Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Защита сети от неуправляемых клиентов RSS

Защита сети от неуправляемых клиентов

Текущий рейтинг: 3.71 (проголосовало 14)
 Посетителей: 10576 | Просмотров: 24498 (сегодня 0)  Шрифт: - +

Введение

Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.

Аннотация

В современной среде с высокими требованиями к безопасности всеобъемлющий подход к защите компьютерной сети компании среднего размера и хранящихся в ней данных является крайне сложной задачей. Для защиты активов сети и конфиденциальных сведений уже недостаточно защиты только периметра сети и наличия антивирусных пакетов. Организации, занимающиеся безопасностью, и специалисты по безопасности теперь понимают, что угрозы, исходящие из внутренней сети, как намеренные, так и случайные, могут быть гораздо опаснее внешних угроз.

Для борьбы с огромным количеством уязвимостей, угрожающих организациям среднего размера, в такие направления как управление исправлениями, решения по борьбе с вредоносными программами и инициативы по управлению идентификаторами было вложено большое количество времени и ресурсов. Чтобы убедиться в том, что эти вложения используются в полной мере, и обеспечить их максимальную эффективность, компании следует найти способы эффективной реализации политик безопасности.

Незаконные компьютеры — это системы, которые не считаются серьезной угрозой, поскольку не существует способа определить, соответствуют ли они установленным политикам безопасности. Незаконные компьютеры могут представлять проблему для системных администраторов и специалистов по безопасности. Не соответствующие политике компьютеры несут в себе целый ряд опасностей: от уязвимости к заражению вредоносными программами до возможности их использования в качестве платформ для атаки. Такими компьютерами, как правило, трудно управлять и приводить их в соответствие с установленными политиками.

В этом документе рассматривается ряд эффективных методов, которые можно использовать для принудительного приведения компьютеров в соответствие с политиками безопасности. Такой подход обеспечивает получение максимума преимуществ от усилий, затраченных на управление рисками, и дополнительный уровень безопасности для корпоративных сетей среднего размера, который позволяет снизить риски, связанные с ненадежными и неуправляемыми компьютерами.

Обзор

Этот документ состоит из четырех основных разделов, которые содержат сведения, помогающие читателю лучше понять концепции и принципы, связанные с защитой сети компании среднего размера от неуправляемых компьютеров. Краткое содержание этих четырех разделов:

Введение

В этом разделе содержатся основные положения документа, а также обзор его структуры и некоторые сведения относительно целевой аудитории данного документа.

Определение

В этом разделе содержатся подробные сведения и определения, которые могут быть полезны для понимания решений, о которых идет речь в документе.

Трудности

В этом разделе описывается ряд распространенных трудностей, с которыми может столкнуться компания среднего размера при выборе решения для защиты от неуправляемых и ненадежных компьютеров. Данный раздел дает общее представление о проблемах, устранению которых посвящен этот документ.

Решения

В этом разделе рассматриваются решения, помогающие справиться с угрозами, которые представляют собой неуправляемые компьютеры, путем оценки возможных подходов и обсуждения вопросов, связанных с разработкой планов по устранению проблем. Раздел также содержит некоторые сведения о методах управления и развертывания.

Для кого предназначено это руководство

Этот технический документ предназначен для технических специалистов и технических руководителей и призван помочь им разобраться и принимать осознанные решения по защите сети компании среднего размера от угроз, представляемых неуправляемыми устройствами. Хотя лица, не связанные с техникой, могут использовать этот документ, чтобы лучше разобраться в данной конкретной проблеме, связанной с безопасностью, для полного понимания и применения представленных в документе сведений, необходимо обладать указанными ниже базовыми знаниями.

Конкретные технологии, обсуждаемые в данном документе.

Проверка подлинности IEEE 802.1X.

Политики IPsec.

Сетевая безопасность.

Microsoft® Systems Management Server 2003.

Microsoft Windows Server™ 2003.

Служба каталогов Active Directory®.

Microsoft Operations Management Server.

Microsoft Internet Authentication Service.

Проверка подлинности RADIUS.

Определение

В этом руководстве в дополнение к функциям управления службы администрирования безопасности и контроля над происшествиями MOF (SMF) используется модель процессов Microsoft Operations Framework (MOF).

В частности, в решениях, представленных в этом документе, для улучшения защиты сети от угроз, связанных с неуправляемыми компьютерами, рекомендуется использовать схему непрерывного процесса вместо подхода, предполагающего линейное развертывание.

Внедрение этих решений в частности должно повлечь за собой выполнение действий, приведенных на следующем рисунке.

Рис. 1. Применение MOF

Рис. 1. Применение MOF

Как показано на рисунке, любые действия, являющиеся реакцией на проблемы в сфере безопасности, связанные с неуправляемыми компьютерами, должны представлять собой непрерывные процессы тестирования и настройки, а не только планирования и развертывания. Угрозы, представляющие опасность для сети компании среднего размера, постоянно меняются, а системы, защищающие корпоративную сеть, должны постоянно приспосабливаться к этим угрозам.

Применение решений, описанных в этом документе, согласуется с процессом управления безопасностью SMF, схема которого выглядит следующим образом.

Оценка уязвимости предприятия и определение активов, которые необходимо защитить.

Определение способов снижения до приемлемого уровня рисков, связанных с незащищенными устройствами.

Разработка плана снижения рисков, связанных с безопасностью.

Наблюдение за эффективностью механизмов безопасности.

Регулярное выполнение повторной оценки эффективности и требований безопасности.

Дополнительные сведения о MOF см. на веб-узле Microsoft Operations Framework Microsoft TechNet (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Дополнительные сведения о процессе управления безопасностью SMF см. на странице Security Management Functions (функции управления безопасностью) (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Управление рисками — это процесс определения уровня риска, приемлемого для организации, оценки текущих рисков, поиска способов достижения приемлемого уровня риска и устранения риска. Хотя в этом документе описываются некоторые концепции управления рисками, подробное обсуждение управления рисками является отдельной темой и выходит за рамки этого документа. Дополнительные сведения об анализе и оценке рисков см. в статье Security Risk Management Guide (руководство по управлению рисками, связанными с безопасностью) (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Трудности

Ниже перечислены некоторые трудности, связанные с защитой от неуправляемых компьютеров.

Предотвращение получения неуправляемыми компьютерами доступа к ресурсам сети.

Поддержание соответствия мобильных компьютеров текущему уровню обновлений и политик.

Реализация принятых политик безопасности на компьютерах, подключающихся к сети в удаленном режиме.

Защита сети от незаконно подключаемых беспроводных устройств.

Обнаружение неуправляемых систем, наподобие ноутбуков поставщиков или персональных устройств, при их подключении к сети.

Защита от других мобильных устройств, таких как карманные компьютеры и наладонники.

Решения

Раздел «Трудности» содержит список ряда факторов, которые необходимо принимать во внимание при принятии решения о защите от угроз, представляемых неконтролируемыми компьютерами для сети. Помимо защиты традиционной внутренней проводной сети необходимо также выполнить определенные действия для защиты беспроводной сети и пресечения всех путей получения удаленного доступа. Чтобы охватить все возможные способы, с помощью которых устройство может быть незаконно подключено к сети, решение должно быть комплексным.

В следующем разделе приведены сведения, относящиеся к перечисленным трудностям и следующим подходам.

Использование изоляции домена и сервера IPsec для предотвращения получения неуправляемыми компьютерами доступа к сетевым ресурсам.

Использование карантина VPN для реализации политик безопасности на компьютерах, подключающихся к сети в удаленном режиме.

Использование проверки подлинности 802.1X для защиты от ненадежных беспроводных устройств.

Использование SMS для обнаружения неуправляемых компьютеров при их подключении к сети.

Примечание.   В этом документе предполагается, что читатель уже реализовал процессы, гарантирующие, что компьютеры, входящие в доменные структуры сети компании среднего размера, соответствуют установленным требованиям безопасности и установки исправлений, и изучает методы принудительного обеспечения этих требований и защиты от не отвечающих им устройств. Рассмотрение способов приведения компьютеров в соответствие с установленными требованиями или использования механизмов автоматического обновления системы безопасности наподобие WSUS или возможностей SMS-сервера по управлению исправлениями выходит за рамки данного документа.

Оценка

В этом разделе предлагается ряд возможных действий по устранению проблем, которые неуправляемые компьютеры представляют для компаний среднего размера. Здесь также рассматриваются решения, которые необходимо принять перед тем, как предпринять любое из этих действий. Любое из рассматриваемых действий позволяет повысить уровень безопасности сети компании среднего размера. Тем не менее, при реализации в рамках комплексного подхода к безопасности совместное использование ответных действий приводит к более изощренному реагированию на проблемы, описанные в разделе «Трудности».

Использование IPsec для изоляции доменов и серверов

Физическая изоляция компьютеров и сетей не является чем-то новым. Этот метод применяется в различных видах на протяжении многих лет, обычно для сетей, используемых в процессе разработки и тестирования. Однако старые подходы к физической изоляции плохо подходят для решения задач защиты управляемых систем от подвергшихся успешной атаке неуправляемых устройств. Это особенно актуально в современных корпоративных сетях, где все шире используются мобильные компьютеры, а потребности в автоматизированных и гибких решениях постоянно растут. В следующей таблице приведены основные методы физической изоляции, которые использовались в прошлом, а также трудности, связанные с их использованием в этой роли.

Таблица 1. Подходы к изоляции сети

Уровень модели OSI Подход Проблемы

Уровень 1

Использование отдельной кабельной системы для сегментов, которые требуется изолировать от надежной сети.

Затраты, связанные с проведением нового кабеля для каждого нового подключения.

Повышенные административные накладные расходы на проведение кабелей при перемещении пользователей.

Недостаточная гибкость и сложность в управлении по мере роста компании.

Повышенная вероятность упущений и ошибок вследствие высоких требований к управлению.

Уровень 2

Использование виртуальных локальных сетей для создания логических подсетей, изолированных от надежной сети.

Повышенные затраты, связанные с обновлением системы коммутации для поддержки виртуальных локальных сетей.

Повышенные административные накладные расходы на отслеживание изменений в сети, перемещений пользователей и ответы на запросы гостевых подключений.

Предрасположенность к упущениям и ошибкам при массовом перемещении пользователей и использовании мобильных устройств.

Как следует из этой таблицы, современная корпоративная сеть требует более гибкого решения для реализации соответствия стандартам безопасности, помогающим защититься от неуправляемых компьютеров. Хотя для этой проблемы имеются решения сторонних производителей, они требуют установки клиентской части программного обеспечения на все управляемые рабочие станции, что увеличивает сложность сети. К счастью, текущие версии Microsoft Windows имеют встроенные функции, помогающие решить эту проблему без установки дополнительного программного обеспечения и обучения администраторов.

Изоляция сервера и домена, предлагаемая корпорацией Майкрософт, позволяет ИТ-администраторам ограничивать обмен данными по протоколу TCP/IP путем усиления встроенной групповой политики Active Directory и IPsec, что дает следующие преимущества.

Использование сетевого уровня модели OSI, что означает возможность охвата границ коммутаторов и маршрутизаторов.

Независимость от системы коммутации и физических ограничений сети.

Снижение затрат благодаря встроенным возможностям проверки подлинности компьютеров с ОС Windows.

Автоматизированное решение, не требующее постоянного обслуживания, связанного с изменениями сети и перемещениями пользователей.

Возможность не только проверять подлинность надежных компьютеров, но и шифровать обмен данными между надежными компьютерами.

Реализация политик безопасности за счет отказа в подключении неуправляемых устройств.

Улучшенное управление аудитом и ресурсами.

Возможность быстрой изоляции определенных ресурсов в случае возникновения атаки.

Типичные проблемы при использовании IPsec для безопасного взаимодействия были устранены благодаря недавним разработкам, направленным на решение этих проблем. А именно, трансляция сетевых адресов (NAT) больше не является проблемой, поскольку в новых версиях Microsoft Windows (например Windows Server 2003 и Microsoft Windows XP с пакетом обновления 2 (SP2) появились возможности прослеживания NAT. Кроме того, поддержка платформ, не поддерживающих IPsec, может осуществляться с помощью настраиваемых списков исключений или через переход на небезопасное взаимодействие с такими системами с использованием открытого текста.

Решения по изоляции домена и сервера, описанные в этом документе, используются даже в собственной внутренней сети корпорации Майкрософт. Рекомендуя клиентам использовать эти решения, корпорация также Майкрософт полагается на дополнительный уровень безопасности, обеспечиваемый этим решением, и имеет долгосрочные планы поддержки этого метода обеспечения высокой безопасности и управляемости сетей для создания защищенных информационных систем.

Сведения об изоляции домена и сервера

Проще говоря, создание изолированной сети включает разделение различных типов компьютеров в сети компании по типу доступа, которым они должны обладать. В данном случае различные типы доступа делятся на две категории: управляемый и неуправляемый. Для достижения работоспособности изоляции сети необходимо выполнить два условия. Эти условия указаны ниже.

Компьютеры, входящие в изолированную сеть, могут взаимодействовать со всеми компьютерами в сети, включая находящиеся за пределами надежной сети.

Компьютеры, находящиеся за пределами изолированной сети, могут взаимодействовать только с компьютерами за пределами надежной сети; они не могут взаимодействовать с компьютерами, входящими в надежную сеть.

Изоляция домена и сервера с использованием IPsec усиливает существующие структуры доменов, используя параметры групповой политики. В компьютерах с Windows XP, Windows 2000 Server и Windows Server 2003 уже имеется все необходимое для создания изолированной сети. После настройки необходимых параметров групповой политики для добавления нового компьютера в изолированную сеть достаточно лишь добавить его в домен.

Рис. 2. Изоляция сети с использованием доменов Active Directory

Рис. 2. Изоляция сети с использованием доменов Active Directory

Как показано на предыдущем рисунке, любой компьютер, который не является членом домена, считается ненадежным и, таким образом, находится за пределами изолированной сети. Ни один компьютер, расположенный за пределами изолированной сети, не сможет начать сеанс связи IPsec и установить таким образом подключение к какому-либо компьютеру, входящему в изолированный домен. Однако члены изолированного домена могут свободно устанавливать взаимодействие с передачей данных открытым текстом с любыми устройствами за пределами изолированной сети.

Разумеется, многие организации имеют компьютеры и серверы, которые, будучи управляемыми и надежными, не входят в домен Active Directory или не могут использовать IPsec по ряду причин, но которым все же требуется взаимодействовать с компьютерами, входящими в изолированную сеть. Чтобы разрешить эту дилемму, можно создать другую изолированную группу (или пограничную группу), используя списки исключений, как показано на следующем рисунке.

Рис. 3. Изоляция сети и пограничные группы

Рис. 3. Изоляция сети и пограничные группы

Модель изоляции сети, подобная этой, позволяет уменьшить зону безопасности сети компании. Тем не менее, это решение само по себе не может гарантировать, что надежные компьютеры не перестанут соответствовать стандартам, которые делают их надежными. Это решение само по себе не является комплексным решением для безопасности сети. Оно является частью более крупного комплексного процесса обеспечения безопасности, который, в сочетании с другими решениями, может помочь снизить риски, которым подвержены современные сети компаний среднего размера. А именно, при использовании совместно с другими решениями по обеспечению безопасности, такими как WSUS, SMS, MOM и др., можно использовать данный метод изоляции для обеспечения в изолированной сети соответствия требованиям политики безопасности.

Другие решения на основе Active Directory позволяют автоматизировать задачи для обеспечения постоянного соответствия политике безопасности в надежной изолированной сети. Однако для предотвращения превращения входящих в пограничную группу компьютеров в уязвимые точки в решении на основе изолированной сети придется использовать иные методы. Такие компьютеры необходимо проверить на соответствие перед их добавлением в пограничную группу и установить для них определенные политики и методы, гарантирующие их соответствие требованиям политики безопасности надежных компьютеров.

Иcточник: Microsoft TechNet  •  Опубликована: 18.03.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.