Hackelés és LAN védelem
Ennek a cikknek a keretében a helyi hálózat biztonságáról beszélünk. Külön figyelmet fordítanak a technikai szint védelmére és a biztonságos LAN biztosítására vonatkozó gyakorlati javaslatokra. Figyelembe véve a téma általánosságát, megpróbálom az olvasó figyelmét a következő kérdésekre összpontosítani: milyen sebezhetőségeket használnak leggyakrabban és milyen biztonsági szabályokat ellensúlyozhatnak.
A biztonságos architektúra az alap
Tehát egy központosított biztonsági politika mellett, amely nélkül de facto lehetetlen építeni egy biztonságos hálózatot elvben, különös figyelmet kell fordítani a következőkre:
1) használata biztonságos kommunikációs protokoll (titkos, szöveges protokollt, az FTP és Telnet jelentenek egyértelmű fenyegetést) és alagútfúró adatok, például SSH.
2) A kritikus adatok titkosítása megbízható kriptográfiai algoritmusokkal.
3) Olyan architektúra használata, amely tartalmazza a DMZ (demilitarizált zóna) jelenlétét, amelyet két tűzfal szolgáltat.
4) IDS (Intrusion Detection System), IPS (Intrusion Prevention System) és NAT használata.
5) A periféria védelme vékony ügyfelek és két faktoros hitelesítési rendszer segítségével.
DMZ. Peremhálózat tervezése
Nem titok, hogy a behatolók fő célpontjai a kívülről történő közvetlen hozzáférésre nyitott rendszerek. A kritikus és bizalmas információkkal foglalkozó szervezetek számára különösen fontos a hálózat peremének védelme. A külső rendszerek biztonságtechnikája (webszerver, levélkiszolgáló stb.) A legkörültekintőbb megfontolásokat igényli, mivel először is támadhatóak. A feladat ezeknek a rendszereknek a hálózaton belüli valóban fontos és titkos számítógépekhez való hozzáférésének korlátozása, ami az alábbiakban leírt technológiák révén valósul meg.
DMZ - demilitarizált zóna rövidítése - olyan hálózati töredék, amely nem teljesen megbízható. A DMZ létrehozásának célja a belső rendszer (ebben az esetben védett LAN) védelme a hozzáféréstől, amely az internetről történik. A DMZ egy közepes hatótávolságú hálózati zóna bevezetésével jön létre, amelyet szigorú szűrők segítségével tűzfalak vagy útválasztók használatával érnek el. Ezután a hálózati vezérlőkön keresztül meghatároz egy szabályzatot, mely forgalom engedélyezett a DMZ-be való belépéshez, és amely forgalom meghaladhatja a DMZ-t. Nyilvánvaló, hogy a külső környezetből elérhető összes rendszert a demilitarizált zónában kell elhelyezni. Figyelembe kell venni azt is, hogy ha a rendszer egy interaktív munkameneten (pl. Telnet vagy SSH) keresztül érhető el, akkor lehetőség nyílik a DMZ más rendszerei elleni támadásokra. Mint modell, vegye figyelembe a következőket. A demilitarizált zónát használó biztonságos LAN-nak egy lehetséges architektúrája a 3. ábrán látható. 1:
Ebben az esetben a hálózatunk két tűzfalat tartalmaz, amelyek különválasztják a DMZ-t a külső és belső hálózattól. A külső hálózat a router között a szolgáltató és az első tűzfal, míg a DMZ közötti tűzfalak található № № 1 és 2 tűzfalbeállításait 1 feltéve № engedély folyosón csak DMZ-forgalom, mint minden belső forgalmat (néhány kivételtől eltekintve) . A # 2 tűzfal merevebb, és figyelembe véve, hogy csak a kimenő internetes forgalom engedélyezett. Ez a konfiguráció jelentősen növeli a LAN biztonságának általános szintjét. Nem lehet nem ért egyet azzal, hogy a használati és karbantartási egy pár tűzfalak építészeti növeli a költséget igényel további erőfeszítést konfigurálásához és kezeléséhez, de ... megéri.
IDS - Intrusion Detection System. Ideális esetben egy ilyen rendszer csak akkor ad ki riasztást, amikor behatol. A behatolásérzékelés segíti az aktív fenyegetések proaktív azonosítását figyelmeztetések és figyelmeztetések révén, amelyek során a támadó összegyűjti a támadás végrehajtásához szükséges információkat. Az IDS különféle típusa az IPS, amelynek képességei meghaladják az egyszerű behatolás-érzékelést, és kiegészülnek a megelőző ellensúlyozás lehetőségeivel. Jelenleg az IDS-nek legalább két fő típusa van:
Egy másik eszköz, amelyet a biztonságos LAN tervezésénél fogunk használni, a NAT.
1. Biztonságos LAN-hálózat kiépítésekor minimálisra kell csökkentenie az ügyfelek által az internetről használt hálózatok által nyújtott szolgáltatásokat és szolgáltatásokat.
2. A LAN architektúrának biztosítania kell egy DMZ-demilitarizált zóna jelenlétét, amelyet egy tűzfal vezérel.
4. A legfrissebb frissítések telepítése szigorúan szükséges.
Még ha a rendszer a legújabb frissítéseket is tartalmazza, még mindig nem szükséges kikapcsolódni: attól a pillanattól kezdve, hogy felfedezik az új sebezhetőséget, és amíg a javítás ki nem jön, az "intelligens emberek" képesek futtatni a kizsákmányolást vagy létrehozni egy férget.
5. Természetesen mind a szerveren, mind a munkaállomásokon friss adatbázisokkal rendelkező víruskereső programokat kell telepíteni.
6. Ha még mindig van a FAT32 fájlrendszer, cserélje NTFS fájlra. Az NTFS de facto biztonságosabb: lehetővé teszi, hogy megkülönböztesse a hozzáférést a számítógép erőforrásaihoz, és jelentősen bonyolítja a SAM jelszavak helyi és hálózati hackelésének folyamatát.
7. A kapcsolati tulajdonságokban nagyon kívánatos, hogy csak a leginkább szükségesek legyenek, nevezetesen a TCP / IP. „Fájl- és nyomtatómegosztás Microsoft Networks” ki kell kapcsolni (azokra a járművekre, amelyek nem nyújtanak SMS-hozzáférés), nem feladatának megkönnyítése minden rajongójának „defoltovyh» C $, D $, ADMIN $ és így tovább. D.
8. Minden nem használt szolgáltatást ki kell kapcsolni. Ez nem csak javítja a rendszer teljesítményét, hanem automatikusan bezár egy csomó nyitott portot (3. ábra):
9. Távolítsa el a felesleges fiókokat (például HelpAssistant és SUPPORT_388945a0), és egy pillanat alatt gpedit.msc ki a helyi és a hálózati bemenet minden felhasználó számára, így csak használt egy adott gépen.
10. A felhasználó "Rendszergazda" jobb átnevezni (a gpedit.msc beépülő modulon keresztül).
12. A hálózat ne feledkezzünk meg a szippantás, amellyel a jelszavakat válhat „közhasznú” (ez nem titok, hogy a jelszavakat szolgáltatások, mint az FTP és a Telnet, továbbítják a hálózaton keresztül a tiszta). Szippantás (például CainAbel) használatával még a titkosított jelszavakat is könnyű feltörni.
13. A minimális munkavégzés biztonsága egy crypto-stabil algoritmus használatát jelenti - NTLMv2:
NTLMv2-mechanizmus helyett veszélyeztetett LM és NT jelentősen javítja kriptográfiai jelszavak (aktiválható pillanat „Helyi biztonsági beállítások”), és csökkenti a kockázatok lehallgatás és dekódolás hash. A védett hálózat védelme / építése a felsorolt módszerek semmiképpen sem csodálkoznak azok ellen, akik komolyan úgy döntöttek, hogy feltörik a hálózatot. A fent említett minimumkövetelmények tiszteletben tartása jelentősen csökkenti a hackerelés valószínűségét, így a hálózat biztonságosabbá válik a külső és belső fenyegetésekkel szemben.
100% -os védelem nem, csak megközelíthető ...