Сергей Монин учебный центр REDCENTER

1. Защита корпоративных сетей:1.Противодействие деструктивному входящему трафику2. Пользовательский РС – право на доступ в Internet Сергей Монин учебный центр REDCENTER

2. Содержание • Введение • Возможности противодействия деструктивному трафику • Пользовательский РС – право на доступ в Internet • Выводы

3. Введение В 2004 году по оценкам ФБР 70% угроз для компьютерных сетей исходило изнутри, 30% из Internet. В настоящее время количество атак исходящих из публичных сетей существенно увеличилось! • ПРИЧИНЫ: • Объективно количественный рост количества пользователей • Возможность необразованному пользователю провести эффективную атаку (инструменты доступны)

4. Введение • Виды атак: • Разведовательные • 1.1 Перехват пакетовс последующим анализом • 1.2 Сканирование портов • 1.3 Сканирование адресов • 1.4 Определение OS, приложений.. • 2. Эскалация привилегий и доступ к ресурсам • 2.1 Парольные атаки (online и offline) • 2.2 MITM • 2.3 Port redirection • 2.4 И т.д. • 3. Отказ в обслуживании Dos • 3.1 Распределенная Dos атака • 4. Вирусная активность как атака на ресурс сети

5. Возможности противодействия деструктивному трафику • Межсетевые экраны • Системы обнаружения и предотвращения атак • Безопасность серверов и рабочих станций (E-mail и Web безопасность) • Системы принудительной аутентификации пользователей • Системы оперативного мониторинга ресурсов сети и состояния защитных систем

6. Возможности противодействия деструктивному трафику Что такое современный межсетевой экран? Это: 1 Аппаратное или софтовое решение 2 Глубокая и эффективная фильтрация трафика и протоколов 3 Возможность URL фильтрации (запретим odnoklassniki.ru?) 4 VPN 5Возможность резервирования 6 Принудительная аутентификация пользователей на выходе

7. Возможности противодействия деструктивному трафику Что такое современные системы предотвращения вторжений? Это: 1 Аппаратное или софтовое решение 2 Возможность проверки трафика на входе на предмет запрещенных сигнатур 3 Выявление аномального поведения трафика 4 Регулярное обновление информации о новых атаках, вирусах… 5 Гибкие возможности создания своих сигнатур во время эпидемий

8. Возможности противодействия деструктивному трафику • Два варианта внедрения всех этих технологий: • Приобрести все эти устройства и внедрить их в свою информационную сеть • Обратить внимание на возможно уже имеющийся в вашей сети современный маршрутизатор Cisco. Правильно! Не дорого!

9. Вирус Internet Атака Возможности противодействия деструктивному трафику Современный корпоративный маршрутизатор Cisco (8хх 19хх 37хх 28хх 38хх 29хх 39хх..) Дает нам возможность настроить и межсетевой экран и гибкую систему предотвращения вторжений!

10. ACL Возможности противодействия деструктивному трафику Маршрутизаторы Cisco поддерживают два вида межсетевых экранов: классический и зональный. Классический исповедует принцип: «Хочу, чтобы я мог ходить в Интернет, а Интернет ко мне – нет!» 4 2 3 Корректируется входящий ACL И ответы могут вернуться! 1 Трафик проверяется ACL Пользователь инициирует HTTP сессию. 10.0.6.12 5 ACL ACL Port80 Port3575 7 6 S0 Fa0/0 10.0.1.12 router(config)# ip access-list 104 deny ip any anyrouter(config)# ip access-list 103 permit http any anyrouter(config)# ip inspect name FWRULE tcprouter(config)# interface S0router(config-if)# ip access-group 103 outrouter(config-if)# ip access-group 104 inrouter(config-if)# ip inspect FWRULE outrouter# show ip inspect sessionsEstablished Sessions Session 641721A8 (10.0.1.12:3575)=>(10.0.6.12:80) http SIS_OPEN Attacker

11. Возможности противодействия деструктивному трафику Количество протоколов, которые может проверить FireWall Cisco впечатляет ! Настройка проста и интуитивно понятна. Есть графический интерфейс.

12. Возможности противодействия деструктивному трафику Зональный Firewall: Более гибкий подход к настройке Новые возможности в фильтрации и проверке Private DMZ Policy rtr(config)# class-map type stack match-all ip_tcp rtr(config-cmap)# description "match TCP over IP packets" rtr(config-cmap)# match field ip protocol eq 0x6 next tcp class-map type access-control match-all http_psirt_class rtr(config-cmap) # description "Match HTTP Exploit Packets" rtr(config-cmap)# match field tcp dest-port eq 80 rtr(config-cmap)# match start tcp payload-start offset 0 size 1500 regex “cmd.exe” rtr(config)# policy-map type access-control fpm_tcp_policy rtr(config-pmap)# description "policy for TCP packets" rtr(config-pmap)# class http_psirt_class rtr(config-pmap-c)# drop rtr(config)# policy-map type access-control fpm_policy rtr(config-pmap)# description "policy HTTP attack" rtr(config-pmap)# class ip_tcp rtr(config-pmap-c)# service-policy fpm_tcp_policy rtr(config)# interface GigabitEthernet 0/1 rtr(config-if)# service-policy type access-control input fpm_policy DMZ Private Policy Public DMZ Policy Untrusted DMZ Internet Private-Public Policy

13. Возможности противодействия деструктивному трафику Встроенная система предотвращения вторжений Закачай сигнатуры

14. Возможности противодействия деструктивному трафику Встроенная система предотвращения вторжений УПРАВЛЯЙ !

15. Пользовательский РС – право на доступ в Internet • Мы можем защитить сетевую инфраструктуру, • но кто защитит пользовательские компьютеры? • Достаточно ли установить на РС антивирус и расслабиться? • Для полной уверенности нам необходимо убедиться что: • На РС пользователя стоит правильная ОС • У этой ОС имеются все необходимые обновления (sp) • На РС включен персональный firewall • На РС установлена правильная антивирусная программа • Антивирусная программа имеет свежий набор обновлений

16. Пользовательский РС – право на доступ в Internet РЕШЕНИЕ: Можно совместно с 802.1х проверять пользовательские РС, Предварительно внедрив туда спец.софт “Cisco Trust Agent” (Гостей можно и по-другому проверить ) В момент входа клиента в сеть мы определим степень «здоровья» РС и разрешим доступ с этого компьютера только в правильную зону безопасности. Цена? – 2%

17. Пользовательский РС – право на доступ в Internet NAC in-band Постоянный анализ любого трафика Любых пользователей, контроль полосы Пропускания в реальном времени. NAC Appliance

18. Пользовательский РС – право на доступ в Internet NACFramework Доступ в сеть AccessPoint Client RADIUS Server ACS 4.x Более «дешевый» способ: По-запросное управление доступом NAC Server Vendor - X

19. Выводы: • Защита корпоративной сети эффективна только тогда, когда она комлексна. • Используйте ВСЕ известные вам методы защиты • Если финансовые ресурсы позволяют – приобретите специализированные устройства. Они эффективнее. • Если используете универсальные решения, используйте оборудование приличных вендоров! • Обязательно посетите курсы по безопасности – эксперименты хороши только во время учебы.

20. Выводы: Курсы по безопасности в нашем учебном центре: IINS – базовый SECURE (SNRS) – продвинутый DVS+ практический по VPN NAC – практическийпо NAC SNAF – межсетевые экраны SNAA – межсетевые экраны продолжение IPS – система предотвращения вторжений MARS – мониторинг безопасности IAUWS – безопасность беспроводки …и т.д.

21. Информация для контактов Учебный центр REDCENTER: +7(495)984-27-64 http://www.redcenter.ru Сергей Монин: CCIE, CCSI, CQS, чего-то еще… sm@redcenter.ru