Дизайн защищенных мультисервисных сетей СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА

реклама
Дизайн
защищенных мультисервисных сетей
СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Область
применения
Cisco Solution Technology Integrator
Что могут мультисервисные сети?
Источник: Cisco Systems

Мультисервисные (конвергентные)
сети приносят пользователю новое
качество интегрированной
информационной среды:
-
-
голосовые службы и IP-телефония
существенно богаче по сервисам и
одновременно дешевле, чем
традиционная телефонная система
видеосервисы и видеоконференции
приносят совершенно новое качество
общения и управления
•
•
Voice
Video
Web
-
IM
-
следует помнить, что 55% информации
человек воспринимает визуально
конференционные услуги позволяют
людям экономить время, полноценно
общаясь с коллегами со своего рабочего
места, точнее понимать друг друга, не
совершать ошибок, дают руководству
инструменты более эффективного
контроля, снижают затраты на
командировки
системы Instant Messaging позволяют
пользователям, взаимодействуя в
реальном времени, построить новые
информационные процессы, такие, как
дистанционное обучение, методические
семинары, совместная разработка
документов, обслуживание
пользователей
все эти средства хорошо
интегрируются с современными webприложениями и информационными
системами
3
Что люди используют чаще всего?
Источник: MCI, Wainhouse Research, цитируется по материалам Cisco Systems

Преимущества
мультисервисных
коммуникаций признаны
пользователями современных
коммуникаций:
- аудиоконференции
применяются повсеместно,
всего на 20% отставая от
электронной почты, которой
пользуются практически все
- приложения Instant Messaging
и видеоконференции
«догоняют»
аудиоконференции
• система видеоконференций и
Instant Messaging NetMeeting
входит в состав ОС Windows
• при современной цене вебкамеры, микрофона и
наушников (колонок) этот
сервис доступен, безусловно,
всякому пользователю
персонального компьютера
4
Решения Cisco Systems
Источник: Cisco Systems, Tandberg

IP-телефония
-
-

Унифицированные коммуникации
-


обеспечивают развитую среду для
виртуальных коммуникаций
Видеотелефония
-

продукты Cisco обеспечивают единую среду
для всех видов коммуникаций «в одном
флаконе» (электронная почта, голосовая
почта и аудиоприложения, факс-сервис,
серверы для трансляции аудио- и
видеопотоков, контентные серверы, системы
распознания речи
Конференционные системы
-

IP-телефония переносит услуги традиционной
телефонной связи в среду IP-сетей
продукты Cisco включают процессинг
телефонных вызовов, IP-телефоны,
видеоустройства, специальные приложения
коммуникационные продукты Cisco
поддерживают необходимое качество
сетевого обслуживания (QoS)
видеотелефоны Cisco в употреблении столь
же просты в употреблении, как и обычные
голосовые телефоны
Решения для call-центров и систем работы с
заказчиками
Оборудование Cisco легко интегрируется со
стандартным терминальным
оборудованием и приложениями третьих
производителей
5
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Уязвимости
Cisco Solution Technology Integrator
Классификация угроз

В самой общей классификации в мультисервисной сети и, в частности, в IPтелефонии, есть три объекта для атаки потенциального злоумышленника :
-
трафик
•
•
-
сервис системы
•
•
-
существует много способов для выполнения атаки на доступность услуг коммуникаций (Denial of
service attack)
цель такой атаки – преимущественно диверсионная, система должна перестать работать в
определенный момент времени
емкость линий связи
•

целью этих атак могут быть нарушение конфиденциальности переговоров, мошенничества
перехват и прослушивание голоса могут производиться при помощи целого ряда общедоступных
хакерских а также штатных диагностических инструментов, протокольных анализаторов
это – более типичный для традиционной телефонии набор атак, с целью провести дорогой
междугородный звонок «за чужой счет»
Будучи по природе своей IP-сетями, мультисервисные сети подвержены всем
типам атак, которые могут быть применены и к сетям передачи данных
-
перехват пакетов, подмена IP-адресов, атаки man-in-the-middle, вирусы и многие другие
кроме того, поскольку мультисервисные сети включают в себя довольно
развитой комплекс прикладных сервисов, к ним могут быть применены
специфические атаки
-
перехват телефонных вызовов, несанкционированный доступ к голосовой почте,
факсимильным документам, системам обмена сообщениями, несанкционированное
подключение к системам вещания и т.п.
7
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Cisco Solution Technology Integrator
Общие меры
защиты:
спецподготовка
Подготовка коммуникационной среды


Чтобы атаковать сеть, злоумышленник
должен получить доступ к системам
коммутации, трафику, активному
оборудованию
Для построения защищенной
мультисервисной сети следует, прежде
всего, принять меры спецподготовки
безопасной коммуникационной среды
(network hardening), которые имеет
смысл применять при построении
всякой защищенной системы:
1. исключить несанкционированные
подключения, организовать
физическую защиту систем коммутации
2. запретить (по мере возможности)
управление по протоколу SNMP
коммуникационными устройствами и
серверами, удалить все
неиспользуемые приложения,
установить обновления (patch) ОС
3. проверить, что все устройства и
серверы обеспечены средствами
аутентификации и контроля доступа;
исключить учетные записи
пользователей, не защищенные, как
минимум, стойким паролем
9
Защита терминальных устройств

Некоторые IP-телефоны имеют порты
данных (data port) для подключения
компьютеров
-
-

У IP-телефонов есть функция
автоматической регистрации в IP-АТС (Call
Manager)
-
-

их рекомендуется использовать только в тех
случаях, когда это оправданное и осознанное
решение
во всех прочих случаях конфигурация IPтелефона должна быть настроена так, чтобы
порт данных был запрещен
если эта функция включена, Call Manager
регистрирует и начинает обслуживать всякое
(в том числе несанкционированное)
устройство
эту функцию следует запретить (за
исключением, быть может, этапа ввода сети в
эксплуатацию, на котором производится
регистрация большого количества новых
устройств)
Программные телефоны представляют
собой повышенную опасность, поскольку
работают в открытых операционных
системах, более подвержены атакам
вирусов, атакам со стороны
компрометированных приложений (которых
на персональном компьютере много
больше, чем в IP-телефоне) и т.п.
-
такие телефоны следует применять только в
тех случаях, когда это реально необходимо
10
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Cisco Solution Technology Integrator
Общие меры
защиты:
структуризация
Сегментирование сети


В целях безопасности рекомендуется
разделять сегменты данных и
голосовые сегменты
Между сегментами сети средствами
канального уровня (VLAN) и
средствами пакетной фильтрации
(межсетевой экран) следует
организовать контроль доступа
1. доступ из голосовых сегментов в
сегмент управления для управления
вызовами (доступ IP-телефонов к Call
Manager)
2. связь между Call Manager и системой
голосовой почты (часто интегрируется
с серверами электронной почты в)
3. доступ IP-телефонов к системе
голосовой почты
4. доступ пользователей к Call Manager
для управления персональными
настройками и контроля ресурсов
5. доступ пользователей к серверам

Правила фильтрации должны
запрещать доступ IP-телефонов к
несанкционированно установленному
Сall Manager и, аналогично,
несанкционированное устройство
(компьютер или IP-телефон) должно
быть запрещено на уровне
фильтрации доступа к Сall Manager
12
Контроль адресных пространств


Для IP-телефонов рекомендуется
использовать внутренние планы IPадресов (private address space) и, при
взаимодействии с внешними
сегментами, трансляцию адресов
(NAT)
Необходим особый контроль за
физическим и подключениями и MACадресами
-
следует привязывать статически IPадреса к известным MAC-адресам на
DHCP-серверах
•
-
при этом IP-телефон будет всегда иметь
один и тот же IP-адрес, а
неконтролируемое устройство не сможет
получить IP-адрес; эта мера также
полезна для защиты от DHCP DoS attack
следует рассмотреть возможность
использования утилит для мониторинга
MAC-адресов в голосовом сегменте
(например, Arpwatch, http://wwwnrg.ee.lbl.gov/nrg.html)
13
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Cisco Solution Technology Integrator
Общие меры
защиты:
аутентификация
Канальный уровень

На канальном уровне осуществляется
аутентификация устройства (device
authentication)
-
основной метод аутентификации
устройства – контроль MAC-адресов
•
-
некоторые IP-телефоны поддерживают
L2 VLAN, например, на основе
стандарта 802.1q, что позволяет
усилить аутентификацию устройства и
разделить сегменты данных и голоса
на канальном уровне
•

если реализована регистрация MACадресов и строгая дисциплина
управления IP-адресами, появление
устройства с неизвестным MAC-адресом
является прямым доказательством
несанкционированного подключения
рекомендуется использовать именно
такие телефоны
Однако следует помнить о том, что
сегодня многие сетевые адаптеры
позволяют пользователю менять
MAC-адрес
-
-
перехватив MAC-адрес легитимного
телефона, злоумышленник может
изменить MAC-адрес своего адаптера и
замаскироваться под легитимное
устройство
поэтому не стоит полагаться только на
защиту канального уровня, а применять
комбинацию мер защиты канального,
сетевого и прикладного уровня
15
Сетевой и прикладной уровень

На сетевом уровне IP-адрес не должен
рассматриваться как даже нестойкий механизм
аутентификации
-

при этом все устройства L3 должны обеспечивать
защиту от address spoofing в соответствии с RFC 2827
Механизмы аутентификации IP-телефонов
-
некоторые телефоны поддерживают аутентификацию
пользователя (log in) на основе пароля (PIN-кода)
•
-
аутентификация пользователя вводит элемент
неотказуемости в том смысле, что пользователь знает,
что его действия (и ответственность за них)
связываются непосредственно с ним, а не с кем-то еще
•
-

в этом случае следует помнить, что уход пользователя
с рабочего места без выхода из системы (log off) –
проблема безопасности
некоторые системы телефонии используют
устаревшую систему аутентификации на основе ввода
кода доступа (access code) перед звонком
•
-
аутентификация пользователя должна производиться
после аутентификации устройства - это снижает риск
подключения неаутентифицированного телефона со
spoofed MAC address
это средство –плохое, потому что коды доступа
фиксированы, меняются редко и, поэтому, становятся
всем известны
софтверные IP-телефоны поддерживают механизмы
аутентификации Windows authentication
При использовании систем IP-телефонии следует
организовать корректную практику аутентификации
пользователей на основе перечисленных
механизмов
-
использование системы телефонии без применения
средств аутентификации должно быть исключено
необходимо реализовать контроль
качества/использования/замены паролей
16
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Cisco Solution Technology Integrator
Общие меры
защиты:
инфраструктура
Защита систем управления

Ряд мер безопасности нужно
организовать на системах голосовой
почты и Call Manager, именно:
-
провести спецподготовку платформы
обеспечить аутентификацию
пользователей, обеспечить контроль
доступа на основе корректного
распределения ролей
•
•
-
-
к персональным (кастомизированным)
профилям пользователей, хранящимся
на Call Manager должны получать доступ
практически все пользователи
это должен быть непривилегированный
доступ с сильной аутентификацией
(качественный и обновляемый
пароль/PIN; для дополнительной защиты
доступа администраторов существует
возможность применения
двухфакторной аутентификации)
в случае использования на голосовых
серверах различных протоколов
управления, необходимо следовать
лучшим практикам их дизайна и
эксплуатации (см. например, Cisco
Design Guide, SAFE)
применять, по мере возможности,
серверные средства обнаружения
аномальных активностей (host-based
IDS, HIDS), использовать антивирус и
контентный фильтр
18
Мониторинг безопасности

Система должна обеспечивать функции
подотчетности, мониторинга и аудита, достаточные
для выявления и диагностики потенциально
опасных событий. К таким функциям следует
отнести:
-

событийное протоколирование
мониторинг, сигнализацию, обнаружение аномальных
активностей
аудит
Рекомендации по функциональности и
инфраструктуре для мультисервисных сетей – те
же, что и в сетях данных
-
-
событийное протоколирование, должно покрывать, как
минимум, события доступа пользователей и звонков на
Call Manager
современные средства мониторинга, такие, как Cisco
MARS, позволяют интегрировать данные мониторинга
на основе множества протоколов (SNMP, Syslog, RDEP,
SDEE, NetFlow), организовать вторичную обработку
событий, корреляцию, сигнализацию, визуализировать
состояние сети и точки возникновения проблем,
автоматизировать процессы локализации и блокировки
атак с реконфигурированием устройств защиты, аудит
на базе развитой системы отчетов
системы обнаружения/блокировки аномальных
активностей (IDS/IPS) дополняют функциональность
мониторинга, который основан на выводе событийной
информации от зарегистрированных устройств,
активным анализом событий всех прочих систем; эти
системы следует устанавливать
•
•
-
перед Call Manager, чтобы обнаруживать атаки из
сегмента данных по сервису HTTP для пользователей
между голосовым сегментом и сегментом данных,
чтобы детектировать DoS атаки на голосовой сегмент,
особенно учитывая, что stateful firewall на этом звене
установить трудно (IDS, в отличие от пакетного
фильтра, поддерживается на коммутаторах ЛВС)
IDS обеспечивает два дополнительных преимущества:
•
•
в случае атаки может переконфигурировать пакетные
фильтры
может сбросить TCP-соединение, в котором
обнаружена сигнатура атаки
19
Дизайн защищенных мультисервисных сетей
Область применения
Уязвимости
Общие меры защиты
- спецподготовка
- структуризация
- аутентификация
- инфраструктура
Дизайн VPN
Дизайн VPN
Cisco Solution Technology Integrator
Архитектура VPN в мультисервисной сети
21
Политика безопасности

Структура VPN-туннелей в мультисервисной
сети практически повторяет правила
контроля доступа между сегментами сети:
1.
2.
3.
4.
сегменты данных соединяются туннелями с
серверным сегментом (как правило, в
«мультизвездной» топологической схеме
VPN, где серверные центры находятся в
центрах «звезд»); сегменты данных также
соединены с центром управления, чтобы
защитить доступ пользователей к
персональным настройкам Call Manager
голосовые сегменты, аналогично,
соединены с центром управления и с
серверным центром (доступ к голосовой
почте), однако, поскольку телефоны, после
обработки вызова на Call Manager, работают
«напрямую» друг с другом, то политика
связи голосовых сегментов представляет
собой практически полносвязный граф VPNтуннелей
голосовые сегменты и сегменты данных
полностью изолированы друг от друга, за
исключением смешанных сегментов
(преимущественно – малые офисы и
системы персональной защиты)
и голосовые сети, и сети данных в
нормальной ситуации полностью
изолированы от открытого IP-трафика, за
исключением трафика из голосовых
сегментов в телефонную сеть общего
пользования (ТСОП)
•
если на входе во внутреннюю сеть после
пограничного маршрутизатора установить
шлюз безопасности, то для голосовых
сегментов можно реализовать строгую
политику безопасности «только IPsec»
22
Взаимодействие с ТСОП

При взаимодействии сети IPтелефонии телефонными сетями
общего пользования реализуется
следующая логика установления
соединения:
1. звонок из городской сети поступает на
входной маршрутизатор
•
этот звонок всегда приходит по
открытому соединению, поскольку
телефоны городской сети не
защищены
2. входной маршрутизатор отправляет
вызов на Call Manager, который
вызывает соответствующий IPтелефон в корпоративной сети
3. после установления соединения IPтелефон соединяется с входным
маршрутизатором, который
транслирует его IP-трафик в протоклы
ТСОП
4. шлюз безопасности, защищающий IPтелефон, пропускает этот IP-трафик без
применения мер защиты (кроме
пакетной фильтрации)

Недостатками этой схемы являются
наличие открытого трафика в звеньях
передачи данных (2) и (3), а также
неполная VPN-изоляция сегмента IPтелефонии (4)
23
Защита соединения с ТСОП

Трафик между входным маршрутизатором,
Call Manager и шлюзами в голосовых
сегментах можно защитить при помощи
IPsec VPN
-
-

Защиту можно реализовать на
отечественных алгоритмах
-

такая защита обеспечит полную изоляцию
всех внутренних сегментов от открытого
трафика
это существенно усилит контроль доступа и
снизит вероятность перехвата вызовов, атак
Denial of Service и т.п.
для этого рядом с входным маршрутизаторои
придется установить дополнительный шлюз
безопасности или во входной маршрутизатор
установить модуль NME-RVPN (верхний
рисунок)
Альтернативным вариантом является
защита на основе западных
криптоалгоритмов
-
-
поскольку трафик в городскую сет не
конфиденциален, достаточно использовать
протокол IPsec AH (целостность и
аутентификация пакетов, голубой туннель на
нижнем рисунке)
шлюзы CSP VPN могут обеспечить при этом
прямое взаимодействие с входным
маршрутизатором и межсетевым экраном
Cisco (нижний рисунок)
24
Шлюзы CSP VPN Gate 100V, 1000V


Ввиду того, что топология VPN для сети IPтелефонии представляет собой практически
полносвязный граф, каждый шлюз безопасности
должен поддерживать большое число защищенных
соединений
В этом случае лицензионные ограничения «малых»
шлюзов CSP VPN Gate 100 и 1000 (10 и 50 туннелей,
соответственно) могут оказаться «узким местом»
-
-
-


в продуктах CSP VPN понятие «туннель» эквивалентно
понятию «контекст безопасности» (security association)
в архитектуре IPsec
контекст безопасности, после установления
защищенного соединения, «живет» предустановленное
время, «занимая» пространство в лицензированном
числе туннелей
поэтому, например, в случае, когда из сети
последовательно делается большое количество
телефонных вызовов, число туннелей может быть
исчерпано и новые соединения не будут
устанавливаться пока «старые» контексты не отживут
установленное время
Для того, чтобы повысить «емкость» малого шлюза
рекомендуется устанавливать короткое время
жизни контекстов безопасности (например, 0,5-1
час вместо 8 часов по умолчанию)
В случае, если и при коротком времени жизни
контекста безопасности число туннелей будет
недостаточно, можно использовать
«расширенные» лицензии CSP VPN Gate 100V и
1000V, поддерживающие одновременно 250 и 500
туннелей, соответственно
25
Защита персональных коммуникаций

В крупных корпоративных сетях
защищенное решение «для общего
пользования» представляется не всегда
достаточным:
-
-
сеть велика, сложна и ее в совокупности
труднее контролировать
как правило, критичность ресурсов сети
крайне неоднородна, часть активов требует
относительно низкого уровня защиты, часть
– крайне критична
как правило, данные, с которыми оперирует
руководство компании, относятся к наиболее
критичным информационным ресурсам и
требуют максимальной защиты
•

при этом следует учитывать, тот факт, что в
структуре информационных обметов
руководителей документальные активы не
доминируют: бОльшая часть
конфиденциальных коммуникаций лежит в
области телефонных переговоров,
диспетчерской связи и конференций
Решение CSP VPN позволяет построить для
руководства компаний систему
персональной защищенной связи
-
эта система обеспечивает изоляцию сети
руководства компании, однородную и
стойкую защиту как для данных, так и для
телефонных переговоров и конференций
26
Роль сервиса VPN

Применение VPN в мультисервисной сети обеспечивает ряд дополнительных, в
сравнении с дизайном без VPN, механизмов безопасности:
1.
обеспечивается конфиденциальность коммуникаций, трафик данных, телефонных
переговоров, конференций не может быть перехвачен, прослушан, записан и повторен
•
2.
сетевой контроль доступа существенно усиливается за счет возможности изоляции
защищенных подсетей: в сеть может попасть только пакет,
шифрованный/подписанный при помощи стойкого секретного ключа
•
•
•
•
3.
4.
в персональных защищенных сетях конфиденциальность обеспечивается из конца в конец,
никто из внешних пользователей, включая секретарей, системных администраторов и др., не
может прослушать разговор по защищенному каналу
практически устраняется возможность атак путем подмены IP-адресов (за исключением
шлюзов, обеспечивающих обмен информацией с открытыми сетями)
снижается уровень требований при контроле за планом IP-адресов и телефонных номеров,
сервис NAT заменяется стойким механизмом VPN-туннелирования, который скрывает
топологию защищаемой сети и исключает утечку открытого трафика за пределы
корпоративного периметра
снижаются риски установки несанкционированных устройств, в системах персональной
защищенной связи практически исключается возможность несанкционированного
подключения устройства
в случае применения продукта CSP VPN Client снижаются риски применения программных
телефонов
система сохраняет определенную уязвимость по отношению к DoS-атакам, но
пространство атакуемых объектов существенно снижается и подавление сервиса
системы становится существенно менее вероятным, чем в незащищенной сети
средства сетевой защиты естественным образом интегрируются в существующие
инфраструктуры аутентификации, управления, мониторинга и аудита
27
КОНТАКТЫ
e-mail: information@s-terra.com
web: http://www.s-terra.com/
Тел.:
+7 (499) 940 9001
+7 (495) 726 9891
Факс: +7 (499) 720 6928
Вопросы?
Обращайтесь к нам!
Cisco Solution Technology Integrator
Скачать