Защита корпоративных сетей Защита корпоративных сетей: 1.Противодействие деструктивному входящему трафику 2. Пользовательский РС – право на доступ в Internet Сергей Монин учебный центр REDCENTER

ВведениеВведение Возможности противодействия деструктивному трафикуВозможности противодействия деструктивному трафику Пользовательский РС – право на доступ в InternetПользовательский РС – право на доступ в Internet ВыводыВыводы Содержание

Введение В 2004 году по оценкам ФБР 70% угроз для компьютерных сетей исходило изнутри, 30% из Internet. В настоящее время количество атак исходящих из публичных сетей существенно увеличилось! ПРИЧИНЫ: 1.Объективно количественный рост количества пользователей 2.Возможность необразованному пользователю провести эффективную атаку (инструменты доступны)

Введение Виды атак: 1.Разведовательные 1.1 Перехват пакетов с последующим анализом 1.2 Сканирование портов 1.3 Сканирование адресов 1.4 Определение OS, приложений.. 2. Эскалация привилегий и доступ к ресурсам 2.1 Парольные атаки (online и offline) 2.2 MITM 2.3 Port redirection 2.4 И т.д. 3. Отказ в обслуживании Dos 3.1 Распределенная Dos атака 4. Вирусная активность как атака на ресурс сети

Возможности противодействия деструктивному трафику 1.Межсетевые экраны 2.Системы обнаружения и предотвращения атак 3.Безопасность серверов и рабочих станций ( и Web безопасность) 4.Системы принудительной аутентификации пользователей 5.Системы оперативного мониторинга ресурсов сети и состояния защитных систем

Возможности противодействия деструктивному трафику Что такое современный межсетевой экран? Это: 1 Аппаратное или софтовое решение 2 Глубокая и эффективная фильтрация трафика и протоколов 3 Возможность URL фильтрации (запретим odnoklassniki.ru?) 4 VPN 5 Возможность резервирования 6 Принудительная аутентификация пользователей на выходе

Возможности противодействия деструктивному трафику Что такое современные системы предотвращения вторжений? Это: 1 Аппаратное или софтовое решение 2 Возможность проверки трафика на входе на предмет запрещенных сигнатур 3 Выявление аномального поведения трафика 4 Регулярное обновление информации о новых атаках, вирусах… 5 Гибкие возможности создания своих сигнатур во время эпидемий

Возможности противодействия деструктивному трафику Два варианта внедрения всех этих технологий: 1.Приобрести все эти устройства и внедрить их в свою информационную сеть 2.Обратить внимание на возможно уже имеющийся в вашей сети современный маршрутизатор Cisco. Правильно! Не дорого!

Возможности противодействия деструктивному трафику Современный корпоративный маршрутизатор Cisco (8хх 19хх 37хх 28хх 38хх 29хх 39хх..) Дает нам возможность настроить и межсетевой экран и гибкую систему предотвращения вторжений! Вирус Атака Internet

Возможности противодействия деструктивному трафику Маршрутизаторы Cisco поддерживают два вида межсетевых экранов: классический и зональный. Классический исповедует принцип: «Хочу, чтобы я мог ходить в Интернет, а Интернет ко мне – нет!» 1 Пользователь инициирует HTTP сессию. 4 Port 3575 Port Fa0/0 S0 router(config)# ip access-list 104 deny ip any any router(config)# ip access-list 103 permit http any any router(config)# ip inspect name FWRULE tcp router(config)# interface S0 router(config-if)# ip access-group 103 out router(config-if)# ip access-group 104 in router(config-if)# ip inspect FWRULE out router# show ip inspect sessions Established Sessions Session A8 ( :3575)=>( :80) http SIS_OPEN Attacker 23 Трафик проверяется ACL 5 67 ACL Корректируется входящий ACL И ответы могут вернуться!

Возможности противодействия деструктивному трафику Количество протоколов, которые может проверить FireWall Cisco впечатляет ! Настройка проста и интуитивно понятна. Есть графический интерфейс.

Возможности противодействия деструктивному трафику Зональный Firewall: Более гибкий подход к настройке Новые возможности в фильтрации и проверке Private- Public Policy DMZ Untruste d Public DMZ Policy Private DMZ Policy DMZ Private Policy Internet rtr(config)# class-map type stack match-all ip_tcp rtr(config-cmap)# description "match TCP over IP packets" rtr(config-cmap)# match field ip protocol eq 0x6 next tcp class-map type access-control match-all http_psirt_class rtr(config-cmap) # description "Match HTTP Exploit Packets" rtr(config-cmap)# match field tcp dest-port eq 80 rtr(config-cmap)# match start tcp payload-start offset 0 size 1500 regex cmd.exe rtr(config)# policy-map type access-control fpm_tcp_policy rtr(config-pmap)# description "policy for TCP packets" rtr(config-pmap)# class http_psirt_class rtr(config-pmap-c)# drop rtr(config)# policy-map type access-control fpm_policy rtr(config-pmap)# description "policy HTTP attack" rtr(config-pmap)# class ip_tcp rtr(config-pmap-c)# service-policy fpm_tcp_policy rtr(config)# interface GigabitEthernet 0/1 rtr(config-if)# service-policy type access-control input fpm_policy

Возможности противодействия деструктивному трафику Встроенная система предотвращения вторжений Закачай сигнатуры

Возможности противодействия деструктивному трафику Встроенная система предотвращения вторжений УПРАВЛЯЙ !

Пользовательский РС – право на доступ в Internet Мы можем защитить сетевую инфраструктуру, но кто защитит пользовательские компьютеры? Достаточно ли установить на РС антивирус и расслабиться? Для полной уверенности нам необходимо убедиться что: -На РС пользователя стоит правильная ОС -У этой ОС имеются все необходимые обновления (sp) -На РС включен персональный firewall -На РС установлена правильная антивирусная программа -Антивирусная программа имеет свежий набор обновлений

Пользовательский РС – право на доступ в Internet РЕШЕНИЕ: Можно совместно с 802.1х проверять пользовательские РС, Предварительно внедрив туда спец.софт Cisco Trust Agent (Гостей можно и по-другому проверить ) В момент входа клиента в сеть мы определим степень «здоровья» РС и разрешим доступ с этого компьютера только в правильную зону безопасности. Цена? – 2%

Пользовательский РС – право на доступ в Internet NAC in-band NAC Appliance Постоянный анализ любого трафика Любых пользователей, контроль полосы Пропускания в реальном времени.

Пользовательский РС – право на доступ в Internet NAC Framework RADIUS Server ACS 4.x Access Point Client NAC Server Vendor - X Доступ в сеть Более «дешевый» способ: По-запросное управление доступом

Выводы: 1.Защита корпоративной сети эффективна только тогда, когда она комлексна. 2.Используйте ВСЕ известные вам методы защиты 3.Если финансовые ресурсы позволяют – приобретите специализированные устройства. Они эффективнее. 4.Если используете универсальные решения, используйте оборудование приличных вендоров! 5.Обязательно посетите курсы по безопасности – эксперименты хороши только во время учебы.

Выводы: Курсы по безопасности в нашем учебном центре: IINS – базовый SECURE (SNRS) – продвинутый DVS+ практический по VPN NAC – практический по NAC SNAF – межсетевые экраны SNAA – межсетевые экраны продолжение IPS – система предотвращения вторжений MARS – мониторинг безопасности IAUWS – безопасность беспроводки …и т.д.

Информация для контактов Сергей Монин: CCIE, CCSI, CQS, чего-то еще…