До введения компьютера в промышленную эксплуатацию или подключения вашей сети к Интернету рекомендуется определить потребности вашей организации и то, как включить их в стратегию защиты максимально прозрачно. Так как основной целью Руководства по безопасности Red Hat Enterprise Linux является освещение безопасности Red Hat Enterprise Linux, более подробное изучение защиты сети и оборудования выходит за его рамки. Тем не менее, в этой главе кратко описана реализация политик безопасности в отношении оборудования и физических сетей. Важно понять, как в общую стратегию безопасности вписывается потребность в компьютерных системах и требования к их взаимодействию. Ниже это разъясняется более подробно.
Понятие компьютерные системы включает в себя не только рабочие станции с офисным программным обеспечением. Современным организациям нужны солидные вычислительные мощности и службы высокой степени доступности, это могут быть мэйнфреймы, вычислительные кластеры, мощные рабочие станции и специализированные устройства. Однако с этими потребностями связано увеличение зависимости организации от аппаратных сбоев, природных катаклизмов, повреждения или кражи оборудования.
Подключение здесь определяет то, как администратор намерен подключать отдельные ресурсы к сети. Администратор может использовать Ethernet (кабельную систему CAT-5/RJ-45 с концентраторами или коммутаторами), token ring, коаксиальный кабель 10-base-2 или даже беспроводные (802.11x) технологии. Выбранные администратором среда и сетевые топологии потребуют внедрения сопутствующих технологий, например, концентраторов, маршрутизаторов, коммутаторов, базовых станций и точек доступа. Функциональная сетевая архитектура позволяет облегчить действия администратора при возникновении проблем безопасности.
Эти общие замечания позволят администраторам лучше представить себе общую реализацию. При проектировании компьютерного окружения следует рассматривать и потребности организации, и вопросы безопасности — реализация должны учитывать оба этих фактора.
Фундаментом локальной сети является топология, или сетевая архитектура. Топология — это физическая и логическая схема сети, определяющая предоставляемые ресурсы, расстояние между узлами и среду передачи. В зависимости от потребности организации в сетевых службах, сеть может быть реализована по-разному. Каждая топология имеет свои уникальные плюсы и минусы с точки зрения безопасности, которые должен учитывать сетевой архитектор при разработке схемы сети.
Согласно классификации Института инженеров по электротехники и электронике (Institute of Electrical and Electronics Engineers — IEEE), существуют три топологии физического соединения сети.
В топологии кольцо для подключения каждого узла используется ровно два соединения. Так создаётся кольцевое структура, когда каждый узел доступен для другого, либо напрямую, через физически ближайшие соседние узлы, либо косвенно, по кольцу. Таким образом организованы сети Token Ring, FDDI и SONET (в FDDI применяется двойное кольцо); однако, в Ethernet эта физическая топология не реализуется, поэтому кольца встречаются редко, за исключением устаревших или учебных сетей с большим количеством установленных узлов (например, в университете).
Топология линейная шина состоит из узлов, подключенных к замкнутому на концах линейному кабелю (позвоночнику). Топология шина требует минимальных затрат на кабельное и сетевое оборудование, что делает её самым дешёвой топологией. Однако, работа шины зависит от исправности «позвоночника», что делает его одиночной точкой сбоя в случаях, когда он отключен или разорван. Топология шина часто используется в простых сетях с коаксиальным кабелем, замкнутой на обоих концах шины терминаторами сопротивлением 50-93 Ом.
В топологии звезда выделяется центральная точка, к которой подключаются узлы и через которую передаются данные. Эта центральная точка, называемая концентратором, может быть либо широковещающей, либо коммутирующей. В этой топологии одиночной точкой сбоя является центральное сетевое оборудование, соединяющее узлы. Однако, по причине этой централизации, проблемы, возникающие в некоторых сегментах или во всей сети, легко проследить до этой точки.
В разделе A.1.1.3 Топология «звезда» вводится понятие широковещательных и коммутируемых сетей. Оценивая тип сетевого оборудования подходящего и достаточно безопасного для вашего сетевого окружения, необходимо принять во внимание несколько факторов. Далее разъясняются различия между двумя этими видами сетей.
В широковещательной сети пакет, посланный одним узлом, будут получать все узлы, пока он не дойдёт до заданного получателя. До того, как его обработает получатель, этот пакет без проблем может перехватить любой узел сети. В широковещательной сети так посылаются все пакеты.
В коммутируемой сети пакеты не передаются всем, а обрабатываются коммутатором, который, в свою очередь, создаёт прямое соединение между посылающим и принимающим узлом. Это исключает необходимость передавать пакеты всем узлам, тем самым, снижая ненужный трафик.
Коммутируемая сеть также предотвращает перехват пакетов злонамеренными пользователями или компьютерами. В широковещательной сети, где каждый узел получает каждый пакет на его пути к месту назначения, злонамеренные пользователи могут перевести свои Ethernet-устройства в неразборчивый режим (promiscuous) и принимать все пакеты, кому бы они не были предназначены. В «неразборчивом» режиме программа, прослушивающая сеть может фильтровать, анализировать и извлекать из пакетов пароли, личные сведения и т.д. Развитые программы могут сохранять эти данные в текстовом файле и, возможно, даже отправлять их куда-то (например, по электронной почте злоумышленнику).
В коммутируемой сети должен присутствовать сетевой коммутатор — специализированное устройство, заменяющее традиционный концентратор, к которому подключены все узлы сети. Коммутаторы сохраняют MAC-адреса всех узлов во внутренней таблице и с её помощью выполняют коммутацию напрямую. Различные производители, в том числе Cisco Systems, D-Link, SMC и Netgear предлагают самые разные коммутаторы с такими возможностями, как совместимость с 10/100-Base-T, поддержка гигабитного Ethernet и сетей IPv6.
Новой возникшей проблемой современных предприятий стала мобильность. Руководители, удалённые работники, и специалисты по вызову нуждаются в мобильных решениях, таких как ноутбуки, карманные компьютеры (PDA), и беспроводном доступе к сетевым ресурсам. Комитет IEEE утвердил спецификацию беспроводных сетей 802.11, определив тем самым стандарты беспроводной передачи данных для всех отраслей. В настоящее время одобренным IEEE стандартом беспроводных сетей является 802.11g, тогда как 802.11a и 802.11b считаются устаревшими. Стандарт 802.11g обратно совместим с 802.11b, но не совместим с 802.11a.
Спецификации 802.11b и 802.11g определяют целую группу стандартов, связанных с беспроводной связью и управлением доступом в не лицензируемом диапазоне радиочастот 2.4 ГГц (802.11a использует частоту 5 ГГц). Эти спецификации были утверждены IEEE в качестве стандартов, и различные компании вышли на рынок с продуктами и услугами 802.11x. Потребители также получили стандарт для небольших домашних и офисных (small-office/home-office — SOHO) сетей. Эти сети уже выросли из локальных (Local Area Networks — LAN) и стали городскими (Metropolitan Area Networks — MAN) сетями, особенно в густонаселённых городах, где создана высокая концентрация беспроводных точек доступа (wireless access points — WAP). Существуют также провайдеры, обеспечивающие беспроводное подключение к Интернету и обслуживающие путешественников, которым для ведения дел необходим скоростной доступ в Интернет.
Спецификация 802.11x позволяет организовывать прямое одноранговое соединение между узлами с беспроводными сетевыми платами. Сеть с таким слабым связыванием узлов называется оперативной, она идеально подходит для быстрого соединения двух или нескольких узлов и даёт возможности расширения, недоступные для обычных проводных сетей.
Для сетей с фиксированной структурой более подходящим решением беспроводного доступа может стать установка одной или нескольких точек WAP, соединённых с традиционной сетью, что позволит беспроводным узлам подключаться так, как будто они находятся в сети Ethernet. WAP по сути является мостом между подключенным к нему узлами и остальной сетью.
Хотя беспроводные сети сравнимы по скорости и гораздо более удобные, чем традиционные проводные сети, они имеют некоторые ограничения, заслуживающие внимательного изучения. Наиболее важное ограничение состоит в реализации системы безопасности.
Восхищённые успешно развёрнутой сетью 802.11x, многие администраторы забывают даже об элементарных мерах предосторожности. Так как вся сеть 802.11x работает на высокочастотных радиосигналах, передаваемые данные может легко перехватить любой пользователь с совместимой платой, средством сканирования беспроводной сети, например, NetStumbler или Wellenreiter, и программами прослушивания трафика, например dsniff и snort. Чтобы предотвратить такое использование частных беспроводных сетей, стандартом 802.11b введён протокол, обеспечивающий секретность на уровне проводной сети (Wired Equivalency Privacy, WEP), шифрующий трафик между точкой беспроводного доступа и узлом по алгоритму RC4 с общим ключом 64 или 128 бит. Этот ключ шифрует передаваемые и расшифровывает принимаемые пакеты динамически и прозрачно. Однако, администраторы достаточно часто не используют схему шифрования с общим ключом, либо потому что они забыли об этом, либо потому что боятся снижения производительности (особенно при больших расстояниях). Тем не менее, включение WEP в беспроводной сети может значительно снизить риск перехвата данных.
Red Hat Enterprise Linux поддерживает самые разные продукты 802.11x. В частности, утилита Управление устройствами сети (Network Administration Tool) позволяет настраивать беспроводные сетевые платы и протокол WEP. За информацией об использовании утилиты Управление устройствами сети (Network Administration Tool) обратитесь к Руководству по системному администрированию Red Hat Enterprise Linux.
Однако полагаться на WEP не следует, так как он недостаточно защищён от нападок опытных взломщиков. Разработаны специальные утилиты, взламывающие алгоритм RC4 и получающие общий ключ, используемый в WEP для защиты беспроводной сети. В качестве примера таких приложений можно привести AirSnort и WEP Crack. Чтобы защититься от этого, администраторы должны строго соблюдать правила, оговаривающие использование беспроводных сетей для доступа к важной информации. Администраторы могут усилить безопасность беспроводной связи, разрешив только SSH или VPN-соединения, что обеспечит ещё один уровень шифрования поверх шифрования WEP. В таком случае злоумышленник, взломавший шифрование WEP, должен будет также взломать шифрование VPN или SSH, работающее по алгоритму 3DES с ключом 168 бит, или использующее другие, ещё более сильные коммерческие алгоритмы. Администраторы, применяющие эти политики, должны ограничить использование протоколов, передающих данные открытым текстом, например, Telnet или FTP, так как передаваемые пароли и данные уязвимы для вышеупомянутых атак.
Недавно появился ещё один способ обеспечения защиты и проверки подлинности, приняты на вооружение производителями беспроводного обородования — защищённый Wi-Fi доступ (Wi-fi Protected Access, WPA). Администраторы могут настроить WPA в своих сетях, разврнув сервер проверки подлинности для управления ключами клиентов, обращающихся к беспроводной сети. WPA усовершенствован по сравнению с WEP-шифрованием благодаря протоколу обеспечения целостности временно ключа (Temporal Key Integrity Protocol, TKIP), который представляет собой способ использования общего ключа и сопоставления его с MAC-адресом беспроводной сетевой платы, установленной в компьютере клиента. Значение общего ключа и MAC-адрес затем обрабатыватся вектором инициализации (Initialization Vector, IV) и используется для создания ключа шифрования каждого пакета данных. Значение IV меняется при каждой передаче пакета, что предотвращает большую часть атак на беспроводные сети.
Однако WPA с TKIP рассматривается как временное решение. В настоящее время идёт разработка более сильных алгоритмов шифрования (таких, как AES), которые будут способны улучшить безопасности беспроводных сетей предприятий.
За дополнительными сведениями о стандартах 802.11 обратитесь по следующему адресу:
http://standards.ieee.org/getieee802/802.11.html |
Администраторам, желающим запускать доступные снаружи службы, такие как HTTP, FTP, DNS и почтовые, рекомендуется физически и/или логически отделять их от внутренней сети. Брандмауэры и усиленная защита узлов и приложений эффективно останавливают случайных взломщиков. Однако опытные взломщики смогут проникнуть во внутреннюю сеть, если взломанные ими службы располагаются в том же сегменте сети. Доступные извне службы должны располагаться в так называемой демилитаризованной зоне (DeMilitarized zone, DMZ) — логическом сегменте, в котором трафик из Интернета может достигать только этих служб, и не пропускается во внутреннюю сеть. И даже если злоумышленник взломает компьютер в демилитаризованной зоне, остальная часть внутренней сети будет спрятана за брандмауэром в отдельном сегменте.
Большинство организаций имеет ограниченный набор реальных IP-адресов, которые можно назначить внешним службам, поэтому администраторы используют правила сетевого фильтра для приёма, пересылки, отказа и запрета передачи пакетов. Политики брандмауэра, реализованные с помощью iptables или специализированных аппаратных брандмауэров, позволяет определять сложные правила маршрутизации и пересылки пакетов. Администраторы могут применять эти политики для разделения входящего по службам, адресам и портам, и при этом разрешить доступ к внутренним службам только из локальной сети, что поможет предотвратить атаки с подменой IP-адреса. За дополнительными сведениями о реализации iptables, обратитесь к главе 7 Брандмауэры.