Сергей Петренко - Политики безопасности компании при работе в Интернет

Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные, такие, как время начала и окончания (если это необходимо), и данные об использовании ресурсов.

Механизм взаимодействия ACS и сервера TACACS+ выглядит следующим образом:

• ACS отсылает учетную запись серверу TACACS+, основываясь на выбранных методах и событиях;

Zone Labs Integrity Server. Zone Labs Integrity Server v. 1.6 используется для принудительного применения политики безопасности организации VPN на компьютерах сотрудников, которые подключаются посредством VPN. В данном случае потребуется установка на каждом компьютере Integrity Agent для приема и применения политики во время установления VPN-соединения. Integrity Agent позволяет также производить мониторинг антивирусного программного обеспечения на клиенте и отключает VPN-соединение, если программное обеспечение не установлено или не имеет последних обновлений. Это очень важно, так как удаленный компьютер может быть не защищен надлежащим образом и стать точкой входа во внутреннюю сеть для вирусов и злоумышленников. Единственным устройством, которому разрешено устанавливать соединение с этим сервером, является VPN-концентратор.

HP OpenView. Для мониторинга всех сетевых устройств и серверов используется HP OpenView Network Node Manager v.6.31. Компания осознает необходимость мониторинга в режиме 24 часа в сутки 7 дней в неделю для обеспечения высокой доступности сервисов. Из-за большой степени риска разрешено использовать SNMP только в режиме read-only. Правила на межсетевых экранах разрешают данный трафик только на станцию управления NNM. Этот сервер использует Windows 2000 Server Service Pack 4 и защищен в соответствии с перечисленными выше руководствами. Все устройства сконфигурированы для отправления SNMP traps на сервер NNM, и любой другой доступ из-за пределов сети управления запрещен.

4.2.5. Зона защищаемых данных компании

Система управления базами данных и файл-серверы. В качестве сервера баз данных используется Microsoft Windows 2000 Advanced Server Service Pack 4 и Microsoft SQL Server 2000 Service Pack 3. Файл-серверы построены на Microsoft Windows 2000 Server Service Pack 4 и Microsoft File and Print Services. Для обеспечения избыточности и высокой доступности на файл-серверах развернута интегрированная с Active Directory служба Distributed File System. Только серверы промежуточного уровня имеют доступ к Microsoft SQL Server. При этом стандартный порт TCP 1433 изменен на нестандартный порт TCP 2000. Доступ из внутренней сети к базе данных ограничен только выполнением запросов к базе данных и только с определенного списка IP-адресов.

Active Directory. «Лес» (forest) Active Directory Web-приложений полностью отделен от внутреннего «леса». Серверы из Web-зоны подключаются к контроллеру домена с использованием IPSec в режиме Authentication Header (АН). Этот дизайн имеет следующие преимущества:

• разрешается использование IPSec-фильтрования на самих серверах;

• упрощается конфигурирование межсетевого экрана, так как требуется только два правила;

• нагрузка на процессор минимальная, так как используется не шифрование, а только аутентификация.

Active Directory DNS-серверы сконфигурированы для использования DNS-серверов Web-зоны как перенаправляющих для разрешения внешних адресов. Резервное копирование реализовано с помощью Fiber Channel, поэтому не требуется дополнительный сетевой сегмент. Серверы, которые осуществляют резервное копирование, не имеют сетевых подключений за пределами сегмента.

4.2.6. Зона внутренней сети компании