Безопасность крупных корпоративных сетей.
Нигде не встречал обсуждение проблем безопасности крупных корпоративных сетей. Попробую начать в блоге, а вдруг ...
Основной проблемой является принятия приемлимых моделей поведения участников сетевого обмена. Вот, что берем в расчет:
1) Единое информационное пространство 2) Максимальная безопасность всех участников 3) Простота реализации и поддержки на практики этой модели
Все пункты важны, но особые разногласия вызывает именно 1-й. Речь идет именно об информации, или нечто выше 7-ого уровня модели OSI ;-) . Никакого отношения к L3,L4 (TCP/IP) единое информационное пространство не имеет. Внутренняя уверенность в этом просто необходима, так как придется убеждать других. Максимальная безопасность на сетевом уровне всегда сводится к минимизации возможных сетевых взаимодействий до уровня необходимых (грубо так). В большой корпоративной сети количество участников слишком большое, чтобы попытаться проявлять индивидуальный подход к каждому участнику или даже группе. Количество возможных пар участников сетевых взаимодействий астрономическое, а выполнять пункт 2 как-то надо. Простота - гарантия выполнения как раз 2-го и 1-го пунктов. Простота - сведения к минимуму возможных моделей поведения и их упрощения. Да, собственно и модель взаимодействий приблизительно известна . Клиент - Сервер.
Ограничив сетевые взаимодействия клиента только серверами мы максимально эффективно решаем все наши проблемы. Технически реализовать такой подход крайне просто, описав на роутящем клиентов сетевом оборудовании IP адреса сегментов серверов в разрешенных и запретив все остальное. На Cisco вообще получится один общий ACL на входящие пакеты для всех интерфейсов - очень удобно. Все это реализуется на любом сетевом оборудовании с простейшей пакетной фильтрацией. Это еще и весьма бюджетное решение.
Отныне зараженные вирусами рабочие места не смогут поделится заразой с другими рабочими местами, по крайней мере на прямую. Вы спокойно воспринимаете все новые уязвимости в Windows так как любая потенциальная сетевая зараза уже локализована, вам не надо будет это делать в спешке, частенько разрушая единость информационного пространства родного предприятия. Ну и у излишне любопытных работников не будет шансов ломануть PC у соседей.
У достоинствах все. О недостатках:
Сопротивление при внедрении ! Наверняка существует прямой сетевой обмен между рабочими местами. Доводов будет много у других ИТ специалистов и не только : Это же так просто сделать. Это уже работает. Это просто необходимо. Это должно стоять у меня на столе. ИТД ИТП. Чтож, придется выкручиваться, толи переводить обмен на сервера, толи вытаскивать недосервера виланами в IP адреса сегмента серверов. Последнее, что нужно делать, так исключения. Будет очень не просто. Будьте злопамятны ( или записывайте ;-) ) все инциденты, которые были бы предотвращены при правильном подходе.
Еще об исключениях:Для кого сделать исключения ? Думаю достаточно только для сетевых администраторов. Если Вы или Ваши люди не испытывают в это реальной необходимости, лучше и себя прикрыть ( о себе как о IT security). Ваши риски что-то подцепить в сети будут выше, чем у других, есть неприятный шанс появится в редких сводках по проишествиям. Ну можно исключить и протоколы, напрмер ICMP или при массовом использовании VoIP придется пропускать большой диапазон UDP (RTP) . Универсальность правил фильтрации для клиентских сегментов облегчит внесение подобного рода изменений.
Чего здесь нет: нет попыток ограничивать в LAN клиентов, нет мониторинга , нет методов защиты серверов, установки антивирусов и обновлений, прочее. Ограничение сетевых взаимодействий клиентов не заменяет этого. Но очень серьезно облегчает жизнь.