Сегодняшние сети становятся все более разнородными, содержат различные типы аппаратного и программного оборудования и используют разнообразные операционные системы, которые должны иметь возможность взаимодействовать между собой. В последнее время становится все меньше инфраструктур, включающих только Windows (или только UNIX), многие компании используют домены Windows наряду с UNIX веб серверами, доступ на которые предоставляется клиентам с ОС Windows, Linux и Mac. Добавьте к этому все разнообразие смартфонов (Windows Mobile, iPhone, Android, Symbian и т.д.), которым нужно загружать почту и получать доступ к другим сетевым ресурсам, и вы получаете большие трудности. Эта статья будет сконцентрирована на том, как разрабатывать жизнеспособную стратегию защиты таких многоплатформенных сетей.
Трудности защиты в многоплатформенных сетях
Заставить системы под управлением различных ОС работать совместно может быть весьма сложной задачей. По этой причине основное внимание в таких сетях переносится с защиты на то, как заставить такие сети работать. Способность обмена данными между платформами становится целью, а ограничения такого доступа для обмена данными могут быть недооценены или совсем забыты.
Большинство специалистов ИТ обучены работе с конкретным типом системы (Windows, UNIX, Mainframe или другими). Зачастую управленческий персонал не понимает технологию, и делает предположение, что если человек «знает компьютер», он отлично разбирается во всех типах систем. Даже если у человека есть общие знания того, как управлять различными платформами, это вовсе не означает, что данный человек понимает все аспекты и тонкости безопасности. Безопасность – это специализированная область, поэтому вам нужны не только те ИТ специалисты, которые смогут настроить и управлять различными типами систем в вашей сети, вам также понадобятся те люди, которые подготовлены к работе над защитой этих различных типов систем. Сюда входит как отличное понимание основных понятий ИТ безопасности, так и подготовленность в области безопасности определенного типа системы. Это позволяет вам использовать встроенные механизмы безопасности определенной ОС во благо, и знать, когда необходимо использовать решения сторонних производителей.
Компетентность отчасти основана на привычном поведении. Если человеку нужно запомнить шаги и процедуры для различных типов устройств, риск запутаться или настроить неверно – что может сделать сеть уязвимой – возрастает. Именно поэтому в условиях разнородных сетей лучше всего иметь людей, которые подготовлены в области работы с определенным типом систем. К сожалению, в таких условиях экономики, где прописная истина гласит «делать больше меньшими усилиями и средствами», многие компании не могут себе позволить роскошь нанять нескольких специалистов.
Составьте каталог своей сети
Во многих IT средах отсутствует действительный план; вместо этого сеть просто «разрасталась хаотично», поскольку новые требования приводили к покупке и установке новых систем. Первым шагом по защите сети является четкое знание того, что вы имеете в наличии, чтобы опись сетевого аппаратного и программного обеспечения содержалась в надлежащем порядке. Существует масса инструментов, которые можно использовать для обнаружения и каталогизации компонентов, составляющих вашу сеть. Основным важным моментом здесь является использование инструментов с поддержкой всех ОС, имеющихся в вашей сети.
Платформы, которые чаще всего упускаются из виду (и тем самым остаются незащищенными или плохо защищенными), включают те платформы, которые работают на пользовательских ноутбуках и телефонах, не имеющих постоянного подключения к сети, а также платформы на виртуальных машинах. Компьютер A может работать под управлением Windows в качестве своей основной ОС, но если на этом компьютере также установлена виртуальная машина под управлением Linux, вам следует обращаться с виртуальной ОС, как с отдельной машиной сети, и защищать ее соответствующим образом. Также не следует забывать о том, что многие пользователи Linux и Mac используют Windows в виртуальных средах, так как им необходимы определенные Windows приложения, которые невозможно использовать другим способом. У вас также могут быть машины, особенно во время разработки или тестирования, которые могут грузиться с разных ОС.
Тщательная каталогизация должна включать все компоненты аппаратного оборудования и все элементы программного обеспечения, используемого в вашей сети, даже если они не имеют постоянного подключения к ней.
Обновление и/или апгрейд
Я встретил такую строку в романе, который читал недавно (The Doomsday Key Джеймса Роллинса (James Rollins)): «Нет неприступных крепостей». Это отличное напоминание того, что независимо от типа платформы, любая система, подключенная к интернету, также обеспечивает канал, через который грамотный взломщик может взломать сеть.
Общей ошибкой, которая основана на неточных отчетах и рекламе, является предположение о том, что все не-Windows системы всегда «безопасны». Это просто не так. Например, прошлым летом серьезная уязвимость в ядре была обнаружена у большинства версий Linux, которая позволяла взломщикам получить контроль над компьютером. Полную статью об этом можно прочитать здесь.
Несмотря на распространенное мнение о том, что системы Macs неуязвимы, в прошлом мае компания Apple выпустила исправление, которое было направлено на устранение 67 (именно так, шестидесяти семи) неисправностей в ОС X и браузере Safari – и в них все еще остается серьезная Java уязвимость. Полную статью об этом читайте здесь.
На самом деле, эксперт по безопасности систем Mac, Дай Зови (Dai Zovi) (автор The Mac Hacker’s Handbook) говорит, что когда хакеры начинают прилагать свои усилия, нацеливаясь на ОС X – что они обязательно сделают, поскольку данная ОС становится весьма распространенной – она окажется столь же уязвима, сколь и Windows. А его соавтор, Чарли Миллер, говорит, что Mac будет даже проще взломать. Смотрите полную статью здесь .
Суть не в том, чтобы раскритиковать не-Windows ОС, а в том, чтобы избавить ИТ персонал от иллюзий о том, что только Windows машины нужно регулярно обновлять. Применение обновлений не менее важно и для UNIX/Linux и Mac машин, когда такие обновления выходят.
Еще одним важным фактором является то, что в большинстве случаев новые версии ОС гораздо более безопасны, чем даже полностью обновленные старые версии. Например, Windows 7 и Vista включают множество механизмов безопасности, такие как UAC, защищенный режим IE, BitLocker шифрование приводов, и т.д., которые отсутствуют в XP. Последняя версия ОС X, Snow Leopard – в отличие от своих предшественников – идет со встроенным механизмом определения вредоносного ПО (хотя этот механизм не очень мощный). Она также использует более надежные контрольные суммы для защиты от атак повреждения памяти. Последний выпуск OpenSUSE поддерживает технологию TPM (Trusted Platform Module – модуль доверенных платформ). Во многих случаях, обновление до последней версии любой из ОС значительно улучшает защиту.
Те же принципы применимы и к операционным системам сотовых телефонов. Например, новые iPhones выключают более надежные функции безопасности, такие как поддержка комплексных паролей, использующих буквы, цифры и символы, а также возможность удаленного стирания данных, которых не было у первых версий iPhone.
Примечание: iPhone все еще представляют риски безопасности для корпоративной среды, поскольку они могут реализовать лишь часть доступных функций безопасности Exchange, iTunes, установленные на всех моделях iPhones, могут также представлять риски для безопасности.
Учет основных принципов
Одинаковые базовые принципы безопасности применимы как к разнородным сетям, так и однородным, поэтому независимо от используемых вами платформ, вы должны выполнять следующее:
- Защищать демилитаризованную зону (edge) с помощью надежных сетевых экранов/шлюзов по контролю за угрозами (threat management gateway) и систем обнаружения/предотвращения вторжений
- Использовать антивирусные программы и программы фильтрации спама (включая не-Windows системы) и постоянно обновлять дефиниции
- Реализовать аудит и мониторинг безопасности для определения возможных «дыр»
- Укреплять системы посредством отключения ненужных сервисов
- Закрывать неиспользуемые порты
- Ограничивать физический доступ к системам
- Ограничивать административный/корневой доступ, предоставляя его только тем, кто действительно в нем нуждается; на системах UNIX ограничивать корневой доступ для защиты терминалов
- Применять разрешения на уровне файлов; на UNIX системах разбивать файловую систему и использовать разделы с разрешением «только чтение» для хранения файлов, которые не часто изменяются, а также использовать ACL (Access Control Lists – списки контроля доступа) для комплексного управления разрешениями
- На UNIX системах, ограничивать доступ процессов к файловой системе посредством использования chroot и ulimit интерфейсов
- Использовать надежные политики паролей
- В средах с высокой степенью защиты требовать двухфакторной аутентификации
- На UNIX системах использовать SSH (Secure Shell) для удаленного выполнения команд
- Использовать шифрование: для защиты файлов на дисках, для защиты данных в сети, для защиты ОС от несанкционированного доступа
- Применять инфраструктуру открытого ключа для создания цифровых сертификатов
Наймите стороннего аудитора безопасности
Сторонний аудит безопасности может быть полезен для оценки и получения советов по реализации безопасности в любой сложной сети, а для разнородных сетей это вдвое более актуально. Компания, которая серьезно подходит к вопросу аудиторской проверки безопасности, будет привлекать опытных сотрудников со специализацией в различных типах систем, и будет знать о новых уязвимостях и новых решениях, с которыми у ИТ персонала компании не было времени или возможности ознакомиться. Они могут проводить тестирование на предмет возможности взлома для реальной оценки того, где кроются уязвимости, и могут посоветовать вам самые надежные и эффективные в ценовом отношении способы восполнения этих пробелов.
Заключение
Многоплатформенные сети представляют некоторые специфичные трудности, но администраторы ИТ должны учиться преодолевать эти трудности, поскольку такие сети становятся все более распространенными. Самым важным моментом, который нужно усвоить, является то, что безопасность – это процесс, а не продукт. Одни и те же базовые принципы безопасности применимы ко всем типам платформ, разница заключается в их реализации в различных операционных системах. Если размер штата вашего информационного отдела позволяет, то можно распределить обязанности так, чтобы отдельные сотрудники работали и совершенствовались в определенных системах, что, в итоге, позволит сделать вашу сеть более защищенной. Если нет такой возможности, то можно привлечь сторонних специалистов для определения слабых мест в безопасности вашей среды, которые вы сами не можете определить, и для предоставления вам свежих идей о том, как устранить эти слабые места.