Существует множество инструкций и рекомендаций по защите сетей. Но зачастую им недостает одной малости: привязки к реальным угрозам. В этой статье я постарался скомпилировать наиболее распространенные угрозы безопасности сетей, построенных на основе решений Microsoft, и описать методы защиты от связанных атак.
Кто пасется на лугу?
Сетевой периметр — основа безопасной информационной системы, так как фильтрация трафика является базовым защитным механизмом. Несмотря на то что эта технология развивается с 1988 года, основная проблема, связанная с фильтрацией трафика, была и остается неизменной со времен пакетных фильтров DEC.
Давайте попробуем угадать, в чем она заключается. Сложности с обработкой IP-фрагментации? Сбор и контроль TCP-сессий? Обработка протоколов прикладного уровня? Сложности работы с зашифрованным трафиком?.. Нет, нет и еще раз нет!
Главная проблема межсетевых экранов заключается в неадекватной реализации политики фильтрации трафика. Зачастую на периметре сети можно встретить сетевые службы, о которых не подозревают ИТ- и ИБ-специалисты.
Что это у нас там торчит на порту 23523? Служба Remote Desktop или Radmin, «прокинутая» администратором для «подкрутки» контролера домена в случае «падения» VPN? «Забытый» разработчиком SQL-сервер с пустым паролем SA? «Недозакрытый» 1026/445/UDP, через который в сеть проползет «специально обученный» вариант Kido?.
Кажется нереальным? Удел «школоты»? Ошибаетесь! Эти примеры взяты из реальной жизни и были обнаружены автором в 2009 году в больших и серьезных корпоративных сетях.
Защитой от подобных проблем является постоянный мониторинг правил межсетевого экранирования. Можно, конечно, пытаться вручную анализировать сотни правил в ACL, но гораздо более адекватную картину можно получить с помощью сетевых сканеров.
Сетевые сканеры позволяют быстро определить реально доступные из Интернета сетевые службы, их версии, а иногда и уязвимости. Более того, большинство современных программ подобного класса поддерживает функцию дифференциальных отчетов, то есть может формировать картину изменений в сети. Например, вновь открытые сетевые службы, изменения в версиях и конфигурациях и т. д. Причем эта информация может просто приходить по электронной почте в ситуациях, когда что-либо меняется.
< ... >