Технологии защиты внутренних сетей и хостов.

Виртуальные локальные сети.

Виртуальные локальные сети VLAN были созданы с одной единственной целью – предоставить администраторам возможность определять гибкие широковещательные домены с множеством коммутаторов.

Виртуальная частная сеть (VPN) – это подключение, установленное по существующей общедоступной инфраструктуре и использующее технологии шифрования и аутентификации для обеспечения безопасности содержания передаваемых пакетов. Виртуальная частная сеть создает виртуальный сегмент между любыми двумя точками доступа к сети. Она может проходить через общедоступную инфраструктуру локальной сети (local area network – LAN), подключения глобальной сети (wide-area network – WAN) или Интернет.

Защита хоста.

Здесь термин защита описывает инсталляцию типичной или стандартной установки операционной системы или приложения, а также проведение модификаций для уменьшения ее потенциальной подверженности опасностям. Объем защиты зависит от роли хоста в сети. Защита позволяет построить надежный сетевой периметр.

В системе безопасности сети каждый защищенный уровень позволяет построить качественный хост, подходящий для приложений и пользователей. Операционные системы и приложения содержат уязвимые места, которые могут использовать нарушители, даже если эти уязвимые места еще не обнаружены и о них не объявлено публично.

Виртуальные локальные сети.

Виртуальные сети часто применяются для определения на основе одного физического коммутатора множества виртуальных коммутаторов. Эта функция применяется в тех случаях, когда множество серверов должны находиться в относительной близости друг от друга, например, в условиях серверной площадки. Благодаря этой функции, один коммутатор способен управлять множеством виртуальных сетей, каждая из которых представляет свой широковещательный домен. Гибкая природа настройки виртуальных сетей и обилие опций для внутри и межсетевых подсетей по умолчанию доступны в высококачественных реализациях VLAN. Все это делает виртуальные сети крайне привлекательным средством для сетевых администраторов.

К сожалению, применение виртуальных сетей с целью определения границ зон безопасности менее надежно, чем использование для каждой подсети выделенных коммутаторов. Не очень надежная изоляция ресурсов при помощи VLAN порождает ряд уязвимых мест в программных реализациях виртуальных сетей, а также легкость, с которой взломщик может преодолеть установленные виртуальной сетью границы в случае внесения нарушений в ее настройку.

Границы виртуальных локальных сетей.

VLAN сети нуждаются в маршрутизаторе, который будет перенаправлять трафик между виртуальными сетями, тем самым определять границы.

Маршрутизация может быть достигнута при помощи традиционных средств контроля трафика (маршрутизатор и списк контроля доступа ACL (Access Control List)).

Поставщики высокотехнологичных коммутаторов (Cisco) предлагают в составе своих продуктов аппаратные модули, реализующие высокоскоростную маршрутизацию внутренних VLAN-пакетов средствами самого коммутатора. Например, поддерживают функцию многоуровневой коммутации MLS (Multilayer Switching), которая реализуется при помощи специальных карт расширения, обладающих возможностями виртуальных маршрутизаторов и способных маршрутизировать трафик между виртуальными сетями. MLS также поддерживает списки контроля доступа, которые можно использовать для управления трафиком, пересекающем границы виртуальных сетей.

Для реализации зон безопасности в представленном ранее примере можно использовать виртуальные сети, основанные на одном единственном коммутаторе.

Пересечение границ виртуальных локальных сетей.

Стандарт IEEE 802.1q: проходящие через VLAN-коммутаторы Ethernet-кадры относятся к той виртуальной сети, чей заголовок тега ( инф. о породившей его вирт. сети) указан в кадре сразу же за полем аппаратного МАС-адреса (в случае наличия в сети логически между собой коммутаторов, кот. как одно целое устройство, управляют множеством виртуальных сетей.

Атака: возможность подделать пользовательские кадры стандарта 802.1q, которые коммутатор перенаправляет указанному адресату (VLAN), минуя 3-ий уровень сетевой модели OSI, хотя обычно механизм маршрутизации этого уровня все же принимает участие в организации внутри сетевых соединений. (уязвимы Cisco Catalyst 2900). Но взломщик должен обладать доступом к активному логическому порту – т.е. способен взломать Ethernet-кадры, предназначенные для произвольной виртуальной сети, за счет подключения к виртуальной сети, содержащей логически связанные порты.

Но всё-таки виртуальные сети для оптимизации сетевого быстродействия, но не для обеспечения безопасности. Если необходимо создать сетевое окружение с высокой степенью безопасности, нужно пользоваться не виртуальными коммутаторами для реализации каждого сетевого сегмента (= неспособность взломщика устанавливать межсетевые соединения в обход маршрутизатора).

Если все же решиться на использование виртуальных сетей, в случае наличия в сети высокотехнологичных коммутаторов, которые позволяют создавать новые виртуальные подсети при помощи незначительных изменений своей конфигурации, то необходимо в обязательном порядке учитывать вероятность взлома такой инфраструктуры на 1-ом и/или 2-ом уровнях сетевой модели OSI.

Зато не приходится волноваться на счет сложности или запутанности сетевых настроек, но коммутатор будет игнорировать заданные ограничения межсетевого доступа.

50. Частные виртуальные локальные сети.

Частная вирт. локал. сеть – группа сетевых портов, которая специально настроена на изоляцию от прочих портов той же виртуальной сети. Они позволяют ограничивать взаимодействие хостов, размещенных в пределах одной виртуальной сети. Маршрутизаторы и брандмауэры способны накладывать такие ограничения только на пересекающий границы трафик. Частные же VLAN позволяют изолировать друг от друга хосты, расположенные в пределах одной и той же подсети. Такая способность особенно полезна для усиления ограничений на серверной площадке, где серверы часто располагаются в пределах одной и той же физической подсети, но крайне редко нуждаются в неограниченном доступе друг к другу.

1) универсальные порты - способны устанавливать соединение с любым другим портом. (обычно принадлежат маршрутизаторам и брандмауэрам).

2) изолированные порты - полностью отгорожены от всех прочих портов частной виртуальной сети за исключением универсальных.

3) групповые порты - способны общаться только друг с другом и с универсальными портами.

Атака: можно обойти ограничения частной VLAN за счет маршрутизации внутреннего трафика выделенным маршрутизатором. Расположенные в пределах одной подсети хосты напрямую общаются между собой. Взломщик, получивший доступ к одному из хостов частной виртуальной сети, может маршрутизировать пакеты в направлении соседней системы. Поскольку маршрутизаторы, как правило, соединены с универсальными портами, то они способны перенаправлять сетевой трафик на 3-ем уровне сетевой модели вопреки любой изоляции, созданной средствами частной виртуальной сети на 2-м уровне. Для предотвращения подобной ситуации необходимо настроить списки контроля доступа ACL главной виртуальной сети на отказ в доступе трафика, источник и приемник которого расположены в пределах одной подсети.

Вероятность взлома границ виртуальных сетей намного выше аналогичной вероятности для сетей, физически разделенных коммутаторами.

Виртуальные частные сети.

Все более общей становится необходимость перемещать информацию с одного веб-сайта на другой. Основной вопрос: " Как мы можем безопасно передавать наши данные? " Раньше с помощью дорогих частных линий связи, которые арендовались у поставщиков услуг связи таким образом, чтобы компания получала частный сегмент такой линии связи. С увеличением расстояний значительно возросла стоимость подобных подключений.

Виртуальная частная сеть (VPN) – это подключение, установленное по существующей общедоступной инфраструктуре и использующее технологии шифрования и аутентификации для обеспечения безопасности содержания передаваемых пакетов. Виртуальная частная сеть создает виртуальный сегмент между любыми двумя точками доступа к сети. Она может проходить через общедоступную инфраструктуру локальной сети (local area network – LAN), подключения глобальной сети (wide-area network – WAN) или Интернет. Каналы, пересекающие общедоступную инфраструктуру сети Интернет делают недорогими и эффективными удаленные сетевые решения, поскольку для их организации можно использовать любой доступ к сети Интернет.

52. Основы построения виртуальной частной сети.

Типы VPN по конфигурации:

узел-узел (host-to-host),

узел-шлюз (host-to-gateway)

шлюз-шлюз (gateway-to-gateway)

Для организации канала связи, проходящего через Интернет, можно использовать виртуальную частную сеть любого типа, хотя виртуальные частные сети типа узел-узел часто также используются в качестве средства конфиденциальной связи в отдельном локальном сегменте сети.

Независимо от используемой среды передачи данных, типа конфигурации и совместно используемой инфраструктуры, которую пересекают информационные пакеты, виртуальные частные сети – это мощный инструмент, который можно использовать различными способами для создания безопасного коммуникационного канала.

53. Основы методологии виртуальных частных сетей.

Основной концепцией виртуальных частных сетей является защита шифрованием канала связи. Связь можно защитить шифрованием на различных уровнях сетевой модели взаимодействия открытых систем OSI, а именно:

· прикладном (7-й уровень). Шифрование при помощи программ, подобных пакету PGP, или через каналы типа Secure Shell (SSH). Кроме того, удаленные односеансовые программы (pcAnywhere) и многосеансовые программы (Terminal Server) могут применять шифрование для зашиты удаленных соединений. Большинство этих программ работает на участке сети от узла до узла, что означает, что они предлагают защиту только для содержательной части пакета, а не всего пакета в целом. Исключение составляет протокол SSH, который может использовать режим port-forwarding для создания туннеля.

· транспортном (4-й уровень). Для защиты содержимого пакетов конкретного сеанса связи между двумя сторонами можно использовать протоколы, аналогичные протоколу защищенных сокетов (Secure Sockets Layer – SSL). Обычно такой метод используется при соединениях, установленных посредством web-браузера. При этом вновь защищается только содержательная часть передаваемых пакетов, а IP-пакеты, которые несут эту информацию, доступны для просмотра. Протокол защищенных сокетов (SSL) также может использоваться для организации туннеля при других типах соединения.

· сетевом (3-й уровень). На сетевом уровне протоколы, подобные IPSec, не только зашифровывают содержательную часть пакета, но они также зашифровывают информацию самого протокола TCP/IP. Хотя информация об IP-адресах сторон, шифрующих и расшифровывающих пакет, необходима для облегчения надлежащей маршрутизации, высокоуровневая информация, включая транспортные протоколы и связанные порты, может быть полностью скрыта. Информация об IP-адресе получателя может также быть скрыта, если шлюзовое устройство такое, как маршрутизатор, брандмауэр или концентратор, выполняет шифрование, используя концепцию, называемую туннелированием (tunneling).

· канальном (2-й уровень).

54. Туннелирование.

Туннелирование – это процесс инкапсуляции одного типа пакета внутри другого с целью получения некоторого преимущества при его транспортировке.

Можно использовать, чтобы послать широковещательный трафик через маршрутизируемую сетевую среду или трафик протокола NetBEUI через сеть Интернет, или чтобы применить шифрование для обеспечения безопасности IP-пакетов. Использование технологии туннелирования в качестве средства шифрования можно проиллюстрировать на примере виртуальной частной сети типа шлюз-шлюз.

Например, две сети связанны через виртуальную частную сеть, она находится между двумя брандмауэрами. 1) Брандмауэр переводит все пакеты в зашифрованный вид и добавляет к ним новый IP-заголовок со своим собственным IP-адресом и IP-адреса получателя пакета. 2) удаленный брандмауэр получает пакет, расшифровывает его снова в первоначальный вид и передает узлу сети, для которого он изначально предназначался. Виртуальный сегмент сети, создаваемый между двумя шлюзовыми оконечными точками, называют туннелем. Узлы сети не имеют ни малейшего представления ни о чем, процесс, полностью контролируется шлюзовыми устройствами.

Несмотря на то, что при использовании процесса туннелирования системные IP-адреса узлов сети замаскированы от внешнего мира, они все же не обладают полной анонимностью. Поскольку доступны IP-адреса шлюзовых устройств, то подслушивающие все еще могут определить, кто с кем поддерживает связь.

Применение шифрования, инкапсуляции и туннелирования не обеспечивает недоступность отправляемых пакетов.

Достоинства VPN.

- стоимостная эффективность использования общественной сетевой среды для транспортирования частной информации и достижение высокого уровня безопасности.

- множество уровней безопасности в общедоступной сетевой среде (усовершенствование конфиденциальности, целостности и аутентификации. )

- реализация без промедления, не ожидая прокладки линий связи или других факторов.

- для подключения удаленных пользователей местный доступ к Интернет везде, где бы они ни находились, вместо того, чтобы делать дорогостоящие междугородные звонки.

Недостатки виртуальной частной сети.

- шифрование вызывает дополнительную сетевую нагрузку

- Встраивание виртуальной частной сети в существующую сеть может быть сложной задачей из-за дополнительных накладных расходов на пакет.

- определенные проблемы с проектированием виртуальных частных сетей

- проблема ликвидации конфликтов формируемого трафика

Защита хоста.

Уровни защиты.

любое приложение, установленное на незащищенную операционную систему, имеет повышенный шанс успешно эксплуатироваться злоумышленниками вследствие уязвимых мест операционной системы (Ошибка разработки или ошибка в коде приложжения)

Необходимо найти золотую середину между безопасностью и функциональными возможностями и определить, какая степень риска допустима для обеспечения работы

При увеличении уровня безопасности хоста мы, как правило, уменьшаем уровень удобства для его пользователей. Это одна из причин, по которой системы не поставляются нам защищенными по умолчанию. Функциональные запросы и требования безопасности широко варьируют в зависимости от роли хоста.

Уровень 1: Защита от локальных атак.

Защита конфигурации хоста от локальных атак довольно проста:

· ограничить использование утилит управления;

· использовать правильные права доступа к файлам;

· правильно обращаться с пользователями;

· эффективно работать с группами;

· регистрировать данные, относящиеся к безопасности.

⇐ Предыдущая 2 3 4 5 6 789 10 11 Следующая ⇒