Помимо централизованной политики безопасности, без которой невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее:
1) Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и Telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH.
2) Шифрование критичных данных с использованием надежных криптоалгоритмов.
3) Использование архитектуры, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя файрволлами.
4) Использование IDS (Intrusion-Detection System), IPS (Intrusion-Prevention System) и NAT.
5) Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации.
Необходимый минимум
1. При построении безопасной LAN следует минимизировать количество служб и сервисов, предоставляемых сетью, используемых клиентами из сети Интернет.
2. Архитектура LAN в обязательном порядке должна предусматривать наличие DMZ — демилитаризованной зоны, контролируемой межсетевым экраном.
3. Крайне желательно наличие NAT (система переадресации выполняет функцию сокрытия адресов внутренних систем).
4. Установка самых последних обновлений строго обязательна.
5. Разумеется, как на сервере, так и на рабочих станциях должно быть установлено антивирусное ПО со свежими базами.
6. Если у вас до сих пор файловая система FAT32, смените ее на NTFS. NTFS de facto более безопасна: она позволяет разграничить доступ к ресурсам вашего ПК и значительно усложнит процесс локального и сетевого взлома паролей базы SAM.
7. В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. «Службу доступа к файлам и принтерам сети Microsoft» необходимо отключить (касается машин, не предоставляющих SMS-доступ), чтобы не облегчать задачу всем любителям «дефолтовых» C$, D$, ADMIN$ и т.д.
8. Все неиспользуемые сервисы желательно выключить. Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов.
9. Удалите лишние учетные записи (такие, как HelpAssistant и SUPPORT_388945a0), а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине.
10. Пользователя «Администратор» лучше переименовать (через оснастку gpedit.msc).
11. Открытые по умолчанию ресурсы C$, D$, ADMIN$ желательно отключить (созданием параметра DWORD по адресу
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters):
12. В локальной сети не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать «общественным достоянием» (не секрет, что пароли таких сервисов, как FTP и Telnet, передаются по LAN в открытом виде). Используя сниффер (например, Cain&Abel), даже зашифрованные пароли легко взломать.
Выход — построение локальной сети не на хабах (сетевые пакеты, которые получает хаб, распределяются по всем адресам независимо от места назначения), а на свитчах (используется технология доставки пакетов «по адресу»). Применение свитчей значительно усложняет процесс перехвата сетевых паролей и делает злоумышленника «видимым» (перехват паролей возможен даже при использовании свитчей(!), но в этом случае машина злоумышленника вынуждена генерировать ARP-пакеты — технология ARP-poizoning), используя стандартный набор для антисниффинга.
13. Минимальная сеансовая безопасность должна подразумевать использование криптостойкого алгоритма — NTLMv2:
Использование NTLMv2-механизма вместо уязвимого LM или NT значительно повышает криптостойкость паролей (включается через оснастку «Локальные параметры безопасности») и снижает возможные риски, связанные с перехватом и расшифровкой хэшей. Перечисленные способы защиты/построения безопасной сети — отнюдь не панацея против всех, кто всерьез решил взломать вашу сеть. Соблюдение вышеперечисленного минимума значительно снижает вероятность взлома, делая вашу сеть более безопасной к внешним и внутренним угрозам.
100% защиты нет, к ней можно лишь приблизиться…
Похожие записи
Нет комментариев