Построение системы защиты информации на предприятии 'Строй-СИБ'
Содержание
Постановка задачи
. Введение
2. Описание деятельности компании
. Существующая IT-инфраструктура компании
. Результаты исследования корпоративной сети
предприятия
. Предложения по внедрению
6. Физическая структура сети и схема IP-адресации. Схема именования серверов
. Логическая организация сетевой инфраструктуры. Схема Active Directory
. Техническая реализация
.1. Организация шифрованного тоннеля между офисами
.2. Доступ к файловым серверам внутренних клиентов
организации
8.3. Инфраструктура беспроводной сети
.4. Система электронной почты
.5. Системы правил для брандмауэров и IDS
Выводы
Список литературы
Постановка
задачи
В данной работе необходимо исследовать структуру информационной системы
компании «Строй-СИБ», выявить возможные в ней уязвимости, предложить меры по
минимизации вероятности утечки информационных активов путем внедрения
программно-аппаратных средств. С помощью этих средств обнаруживать и
противостоять угрозам конфиденциальности (связанные с несанкционированным
ознакомлением с информацией), угрозам целостности (относящиеся к
несанкционированной модификации или уничтожению информации), угрозам
доступности (относятся к нарушению возможности использования компьютерных
систем или обрабатываемой информации) и угрозам наблюдательности (связанные с
нарушением идентификации и контролем за действиями пользователей,
управляемостью компьютерной системой).
1.
Введение
Сегодня любая компания и любой человек обладают сведениями, которыми они
не желали бы делиться или наоборот - хотели бы продать подороже. Поэтому целью
защиты информации как раз и является препятствование неконтролируемому
распространению данных, предотвращение их потери или отсутствия доступа к ним,
и как результат - обеспечение бесперебойной работы организации.
2. Описание
деятельности компании
Компания «Строй-СИБ» - молодая и активно развивающаяся компания. До
недавнего времени единственным видом деятельности компании являлась торговля
строительными материалами. В настоящий момент компания открывает новое
направление деятельности - выполнение строительно-отделочных работ, расширяет
штат сотрудников и инвестирует средства в обновление IT-инфраструктуры.
До недавнего времени у компании был один офис, но с учетом планируемого
расширения штата компания арендовала дополнительный офис. Планируется, что оба
офиса будут подключены к Internet с помощью высокоскоростного ADSL-соединения.
Для поддержки IT-инфраструктуры предприятия в каждый офис планируется принять
на работу системного администратора.
Основная реклама деятельности компании традиционно сосредоточена в
печатных СМИ, но компания также собирается создать и поддерживать собственный
небольшой Web-сайт, который будет размещен в основном офисе.
3.
Существующая IT-инфраструктура компании
Долгое время сеть основного офиса представляла собой одноранговую сеть
под управлением Windows 98, но управляемость такой сети и ее безопасность со
временем перестали удовлетворять требованиям бизнеса.
С учетом открытия нового направления деятельности компания выделила
средства на обновление всех клиентских компьютеров в основном офисе до
Microsoft Windows XP Professional. Кроме того, закуплено 12 рабочих станций с
предустановленной системой Microsoft Windows XP Professional в новый офис и
пять серверов с установленной версией Microsoft Windows Server 2003 Standard
(три сервера установлены в основном офисе и два - в дополнительном). Закуплено
также беспроводное и ADSL-оборудование компании ZyXEL, заключен договор с
провайдером и выполнено подключение офисов к Internet на скорости 7,5 Мбит/с с
выделением по одному статическому IP-адресу на каждый офис.
В офисы часто приезжают торговые представители с мобильными компьютерами,
имеющими беспроводные адаптеры. Для удобства подключения к сети было решено
организовать в офисах беспроводной доступ к сети. сеть сервер электронный корпоративный
Тем не менее, в компании нет IT-специалистов достаточного уровня для
сознания новой инфраструктуры сети и обеспечения безопасности, поэтому в
настоящий момент серверы не подключены к сети и сеть каждого офиса по-прежнему
представляет собой одноранговую сеть, не подключенную к Internet. Существующая
IT-инфраструктура приведена на рисунке 1.
Рисунок 1. Существующая IT-инфраструктура компании
Таблица 1. Список компьютерного и сетевого оборудования
|
Оборудование/ПО
|
Модель или
спецификация
|
Кол-во
|
|
Сервер
|
Pentium-4
2800 Mhz, 1 Gb RAM, 120 Gb (ATA), 2 сетевых адаптера Gigabit Ethernet, ОС
Windows Server 2003 Standard English SP1
|
5
|
|
Рабочая станция
|
Celeron
2200 Mhz, 512 Mb RAM, 40 Gb HDD (ATA), сетевой адаптер Fast Ethernet ОС
Windows XP Professional English SP2
|
32
|
|
Интернет-центр
|
ZyXEL P-2602HW
(802.11g, ADSL, Firewall, VoIP)
|
1
|
|
Интернет-центр
|
ZyXEL P-662HW
(802.11g, ADSL, Firewall)
|
1
|
|
Беспроводная точка доступа
|
ZyXEL G-3000
(802.11g)
|
1
|
|
Беспроводной адаптер USB
|
ZyXEL G-220
(USB, 802.11g)
|
4
|
4.
Результаты исследования корпоративной сети предприятия
Главные задачи, которые стоят перед нами - обеспечить
безопасное соединение между двумя офисами, обеспечить безопасный беспроводной
доступ в обоих офисах компании, а также предложить решение, позволяющее
пользователям получать «прозрачный» доступ к ресурсам (общим папкам и
принтерам) и упростить администрирование сети по сравнению с одноранговой
сетью. В случае если имеющееся оборудование не позволяет решить поставленные
задачи, может быть предложена закупка дополнительного оборудования.
1. Роли серверов в офисах. В каждом из офисов один
из серверов должен выполнять роль файлового сервера для хранения документов и
обмена документами между сотрудниками офиса, а также для обмена документами
между офисами.
2. Обмен документами и доступ к информации. Обмен документами между
офисами должен осуществляться только через файловый сервер (своего или
удаленного офиса). Прямой обмен документами между клиентскими станциями разных
офисов должен быть заблокирован.
Для сотрудников офиса доступ ко всем общим папкам этого же
офиса (на файловом сервере и клиентских станциях) и к файловому серверу,
расположенному в другом офисе должен быть «прозрачным», то есть не должны
запрашиваться имя и пароль.
Работа с документом, расположенным на файловом сервере
удаленного офиса, не должна ничем отличаться от работы с документом,
расположенным на файловом сервере «своего» офиса.
3. Подключение к Internet. Сети обеих офисов должны
быть подключены к Internet. На первом этапе всем пользователям должен быть предоставлен
одинаковый и неограниченный выход в Internet. Должны быть приняты меры, затрудняющие
атаки из Internet.
4. Защита информации при обмене между офисами. Для защиты передаваемой
между офисами информации должно быть организовано шифрование на этапе передачи
данных через Internet (шифрованный туннель).
5. Беспроводное подключение в офисах. В обоих офисах решено
организовать беспроводной доступ к сети организации для приезжающих торговых
представителей и партнеров. Беспроводной доступ должен быть
аутентифицированным, то есть клиентский компьютер должен сообщить беспроводной
точке доступа соответствующие учетные данные. Беспроводное решение также должно
обеспечивать конфиденциальность передаваемого беспроводного трафика путем
шифрования. При шифровании беспроводного трафика требуется периодическая смена
ключа шифрования для затруднения криптографических атак.
6. Web-сервер организации. Web-студией разработан Web-сайт компании, который
должен быть размещен на одном из серверов основного офиса и к которому
требуется обеспечить доступ из Internet.
5.
Предложения по внедрению
Предлагается, использовать два дополнительных программных
продукта. Это две копии Microsoft ISA Server 2004 и почтовый сервер Microsoft Exchange Server 2003 с лицензиями на
необходимое количество пользователей.
Организацию шифрованного тоннеля между офиса компании можно
организовать с помощью встроенных средств операционной системы Windows Server 2003 (служба RRAS). Решение о закупке и
установке ISA Server было принято в связи со следующими соображениями:
1. Возможность удобно настроить безопасный шифрованный
тоннель между главным офисом и филиалом
2. Возможность ограничивать доступ к ресурсам сети
Интернет (фильтрация протоколов уровня приложений, разграничение доступа по
группам)
. Возможность генерировать отчеты и проводить анализ
использования сети Интернет
Копия Microsoft ISA Server 2004 с лицензией на 1
процессор стоит в SoftLine 1629 долларов США. Для организации предлагается закупить 2
копии этого программного обеспечения, таким образом, затраты на данном этапе
составляют 3258 долларов США.
В качестве почтового сервера компании предлагается
использовать Microsoft Exchange Server 2003. Основными преимуществами такого решения
являются:
1. Тесная интеграция с Active Directory, привязка почтового
ящика пользователя к учетной записи пользователя Windows. Регистрация
пользователя в сети также является регистрацией на почтовом сервере (не
требуется предоставлять отличных учетных данных только для почтового сервера).
2. Возможность работать с Exchange Server с помощью Microsoft Outlook 2003, который уже
установлен на рабочих станциях пользователей компании.
. В случае если компании потребуется предоставлять
удаленный доступ сотрудников к своим почтовым сообщениям, Exchange Server предоставляет
возможности использовать протоколы POP3, IMAP4 или Outlook Web Access. Наличие в сети ISA Server 2004 позволяет легко
опубликовать эти службы.
. Возможность гибко настраивать группы хранения. Почта
различных групп пользователей может храниться в различных группах хранения, что
позволяет, например, гибко планировать стратегию резервного копирования
почтовых сообщений.
. Возможность не только обмениваться электронными
сообщениями, но и планировать собрания и встречи, обмениваться задачами.
. Интеграция в AD и централизованное
управление позволяют снизить затраты на повседневное обслуживание почтовой
инфраструктуры.
Копия Microsoft Exchange Server 2003 Standard Edition с 5 клиентскими
лицензиями доступа стоит в SoftLine 1345 долларов США. Для обеспечения доступа всех
сотрудников компании к почтовому серверу необходимо дополнительно приобрести 6
комплектов клиентских лицензий (по 5 в каждом комплекте) по цене 470 долларов
США за один комплект. Таким образом, расходы на внедрение почтовой системы
компании составляют 4165 долларов США. Следует учесть, что надежная система
электронной почты является неотъемлемым атрибутом успешного ведения бизнеса.
6.
Физическая структура сети и схема IP-адресации. Схема именования серверов
Рисунок 2 - Общая схема сети компании (главный и
дополнительный офисы)
В каждом из офисов компании один из серверов будет использоваться в
качестве шлюза между внутренней сетью компании и сетью Интернет, поэтому на нем
будут задействованы два сетевых адаптера. Другой сервер будет хранить
централизованную базу учетных записей пользователей, политики безопасности, а
также предоставлять сервисы назначения IP-адресов клиентским компьютерам (DHCP) и разрешения имен (DNS). Также этот сервер будет выполнять функции файлового
сервера и сервера печати. Я решил, что на этих серверах будет использоваться
только один сетевой адаптер. Из имеющегося в распоряжении оборудования ZyXEL было принято решение использовать
только два Интернет-центра ZyXEL P-662HW (по одному в каждом из офисов для
соединения сервера-шлюза офиса с Интернет). С помощью них также осуществляется
подключение беспроводных клиентов к сети организации. Было принято решение
беспроводную точку доступа ZyXEL G-3000 не использовать.
Такое решение было продиктовано желанием унифицировать IT-инфраструктуру главного офиса компании и филиала, сократив,
таким образом, расходы на обучение обслуживающего персонала. Третий сервер в
главном офисе используется для размещения содержимого Интернет-сайта
организации.
Для обеспечения маршрутизации между офисами внутренние сети офисов
организации имеют различные схемы IP-адресации. Предоставим схемы сетей главного офиса компании и филиала:
Рисунок 3 - Схема сети главного офиса
Рисунок 4 - Схема сети дополнительного офиса
Названия серверных компьютеров были выбраны в соответствие с ролями,
которые они будут выполнять в будущем.
7.
Логическая организация сетевой инфраструктуры. Схема Active Directory
В качестве централизованного средства администрирования и управления
сетевой средой предлагается использовать службу каталогов Active Directory. Для организаций, внедряющих Microsoft Windows Server 2003, модель домена Active Directory является наиболее предпочтительной и
рекомендованной компанией Microsoft. База данных службы каталогов устанавливается на один или несколько
компьютеров - контроллеров домена. Рекомендуется всегда применять не менее двух
контроллеров домена Active Directory для исключения ситуаций, в которых
происходит потеря базы данных службы каталогов. Active Directory при умелой работе администратора
позволяет значительно сократить расходы на поддержку IT-инфраструктуры: время выполнения многих административных
задач удается значительно сократить по сравнению с администрированием
одноранговой сети.
В сети организации предлагается использовать один домен - stroy-sib.local. При этом в каждом офисе установлено
по одному контроллеру домена (на компьютерах DC-01 и DC-02
соответственно). В качестве DNS-суффикса
домена используется ".local",
что является рекомендованным к применению в частных сетях. Таким образом,
обеспечивается отказоустойчивость Active Directory - если
один из контроллеров выйдет из строя, полная реплика AD сохранится на другом контроллере и сведения о пользователях,
членстве в группах, политике безопасности и т.д. утеряны не будут. Для работы Active Directory требуется служба DNS, поэтому контроллеры домена DC-01 и DC-02 являются также северами DNS. На них создана основная зона прямого просмотра stroy-sib.local,
которая интегрирована с Active Directory (AD-integrated zone) и работает в режиме только защищенных динамических
обновлений. Кроме того, серверы DNS
поддерживают две основные зоны обратного просмотра: 1.168.192.in-addr.arpa и
1.16.172.in-addr.arpa.
Настройка этих зон производится аналогично зоне прямого просмотра.
Поскольку офисы компании (а значит и контроллеры домена) удалены друг от
друга и будут связаны друг с другом каналом, использующим публичную сеть
(Интернет), то домен компании будет состоять из двух сайтов, каждый из которых
соответствует одному офису. Такая организация службы каталогов имеет следующие
преимущества:
1. Репликация Active Directory между
контроллерами, находящимися в разных сайтах проходит с применением сжатия
информации, что позволяет снизить объем трафика, передаваемого по каналу связи
2. Клиентские компьютеры и пользователи в сайте проходят
аутентификацию на контроллере домена своего сайта (исключается вход в систему
через медленные межсайтовые каналы связи, что замедляет вход в систему)
Рисунок 5 - Сайтовая схема организации и репликации Active Directory
Основным методом разрешения имен хостов в сети, конечно же, является
служба DNS. Однако, для совместимости с
приложениями, использующими NetBIOS
и требующими разрешения NetBOIS-имен,
предлагается на контроллеры домена установить службу WINS и настроить репликацию WINS в режиме Push/Pull. У всех рабочих станций в сети
задается по два адреса DNS и WINS серверов: в качестве основного
сервера DNS/WINS указывается IP-адрес сервера своего офиса, в качестве вторичного - IP-адрес сервера в удаленном офисе.
Таким образом, обеспечивается отказоустойчивая система регистрации в сети (два
контроллера домена) и разрешения имен (два сервера разрешения имен).
Для назначения IP-конфигурации
рабочим станциям внутренней сети и беспроводным клиентам применяется служба DHCP. Служба DHCP из соображений отказоустойчивости установлена на двух
серверах в каждом из офисов компании. При этом, компьютер ISA-0x самостоятельно обслуживает область адресов, которые выдаются
беспроводным клиентам, а область адресов, соответствующая внутренней сети
офиса, обслуживается компьютерами DC-0x и ISA-0x
одновременно, в соответствие с правилом 80/20. Таким образом, в случае отказа
одного из серверов, второй сервер примет на себя, его функции по предоставлению
IP-конфигурации клиентам внутренней
сети и обеспечит бесперебойную работу.
8.
Техническая реализация
8.1
Организация шифрованного тоннеля между офисами
Для организации шифрованного VPN-туннеля между главным офисом компании и
офисом-филиалом используется программный продукт Microsoft ISA Server 2004
Standard Edition SP1. Server 2004 SP1 устанавливается на компьютеры ISA-01 и
ISA-02. На ISA-01 создается пользователь BranchOffice с правами
удаленного дозвона (allow Dial-in), а на ISA-02 - пользователь MainOffice.
VPN-соединение настраивается между компьютерами ISA-01 и ISA-02. Для
прохождения IP-трафика до ISA-0x на соответствующем Интернет-центре ZyXEL
включен режим трансляции IP-трафика на ISA-0x и трансляция портов по методу
One-To-One (т.е. запрос из сети Интернет на определенный порт Интернет-центра
транслируется им на соответствующий порт компьютера ISA-0x). VPN-соединение
между офисами устанавливается с помощью функции подключения удаленных сетей ISA
Server 2004 (Remote Sites). Предлагается использовать протокол PPTP со 128-битным
MPPE шифрованием. Протокол PPTP не требует сложных первоначальных настроек (в
частности выписки цифровых сертификатов). Хотя протокол L2TP считается более
защищенным нежели PPTP, я считаю, что уровень безопасности, предоставляемый
протоколом PPTP, является достаточным. При этом наличие на контроллере домена
главного офиса компании службы Certification Authority позволяет в случае
необходимости перейти на использование протокола L2TP, если возросшие
требования к безопасности потребуют этого.
Предлагается использовать постоянное VPN-соединение между офисами
компании (а не устанавливаемое по требованию), т.к. возможность доступа к
удаленному офису без задержек представляется очень ценной. Кроме того,
отдельные виды сетевого трафика (например, трафика репликации AD, даже
межсайтового) весьма чувствительны к проблемам установки подключения: нельзя
исключать проблем с репликацией в случае маршрутизации по требованию. Я решил
не пользоваться встроенными в Интернет-центры ZyXEL возможностями организации шифрованных
Site-to-Site соединений, предложив взамен интегрированное с сетевой средой
решение, позволяющее в полной мере конфигурировать и использоваться связь
удаленных офисов компании.
8.2
Доступ к файловым серверам внутренних клиентов организации
Роли файловых серверов и серверов печати в офисах организации выполняют
контроллеры домена. Решение разместить их на контроллерах домена, а не на
прокси-серверах (ISA-0x) связано с тем, что нагрузка на контроллеры домена
достаточно незначительна вследствие малого размера организации даже с учетом
перспектив ее ближайшего роста. В то же время размещение файловых ресурсов на
серверах ISA-0x представляется нецелесообразным, т.к. значительная часть их
ресурсов будет тратится на анализ и обработку сетевого трафика, шифрование
данных, передаваемых по виртуальному каналу между офисами, а также кэширование
информации, загружаемой из сети Интернет.
Для хранения документов на контроллерах домена созданы общие папки с
именем Shared, а на ISA-0x созданы правила доступа к этим серверам для
клиентов «противоположного» офиса по VPN. Предлагаю использовать следующую
структуру каталогов для организации файлового архива компании:
Рисунок 6 - Структура каталогов файлового сервера
Папка Internal Docs предназначена для обмена документами между
сотрудниками организации, партнеры организации, получающие доступ в сеть по
беспроводному каналу, доступа к ней не имеют. Папка Partners Docs
предназначена для обмена документами между сотрудниками компании и приезжающими
партнерами, которым необходим доступ к документам организации. Решение
разместить все требуемые партнерам документы в одной папке было продиктовано:
1. удобством администрирования централизованного файлового хранилища
2. повышенными требованиями к безопасности обмена документами с
партнерами компании с целью не допустить компрометации конфиденциальных данных
Каталогам были назначены следующие разрешения:
Таблица 2. Разрешения общего доступа
|
Каталог
|
Группа/Пользователь
|
Разрешения
|
|
Shared
|
Everyone WLAN
Users Visitors
|
Full Control
Deny Full Control
|
Таблица 3. Разрешения NTFS
|
Каталог
|
Группа/Пользователь
|
Разрешения
|
|
Shared
|
Administrator Domain Users SYSTEM
|
Full Control Read Full Control
|
|
Internal Docs
|
Domain Users
|
Modify
|
|
Partners Docs
|
Domain Users WLAN Users Partners
|
Modify Modify
|
Разумеется, предложенная схема каталогов не является строго
фиксированной. При необходимости администратор может предусмотреть иную схему
дерева каталогов файлового сервера. Например, в папке Internal Docs могут быть созданы
отдельные папки для каждого из отделов организации.
8.3
Инфраструктура беспроводной сети
Основой беспроводной сети организации являются беспроводные
клиенты, ведь именно для них разрабатываются процедуры подключения к беспроводной
сети, правила и способы ее использования. С точки зрения пользователя,
подключение к сети должно быть простым, а работа - удобной. Однако, кроме
обеспечения удобства пользователя, существуют некоторые дополнительные условия,
неразрывно связанные с обеспечением защиты беспроводной сети компании от
внешних угроз. Два основных таких требования:
1. Процедура регистрации пользователей в беспроводной
сети компании должна быть строго аутентифицируемой, причем желательно
использовать стойкий протокол аутентификации в сети.
2. При работе в сети беспроводной трафик должен
шифроваться с применением стойкого алгоритма и ключа шифрования (длиной не
менее 128 бит), чтобы исключить вскрытие защиты и анализ пакетов в случае
перехвата. Невыполнение этого требования может привести к потере или
модификации конфиденциальной информации компании и поставить под угрозу ведение
ее коммерческих дел.
При реализации беспроводной инфраструктуры следует учесть
следующие особенности имеющегося оборудования и сетевой среды:
1. Из имеющихся в наличии трех устройств, способных
выполнять роль беспроводной точки доступа, было принято решение использовать
только два идентичных устройства, по одному в каждом офисе. Это решение
выглядит перспективным по причине идентичности настроек беспроводного
оборудования, ISA Server, а также серверов DNS и DHCP в каждом из офисов, что в
конечном итоге снижает вероятность ошибок администратора.
2. ОС Windows Server 2003 Standard Edition предоставляет
возможность установить в одном из офисов службу Certification Authority. Приняв
во внимание перспективы, которые в будущем может предоставить внутренняя служба
сертификации (связанные не только с безопасным беспроводным доступом, но и
шифрованием файлов, цифровой подписью и шифрованием почтовых сообщений, а также
аутентификацией VPN подключений), было принято решение задействовать CA в
обеспечении безопасной аутентификации беспроводных клиентов компании.
В качестве протокола аутентификации предлагается использовать
802.1x. В качестве метода EAP используется PEAP-MSCHAP v2, поскольку выписка
сертификатов для работающих сети короткое время беспроводных клиентов
представляется нецелесообразной. В качестве протокола шифрования беспроводного
трафика используется 128-битный WEP. Использование WEP в сочетании с протоколом
аутентификации 802.1x позволяет избавиться от его известного недостатка: в случае
статического WEP пароль шифрования требуется задавать в явном виде на
беспроводной точке доступа и его динамическая смена в течение сеанса работы не
предусмотрена. В случае использования WEP совместно c 802.1x генерация ключа
шифрования происходит в момент регистрации клиента в сети, таким образом,
разные беспроводные клиенты могут использовать разные ключи. Эти меры позволяют
в достаточной мере обезопасить передаваемые по беспроводной сети данные от
несанкционированного просмотра. Кроме того, нельзя исключать возможность того,
что с развитием компании ее сотрудники получат в свое распоряжение мобильные
компьютеры и будут использовать беспроводной доступ к внутренней сети. В этом
случае им потребуется доступ ко всему спектру сетевых служб, а не только к тем,
которые предоставляются в настоящее время. Разумно будет сделать такие
компьютеры членами домена и использовать компьютерную и пользовательскую
аутентификацию в беспроводной сети. При этом оптимальным вариантом
представляется установка дополнительных точек доступа во внутренней сети
организации (с учетом того, что одна дополнительная точка доступа уже находится
в собственности организации). Эффективным решением для безопасной
аутентификации этих рабочих станций является использование протокола 802.1x с применением
сертификатов. Таким образом, в будущем не потребуется значительной
реконфигурации сетевых служб в сети.
Рисунок 7 - Беспроводная IT-инфраструктура основного
офиса компании (сети обозначены с точки зрения MS ISA Server 2004)
8.4
Система электронной почты
В качестве системы электронной почты предлагаю использовать
почтовый сервер Microsoft Exchange Server 2003 Standard Edition SP1.
Программный продукт Microsoft Exchange Server 2003 был
установлен на контроллер домена в главном офисе компании и является
единственным сервером Exchange в организации. Пользователи главного офиса и
офиса-филиала работают с Exchange Server с помощью почтового клиента Microsoft
Outlook 2003. На случай отказа основного контроллера домена (DC-01) или
проведения на нем регламентных работ используется кэширующий режим работы
Microsoft Outlook 2003: пользователи не смогут отправлять и получать новые
почтовые сообщения, однако смогут просматривать свои почтовые папки и работать
с ранее полученной почтой. С помощью политики получателей всем получателям
организации Exchange в качестве основного присвоен SMTP-суффикс @stroy-sib.ru (вместо @stroy-sib.local). Это позволит
сотрудникам компании получать почту, направляемую им внешними партнерами. Для
получения и отправки почты в сеть Интернет, сервис SMTP опубликован на
ISA-сервере ISA-01. Кроме того, на ISA-сервере созданы (но отключены!) правила
публикации POP3 и IMAP4 серверов, а на DC-01 службы Microsoft Exchange POP3 и
Microsoft Exchange IMAP4 переведены в режим автоматического запуска. Таким
образом, в случае необходимости предоставить служащим компании доступ к почте
по протоколам POP3/IMAP4, администратору будет достаточно лишь включить
(enable) соответствующее правило на ISA-сервере ISA-01.
Для того чтобы сотрудники компании могли получать сообщения
от внешних респондентов, в DNS-зону stroy-sib.ru, размещенную на сервере
провайдера, следует добавить запись Mail Exchanger (MX), указывающую в качестве
почтового сервера, обслуживающего домен stroy-sib.ru, IP-адрес, присвоенный
провайдером главному офису компании.
Благодаря интеграции в Active Directory, Exchange Server
поддерживает глобальный список адресов, доступный всем сотрудникам компании.
Для тех сотрудников, которым требуется доступ к адресной книге компании вне
офиса, Exchange Server позволяет создать offline адресную книгу. Кроме того,
дополнительные адресные списки могут быть созданы с целью отбора получателей в
списке по какому-либо признаку и упрощения нахождения нужного респондента.
Например, отдельные адресные листы созданы для сотрудников, работающих в
главном офисе компании, а также в филиале.
Для защиты почтовых сообщений от незаконного перехвата,
ознакомления, изменения или искажения в процессе передачи предлагается
использовать систему шифрования и цифровой подписи почтовых сообщений. Т.к. в
сети работает служба Certification Authority, каждый пользователь может
выписать себе сертификат типа "Пользователь" для защиты почтовых
сообщений. Следует, однако, учесть, что не следует защищать, таким образом,
сообщения, направляемые внешним получателям: они не имеют доступа к сертификату
CA организации и пользователя, отправившего сообщение, а поэтому не смогут
расшифровать его или убедится в подлинности ЭЦП. В случае необходимости конфиденциального
обмена почтовыми сообщениями с внешними партнерами организации, сотрудникам
компании, осуществляющими такой обмен, следует воспользоваться почтовым
сертификатом, полученным от публичной службы сертификации (например, VerySign,
Thawte).
8.5
Системы правил для брандмауэров и IDS
Интернет-центр ZyXEL P-662HW
Рисунок 8 - Настройка межсетевого экрана
Рисунок 9 - Конфигурирование правил межсетевого
экрана
Таблица 4. Сводка правил
|
ПОЛЕ
|
ОПИСАНИЕ
|
|
Firewall Rules
Storage Space In Use (Индикатор использования памяти правилами межсетевого
экрана)
|
Эта строка
состояния только для чтения показывает, сколько памяти Модем используется для
записи правил межсетевого экрана, применяемых в данный момент. Если занято 80
% памяти или менее, индикатор будет зеленого цвета. Если занято свыше 80 %
памяти, индикатор будет красного цвета.
|
|
Packet
Direction (Направление пакетов)
|
Для выбора
направления передачи пакетов, для которых необходимо сконфигурировать правила
межсетевого экрана, используйте выпадающий список.
|
|
Default Policy
(Политика по умолчанию)
|
В этом поле
отображаются действие и политика регистрации, выбранные по умолчанию в окне
Default Rule (Правила по умолчанию), для направления пакетов, определенного в
поле, расположенном выше.
|
|
Rule (Правило)
|
Это номер
правила межсетевого экрана. Порядок следования правил является очень важным,
так как правила применяются по очереди.
Щелкните по ссылке с номером правила, чтобы перейти
к окну Firewall Edit Rule (Межсетевой экран: Редактирование правила) для
конфигурирования или редактирования правила межсетевого экрана.
|
|
Active
(Активно)
|
В этом поле
отображается активно правило (Y) или нет (N).
|
|
Source IP
(IP-адрес источника)
|
Поле с
выпадающим списком показывает адреса или диапазон адресов источников, к
которым применяются правила межсетевого экрана. Следует отметить, что пустое
поле адреса источника или адреса назначения эквивалентно значению Any (Любой).
|
|
Destination IP
(IP-адрес назначения)
|
Поле с
выпадающим списком показывает адреса или диапазон адресов назначения, к
которым применяются правила межсетевого экрана. Следует отметить, что пустое
поле адреса источника или адреса назначения эквивалентно значению Any (Любой).
|
|
Service
(Служба)
|
Поле с
выпадающим списком содержит службы, к которым применяется правило межсетевого
экрана. Следует отметить, что пустое поле вида службы эквивалентно значению Any
(Любой).
|
|
Action
(Действие)
|
Это действие
межсетевого экрана, установленное для этого правила: Block (Блокировать) или
Forward (Переслать). Следует отметить, что действие Block (Блокировать)
означает, что межсетевой экран отбрасывает пакеты без предупреждения.
|
|
Schedule
(Расписание)
|
Это поле
показывает, определено ли расписание (Yes) или нет (No).
|
|
Log (Журнал)
|
Это поле
показывает, создается ли журнал регистрации, в случае если свойства пакетов
соответствуют данному правилу Enabled (Включить) или нет Disable (Выключить).
|
|
Alert
(Извещение)
|
Это поле
показывает, генерируется ли извещение (Yes) или нет (No) при возникновении
событий, соответствующих правилу.
|
|
Insert/Append
(Вставить/Добавить)
|
Введите номер,
куда вы хотите внести правило. Например, при вводе "6" ваше новое
правило будет располагаться под номером 6, а предыдущее правило, которое
имело номер 6 (если такое существует), станет под номером 7. Щелкните по
кнопке Insert (Вставить) для добавления нового правила межсетевого экрана
перед указанным номером. Щелкните по кнопке Append (Добавить) для добавления
нового правила межсетевого экрана после указанного номера.
|
|
Move
(Переместить)
|
Введите номер
правила и номер, куда вы хотите переместить это правило. Щелкните кнопку Move
(Переместить) для перемещения правила на указанный номер. Порядок следования
правил является важным, так как они применяются в порядке нумерации.
|
|
Back (Назад)
|
Щелкните Back
(Назад) для возврата к предыдущему экрану.
|
|
Apply
(Применить)
|
Щелкните Apply
(Применить) для сохранения изменений в настройках Модем.
|
|
Cancel (Отмена)
|
Щелкните Cancel
(Отмена), чтобы начать заново настройку в текущем окне.
|
Рисунок 10 - Создание/Редактирование правила
межсетевого экрана
Таблица 5. Правила межсетевого экрана
|
Действие
|
Протокол
|
Отправитель
|
Порт
|
Направление
|
Получатель
|
Порт
|
|
Пропустить
|
tcp
|
any
|
any
|
Исходящие
|
any
|
80 (HTTP)
|
tcp
|
any
|
any
|
Исходящие
|
any
|
110 (POP3)
|
|
Пропустить
|
tcp
|
any
|
any
|
Исходящие
|
any
|
25 (SMTP)
|
|
Пропустить
|
tcp
|
any
|
any
|
Исходящие
|
any
|
21 (FTP)
|
|
Пропустить
|
udp
|
any
|
any
|
Исходящие
|
any
|
53 (DNS)
|
|
Пропустить
|
tcp
|
any
|
any
|
Исходящие
|
any
|
443 (HTTPS)
|
|
Пропустить
|
tcp
|
any
|
any
|
Входящие
|
212.48.27.54 (stroy-sib.ru)
|
80 (HTTP)
|
|
Пропустить
|
tcp
|
any
|
any
|
Входящие
|
212.48.27.54 (stroy-sib.ru)
|
110 (POP3)
|
|
Пропустить
|
tcp
|
any
|
any
|
Входящие
|
212.48.27.54 (stroy-sib.ru)
|
25 (SMTP)
|
|
Пропустить
|
udp
|
any
|
any
|
Входящие
|
212.48.27.54 (stroy-sib.ru)
|
53 (DNS)
|
|
Блокировать
|
tcp
|
any
|
any
|
Входящие
|
any
|
any
|
|
Блокировать
|
any
|
any
|
Входящие
|
any
|
any
|
|
Блокировать
|
ICMP
|
any
|
any
|
Входящие
|
any
|
any
|
|
Блокировать
|
tcp
|
any
|
any
|
Исходящие
|
any
|
any
|
|
Блокировать
|
udp
|
any
|
any
|
Исходящие
|
any
|
any
|
|
Блокировать
|
ICMP
|
any
|
any
|
Исходящие
|
any
|
any
|
ISA ServerServer работает по принципу - что не разрешено - то
запрещено. Поэтому необходимо устанавливать фильтры, которые разрешают
использовать те или иные протоколы и порты.
Настройка инструмента обнаружения вторжений через порты:
1. Нажимаем кнопку Start, выбираем папку Programs, затем Microsoft ISA Server. Нажимаем на ISA Management.
2. Кликнем мышкой на узле Name, где Name - является именем нашего
сервера для того, чтобы развернуть дерево конфигурации.
. Щелкаем правой кнопкой мыши на IP Packet Filters и затем на Properties.
4. Щелкаем на Intrusion Detection.
5. Выбираем численные значения для опций Detect after attacks well-known ports (обнаруживать после …
атак на часто используемые порты) и Detect after attacks on ports обнаруживать после …
атак на порты).
Рисунок 11- Настройка инструмента обнаружения
вторжений через порты
Выбор типа атак, которые должны фиксироваться:
1. Нажимаем кнопку Start, выбираем папку Programs, затем Microsoft ISA Server. Нажимаем на ISA Management.
2. Кликнем мышкой на узле Name, где Name - является именем нашего
сервера для того, чтобы развернуть дерево конфигурации.
. Щелкаем правой кнопкой мыши на IP Packet Filters и затем на Properties.
4. Щелкаем на Intrusion Detection.
. Выбираем перечень атак, из приведенного перечня: WinNuke,
Land, Ping of Death, IP half-scan, UDP bomb и port
scan.
Выводы
Безопасность - это процесс. Он динамично развивается. То, что
сегодня было в безопасности, уже завтра возможно будет уязвимо. Внедренные
программно-аппаратные меры по защите информации, конечно, не дадут 100%
гарантии от всех возможных попыток НСД и т.д, т.к. их безусловно не хватает для
полноценного обеспечения информационной безопасности. Необходимо строить комплексную
систему защиты информации (КСЗИ) - совокупность организационных и инженерных
мер, программно-аппаратных средств, которые обеспечивают защиту информации в
автоматизированных системах.
Хотелось бы выделить такую составляющую КСЗИ, как организационные меры.
Хотя многие предприятия при построении систем защиты игнорируют их, на самом
деле они являются еще более важными, чем инженерно-технические.
Защита информации довольно дорого обходится предприятиям, и
не каждый руководитель готов выкладывать деньги на защиту информационных
активов. Отделы информационной безопасности финансируются по остаточному
принципу. Системные администраторы совмещают в себе функции администраторов
безопасности, что не может ни сказаться на уровне обеспечения информационной безопасности.
В данной работе я исследовал структуру информационной системы компании
«Строй-СИБ», выявил возможные в ней уязвимости и предложил меры по минимизации
вероятности утечки информационных активов путем внедрения программно-аппаратных
средств.
Список литературы
1. http://support.microsoft.com/default.aspx?scid=kb;en-us;281308
-
KB281308: Connecting to SMB share on a
Windows 2000-based computer or a Windows Server 2003-based computer may not
work with an alias name
2. http://technet2.microsoft.com/WindowsServer/en/Library/d2ff1315-1712-48e4-acdc-8cae1b593eb11033.mspx
- Windows Server 2003 Deployment Kit: Designing and
Deploying Directory and Security Services
3. http://technet2.microsoft.com/WindowsServer/en/Library/3ddb5bec
-a454-4e9b-a6e7-397ee7c4ea3a1033.mspx - Windows
Server 2003 Deployment Kit: Designing a Managed Environment
. http://technet2.microsoft.com/WindowsServer/en/Library/119050c9
-7c4d-4cbf-8f38-97c45e4d01ef1033.mspx - Windows
Server 2003 Deployment Kit: Deploying Network Services
. http://go.microsoft.com/fwlink/?linkid=14846
- Windows Server 2003 Security Guide
. http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/intro_to_branch_deployment_ee.mspx
- Introduction to Branch Deployment of ISA Server
2004 Enterprise Edition
. http://www.microsoft.com/downloads/details.aspx?FamilyID=0f7fa9a2-e113-415b-b2a9-b6a3d64c48f5&DisplayLang=en
- Step-by-Step Guide for Setting Up Secure Wireless
Access in a Test Lab
. http://www.it-university.ru/center/actions-arch/itproject/
- IT-University