Презентация на тему Обеспечение безопасности в корпоративной сети

оболочек сервисов (TCP wrapper)
3) Списки доступа на маршрутизаторе
4) Расширенные

списки доступа
5) Общие правила составления списков доступа на маршрутизаторе

часть работы системного и сетевого администратора.

Простые методы защиты строятся на создании фильтров, анализирующих поступающие или исходящие данные с целью принятия решения о пропуске или блокировании трафика. Фильтры могут защищать целую сеть или отдельные сетевые сервисы какого-либо узла.

Задачи обеспечения безопасности

доступа является установка оболочек сервисов (TCP wrappers). Принцип действия

оболочек следующий: при поступлении запроса на соединение с каким-либо сетевым сервисом на хосте запускается не демон, обслуживающий этот сервис, а программа-оболочка, которая проверяет, разрешен ли сеанс с удаленным хостом, запросившим соединение, и в случае положительного результата запускает собственно требуемый демон.

Демон оболочек сервисов (TCP wrapper)

иных сервисов следует модифицировать файл inetd.conf так, чтобы при

обращении на порты указанных сервисов вместо стандартного демона запускался демон оболочки, а в качестве параметра ему передавался путь к стандартному демону.

finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd

/usr/sbin/tcpd контролирует доступ к сервису finger

содержатся в файлах /etc/hosts.allow, /etc/hosts.deny. При возникновении попытки соединения

адрес хоста ищется сначала в файле hosts.allow, если он найден, то соединение разрешается, иначе производится поиск в hosts.deny. В случае успешного поиска соединение запрещается, иначе разрешается.

Списки доступа в TCP wrappers

файле имеет вид:

сервисы:хосты[:действие]

действие - действие, выполняемое, в случае совпадения адреса хоста и требуемого сервиса с данной строкой (например, послать сообщение администратору); поле действие может отсутствовать.
В поле хосты допускаются регулярное выражение *, операторы ALL и EXCEPT.

hosts.deny:

ALL:ALL



Пример

исходящий трафик в сети в зависимости от адресов источника

и приемника, номеров портов, протоколов и т.п.

Списки доступа на маршрутизаторе

соединений можно подключить списки доступа на входном маршрутизаторе (шлюзе).

Параметры любой входящей или исходящей дейтаграммы (адрес источника, места назначения, номера портов и т.п.) проверяется по списку и в зависимости от результата дейтаграмма либо пропускается маршрутизатором, либо уничтожается.

режиме глобальной конфигурации (режим доступен через команды enable, затем

configure terminal), каждый список определяется номером - числом в диапазоне 0-99. Синтаксис команды для ввода строки в список:

access-list номер_списка {deny | permit} адрес_источника [маска]

Списков доступа маршрутизаторов Cisco

команду

no access-list номер_списка

Для применения списка доступа к

дейтаграммам, проходящим через определенный интерфейс, нужно в режиме конфигурации этого интерфейса ввести команду

ip access_group номер_списка {in | out}

количество параметров и предлагающие более богатые возможности для контроля

трафика.

Расширенные списки доступа создаются также с помощью команды access-list в режиме глобальной конфигурации, но номера этих списков лежат в диапазоне 100-199.

Расширенные списки доступа

| permit} tcp адрес_источника маска [оператор порт [порт]] адрес_назначения

маска [оператор порт [порт]] [established]

Маски для адреса источника и хоста назначения определяются так же, как и в стандартных списках. Оператор должен иметь одно из следующих значений:
lt (строго меньше), gt (строго больше), eq (равно), neq (не равно), range (диапазон включительно).

со всеми хостами сети 172.16.252.0 netmask 255.255.252.0 со стороны

всех хостов Интернет, причем в обратном направлении все соединения должны устанавливаться

access-list 100 permit tcp any 172.16.252.0 0.0.3.255 eq 23 established
access-list 100 deny tcp any 172.16.252.0 0.0.3.255 eq 23
access-list 100 permit tcp any any

Пример

адрес_источника маска адрес_назначения маска [icmp-тип [icmp-код]]

где icmp-тип и, если

требуется уточнение, icmp-код определяют ICMP-сообщение. Обычно в целях безопасности не пропускаются ICMP-сообщения типа Redirect (Изменить маршрут), т.е. сообщения типа 5.

Контроль за ICMP сообщениями

фиксировать маршрут дейтаграммы (опасность подстановки ложных адресов отправителя).
Создать

окна для пропуска необходимого TCP-трафика, например, разрешить доступ из Интернет к WWW, email, FTP серверам предприятия, разрешить любой доступ в Интернет из сети предприятия.
Доступ извне по порту 53/TCP (передача зоны вторичному серверу DNS) разрешить только вторичным серверам DNS.

Правила составления списков доступа на маршрутизаторе

приходящих извне с адресом отправителя, принадлежащим внутренней сети (такие

пакеты либо ошибочны, либо отправлены злоумышленником).
Запретить все соединения по UDP кроме порта 53 (DNS) (UDP - протокол без установления соединения, поэтому его сложнее контролировать).
Запретить передачу ICMP-сообщений типа Redirect.

Правила составления списков доступа на маршрутизаторе

удаленного доступа на базе Unix (протокол PPP). Какие программы

запускаются, в какой последовательности, что они делают?
Опишите принцип работы демона оболочек сервисов TCP wrapper?
Сформулируйте основные угрозы безопасности корпоративной IP-сети.
Дайте сравнительные характеристики различных типов брандмауэров.
Чем отличаются стандартные и расширенные списки доступа на маршрутизаторах CICSO?

Вопросы для самопроверки:

в Интернете. Специальный справочник. – СПб: "Питер", 2005.
К. Хант.

Персональные компьютеры в сетях TCP/IP: Руководство администратора сети/ Пер. с англ. – СПб.: ЗАО "ЭлектроникаБизнесИнформатика", Киев: "BHV", 2003.
UNIX для системных администраторов: Энциклопедия пользователя/ Пер.с англ. – Киев: ДиаСофт, 2008.
Chapman and Zwicky. Building Internet Firewalls. – O’Reily and Associates, Inc.Huitema C. Routing in the Internet. – Prentice-Hall PTR, 2003.