернета, через другой осуществляются запросы к базе данных. Таким образом реализуется изоляция Web-приложений от базы данных.

4.2.3. Зона выхода в Интернет

Эта зона безопасности обеспечивает доступ в Интернет из внутренней сети. Здесь также используется концепция разделения сети. Каждое устройство имеет два интерфейса – один для подключения к публичной зоне и другой для доступа к внутренней зоне с отключенной маршрутизацией пакетов между ними. Все оборудование дублируется для обеспечения высокой степени доступности. DNS Forwarder установлен на Windows 2000 Service Pack 4, Microsoft DNS Service на аппаратной платформе Compaq Proliant DL360. SMTP Smart Host установлен на OpenBSD 3.2 with Sendmail v.8.12.6 на аппаратной платформе Compaq Proliant DL360.