Четыре периметра безопасности
Считается, что ресурсы локальной сети гораздо лучше защищены от вторжения, чем сервисы, непосредственно доступные из интернета. От чего зависит реальная безопасность?
Все информационные ресурсы условно делятся на три зоны: красную, желтую и зеленую.
К красной зоне относятся , имеющие реальные IP-адреса, их ресурсы являются внешним периметром, находящимся, что называется, «на острие атаки».
Сервера в желтой зоне имеют , но размещенные на них ресурсы доступны как из интернета, так и из локальной сети. Они располагаются в демилитаризованной зоне (), и только часть из них доступна через интернет.
Ресурсы локальной сети относятся к зеленой зоне и не предоставляют никакие сервисы за ее пределами.
Подобная организация сетевой инфраструктуры предполагает эшелонированную систему обороны, при которой каждая из зон представляет собой отдельный слой фортификационных сооружений, и эти слои как бы вложены друг в друга для обеспечения безопасности локальной сети.
Зеленая зона считается относительно безопасной, так как к ней запрещен доступ из интернета. Иллюзия безопасности усиливается при использовании , который создает свой «круг доверия», используя централизованную базу данных с настройками доступа к ресурсам локальной сети. Управляющий сервер в домене называется . В чем же ахиллесова пята Active Directory? Некоторым приложениям для полного доступа к требуются административные привилегии, а следовательно, взлом любого из таких сервисов даст злоумышленнику контроль над всеми компьютерами сети.
Как правило, для снижения рисков, связанных со взломом сетевых сервисов в рамках локальной сети, используются следующие меры:
- Для защиты
- Использование непривилегированных учетных записей для запуска сетевых сервисов
- Установка ограничений с помощью
- Настройка
- Установка антивируса, антиспама и антитрояна
- Для защиты
- Использование непривилегированных учетных записей для запуска сетевых сервисов ()
- Запуск сервисов в
- Настройка
- Для почтовых серверов используются антивирусы и антиспам-решения
- Для серверов, выступающих в роли интернет-шлюзов, применяются
К сожалению, вышеуказанных мер нередко оказывается недостаточно для предотвращения несанкционированного доступа. И причина этого в недостаточном внимании, уделяемом защите , на которых размещаются сетевые сервисы. Для каждой из операционных систем существуют дополнительные возможности, применение которых способно минимизировать а сервисов.
Например, специфика типовой настройки политик безопасности для Windows-платформ в том, что ради совместимости с предыдущими версиями многие из политик, доступных в новых версиях, остаются неактивными, то есть возможности политик редко задействуются более чем на 30 процентов. Кроме ранее перечисленных, на платформе Windows 2008 R2 доступны следующие методы защиты серверов:
- Усиление политик безопасности там, где не требуется совместимость с предыдущими версиями Windows
- серверов с использованием технологии
- Виртуализация приложений с использованием технологии (ранее )
- Использование службы управления правами ()
- Рекомендуется использовать шифрование файловых систем на серверах, к которым возможен несанкционированный физический доступ
Для рабочих станций на также предусмотрены дополнительные возможности повышения безопасности:
- Применение в отношении непривилегированных учетных записей системы
- Использование для запуска уязвимых сервисов
- Настройка
- Развертывание клиентской части службы управления правами ()
- Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ
- Применение для ограничения доступа к сервисам
- Использование политик безопасности / в , во FreeBSD
- Виртуализация серверов с использованием технологий / в Linux и в FreeBSD
- Виртуализация приложений путем совмещения помещения сервисов в и применения к ним политик безопасности
- На файловых серверах, работающих в Windows-окружении, целесообразно использовать антивирусные средства защиты (это позволит проверить каждый файл двумя разными антивирусами — сначала на сервере, а затем на клиенте)
- Рекомендуется использовать шифрование файловых систем на серверах, к которым возможен несанкционированный физический доступ
Рабочие станции на Linux также позволяют использовать эффективные средства защиты:
- Использование политик безопасности /
- Мощный межсетевой экран () с возможностью настройки для неподготовленного пользователя через
- Применение для ограничения доступа к сервисам
- Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ
Методы защиты рабочих станций MacOS X не слишком отличаются аналогичных методов для , поэтому они отдельно рассматриваться не будут. Из минусов средств безопасности MacOS X можно назвать лишь неприменимость ввиду несовместимости с ней , предоставляющего для приложений.
Нетрудно заметить, что обеспечению безопасности на уровне хоста редко уделяется достаточно внимания, а для злоумышленника, получившего доступ в зеленую зону, это сильно облегчает жизнь.
К счастью, не нужно изобретать велосипед, так как в уже предусмотрено 4 периметра безопасности: внешние ресурсы (красная зона), DMZ (желтая зона), локальная сеть (зеленая зона) и, наконец, уровень хоста. Обеспечив полноценную защиту каждого хоста, независимо от того, является ли он рабочей станцией в зеленой зоне или сервером в красной зоне можно сильно повысить безопасность IT-инфраструктуры в целом. И не забывайте про превентивные меры — применение системы обнаружения вторжений вкупе с организационными мерами.
ведущий преподаватель
Бауманского учебного центра «Специалист»
