Приложение A. Защита сети и оборудования

До внедрения компьютера в производственное окружение или подключения вашей сети к Интернету рекомендуется определить потребности вашей организации и максимально прозрачно включить в эти требования вопросы безопасности. Так как основной целью Руководства по безопасности Red Hat Enterprise Linux является освещение безопасности Red Hat Enterprise Linux, более подробное изучение защиты сети и оборудования выходит за его рамки. Тем не менее, в этой главе кратко описана реализация политик безопасности в отношении оборудования и физических сетей. Важно понять, как в общую стратегию безопасности вписывается потребность в компьютерных системах и требования к подключению. Ниже это разъясняется более подробно.

Эти общие замечания позволят администраторам лучше представить себе общую реализацию. При проектировании компьютерного окружения следует рассматривать и потребности организации, и вопросы безопасности — реализация должны учитывать оба этих фактора.

A.1. Топологии защищённых сетей

Фундаментом локальной сети является топология, или сетевая архитектура. Топология — это физическая и логическая схема сети, определяющая предоставляемые ресурсы, расстояние между узлами и среду передачи. В зависимости от потребности организации в сетевых службах, сеть может быть реализована по-разному. Каждая топология имеет свои плюсы и минусы с точки зрения безопасности, которые должен учитывать сетевой архитектор при разработке схемы сети.

A.1.1. Физические топологии

Согласно классификации Института инженеров по электротехники и электронике (Institute of Electrical and Electronics Engineers — IEEE), существуют три топологии физического соединения сети.

A.1.1.1. Топология кольцо

В топологии кольцо каждый узел связан с другими ровно двумя соединениями. Так создаётся кольцевое соединение, когда каждый узел доступен для другого, либо напрямую, через физически ближайшие соседние узлы, либо косвенно, по кольцу. Такое соединение используется в сетях Token Ring, FDDI и SONET (в FDDI применяется двойное кольцо); однако, в Ethernet эта физическая топология не реализуется, поэтому кольца встречаются редко, за исключением устаревших или учебных сетей с большим количеством установленных узлов (например, в университете).

A.1.1.2. Топология линейная шина

Топология линейная шина состоит из узлов, подключенных к замкнутому на концах линейному кабелю (позвоночнику). Топология шина требует минимальных затрат на кабельное и сетевое оборудование, что делает её самым дешёвой топологией. Однако, работа шины зависит от исправности «позвоночника», что делает его единичной точкой сбоя в случаях, когда он отключен или разорван. Топология шина часто используется в простых сетях с коаксиальным кабелем, замкнутой на обоих концах шины терминаторами сопротивлением 50-93 Ом.

A.1.1.3. Топология звезда

В топологии звезда выделяется центральная точка, к которой подключаются узлы и через которую передаются данные. Эта центральная точка, называемая концентратором, может быть либо широковещающей, либо коммутирующей. В этой топологии единичной точкой сбоя является центральное сетевое оборудование, соединяющее узлы. Однако, по причине этой централизации, проблемы, возникающие в некоторых сегментах или во всей сети, легко проследить до этой точки.

A.1.2. Замечания относительно передачи

В широковещательной сети пакет, посланный одним узлом, проходит через все узлы, пока не достигнет получателя. До того, как его обработает получатель, этот пакет без проблем может перехватить любой узел сети. В широковещательной сети так посылаются все пакеты.

В коммутируемой сети пакеты не передаются всем, а обрабатываются коммутатором, который, в свою очередь, создаёт прямое соединение между посылающим и принимающим узлом, по принципу направленной передачи. Это исключает необходимость передавать пакеты всем узлам, тем самым, снижая ненужный трафик.

Коммутируемая сеть также предотвращает перехват пакетов злонамеренными пользователями или компьютерами. В широковещательной сети, где каждый узел получает пакет на его пути к месту назначения, злонамеренные пользователи могут перевести свои Ethernet-устройства в неразборчивый режим (promiscuous) и принимать все пакеты, кому бы они не были предназначены. В «неразборчивом» режиме программа, прослушивающая сеть может фильтровать, анализировать и извлекать из пакетов пароли, личные сведения и т.д. Развитые программы могут сохранять эти данные в текстовом файле и, возможно, даже отправлять их куда-то (например, по электронной почте злоумышленнику).

В коммутируемой сети должен присутствовать сетевой коммутатор — специализированное устройство, заменяющее традиционный концентратор, к которому подключены все узлы сети. Коммутаторы сохраняют MAC-адреса всех узлов во внутренней таблице и с её помощью выполняют коммутацию напрямую. Различные производители, включая Cisco Systems, Linksys и Netgear, предлагают широкий выбор коммутаторов, совместимых со стандартом 10/100/1000-Base-T и поддерживающих стандарт множественного доступа к несущей с выявлением столкновений (Carrier Sensing Multiple Access and Collision Detection — CSMA/CD), идеально подходящий для сильно загруженных сетей, так как он ставит соединения в очередь и выявляет столкновения передаваемых пакетов.

A.1.3. Беспроводные сети

Новой возникшей проблемой современных предприятий стала мобильность. Руководители, удалённые работники, и специалисты по вызову нуждаются в мобильных решениях, таких как ноутбуки, карманные компьютеры (PDA), и беспроводном доступе к сетевым ресурсам. Комитет IEEE утвердил спецификацию беспроводных сетей 802.11, определив тем самым стандарты беспроводной передачи данных для всех отраслей. Сегодня на практике используется спецификация 802.11b.

Спецификации 802.11b и 802.11g определяют целую группу стандартов, связанных с беспроводной связью и управлением доступом в не лицензируемом диапазоне радиочастот 2.4 ГГц (802.11a использует частоту 5 ГГц). Эти спецификации были утверждены IEEE в качестве стандартов, и различные компании вышли на рынок с продуктами и услугами 802.11x. Потребители также получили стандарт для небольших домашних и офисных (small-office/home-office — SOHO) сетей. Эти сети уже выросли из локальных (Local Area Networks — LAN) и стали городскими (Metropolitan Area Networks — MAN) сетями, особенно в густонаселённых городах, где создана высокая концентрация беспроводных точек доступа (wireless access points — WAP). Существуют также провайдеры, обеспечивающие беспроводное подключение к Интернету и обслуживающие путешественников, которым для ведения дел необходим скоростной доступ в Интернет.

Спецификация 802.11x позволяет организовывать прямое одноранговое соединение между узлами с беспроводными сетевыми платами. Сеть с таким слабым связыванием узлов называется оперативной, она идеально подходит для быстрого соединения двух или нескольких узлов и даёт возможности расширения, недоступные для обычных проводных сетей.

Для сетей с фиксированной структурой более подходящим решением беспроводного доступа может стать установка одной или нескольких точек WAP, соединённых с традиционной сетью, что позволит беспроводным узлам подключаться так, как будто они находятся в сети Ethernet. WAP по сути является мостом между подключенным к нему узлами и остальной сетью.

A.1.3.1. Безопасность 802.11x

Хотя беспроводные сети сравнимы по скорости и гораздо более удобные, чем традиционные проводные сети, они имеют некоторые ограничения, заслуживающие внимательного изучения. Наиболее важное ограничение состоит в реализации системы безопасности.

Восхищённые успешно развёрнутой сетью 802.11x, многие администраторы забывают даже об элементарных мерах предосторожности. Так как вся сеть 802.11x работает на высокочастотных радиосигналах, передаваемые данные может легко перехватить любой пользователь с совместимой платой, средством сканирования беспроводной сети, например, NetStumbler или Wellenreiter, и программами прослушивания трафика, например dsniff и snort. Чтобы предотвратить такое использование частных беспроводных сетей, стандартом 802.11b введён протокол, обеспечивающий секретность на уровне проводной сети (Wired Equivalency Privacy — WEP), шифрующий трафик между точкой доступа и узлом по алгоритму RC4 с общим ключом 64 или 128 бит. Этот ключ шифрует передаваемые и расшифровывает принимаемые пакеты динамически и прозрачно. Однако, администраторы достаточно часто не используют схему шифрования с общим ключом, либо потому что они забыли об этом, либо потому что боятся снижения производительности (особенно при больших расстояниях). Включение WEP в беспроводной сети может значительно снизить риск перехвата данных.

Red Hat Enterprise Linux поддерживает самые разные продукты 802.11x. В частности, утилита Управление устройствами сети (Network Administration Tool) позволяет настраивать беспроводные сетевые платы и протокол WEP. За дополнительной информацией об использовании утилиты Управление устройствами сети (Network Administration Tool), обратитесь к главе Настройка сети в Руководстве по системному администрированию Red Hat Enterprise Linux.

Однако полагаться на WEP не следует, так как он недостаточно защищён от нападок опытных взломщиков. Разработаны специальные утилиты, взламывающие алгоритм RC4 и получающие общий ключ, используемый в WEP для защиты беспроводной сети. В качестве примера таких приложений можно привести AirSnort и WEP Crack. Чтобы защититься от этого, администраторы должны строго соблюдать правила, оговаривающие использование беспроводных сетей для доступа к важной информации. Администраторы могут усилить безопасность беспроводной связи, разрешив только SSH или VPN-соединения, что обеспечит ещё один уровень шифрования поверх шифрования WEP. В таком случае злоумышленник, взломавший шифрование WEP, должен будет также взломать шифрование VPN или SSH, работающее по алгоритму 3DES с ключом 168 бит, или использующее другие, ещё более сильные коммерческие алгоритмы. Администраторы, применяющие эти политики, должны ограничить использование протоколов, передающих данные открытым текстом, например, Telnet или FTP, так как передаваемые пароли и данные уязвимы для вышеупомянутых атак.

A.1.4. Сегментация сети и демилитаризованные зоны

Администраторам, желающим запускать доступные снаружи службы, такие как HTTP, FTP, DNS и почтовые, рекомендуется физически и/или логически отделять их от внутренней сети. Брандмауэры и усиленная защита узлов и приложений эффективно останавливают случайных взломщиков. Однако опытные взломщики смогут проникнуть во внутреннюю сеть, если взломанные ими службы располагаются в одной сети с остальными узлами. Доступные извне службы должны располагаться в так называемой демилитаризованной зоне (DeMilitarized zone — DMZ) — логическом сегменте, в котором трафик из Интернета может достигать только этих служб, и не пропускается во внутреннюю сеть. И даже если злоумышленник взломает компьютер в демилитаризованной зоне, остальная часть внутренней сети будет спрятана за брандмауэром в отдельном сегменте.

Большинство организаций имеет ограниченный набор реальных IP-адресов, которые можно назначить внешним службам, поэтому администраторы используют правила сетевого фильтра для приёма, пересылки, отказа и запрета передачи пакетов. Реализованные в iptables или специальных аппаратных брандмауэрах политики сетевой защиты могут содержать сложные правила маршрутизации и пересылки, и позволяют администраторам разрешить доступ извне только к определённым службам, работающих на конкретных адресах и портах, а также открыть внутренние службы только для локальной сети, предотвратив атаки с поддельным IP. За дополнительными сведениями о реализации iptables, обратитесь к главе 7 Брандмауэры.