Сергей Петренко - Политики безопасности компании при работе в Интернет

Active Directory DNS-серверы сконфигурированы для использования DNS-серверов Web-зоны как перенаправляющих для разрешения внешних адресов. Резервное копирование реализовано с помощью Fiber Channel, поэтому не требуется дополнительный сетевой сегмент. Серверы, которые осуществляют резервное копирование, не имеют сетевых подключений за пределами сегмента.

4.2.6. Зона внутренней сети компании

Во внутренней сети находятся рабочие станции сотрудников и внутренние серверы. Сеть логически разделена на две части: подсеть серверов и подсеть сотрудников. Ядром проекта являются два коммутатора Cisco Catalyst 6509 с модулями маршрутизации MSFC2. Коммутаторы используют trunk для избыточности. Для каждой внутренней подсети создан отдельный VLAN и сконфигурирован HSRP на каждом из VLAN-интерфейсов для «горячего» резервирования. Раздельные маршрутизирующие интерфейсы для каждого VLAN позволяют задействовать дополнительные списки контроля доступа для ограничения доступа из определенных подсетей или компьютеров. На рис. 4.6 изображен только один сервер каждого типа для читабельности.

Внутренняя сеть Windows 2000 использует изолированный «лес» Active Directory со своими собственными DNS-серверами и контроллерами домена. На всех серверах установлен Windows 2000 Server Service Pack 4, при этом они защищены в соответствии с перечисленными выше руководствами.

DNS-серверы – это Microsoft DNS Server с использованием Dynamic DNS в режиме «Allow Secure Updates Only». Данные серверы применяются только для разрешения имен внутренних ресурсов и перенаправляют запросы на разрешение внешних имен в зону Интернета.

В качестве внутреннего сервера обмена сообщениями и совместной работы используется Microsoft Exchange 2000 Service Pack 3. Он работает на двухузловом кластере Windows 2000 Advanced Server Service Pack 4 для обеспечения избыточности и балансировки нагрузки. Все исходящие сообщения перенаправляются к SMTP-серверам в интернет-зону. В качестве антивирусного программного обеспечения применяется Sybari Antigen v.7.0 for Exchange с проверкой входящих и исходящих сообщений.

Работа с почтой удаленных пользователей обеспечивается сервером Exchange 2000 Service Pack 3 Outlook Web Access, который доступен через VPN-coединение поверх HTTPS. Выбор объясняется тем, что для подключения достаточно только одного порта (HTTPS). При обычном же способе доступа к Exchange пришлось бы открывать целый набор портов, что существенно увеличивает риск взлома системы.

Файл-серверы реализованы с использованием Microsoft SharePoint Portal Server 2003. Доступ к файлам осуществляется через VPN поверх HTTP/HTTPS. Это делает ненужной настройку межсетевого экрана для трафика SMB/CISF, что упрощает конфигурацию межсетевого экрана и делает дизайн более защищенным.

Исходящий доступ разрешен только для HTTP/HTTPS из сети сотрудников через ргоху-сервер. В целях обеспечения безопасности не разрешен доступ из подсети серверов в Интернет. При необходимости установки драйверов или обновлений они загружаются обслуживающим персоналом на свои рабочие места и далее переносятся на серверы на CD-дисках или дискетах.

Доступ к серверам баз данных предоставлен ограниченному списку администраторов баз данных из определенного списка IP-адресов. Таким же образом предоставляется доступ к серверам данных и для менеджеров, ответственных за наполнение Web-страниц приложения.

В сети тестирования тестируются приложения перед их перемещением в действующую сеть. Данная сеть полностью имитирует рабочие серверы и также используется для тестирования сервисных пакетов и обновлений перед их установкой на серверы и рабочие станции. Это позволяет уменьшить вероятность несовместимости приложений и увеличить надежность функционирования сети и приложений. Реализована процедура управления изменениями.

4.3.1. Настройки пограничных маршрутизаторов

Пограничные маршрутизаторы являются первой линией защиты. Для создания технических настроек использовались руководства Агентства национальной безопасности США: NSA/SNAC Router Security Configuration Guide, NSA/SNAC Router Security Configuration Guide Executive Summary.

Пароли. Пароли на маршрутизаторах должны храниться в зашифрованном виде. Нельзя использовать епаЫе-пароль, так как для его шифрования используется слабый алгоритм и злоумышленник легко вскроет его. Необходимо применить следующие команды:

Отключение неиспользуемых возможностей управления. Для управления используется консольный доступ, поэтому все остальные способы доступа должны быть отключены:

Отключение возможности маршрутизатора загружать конфигурацию из сети:

Настройка TACACS+. Необходимо защитить доступ для управления. Хотя этот доступ не разрешен по сети, нужно использовать TACACS+ для централизованного управления аутентификацией и авторизацией доступа с целью управления и журналирования изменений, произведенных на маршрутизаторах. TACACS+ был выбран вместо RADIUS по причине большей защищенности. Имя пользователя и пароль в TACACS+ шифруются, в то время как в RADIUS шифруется только пароль. При использовании Cisco ACS TACACS+ можно настроить детальные уровни доступа для различных пользователей и групп пользователей.

Определяем IP-адрес сервера TACACS+ и пароль для аутентификации:

Далее настраивается аутентификация, авторизация и журналирование. TACACS+ будет использоваться в качестве главного средства аутентификации, а локальная база пользователей маршрутизатора будет использоваться в случае, если сервер TACACS+ станет недоступным. Для этого обязательно должны быть созданы локальные учетные записи на маршрутизаторе. Настройка использования TACACS+ для AAA:

Используемый метод аутентификации применяется для консольного доступа:

Читать дальше