Адресация сети и архитектура
Довольно сложно понять, как можно использовать в программе безопасности сетевую архитектуру и схемы адресации. Стедует помнить, что целью обеспечения живучести сети является обеспечение передачи информации даже в случае сбоев, атак и других происшествий. Правильно выбранная сетевая адресация и архитектура сети поможет в достижении этих целей с помощью правил, требующих тщательного планирования, и особого внимания к элементам адресации сети, а также к возможности расширения сети.
Планирование сети
Уровень планирования сети зависит от размера организации. Организация с небольшим количеством узлов может работать в объединенной сети с простыми сетевыми технологиями. Они основываются на доверительных отношениях, базирующихся на непосредственных контактах. Однако даже небольшим организациям имеет смысл использовать архитектуру сети, базирующуюся на управлении доступом.
Другой подход к этому вопросу называется "управлением трафиком". Сетевые планировщики могут помочь в ограничении доступа к секретным и важным данным, изолируя системы поддержки и сети от основного сетевого трафика. Для этого существует множество технологий, в том числе ограничительные шлюзы, брандмауэры и воздушные зазоры (air gaps). Тем не менее, независимо от используемой технологии, можно разработать правила, предписания которых будут гарантировать, что в планировании сети будет рассматриваться использование архитектуры в качестве механизма защиты информации.
Например, можно строить политику безопасности, используя определенную архитектуру сети в небольшой компании, в которой меньше 50 пользователей, очень немногочисленный персонал и маленький отдел бухгалтерии. Системы в таких компаниях содержат важную информацию, которая, по крайней мере, в отношении трудовых ресурсов, должна быть защищена законом. Изначально администраторы размещали такие системы в сети и полагались на создание подсети, используя адреса и сетевые маски. Входящий и исходящий трафик связывал такие системы с единой сетью, в которой были расположены другие системы офиса. Компания хочет обеспечить более высокий уровень управления потоками информации между этими системами. Это решается путем отделения административных систем от остальных систем организации и использования шлюза для управления трафиком. На рис. 5.1 изображена сеть и предлагаемые изменения в ней. Чтобы они были осуществлены, необходимо дополнить правила безопасности формулировкой, наподобие следующей:
Отдел кадров, бухгалтерия и другие административные системы должны быть физически отделены от основной сети, чтобы таким образом управлять входящими и исходящими потоками информации в этих системах.
Рис. 5.1. Сеть, включающая подсети, реконфигурированная для отделения административных систем. Обратите внимание, что реконфигурированная сеть не требует специфических адресов
Отметим, что в формулировке правил ничего не говорится о том, каким образом должно быть осуществлено это отделение. Это позволяет использовать новые технологии или оригинальные подходы без необходимости изменений в документах политики. Кроме того, ничего не говорится о том, каким образом будет осуществляться управление информацией. Автор в практической своей работе столкнулся со случаями, когда некоторые люди предлагали составить формулировку правил, которая устанавливала бы определенные требования к типу фильтрации или маршрутизации. Не стоит вводить такие требования, поскольку они могут измениться вместе с технологией, и придется обновлять документы политики.
Адресация сети
Никаких магических формул использования адресации сети для зашиты информации нет. Существует определенная защита, которая скрывает или маскирует адреса сети. Одним из ключевых элементов информации, который могут использовать для определения слабых мест сети, является доступ к списку задействованных адресов. Задействованные адреса могут существенно облегчить задачу по выяснению того, какие системы могут быть активными и подходящими для атаки. Существует два способа решения этой проблемы: конфигурация службы именования доменов и преобразование адресов сети.
Конфигурация службы именования доменов
Служба имен доменов (DNS— Domain Name Service) используется для преобразования системных имен в цифровые адреса. Ее также можно использовать для обратного преобразования цифровых адресов в системные имена. Тот, кто сумеет узнать имена или адреса, сможет использовать DNS для преобразования их во что-то более понятное. Несмотря на то, что многие люди представляют себе это как довольно неопасную форму атаки, однако имена могут дать атакующему огромное количество информации. Например, если кто-то имеет сетевые адреса организации и все точки отображения системных адресов, именуемые кадры (hr) или расчет (acct), он может попытаться проникнуть в эти системы в целях поиска информации. Кроме того, у взломщиков появится возможность определить архитектуру сети. Эта информация, полученная внешними пользователями, может помочь им определить структуру организации независимо от ее размеров и сферы деятельности. Когда автор работал с компанией, в которой было не более 100 пользователей, свободно обменивающихся информацией, было обнаружено, что в главную систему было осуществлено несколько вторжений пользователями Internet. Эта система являлась "главным сервером" компании и содержала много информации о компании. Даже после того как система была отделена от сети, поставлен маршрутизатор и написаны правила, разрешающие доступ к ресурсам только внутренним пользователям, попытки взлома этой системы продолжались. Посте проведенной в компании работы по преобразованию системных имен и изменению адресов для многих серверов была создана система 2-DNS.
Главная причина создания системы 2-DNS заключалась в организации службы преобразования имен внутренних пользователей в осмысленные имена, и в то же время в обеспечении преобразования имен в "обезличенные" имена для Internet в соответствии со стандартом DNS. В этом двойном подходе DNS внутренний сервер имен становился недоступен из Internet, и в то же время устанавливались системные имена, которые были понятны пользователям организации. При конфигурировании систем организации следовало учитывать, что они должны пользоваться сервером имен для преобразования адресов. Вторая часть системы была установлена так, чтобы быть доступной из Internet, но содержала другой набор имен для внешних пользователей. На рис. 5.2 показано, как это может быть реализовано.
Некоторые более мелкие организации пользуются услугами сторонних организаций для связи с Internet, и не имеют прямого доступа к собственным входам DNS. Это не является проблемой, пока администратор может запрашивать, какие были сделаны изменения. В любом случае было бы лучше разработать политику, которая предусмотрела бы создание в системе открытой части, в которой предоставлялось бы информации не больше, чем это необходимо. Можно включить в политику следующую формулировку.
Для обеспечения групповыми именами доступных внутренних систем необходимо следующее: служба сетевых имен должна обеспечить пользователей Internet условными именами, понятными для внутренних систем, а достоверные имена присвоить пользователям для работы во внутренней сети организации.
Рис. 5.2. Использование двухсистемной DNS для сокрытия внутренних имен
Перед осуществлением таких изменений организация должна рассмотреть множество вопросов. Некоторые из них касаются того, как внутренняя DNS будет преобразовывать адреса, размещенные в Internet, для внутренних пользователей, а также соглашений о присваивании имен и доступности к каждой системе DNS. Есть и другие вопросы. Необходимо рассмотреть последствия проведения такой политики - как это отразится на внедрении мер безопасности. Несколько разделов было посвящено именно этой теме. Возможно, это не самый лучший подход для вашей организации, поэтому нужно удостовериться, что это имеет смысл именно для ваших условий.
Преобразование сетевых адресов
Другой способ скрыть конфигурацию внутренней сети заключается в использовании одних адресов для внутренних систем и преобразовании их при связи с Internet или другими внешними сетями. Такой механизм называется преобразованием сетевых адресов (NAT— Network Address Translation). Основная функция NAT заключается в использовании особого алгоритма формирования адресов при работе во внутренней сети организации, которые перед посылкой их в Internet должны быть преобразованы в другие адреса.
Почему необходимо преобразование сетевых
адресов
Когда в начале 90 годов началось повсеместное использование Internet,
стало очевидным, что такой бурный рост числа пользователей приведет к
нехватке адресов доступа. Пытаясь замедлить этот процесс, рабочая группа
инженеров Internet (IETF - Internet Engineering Task Force) опубликовала
RFC 1631, Преобразователь сетевых адресов протокола IP (NAT- The IP Network
Address Translator). В этом документе объяснялось, как создавать сеть,
в которой используется отдельный список адресов для незарегистрированных
систем, которые могут быть преобразованы в зарегистрированные или "реальные"
адреса, маршрутизированные в Internet. После аннонсирования этого RFC
профессионалы безопасности стали призывать использовать NАТ, чтобы прятать
сетевую конфигурацию и масштаб работ организации, не изменяя открытой
информации об организации или открытых сведений о ее инфраструктуре.
Один из распространенных способов использования NAT заключается в назначении сетевых адресов для систем организации, не пользующихся Internet, из отдельного блока, установленного для скрытых сетей, которые будут преобразовываться в легальные адреса. Адресами скрытых сетей являются:
- 10.0.0.0-10.255.255.255. Отдельный блок адресов класса А.
- 172.16.0.0-172.31.255.255. 16 смежных блоков адресов класса В.
- 192.168.0.0-192.168.255.255. 255 смежных блоков адресов класса С.
При использовании NАТ пользователь получает стандартный доступ в Internet, но адрес скрытой сети перед передачей должен быть преобразован системой, которая обеспечивает подключение и модификацию адреса перед отправкой (рис. 5.3). Устройства системы NАТ не являются посредником в сеансах. Однако представлять NАТ в качестве промежуточного звена довольно удобно.
Рис. 5.3. Преобразование адресов с помощью NАТ
Не в каждой организации есть смысл применять NAT. Одна из проблем заключается в том, что если сеть разрастается, то может оказаться недостаточно легальных адресов для доступа в Internet. Администраторы сети должны провести тщательный анализ и решить, нужно ли использовать NAT. Но в том случае, если NAT будет использоваться, необходимо составить формулировку для документа политики в наиболее обобщенном виде, чтобы обеспечить архитекторам и администраторам сети максимальную свободу выбора. Формулировка может выглядеть следующим образом.
Адреса внутренней сети организации должны оставаться скрытыми. Когда системы запрашивают доступ к другим сетям, скрытые адреса перед передачей должны быть преобразованы в легальные зарегистрированные адреса.
Другие проблемы адресации
Некоторых людей шокирует количество вопросов, которые им необходимо рассмотреть, чтобы постичь то, что на первый взгляд кажется довольно простым. Но если иметь четкие правила адресации каждого важного элемента сети, можно избавить администраторов сети от необходимости управлять различными схемами. Правила адресации должны учитывать способ назначения адресов. Ниже перечислено, что должно быть учтено при назначении адресов.
- 1. Будет ли адрес постоянным и заранее присвоенным системе или сетевому устройству?
- 2. Будет ли адрес постоянным и загружаться с помощью протокола выбора адреса, такого как протокол динамического выбора конфигурации хост-машины (DHCP— Dynamic Ноst Configuration Protocol) или протокол начальной загрузки (ВООТР — Bootstrap Protocol)?
- 3. Будет ли адрес присваиваться динамически, когда система подключается к сети?
Все эти схемы имеют свои преимущества, но общепринято использовать постоянные или предписанные адреса даже в том случае, если они получены с помощью DHCP. Обновляя карту адресов сети, сетевые диспетчеры (люди или автоматизированные системы) смогут легко определить, кто отвечает за сетевой трафик. Чтобы пользоваться такой схемой, в правила может быть включена следующая формулировка.
Адреса сети должны быть предварительно определены для каждой системы и сетевого устройства и могут загружаться заранее или быть сформированными перед подключением к сети.
Те же выводы могут быть сделаны относительно адресации сети, не использующей IP-адреса. Например, IPX-адреса в среде Novell Netware или сформированные с помощью WINS (Windows Internet Naming Service— служба межсетевых адресов в среде Windows) для сети Microsoft также имеют подобные свойства и должны подчиняться тем же правилам.
Кроме того, в правила формирования адресов можно добавить строку, дающую право защищать адреса и серверы от тех, кто не имеет права доступа к ним. Эти правила могут быть написаны так, чтобы они подходили и для других адресных серверов и контроллеров, таких как устройство NAT или DNS. Формулировка правил может быть следующей.
Серверы сетевых адресов и серверы, которые используются для формирования адресов, должны быть защищены всеми доступными для этих устройств способами.
Правила расширения сети
Поскольку технологии становятся все более гибкими и всеобъемлющими, расширение сети неизбежно. При расширении сети было бы неплохо ввести инструкции для гарантии того, что не только расширение сети проходит, как следует, но и сохраняется оборудование сети. В главе 1 "Что собой представляет политика информационной безопасности" говорилось, что все это может быть сделано во время оценки степени риска. Кроме того, в других случаях эти знания могут существенно помочь в поддержании работоспособности сети и обеспечении администраторов схемой сети, позволяющей отслеживать сетевой трафик.
Правила расширения сети должны быть записаны обобщающей формулировкой, например, такой.
Необходимо разработать методики, позволяяющие реконфигурировать сеть организации. В этих методиках должны быть отражены все изменения, касающиеся непосредственно всех внутренних и внешних точек доступа.
Несмотря на то, что желательно не детализировать излишне методики, так как это ограничит область их применения, все-таки есть смысл привести список предлагаемых методик. Если вы сочтете нужным включить в документы политики такой список, то он может выглядеть так.
- Добавление или удаление систем и других компонентов сети к существующей сети.
- Создание или удаление подсети.
- Подключение или отключение экстрасети.
- Подключение к Internet или отключение от Internet.
- Разрешение или прекращение доступа к сети сторонних пользователей.