Сергей Петренко - Политики безопасности компании при работе в Интернет

Консоль управления IDS. В качестве сетевой системы обнаружения вторжений используется Cisco IDS 4250, а на серверах установлены системы предупреждения вторжений Cisco Security Agent v.4.0 (продукция компании Okena, продаваемая под торговой маркой Cisco). В системе Cisco IDS 4250 один интерфейс работает в режиме сниффера и не имеет IP-адреса, а другой используется для получения сообщений о найденных сигнатурах и для управления. Передача сообщений осуществляется по протоколу SSL. В качестве устройства управления выбран Cisco Works VPN/Security Management Solution v.2.2. Данное программное обеспечение позволяет управлять конфигурациями следующих устройств:

• Cisco PIX Firewall,

• Cisco VPN Router,

• Cisco IDS 4200,

• Cisco Security Agent.

В состав продукта входят следующие функциональные модули:

• Cisco Works Common Services,

• Management Center for Firewalls,

• Management Center for IDS Sensors,

• Management Center for Cisco Security Agents,

• Management Center for VPN Routers,

• Monitoring Center for Security,

• Monitoring Center for Performance,

• Cisco View,

• Auto Update Server,

Monitoring Center for Security позволяет принимать и коррелировать сообщения со всех вышеперечисленных устройств, а кроме того, он оснащен средствами мониторинга производительности и инвентаризации сети. Доступ к этому устройству из сети, отличной от сети управления, запрещен.

Сервер Check Point Management Console. Сервер Check Point Management Console используется для управления модулями Check Point Firewall-1 и журналирования событий. Доступ к нему ограничен IP-адресами интерфейсов администрирования Nokia Check Point FW-1.

Сервер времени. Синхронизация сетевого времени – очень важный аспект правильного функционирования сети и надлежащего журналирования. Если на нескольких устройствах установлено разное время, то при анализе журналов очень трудно будет разбираться, когда реально и в какой последовательности произошли события, к тому же каждый из сертификатов имеет определенный срок жизни и, при неправильно установленном времени, его будет невозможно эксплуатировать. Нередко слабости в защите протокола NTP или неправильные настройки сетевых устройств дают злоумышленникам возможность проведения атак с целью установки неверного времени и, таким образом, выведения из строя всех устройств и соединений, использующих сертификаты. Кроме того, Microsoft Active Directory для аутентификации применяет протокол Kerberos, который очень сильно зависит от точных настроек времени. Из-за важности обеспечения точного времени был приобретен аппаратный сервер времени Datum TymServe TS2100 с GPS-антенной для синхронизации с сервером времени NIST (Национальный институт стандартов США). Это устройство служит мастер-сервером для всех устройств в сети. К нему разрешен только NTP-трафик и используется NTP-аутентификация везде, где это возможно. На случай отказа сервера компания заключила соглашение с владельцами одного из NTP-серверов в Интернете о получении точного времени. В случае возникновения такой ситуации будут внесены соответствующие изменения в списки доступа на межсетевых экранах.

Cisco Terminal Server. Для управления всеми сетевыми устройствами (маршрутизаторами, коммутаторами) с помощью консольного соединения используется Cisco Router 2620. На всех устройствах отключены все протоколы сетевого управления. Соединения к самому Cisco Router 2620 ограничены списком IP-адресов из сети управления и определенным списком инженеров, подключающихся через VPN-соединение. Разрешен доступ только по SSH, и все сотрудники должны быть аутентифицированы с использованием TACACS+. Уровень доступа регулируется членством в группах и настройками на сервере TACACS+.

Cisco Security Information Management Solution. Cisco Security Information Management Solution v.3.1 (продукт компании Netforensics) на аппаратной платформе Cisco 1160 используется для сбора, коррелирования, анализа и хранения журналов. Данное программное обеспечение позволяет производить мониторинг безопасности в режиме реального времени и поддерживает широкий перечень устройств и программных продуктов (28 источников), от которых оно может принимать и обрабатывать сообщения. В компании используется часть из них:

• Check Point Firewall-1,

• Cisco IOS ACL, FW, IDS,

• Cisco Secure ACS,

• Cisco Secure IDS,

• Cisco Secure PIX,

• Cisco Secure PIX IDS,

• Cisco Security Agent,

• Концентратор Cisco VPN,

• Cisco Firewall Switch Module,

• Tripwire NIDS,

• Web-серверы Microsoft IIS,

• Windows Events,

Центр управления сертификатами. В сети широко применяются сертификаты: для доступа посредством VPN, к Web-сайтам по SSL, для шифрования электронной почты. Сервер центра управления сертификатами является частью внутренней инфраструктуры открытых ключей и используется для выпуска или отзыва внутренних сертификатов и публикации списка отозванных сертификатов (Certificate Revocation List). Центр управления сертификатами развернут на неподключенном к сети Windows 2000 Server Service Pack 4. В качестве процедуры установки инфраструктуры открытых ключей основной (root) центр управления сертификатами был использован только однажды, с целью выпуска сертификата для выпускающего центра управления сертификатами, и после этого был немедленно переведен в офлайн-режим. Секретный (private) ключ основного центра сертификации был перемещен на дискету, удален с жесткого диска, и эта дискета была помещена в сейф отдела информационной безопасности. Копия дискеты хранится за пределами офиса в защищенном помещении в сейфе.