Читаем Политики безопасности компании при работе в Интернет полностью

Как было сказано выше, в компании существуют две DMZ-зоны, одна для доступа к Web-приложениям и другая для выхода в Интернет, каждая из зон защищена межсетевыми экранами. Это было сделано для разделения ресурсов, чтобы проникновение злоумышленников в одну из зон не сказалось на работе другой зоны.

Каждый межсетевой экран имеет 5 интерфейсов, подключенных к разным зонам. Межсетевые экраны также имеют выделенный интерфейс для управления Out-of-band посредством сервера Check Point Management Console из зоны управления. Это повышает защищенность управляющего трафика и делает недоступным изменение наблюдаемого трафика, так как он не проходит через общую сеть.

Система межсетевых экранов реализована в варианте с полной избыточностью и масштабируемостью. Это достигается путем использования Nokia IPSO VRRP и возможностью синхронизации соединений Firewall-1. Через межсетевые экраны разрешен ограниченный набор трафика согласно принятой в компании политики безопасности. На этом же уровне реализована и защита от атак SYN Flood.

4.2.2. Зона доступа к Web-приложениям компании

Эта зона защищена на уровне представления, промежуточном уровне, а также на уровне баз данных компании. Серверы названной зоны защищены в соответствии с рекомендациями руководств SANS (www.sans.org): Level-1 Benchmark for Windows 2000, Level-2 Windows 2000 Professional Operating System Benchmark, Level-2 Windows 2000 Server Operating System Benchmark, а также в соответствии с официальными руководствами компании Microsoft (www.microsoft.com): Security Operations Guide for Windows 2000, Hardening Guide for Windows 2000.

Для централизованного управления обновлениями используется продукт Microsoft SMS 2003. На Web-cepeepax выполняется Microsoft IIS 5.0. Серверы имеют по два сетевых интерфейса. Через один интерфейс поступают запросы из Интернета, через другой осуществляются запросы к базе данных. Таким образом реализуется изоляция Web-приложений от базы данных.

4.2.3. Зона выхода в Интернет

Эта зона безопасности обеспечивает доступ в Интернет из внутренней сети. Здесь также используется концепция разделения сети. Каждое устройство имеет два интерфейса – один для подключения к публичной зоне и другой для доступа к внутренней зоне с отключенной маршрутизацией пакетов между ними. Все оборудование дублируется для обеспечения высокой степени доступности. DNS Forwarder установлен на Windows 2000 Service Pack 4, Microsoft DNS Service на аппаратной платформе Compaq Proliant DL360. SMTP Smart Host установлен на OpenBSD 3.2 with Sendmail v.8.12.6 на аппаратной платформе Compaq Proliant DL360.

Для реализации политики использования Интернета развернут продукт Websense. Он предназначен для ограничения доступа к определенным Web-peсурсам, запрещенным политикой использования Интернета, например к Web-почте, чатам, сайтам с непристойным содержанием, блокирует службы мгновенного обмена сообщениями и одноранговые файлообменные сети. Websense также обеспечивает определение и удаление ActiveX и Java applets, позволяет создавать отчеты об использовании ресурсов Интернета конкретными сотрудниками. Для обнаружения вирусов в трафике HTTP, SMTP и FTP используется продукт Trend Micro InterScan Virus Wall.

SMTP-серверы. SMTP-серверы работают на OpenBSD 3.2 с Sendmail v.8.12.6. Это один из немногих случаев, когда используется продукт, не произведенный Microsoft. Выбор обусловлен тем, что Microsoft Exchange 2000 Server обладает избыточными для компании функциональными возможностями, которые не нужно делать доступными из Интернета. Также, по сравнению с Sendmail, Microsoft Exchange характеризуется достаточно слабым уровнем защиты. По этим причинам и был сделан выбор в пользу Sendmail на платформе OpenBSD, которая является одной из самых защищенных операционных систем. OpenBSD и Sendmail бесплатны, что ведет к уменьшению расходов на построение системы. OpenBSD и Sendmail были защищены в соответствии с рекомендациями производителей. Установлен минимально необходимый набор пакетов, включены только необходимые сервисы и установлены все существующие обновления и сервисные пакеты. На SMTP-сервере также установлено программное обеспечение для защиты от спама. Все входящие сообщения перенаправляются на внутренний сервер Microsoft Exchange, функционирующий в режиме кластера. Принимаются и направляются вне сети только сообщения, которые были получены от этого внутреннего сервера. Во всех исходящих сообщениях изменяется заголовок для удаления информации о внутренней маршрутизации и изменяется SMTP-приглашение, чтобы затруднить злоумышленникам получение информации о версии программного обеспечения внешнего SMTP-сервера. Для предупреждения возможности просмотра списка почтовых ящиков и сервисов отключены команды VRFY и EXPN.

DNS. В качестве концепции построения DNS было выбрано решение по разделению на внутренний и внешний DNS. Внешний DNS-сервер обслуживается интернет-провайдерами и находится в их зоне ответственности. Эта опция обеспечивает дополнительную безопасность, связанную с проблемами администрирования, и уменьшает необходимость разрешения входящего DNS-трафика, так как исторически DNS-серверы являются одним из наиболее слабо защищенных сервисов и постоянной мишенью для атак злоумышленников. Этот дизайн также обеспечивает избыточность и улучшает доступность сервисов, потому что вероятность, того что DNS-серверы обоих провайдеров одновременно подвергнутся атаке и не смогут обслуживать запросы, достаточно мала.

DNS-сервер, расположенный в DMZ, работает с использованием службы Microsoft DNS и установлен на операционную платформу Microsoft Windows 2000 Service Pack 4. Серверы сконфигурированы как «только кэширующие», без установленных DNS-зон и перенаправляют все запросы на DNS-серверы провайдера. С провайдерами подписаны специальные соглашения по защите этого сервиса. Процесс разрешения имен, таким образом, становится более защищенным, так как используются строго определенные внешние серверы.

VPN. Для обеспечения доступа к корпоративной сети работающим удаленно сотрудникам и персоналу, ответственному за управление сетевыми устройствами, используется концентратор Cisco VPN 3030. Доступ по коммутируемым соединениям запрещен. Так как сервис VPN не является критичным для обеспечения бизнес-процессов, то применяется только одно устройство. При изменении этих требований может быть установлено дополнительное устройство для обеспечения избыточности. Доступ с использованием VPN построен на следующих принципах:

• каждый сотрудник, использующий этот сервис, подписывает политику использования VPN;

• разрешен к применению только протокол IPSec с шифрованием 3DES. РРТР и L2TP не поддерживаются;

• для аутентификации на этапе 1 (IKE) используются сертификаты;

• сертификаты выпускаются и распределяются внутренним Центром управления сертификатами;

• сертификаты хранятся на аппаратном токене Aladdin Software eToken. Выдаются каждому сотруднику компании, использующему этот сервис, отделом информационной безопасности. eToken является небольшим, простым в применени USB-устройством, где доступ к сертификату защищен паролем. После создания ключи сертификатов не могут быть экспортированы из устройства;

• каждый сотрудник имеет персональный идентификатор и пароль для этого сервиса. Аутентификация и управление идентификаторами осуществляются с использованием Cisco ACS RADIUS;

• Cisco ACS RADIUS также обеспечивает выдачу IP-адресов и применение списков контроля доступа для подключающихся сотрудников компании;

• Zone Labs Integrity Server применяет политику на персональном межсетевом экране и антивирусном программном обеспечении на каждом подключаемом через VPN компьютере. Эта политика определяется отделом информационной безопасности и принудительно применяется при подключении;