Политики безопасности компании при работе в Интернет - Сергей Петренко
Шрифт:
Интервал:
Закладка:
Настройки безопасности на уровне интерфейса. Для предупреждения использования интерфейса как усилителя при проведении атаки типа «отказ в обслуживании», например smurf, надо отключить маршрутизацию пакетов на broadcast-адpеса. По умолчанию маршрутизатор не пропускает широковещательных сообщений с IP-адресом приемника 255.255.255.255. Для того чтобы ограничить негативное влияние направленных широковещательных сообщений на определенные сети, необходимо использовать эту команду:
...no ip directed-broadcast
Чтобы уменьшить для злоумышленника возможности получения информации о сети, надо выполнить следующие команды:
...no ip unreachable
no ip mask-reply
no ip redirect
Для уменьшения проблем, вызываемых пакетами с неправильными или подмененными IP-адресами, а также с исходными IP-адресами, которые не могут быть проверены, используется функция Unicast RPF:
...ip cef
interface hssi2/0
ip verify unicast reverse-path
Конфигурирование функции TCP Intercept. Функция TCP Intercept помогает предупредить атаки типа SYN Flood путем прерывания и проверки ТСР-соединений. В режиме Intercept программное обеспечение прерывает пакеты синхронизации TCP SYN от клиентов к серверам, совпадающие с расширенным списком контроля доступа. Осуществляются проверки, и попытки достичь сервер с несуществующих (неотвечающих) компьютеров пресекаются. Включение функции TCP Intercept:
...access-list 110 permit tcp any 70.70.70.0 0.0.0.255
ip tcp intercept list 110
Конфигурирование BGP. BGP v. 4 используется для обмена информацией о маршрутизации и политиках с маршрутизаторами интернет-провайдера. Так как уже существуют атаки, направленные против протокола BGP, то необходимо обеспечить надлежащий уровень защиты.
Для защиты используем возможность BGP аутентифицироваться с помощью MD5:
...router bgp 5500 (здесь 5500 – номер автономной системы)
neighbor 70.70.1.2 password F!$asB!
ip as-path access-list 30 permit
router bgp 5500
neighbor 70.70.1.2 filter-list 30
Этот фильтр гарантирует, что маршрутизатор сможет принимать трафик только из определенной автономной системы. Также используется список контроля доступа на входящий трафик, разрешающий трафик по TCP 179 только от маршрутизаторов интернет-провайдера.
Маршрут «черная дыра». Для увеличения производительности маршрутизатора при запрещении пакетов с недостижимыми адресами назначения используется статический маршрут в null. Кроме этого данная конфигурация позволит предупредить простейшие атаки типа «отказ в обслуживании». Такая конфигурация стала возможной благодаря тому, что для получения маршрутов используется BGP. Маршрут должен иметь наивысший вес, то есть маршрутизатор никогда не будет запрещать любой легитимный трафик. Также необходимо отключить ICMP Unreachable на null-интерфейсе:
...ip route 0.0.0.0 0.0.0.0 null 0 255
interface NullO
no icmp unreachables
Конфигурирование списков контроля доступа. На пограничных маршрутизаторах очень хорошо фильтровать ненужный входящий трафик, уменьшая, таким образом, нагрузку на внешние межсетевые экраны и уменьшая размеры журналов на внутренних устройствах. Пограничные маршрутизаторы также защищают внешние межсетевые экраны.
Для ограничения трафика используются расширенные списки контроля доступа. Используется новая возможность компилирования списков контроля доступа Turbo ACL, которая существенно увеличивает производительность обработки списков контроля доступа. К сожалению, эта функция не работает с рефлексивными списками контроля доступа и с СВАС (Context-Based Access Control). Для включения этой функциональности требуется всего одна команда:
...access-list compiled
Сконфигурированы два списка контроля доступа – для входящего и исходящего трафика.
Список контроля доступа для входящего трафика. Блокируется трафик с недействительными адресами, без исходного адреса, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, направленный в сеть между внешними маршрутизаторами и внешними межсетевыми экранами, направленный на диапазон адресов, используемых для multicast:
...no ip extended Ingress
ip access-list extended Ingress
deny ip host any 255.255.255.255
deny ip host 0.0.0.0 any
Сети 70.0.0.0/8 и 90.0.0.0/8 также зарезервированы I ANA, но не включены сюда из-за нашего первоначального предположения:
Блокирование опасного трафика:
...deny udp any any range 161 162
deny udp any any eq 69
deny tcp any any range 135 139
deny udp any any range 135 139
deny tcp any any eq 445
deny udp any any eq 514
permit tcp host 70.70.1.2 host 70.70.1.1 eq 79
permit tcp host 90.90.1.2 host 90.90.1.1 eq 79
deny ip any 70.70.70.16 0.0.0.15
permit tcp any 70.70.70.0 0.0.0.255 established
permit udp any 70.70.70.0 0.0.0.255
permit icmp any 70.70.70.0 0.0.0.255 source-quench
deny ip any any
Список контроля доступа для исходящего трафика. Для предупреждения организации атак типа «отказ в обслуживании» с подменой адресов разрешен доступ в Интернет только с IP-адресов компании. Весь трафик, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, тоже удаляется:
...no ip access-list extended Egress
ip access-list extended Egress
deny udp any any range 161 162
deny udp any any eq 69
deny tcp any any range 135 139
deny udp any any range 135 139
deny tcp any any eq 445
deny udp any any eq 514
permit tcp 70.70.70.0 0.0.255 any
permit udp 70.70.70.0 0.0.255 any
permit icmp any 70.70.70.0 0.0.0.255 source-quench
deny ip any any
Применение списков контроля доступа:
...interface hssi2/0
ip access-group Ingress in
no ip proxy-arp
ip accounting access-violations
interface Fa0/0
ip access-group Egress in
no cdp enable
no ip proxy-arp
ip accounting access-violations
4.3.3. Настройки внешних межсетевых экранов
Внешние межсетевые экраны позволяют построить эффективный периметр защиты компании от угроз из Интернета. Политика безопасности внешних межсетевых экранов основана на бизнес-требованиях и согласована с общей политикой информационной безопасности компании. В качестве внешнего межсетевого экрана выбран Check Point Firewall-1 NG FP3, выполняющийся на аппаратной платформе Nokia IP530 с операционной системой IPSO v.3.6. В табл. 4.2 описаны все важные компоненты сети компании, подлежащие защите с помощью указанного межсетевого экрана.
Таблица 4.2. Компоненты сети, подлежащие защите
Продолжение табл. 4.2
Окончание табл. 4.2
Очень важно корректно определить все интерфейсы на межсетевом экране и установки anti-spoofing в свойствах объектов. Если это будет неправильно сконфигурировано, то межсетевой экран может заблокировать некоторый трафик, который должен быть разрешен, или может неправильно отработать функция anti-spoofing, которая вызовет появление новых рисков. Табл. 4.3 используется для конфигурирования интерфейсов. Таблица 4.3. Пример интерфейса межсетевого экрана
Сервисы. В табл. 4.4 представлен список сервисов, которые необходимы для работы политики безопасности межсетевого экрана, некоторые из них были предустановлены, а некоторые пришлось создать.
Задание политики межсетевого экрана. Чтобы политика была простой для понимания, сначала было создано небольшое количество правил. При этом учитывалось, что Check Point Firewall-1, подобно большинству других межсетевых экранов, обрабатывает правила последовательно. Поэтому более детальные правила предшествуют общим и наиболее часто повторяющиеся правила находятся в начале общего списка правил.
Таблица 4.4. Сервисы, необходимые для работы политики безопасности межсетевого экранаБыл задан следующий порядок обработки трафика Firewall-1:
• anti-spoofing;
• свойства, маркированные как «First» в Global Properties;
• все правила по порядку, за исключением последнего;
• свойства, отмеченные как «Before Last» в Global Properties;
• последнее правило;
• свойства, маркированные «Last» в Global Properties;
• неявно заданное правило «Drop».На рис. 4.7 представлена реализованная политика межсетевого экрана. Как будет показано далее, все неявные правила межсетевого экрана были отключены на закладке Global Properties и созданы явные правила. Это позволило повысить защищенность межсетевого экрана.
...Рис. 4.7. Правила безопасности межсетевого экрана
