масштабом в реальній мережі. Так, наприклад, "модуль будівлі", що представляє пристрої кінцевих користувачів, може включати в себе до 80% всіх мережевих пристроїв. Дизайн безпеки кожного модуля описується окремо, але перевіряється в комплексі, тобто в складі всієї корпоративної системи. br/>В
Рисунок 4 - Блок схема корпоративної системи SAFE
Хоча більшість існуючих корпоративних мереж нелегко розділити на окремі модулі, цей підхід дозволяє реалізувати різні функції безпеки по всій мережі. Автори не думають, що мережеві інженери будуть проектувати мережі, ідентичні схемою SAFE. Швидше за все вони будуть користуватися поєднанням описаних модулів, інтегрованих в існуючу мережу. p align="justify"> Мета - маршрутизатори
Маршрутизатор контролюють доступ з будь-якої мережі до будь-якої мережі. Вони рекламують мережі і визначають тих, хто може отримувати до них доступ. Тому потенційно маршрутизатор - це "найкращий друг хакера". Безпека маршрутизаторів є критично важливим елементом будь-якої системи мережевої безпеки. Основною функцією маршрутизаторів є надання доступу, і тому маршрутизатори потрібно обов'язково захищати, щоб виключити можливість прямого злому. Ви можете звернутися і до інших документів, де описана захист маршрутизаторів. Ці документи більш детально розглядають наступні питання:
блокування доступу до маршрутизатора з мереж зв'язку загального доступу;
блокування доступу до маршрутизатора через протокол SNMP;
управління доступом до маршрутизатора через TACACS +;
відключення непотрібних послуг;
вхід в систему на певних рівнях;
аутентифікація оновлень маршрутів.
Мета - комутатори
Комутатори (звичайні та багаторівневі), як і маршрутизатори, мають свої вимоги до безпеки. Проте дані про загрози для безпеки комутаторів і про пом'якшення цих загроз поширені набагато менше, ніж аналогічні дані для маршрутизаторів. Більшість міркувань, наведених у попередньому розділі для маршрутизаторів, годяться і для комутаторів. Крім того, у випадку з комутаторами ви повинні вживати такі запобіжні заходи:
Якщо порт не повинен підключатися до Транки, то параметри транкових сполук на ньому мають не встановлюватися в положення "auto", а відключатися (off). В результаті хост не зможе стати транкових портом і отримувати трафік, який зазвичай надходить на такий порт. p align="justify"> Переконайтеся в тому, що транкові порти використовують унікальний номер VLAN (віртуальної локальної мережі), який не використовується ні в якому іншому місці цього комутатора. В результаті пакети, що мають мітку з тим же номером, будуть передаватися в іншу мережу VLAN тільки через пристрій
Об'єднайте всі порти комутатора в мережу VLAN, яка не має виходу на Рівень 3. Буде ще краще, якщо ви взагалі вимкніть усі порти, які реально не використовуються. В результаті хакери не зможуть підключатися до таких портів і через них отримувати доступ до інших мережевих ресурсів. p align="justify"> Намагайтеся не використовувати технологію VLAN в якості єдиного способу захисту доступу між двома подсетями. Постійно присутня ймовірність помилок, а також той факт, що мережі VLAN і протоколи маркування VLAN розроблялися без урахування вимог безпеки, - все це не дозволяє рекомендувати застосування цих технологій в чутливій середовищі. Якщо ви все-таки використовуєте мережі VLAN в захищеній середовищі, зверніть особливу увагу на зміни і рекомендації, перераховані вище. p align="justify"> В існуючій мережі VLAN додатковий захист для деяких мережевих додатків можуть дати віртуальні приватні локальні мережі (private VLAN). Основний принцип їх роботи полягає в тому, що вони обмежують число портів, яким дозволяється зв'язуватися з іншими портами в межах однієї і тієї ж мережі VLAN. Порти, які відносяться до певної спільноти, можуть повідомлятися тільки з іншими портами того ж співтовариства і портами загального доступу (promiscuous ports). Порти загального доступу можуть зв'язуватися з будь-яким портом. Це дозволяє мінімізувати збиток від хакерського проникнення на один з вузлів. Розглянемо як приклад стандартний мережевий сегмент, що складається з web-сервера, сервера FTP і сервера доменних імен (DNS). Якщо хакер проник на сервер DNS, для роботи з двома іншими серверами йому вже не потрібно долати міжмережевий екран. Але якщо у вас є віртуальні локальні приватні мережі, то в разі проникнення хакера на одну із систем вона не зможе зв'язуватися з іншими системами. Єдиними цілями для хакера залишаються хости, що знаходяться по інший бік брандмауера. p align="justify"> Мета - хости
Хост є найбільш вірогідною метою хакерської атаки. Крім того, хост створює найскладніші проблеми для...