Сетевая безопасность

18.02.2017

В прошлом году АйТек переехал в новый офис – просторный, светлый и уютный. Мы сразу делали там все «правильно» с точки зрения ИТ, поэтому, при подключении интернета установили новый файрволл.

Через 2 дня после подключения к провайдеру, инженера настраивали сеть, открыли логи устройства и … 90% предупреждений – о попытках авторизации с неизвестных ip-шников под стандартными учетными записями Admin, root, cisco, guest и т.п. Нам повезло, что переезжать надо было через месяц и за файрволлом не было никакого оборудования.

На работающих предприятиях ситуация иная – за файрволлом стоит оборудование, которое является кровеносной системой бизнеса. И несанкционированный доступ к нему ведет к потере данных или к переводу через банк-клиент на неизвестную вам ранее компанию денег с вашего расчетного счета.

Я решил развеять распространенное мнение о дороговизне сетевой безопасности. Вы можете выполнить указанные ниже рекомендации, чем сильно осложните жизнь любителей покопаться в чужой сети.

Перед тем, как перейти к рекомендациям, давайте разберемся, как происходит сам процесс взлома. Вашу сеть попробуют взломать извне и изнутри. Начнем с внешних угроз.

Злоумышленник скачивает сетевой сканер (подобный nmap), и сканирует им диапазон произвольно выбранных ip-адресов. Если у файрволла открыты лишние порты, сканер «увидит» это. По открытым портам можно определить, какое оборудование и сервисы работают через него, а при дальнейшей проработке выяснить версии сервисов и возможно даже операционной системы.

После этого, зная версию программного обеспечения, взломщик ищет в интернете так называемые exploit-ы. Это микропрограммы, использующие «дыры» в безопасности программ. Если вы используете старую версию программного обеспечения, без установленных сервис-паков, вас взломают.

После входа в вашу сеть, злоумышленник опять устанавливает сетевой сканер (теперь уже в сети) и работает как локальный пользователь. Дальнейшие действия может выполнить как внешний злоумышленник, взломавший вашу сеть, так и не благонадежный сотрудник.

Если разные типы устройств (Ip-телефоны, компьютеры сотрудников, сервера, камеры, СКУД) находятся у вас в одной подсети, «крот» может получить к ним доступ. Просканировав одноранговую сеть изнутри, он получает список IP адресов живых устройств, которые к ней подключены. Дальше по каждому устройству сканируются порты с целью найти уязвимые устройства. MAC-адрес устройства может помочь в процессе взлома, по первым 6 цифрам можно узнать производителя оборудования и попробовать авторизоваться встроенными учетными записями или подобрать пароль по словарю для перехвата управления. Программное обеспечение взламывается тем же способом – при помощи exploit-ов.

Рекомендации:

  • Уменьшайте поверхность атаки.

Открывайте только порты, которые нужны для работы. Лишнее – закрывайте.

  • Меняйте «заводские» пароли на сетевом оборудовании. Отключайте встроенные и неиспользуемые учетные записи.
  • Используйте свежие версии программного обеспечения, обязательно устанавливайте последние сервис-паки.
  • Настраивайте систему предотвращения вторжения (IPS)

Это модуль, который поставляется в составе файрволла известных производителей. Он должен быть настроен. Если вы купили межсетевой экран без такого модуля – докупите и настройте.

Это сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. Обычно, в DMZ-зоне разворачиваются DNS сервер, EDGE, веб-сервисы.

Я рекомендую вам использовать схему с двумя межсетевыми экранами:

Сделайте пароли доступа на межсетевых экранах разными. Проверьте, чтобы в DMZ не было информации о пользователях сети, паролях и пр.

  • Делите внутреннюю сеть предприятия на виртуальные сети (VLAN).

Настраивайте VLAN Access List, чтобы пользователь не зашел в VLAN с серверами и другим оборудованием.

 

Это простые рекомендации, подходящие для любой корпоративной сети. Для получения персональной консультации – закажите бесплатный аудит вашей сети.

Последние записи