Архив

Публикации с меткой ‘Информационная безопасность’

Настройка сетевых интерфейсов MS ISA/TMG

30 сентября 2011

Недавно проводил аудит ИТ-безопасности периметра одной-маленькой-компании. Внешняя подсеть с маской /28, куча умных сервисов, торчащих наружу, и привычный TMG в качестве корпоративного брандмауэра, да. Собственно, с него-то я и начал, заранее зная, что искать. А именно некорректно настроенный WAN-интерфейс, образующий широкую и приветливую дыру в защите корпоративной сети. Нашел, конечно же.

Можно было бы, конечно, поворчать, да подзакидать администраторов (на моей практике — 9 из 10) гнилыми помидорами, но оставим. Жизнь научит. Лично знаком с практикующим ИТ-специалистом, который стал делать бэкапы и уделять внимание ИТ-безопасности только после второго увольнения (далеко не по собственному желанию). К делу.

Абстрагируясь от вышеописанного аудита, я предлагаю рассмотреть наиболее распространенный в SMB сценарий, когда TMG оснащен двумя сетевыми интерфейсами, один из которых смотрит в Интернет, а второй — в локальную сеть:

Первое, что требуется сделать еще ДО установки TMG, — это правильно наименовать интерфейсы. Local Area Network #2, конечно, ничего себе имечко, но, во-первых, оно не позволяет сходу определить, куда смотрит интерфейс, и, во-вторых, усложняет администрирование из командной строки, где имена интерфейсов приходится вводить вручную (ввести с клавиатуры «WAN» и «Local Area Network #2» не одно и то же, правда ведь?). Обычно используются варианты Internal или LAN для внутренней сети и External, Internet или WAN для внешней. Взращенный на ICND, я привык мыслить в терминах, предложенных в ней, поэтому ратую за WAN (Wide Area Network) и LAN (Local Area Network):

После переименования, перейдем в Advanced Settings сетевых подключений:

Здесь мы определим порядок опроса сетевых интерфейсов клиентом DNS и выключим ненужные (и ВРЕДНЫЕ!) сетевые службы. На интерфейсе LAN обычно принято выключать «File and Printer Sharing for Microsoft Networks», т.к. редко встречаются сценарии совместного использования сервера TMG и файловых служб. Но у меня именно такой сценарий, поэтому на скриншоте ниже в LAN включены все службы. А вот на WAN-интерфейсе НЕОБХОДИМО отключить и «Client for Microsoft Networks», и «File and Printer Sharing for Microsoft Networks». Вы же не используете функциональность Windows-сети вне периметральной и локальной сетей? (если используете, то советую немедленно удалить себе глаз столовой ложкой в качестве наказания) Чтобы недоброжелатели тоже не смогли ее использовать, отключайте.

Что касается клиента DNS, то тут действует следующий алгоритм:

1. Вы выполняете http-запрос к хосту host1.network.local с хоста TMG, включенного в домен network.local. В домене network.local действует DNS-сервер dns.network.local, адресующий зону network.local и использующий root hints для разрешения имен вне зоны network.local.

2. В Advanced Settings определен порядок опроса DNS-серверов, настроенных в каждом из подключений. Верхней позицией определен интерфейс LAN, настроенный на использование DNS-сервера dns.network.local. Следовательно, ваш запрос для разрешения имени host1.network.local уйдет на сервер dns.network.local, знающий о существовании хоста host1, и немедленно разрешающий этот адрес. Success.

Если бы вы выполняли запрос к серверу ya.ru (например), то dns.network.local разрешил бы и его с помощью root hints. Опять же success.

Если же вы бы определили иной порядок, поставив WAN выше LAN, то запрос к хосту из локальной сети сперва ушел бы на публичный или провайдерский DNS-сервер. Это чревато: а) задержками в разрешении имен; б) раскрытием информации об узлах вашей локальной сети.

Теперь можно углубиться в настройку самих интерфейсов, в частности, параметров TCP/IPv4. Начнем с LAN:

Первое, что бросается в глаза — это отсутствие шлюза по умолчанию. TMG сам себе шлюз. DNS-серверы — внутренние. Открываем «Advanced…» и переходим на вкладку «WINS»:

Первое, что стоит сделать — это отключить LMHOSTS lookup. Этот параметр включает разрешение имен с помощью статического файла lmhosts вперед DNS и WINS. Нам это ни к чему, особенно в свете того, что hosts-файлы часто являются объектами для атаки вредоносного ПО. Прочитайте внимательно пояснение над чекбоксом: LMHOSTS lookup — глобальный параметр, поэтому его отключение на одном интерфейсе автоматически приведет к отключению на всех. Что нам только на руку.

В части NetBIOS замечу, что его использование в LAN вовсе не во вред, но при действующей службе DNS бесполезно, поэтому его тоже можно перевести в режим «Disabled». В моей демонстрационной сети NetBIOS включен, т.к. через него работает одно довольно древнее приложение.

Перейдем к настройкам WAN-интерфейса:

Это контрольная точка для проверки «на отключенность» клиента сетей Microsoft и функций File and Printer Sharing.

В свойствах внешнего интерфейса не принято указывать DNS, если работает внутренняя служба. Опять же, мой частный случай — это мой частный случай. Идем в «Advanced…»:

Во вкладке «DNS» снимите галочку с параметра «Register this connection’s addresses in DNS». Ни к чему нам регистрировать это соединение на публичных или провайдерских DNS-серверах.

Во вкладке «WINS» отключите NetBIOS. Во внешней сети он не нужен, это тоже одна из брешей.

Что мы получаем в итоге? Хорошо защищенную систему, лишенную «детских болезней», ценой 5 минут вашего времени. Ну не кошерно ли?

На этом можно раскланиваться. Чтите секьюрность и будьте счастливы.

Default , ,

Об информационной безопасности в paranoid-режиме

9 ноября 2010

В догонку статьям Об информационной безопасности в нормальных компаниях и Об информационной безопасности в говноконторах кратенько опишу увиденные или опробованные способы обеспечения ИБ в компаниях, где включен режим параноика по умолчанию.

В случаях, когда приходится работать с информацией, составляющей государственную тайну или незапатентованные ноу-хау, в ход пускаются реально экстремальные средства обеспечения информационной безопасности: мониторы со специальной частотой мерцания пикселей, изображение с которых не захватывается фотоаппаратами или видеокамерами, внутренние сотовые сети, работающие на мощностях предприятия, а не сотового оператора, корпоративные мобильные телефоны, изготовляемые под заказ, рамки металлодетекторов и рентгена (!!!) на входе и выходе из здания, тонкие клиенты или терминалы, не имеющие никаких незанятых интерфейсов и прямого выхода в Интернет, клавиатуры и мыши с экранированными кабелями для исключения перехвата через них вводимой информации, почтовые серверы с белыми (БЕЛЫМИ!!! Это когда письмо нельзя отправить никуда, кроме разрешенных ПОШТУЧНО адресов, даже внутри одного домена) списками допустимых адресатов, круглосуточное видеонаблюдение везде, даже в туалете, а также полный запрет на вынос бумажных носителей за пределы стен предприятия (помним про рентген!). Также окна в здании могут быть затонированы (или заложены изнутри кирпичом) и покрыты специальным веществом, гасящим вибрации (чтобы было невозможно восстанавливать звуковую информацию из помещения с помощью лазера, интерпретирующего эти вибрации в звук). А, ну и вряд ли в такую компанию реально устроиться без прохождения тестирования на полиграфе и собеседования с психоаналитиком.

Default , ,

Об информационной безопасности в нормальных компаниях

8 ноября 2010

В компаниях с вменяемым управлением информационной безопасностью занимается не один самодур с группой шестерок-подчиненных, а полноценный отдел, состоящий из специалистов различных компетенций и обладающих различными навыками, в сумме с топ-менеджментом образующие комитет по сокращению или полному избеганию рисков для бизнеса.

Состав службы безопасности в ситуации, приближенной к идеальной, обычно выглядит примерно следующим образом:
1. Разработчик политик. Отвечает за написание корпоративных политик. Должен иметь связи с ключевыми подразделениями компании и входить в функциональные группы, чтобы обсуждать политики с руководителями, юридическим и кадровым отделами. Должен уметь определять, какие политики требуются компании, и обеспечивать их поддержку, особенно на уровне высшего руководства.
2. Архитектор безопасности. На основании требований и нужд бизнеса, проектирует систему безопасности. Должен заниматься связями с поставщиками, отслеживать технологии, продукты и перспективы, принимать решения, когда компания должна переходить на новые технологии обеспечения безопасности, и должна ли вообще.
3. Оператор. Обеспечивает работу инфраструктуры безопасности. Имеет дело с повседневными задачами, например с потерянными или сломанными картами доступа, новыми сотрудниками или подрядчиками, увольнениями из компании. По возможности помогает архитектору в построении инфраструктуры.
4. Аудитор. Может быть членом сторонней консалтинговой группы. Аудитор строит систему проектов и служб проверки безопасности компании на предмет ее соответствия требованиям. В программу тестирования может входить социальная инженерия.
5. Менеджер рисков. Осуществляет техническое руководство со стороны бизнеса. Оценивает технические требования с целью подсчета рисков для компании, связанных с отклонением от стандартов политики.
6. Группа реагирования на происшествия. В большинстве случаев состоит из системных администраторов и сотрудников отдела информационной безопасности. Вступает в дело, когда происходит реальное вторжение или есть подозрение на него. Периодически собирается для обсуждения процедур реагирования на происшествия.

Силами такого СБ устанавливается необходимый предприятию режим информационной безопасности, не препятствующий ведению бизнеса, а способствующий ему. В компаниях такого уровня договоры не лежат на согласовании месяцами, финансовые потоки идут короткими путями с нужной скоростью, а сотрудники не затюканы постоянными допросами и подозрениями в порочных связях, и необходимостью за каждый чих писать служебные записки и объяснительные.

Default , ,

Об информационной безопасности в говноконторах

7 ноября 2010

Итак, в один прекрасный день в вашу компанию ООО «Финанс Консалтинг Евро Энтерпрайз Корпорейтед» входит походкой ХОЗЯИНА зрелый мужчина лет 40-50, которого представляют Начальником Службы Безопасности (именно так, с Больших Букв). Секретарша с ресепшн бежит делать ему кофе, а кадровик пропадает в его кабинете на пару часов. Выходит оттуда постаревшим и помятым, а секретарша начинает вызывать к НСБ поочередно разных лиц, волею-неволей имеющих доступ к разного рода конфиденциальной информации и финансовым потокам. К несчастью, среди них будете и вы, ИТ-персонал.

НСБ даже при росте в метр-сорок смотрит на всех, кроме генерального, свысока. ЕГО глаза сверлят черепную коробку, пытаясь проникнуть прямо в мозг, чтобы извлечь оттуда наружу все ваши греховные мысли и коварные планы. ОН знает все, что касается жидо-массонских заговоров, и умеет их пресекать. ОН знает все, что касается корпоративной безопасности, особенно информационной. ОН пришел сюда затем, чтобы ликвидировать ВСЕ пробелы и проблемы. ОН знает, что самое главное — это установить тарификатор на офисную АТС (чтобы быть в курсе, кто куда звонил и сколько денег таким образом выговорил), счетчик трафика на шлюз (чтобы быть в курсе, кто куда в Интернете ходил, какую порнуху смотрел и какими коммерческими тайнами делился с ВРАГОМ), закрыть доступ в Одноклассники, запретить пользоваться аськой и скайпом и заблокировать USB-порты, чтобы никто вдруг не посмел вынести на флешке ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ, которая кормит генерального, топ-менеджмент, ЕГО, всю-бесполезную-кодлу-других-сотрудников, да и Родину в целом. Он наверняка найдет в Интернете примеры положений об ИБ, слегка их модифицирует и адаптирует (возможно, забыв исправить титульный лист, на котором черным по белому будет указано название другой компании) и заставит всех подписать. ОН обязательно возьмется за трудовую дисциплину и внедрит систему контроля доступа за пару десятков тысяч долларов, чтобы наказывать опозданцев и пресечь попытки выносить ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ из офиса в нерабочее (неподконтрольное ЕМУ) время. ОН непременно потребует от вас расставить шпионилки (в лучшем случае — RAdmin для режима просмотра, в худшем — кей-логгеры или вообще Camtasia) на компьютеры сотрудников, а заодно попросит доступ к почтовым ящикам их же. ОН точно внедрит (за пару десятков тысяч долларов, помните?) в ваши 40 квадратных метров оупен-спейса видеонаблюдение с 25 ракурсов. ОН однозначно будет проверять историю звонков с корпоративных мобильных телефонов, «пробивать» номера и проводить разъяснительные беседы с теми, кто переговорил лимит на 100 рублей, в том числе требовать объяснительные в письменном виде. ОН стопроцентно будет скрупулезно просматривать вообще любые счета: на ластики и скрепки, на средства производства, на технику, на любого рода услуги от подрядчиков, на корпоративный кофе в общую кухню с целью найти несоответствие цен среднерыночному уровню (который определяется по двум верхним позициям на прайс.ру) и предложить своего «нормального» поставщика («Вася с моего взвода!»). ОН, кстати, совершенно точно при отказе внедрять видеонаблюдение или СКД собственными силами, сочтет и назовет вас некомпетентным (на степени CCNP и MCSE — похуй). И обязательно должит «куда надо».

ОН даже в офисе на 30 рыл умудрится разрастить свой отдел человек до 5-ти (ну а хуле, САМ что-ли делать все будет?… Тут, в первую очередь, компетенций не хватит, во вторую — времени). ОН точно заебет всех и вся своей навязчивостью и дотошностью даже в самых малых вопросах, согласно собственным симпатиям, добьется увольнения нескольких полезных сотрудников.

У НЕГО короткая стрижка и неплохая осанка. ОН однозначно служил в армии или ментовке, причем, лет 10-20.

ОН, кстати, долбоеб.

Навеяно парой проектов, многочисленными повествованиями коллег и собственным давним опытом.

Default , , , , ,