Политики безопасности компании при работе в Интернет - Сергей Петренко

aaa-server TACACS+ (Management) host 172.16.6.21 F$!19Ty timeout 5

Используемый метод аутентификации применяется для консольного доступа:

ааа authentication serial console TACACS+

Предупреждающий баннер:

banner login «This is a private computer system for authorized use only.

All access is logged and monitored. Violators could be prosecuted».

«Ежедневное» сообщение, выводимое в первую очередь при попытке получения доступа к межсетевому экрану:

banner motd «This is a private computer system for authorized use only.

All access is logged and monitored. Violators could be prosecuted».

Сообщение, выводимое при входе в непривилегированный (EXEC) режим:

banner exec «Any unauthorized access will be vigorously prosecuted».

Настройка встроенной системы IDS. Cisco PIX имеет встроенную систему обнаружения вторжений. Хотя по количеству сигнатур система уступает устройствам серии Cisco IDS 4200, все же имеет смысл сконфигурировать ее для отсылки сообщений в случае атак:

ip audit info action alarm

ip audit attack action alarm

Защита системы аутентификации. Для защиты от атак на переполнение системы аутентификации используется следующая опция:

floodguard enable

Защита от атак с подменой адреса. Для защиты от атак с подменой адреса используется возможность проверки правильности адреса отправителя uRPF:

ip verify reverse-path interface AdminDmz

ip verify reverse-path interface WebDMZ

ip verify reverse-path interface ServiceDMZ

ip verify reverse-path interface SecureData

ip verify reverse-path interface Management

ip verify reverse-path interface Internal

Конфигурирование межсетевых экранов PIX для работы в режиме горячего резервирования. Настройка осуществляется следующим образом:

1. Выключить резервный межсетевой экран.

2. Синхронизировать время на обоих межсетевых экранах:

ntp authentication-key 1 md5 For$Ntp

ntp authenticate

ntp trusted-key 1

ntp server 172.16.6.41 key 1 source Management

3. Подключить failover-кабель к обоим межсетевым экранам.

4. Необходимо сконфигурировать только основной межсетевой экран.

5. В отличие от VRRP или HSRP Cisco PIX не требует дополнительного IP-адреса для режима failover.

6. Включить режим failover:

failover

failover link State

7. Определить IP-адреса для интерфейсов:

failover ip address AdminDMZ 172.16.1.2

failover ip address WebDMZ 172.16.3.2

failover ip address ServiceDMZ 172.16.4.2

failover ip address SecureData 172.16.5.2

failover ip address Management 172.16.6.2

failover ip address Internal 172.16.9.2

failover ip address State 172.16.1.66

8. Включить резервный межсетевой экран. Проверить функционирование.

Дополнительные настройки безопасности. С целью ограничения доступа и использования защищенного протокола для управления сконфигурирован SSH. Для этого сначала создается пара ключей:

са generate rsa key 1024

са save all

Далее отключается Telnet:

ssh 172.16.6.0 255.255.255.0 Management

ssh timeout 15

no telnet

Журналирование событий межсетевого экрана. Журналирование событий межсетевого экрана является критически важным для надежного функционирования сети. Межсетевые экраны сконфигурированы для отправки сообщений на сервер Cisco SIMS:

logging buffered warnings

logging host Management 172.16.6.25

logging trap informational

logging timestamp

logging on

Конфигурирование SNMP. Межсетевой экран конфигурируется для отправки trap только к SNMP-серверу:

snmp-server community TopoE6?%HU

snmp-server host 172.16.6.33 Management trap

snmp-server enable traps

logging on

4.3.6. Настройка корпоративной системы защиты от вирусов

Все серверы и рабочие станции внутренней сети компании защищены с помощью Symantec Antivirus Corporate Edition v.8.1. Политики управляются централизованно с использованием Symantec System Center (см. рис. 4.11).

Рис. 4.11. Symantec System Center

Сканирование самого антивирусного сервера осуществляется в нерабочий день (воскресенье) для увеличения доступности сервера для клиентов (см. рис. 4.12).

Рис. 4.12. Сканирование антивирусного сервера

Сканирование клиентов осуществляется один раз в неделю (см. рис. 4.13).

Рис. 4.13. Сканирование клиентов

Все обновления загружаются на сервер и только потом устанавливаются на клиентов. Это сделано для уменьшения объема трафика через пограничные устройства (см. рис. 4.14).

Рис. 4.14. Загрузка обновлений на сервер

Для увеличения защищенности клиентов включена опция Real-time protection и проверяются все типы файлов на наличие вирусов, в том числе на FDD и CD-ROM (см. рис. 4.15).

Рис. 4.15. Проверка файлов на наличие вирусов

Наличие обновлений проверяется каждые 20 минут (см. рис, 4.16). Для предупреждения действий сотрудников, желающих отключить антивирусное программное обеспечение или удалить его, включена опция, запрещающая останавливать сервис, а возможность деинсталляции защищена паролем (см. рис. 4.17).

Рис. 4.16. Проверка наличия обновлений

Рис. 4.17. Запрещение остановки сервиса

4.4. Дальнейшие шаги по совершенствованию правил безопасности

Шаг 1. Производительность межсетевых экранов. Проверить, позволяет ли пропускная способность внешних межсетевых экранов обрабатывать весь объем трафика. Для увеличения пропускной способности можно мигрировать на схему Check Point Firewall-1 Clustering с модулем High Availability. Можно также использовать продукты для балансировки нагрузки межсетевых экранов таких фирм, как F5, Alteon, Foundry, Radware. Следует задать соответствующие правила безопасности.

Шаг 2. VPN-аутентификация. Хотя настроена двухфакторная IКЕ-аутентификация с использованием сертификатов, хранящихся на Aladdin eToken USB и Cisco ACS RADIUS, но все равно остается слабое звено в виде паролей пользователей. Чтобы избежать этого, можно использовать однократные пароли, такие, как RSA Security SecurlD. Cisco ACS легко интегрируется с этим продуктом. Необходимо определить правила безопасности.

Шаг 3. Избыточность Cisco ACS. Сервер Cisco ACS играет важную роль в аутентификации пользователей VPN. Хотя сервис функционирует на аппаратной платформе, поддерживающей полное резервирование, но все равно существует вероятность отказа. Поэтому рекомендуется установить второй сервер Cisco ACS и настроить репликацию конфигурации.

Шаг 4. Избыточность VPN-концентратора. Хотя в данный момент доступ через VPN не является критически важным, но при изменении этого требования может понадобиться покупка дополнительно концентратора. Если не будет возможности купить такую же модель, можно остановиться на модели Cisco VPN 3005 для первичной замены в случае выхода из строя основного концентратора. Следует задать правила безопасности.

Шаг 5. Избыточность сервера syslog. Сервер – центральная и единственная точка сбора всех журналов, и его доступность является критически важной для функционирования сети. Рекомендуется организовать кластеризацию программного обеспечения сервера и определить правила безопасности.

Шаг 6. Избыточность инфраструктуры компании. Для повышения отказо– и катастрофоустойчивости инфраструктуры компании рекомендуется создать резервный центр обработки данных и определить правила безопасности.

Приложение 1 ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В США

В начале 2005 года Институт компьютерной безопасности (Computer Security Institute, CSI) и Группа по компьютерным вторжениям отделения Федерального бюро расследований в Сан-Франциско (San Francisco Federal Bureau of Investigation's Computer Intrusion Squad) опубликовали очередное, девятое, исследование состояния информационной безопасности в США. Этот проект (www.GoCSI.соm) является наиболее продолжительным в мире по времени по сравнению с аналогичными. Как изменилась динамика инцидентов в области информационной безопасности в 2004 году? Какие проблемы безопасности сегодня злободневны? Как эти проблемы безопасности проецируются на российские компании и организации? Далее представлены основные результаты исследования CSI/FBI2004 года и комментарии к ним.