Компоненты и уровни безопасности
Определение зон и рекомендации для политик
- Интернет-зона
Эта зона, по существу, является Интернетом, в котором фильтрация не производится. Данная зона идентифицирована, потому что мы нуждаемся в описании того, как мы соединяемся с Интернетом из других зон. Здесь принимаем во внимание тот факт, что мы не имеем управления внутри этой зоны; однако мы можем (и безусловно, желаем) вводить в действие элементы управления границами между Интернетом и другими типами зон, над которыми мы имеем контроль. Характеристиками ресурсов в интернет-зоне являются:
- Интернет-зона не рассматривается как часть сети организации.
- Системе в интернет-зоне будет разрешен доступ только к ресурсу прокси-зоны посредством использования предопределенных элементов управления.
- Системе в интернет-зоне не разрешено инициировать соединение с ресурсами зоны доступа к данным или интранет-зоны. Любые управляемые организацией ресурсы, которые могут напрямую соединяться с сегментом интернет зоны, должны иметь адрес, отличный от внутреннего адреса.
- Прокси-зона
Это изолированная подсеть, в которой расположены общедоступные серверы. Сюда могут быть включены те службы, которые мы сделали доступными для пользователей в интернет-зоне (такие, как наша внешняя DNS, почтовые серверы-ретрансляторы, контент-серверы c публичной информацией, а также прокси-серверы). Характеристиками ресурсов в прокси-зоне являются:
- Ресурс находится под физическим контролем организации. Физический контроль требует размещения ресурса в здании организации, здании дочерней компании или в здании доверенного поставщика-аутсорсера.
- К ресурсу разрешен доступ из внешней сети.
- Ресурс имеет доменное имя, содержащееся в зарезервированном только для внешнего использования публичном домене организации. Системы не представляют себя как системы организации, не хранят или не обрабатывают какую-либо бизнес-информацию организации, которая может использовать другие доменные имена, указанные в договорном соглашении с внешним объектом.
- Ресурс не имеет внутреннего IP-адреса ни на одном сетевом интерфейсе.
- Доступ в прокси-зону и к ресурсам прокси-зоны может быть предоставлен внешним объектам.
- Ресурс, созданный или содержащийся в прокси-зоне, не должен хранить конфиденциальную информацию. В рамках этой модели временное кеширование в памяти конфиденциальной информации не рассматривается как ее хранение.
- Ресурс имеет процесс для обнаружения вторжений.
- Ресурс в прокси-зоне должен соответствовать применяемым в организации политикам безопасности.
- Система, которая спроектирована как брандмауэр организации, устанавливает логический барьер для потоков данных.
- Ресурс создает возможность санкционированного удаленного доступа в интранет-зону (к примеру, обычные модемы, кабельные модемы, ISDN, ADSL, VPN и т. д.).
- Зона доступа к данным
Она предназначена для хранения чувствительных данных и размещения публично недоступных серверов, расположенных еще не во внутренней IP-сети в целях обеспечения пространственного разделения. Эта зона используется также для каскадной транспортировки созданных в интранет-зоне публичных данных, которые необходимо передать к публично доступным серверам, а также других данных, которые необходимо синхронизировать между внутренней сетью и публично доступными системами. Характеристиками ресурсов в зоне доступа к данным являются:
- Ресурс должен адресоваться либо по немаршрутизируемому адресу (как определено в RFC 1918), либо по участку из собственного диапазона внешних IP-адресов организации, который не объявляется как маршрутизируемый через интернет- и прокси-зону.
- Ресурс защищен от чужих сетей и систем посредством управляемого организацией периметра безопасности. Этот периметр безопасности ограничивает поток системных данных и данных приложений между зоной доступа к данным и любым из объектов интранет-зоны. В пределах этого периметра реализованы определенные организацией элементы управления безопасностью, ограничивающие потоки данных только до перечня необходимых для используемых ресурсом служб.
- Ресурс находится под физическим контролем организации или авторизованного представителя. Физический контроль требует размещения ресурса в здании организации.
- Ресурс должен управляться и эксплуатироваться служащими организации или санкционированного ИT-провайдера.
- Ресурс должен соответствовать применяемым в организации политикам безопасности.
- Соединенный с зоной доступа к данным ресурс может передавать конфиденциальную информацию другому ресурсу в той же зоне доступа к данным без криптографического скрытия информации.
- Ресурс не разрешает передачу информации или доступ к (или через) ресурсу со стороны любого из внешних объектов (маршрутизация к системе интранет-зоны).
- Ресурс может хранить и обрабатывать секретную информацию в соответствии со стандартами безопасности организации.
- Доступ к ресурсам зоны доступа к данным должен требовать строгой аутентификации любого объекта, нуждающегося в доступе к ресурсу или в хранении данных.
- Интранет-зона
Это внутренняя IP-сеть. В этой зоне находятся все доступные внутри серверы и рабочие станции. Для интранет-зоны характерно следующее:
- IP-адрес ресурса находится в пределах диапазонов внутренних адресов, заданных организации, и доменное имя ресурса содержится только во внутреннем домене, зарезервированном только для внутреннего использования.
- Ресурс защищен от чужих сетей и систем посредством управляемого периметра безопасности.
- Ресурс находится под физическим контролем организации. Физический контроль требует размещения ресурса в здании организации, здании дочерней компании, или в здании доверенного поставщика-аутсорсера.
- Ресурс должен управляться и эксплуатироваться служащими организации, служащими дочерних компаний или санкционированного ИT-провайдера организации.
- Ресурс должен соответствовать применяемым в организации политикам безопасности.
- Ресурс не разрешает передачу информации или доступ к (или через) ресурсу со стороны не принадлежащего организации объекта, за исключением определенного в качестве компонента инфраструктуры (например, маршрутизация к внешнему объекту).
Обратите внимание на то, что мы имеем четыре типа зоны, но не обязательно только четыре действительные зоны. К примеру, мы можем иметь множество проксизон с целью отделения различных сервисов, доступных извне. Мы можем включить специальную, выделенную прокси-зону только для административного доступа. Мы также можем иметь множество интранет-зон для изоляции критических бизнес-систем, таких, как финансовые и кадровые системы. В этой модели ключевым предположением является то, что все серверы в зонах от второго до четвертого типа должны находиться в контролируемых помещениях и управляться доверенным персоналом.
После того как мы определили четыре типа зон, наша модель производит впечатление достаточно простой, но еще далеко не законченной. Далее нам необходимо описать элементы управления, которые мы будем использовать для соединения и/или изоляции систем в различных зонах.
4.2.3 Границы зоны
Зоны безопасности должны быть разделены границами зон. Перед тем как мы идентифицируем необходимые функции каждой отдельной границы, опишем основные цели и принципы границы зоны. Функциями границы зоны являются:
- защищать данные и ресурсы организации от преступного использования, злоупотребления и воровства;
- обеспечивать логическое и физическое разделение сервера и сетевых ресурсов в среде;
- препятствовать всему трафику по умолчанию, за исключением того, который конкретно требуется для содействия разблокированию приложения в интересах ведения бизнеса;
- улучшать защищенность информации, которая отображает саму структуру архитектуры, включая скрытие или "затемнение" ресурсов внутренних серверов и сетей;
- протоколирование входящей и исходящей активности на границах и проведение попыток идентифицировать подозрительные закономерности в трафике данных, где это возможно.
Границы зон с точки зрения проекта сети состоят из брандмауэров. Вспомнили дословное определение брандмауэра как физического барьера для предотвращения распространения огня? Мы можем применить эту метафору при использовании сетевых брандмауэров для блокировки или ограничения возможности со стороны злоумышленника "распространять" влияние на другие зоны. Вспомните также, что существует несколько различных типов брандмауэров. Мы будем определять размещенные по всей архитектуре брандмауэры по тем функциям, которые необходимы на конкретной границе. К примеру, маршрутизатор с возможностью IP-фильтрации технически является брандмауэром, по крайней мере в самом точном значении определения. Допустим, что это тип брандмауэра очень низкого уровня. Но, возможно, нам необходимы как функции IP-фильтрации, так и функции прокси прикладного уровня. Для создания такого типа брандмауэра нам необходимы два устройства, расположенных последовательно.
Дело в том, что мы не можем просто изобразить брандмауэр как интересный эскиз кирпичной стены и предусмотреть какое-либо его реальное назначение в наших сетевых схемах. Мы должны отобразить выполняемые на границе функции, после чего физическая реализация будет обусловлена этими функциями и доступными изделиями, которые способны обеспечить требуемые нами функции и производительность. Когда вы изобразите свою среду с помощью схем, будьте готовы преобразовать логические брандмауэры и их плотные скопления в нижележащую выделенную сеть и ее компоненты. Просто помните, что граница зоны может сама стать зоной по мере нарастания количества применяемых способов защиты. Границы зоны могут стать совершенно нетривиальными.
Одним из установленных ранее принципов является то, что по умолчанию мы должны запретить весь трафик, за исключением необходимого. Это явление рассматривается в области ИT-безопасности как передовой опыт, но зачастую возникают сомнения насчет его осуществления. Сомнения возникают на почве способности точно идентифицировать все адреса, порты и протоколы заблаговременно, после чего сконфигурировать различные фильтры для разрешения только того, что было идентифицировано. В дополнение к этому некоторые протоколы и приложения несовместимы с определенными функциями брандмауэров; например использование протокола IPSec с NAT-брандмауэром сильно зависит от протокола IPSec и конкретного NAT-устройства. Мы считаем, что в большинстве организаций решение на использование приложений принимается бизнес-департаментами, а не ИT-департаментом. Для идентификации потенциальных зависимостей приложений, которые могут иметь проблемы в совместимости при доступе к приложению через различные технологии защиты брандмауэрами, необходимо поднимать вопросы ИT-безопасности еще на стадии планирования новых приложений. На ответственность администраторов ИT-безопасности возлагается минимизация потенциальной незащищенности в области безопасности и ограничение общего риска для владельцев бизнес-приложений и для организации.
Перед тем как мы коснемся некоторых подробных технических характеристик брандмауэров, перечислим основные рекомендуемые нами технические характеристики конфигурации брандмауэров. Мы надеемся, что вы включите эти перечисленные далее характеристики в политику безопасности вашей организации. Обратите внимание на то, что каждая рекомендация может запросто быть преобразована в положение политики простым изменение слова "должен" на слово "будет".
- При использовании множества брандмауэров должно применяться планирование присваивания имен во избежание конфликтов с именами хостов.
- Брандмауэры, воздействующие на трафик в интернет-зоне, должны иметь часто и регулярно выполняемые службы сканирования на предмет уязвимостей
- тестирования на предмет вторжения.
- Брандмауэры интранет-зоны могут иметь разрешенные интерфейсы с санкционированными протоколами мониторинга для использования их ИT-персоналом, управляющим брандмауэрами.
- Протоколирование информации и нарушения безопасности должны обрабатываться в соответствии с процессами и процедурами управления событиями
- безопасности из состава политики безопасности.
- Должны быть разрешены антиспуфинговые фильтры (фильтры противодействия получению доступа обманным путем).
- Для конфигурации брандмауэра правилом по умолчанию должно быть "запретить все".
После того как мы описали рекомендуемую стратегию конфигурирования брандмауэров, приведем "передовой опыт" в настройке функциональности брандмауэров, которая раскладывается на обязательные и рекомендуемые функции.
Обязательные функции брандмауэров
- Возможности IP-фильтрации по перечням портов, хостов и сетей.
- Преобразование сетевых адресов (NAT).
- Службы протоколирования и предупреждающих уведомлений.
- Поддержка туннелированных служб виртуальных частных сетей (VPN):
- службы туннелирования SSH (в качестве предпочтительной поддержки для административной деятельности и деятельности по техническому обслуживанию);
- высокоуровневая поддержка конфигураций распределения нагрузки и обработки отказов.