Cisco Solution Technology Integrator Дизайн защищенных мультисервисных сетей СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator Область применения Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
3 Что могут мультисервисные сети? Мультисервисные (конвергентные) сети приносят пользователю новое качество интегрированной информационной среды: голосовые службы и IP-телефония существенно богаче по сервисам и одновременно дешевле, чем традиционная телефонная система видеосервисы и видеоконференции приносят совершенно новое качество общения и управления следует помнить, что 55% информации человек воспринимает визуально конференционные услуги позволяют людям экономить время, полноценно общаясь с коллегами со своего рабочего места, точнее понимать друг друга, не совершать ошибок, дают руководству инструменты более эффективного контроля, снижают затраты на командировки системы Instant Messaging позволяют пользователям, взаимодействуя в реальном времени, построить новые информационные процессы, такие, как дистанционное обучение, методические семинары, совместная разработка документов, обслуживание пользователей все эти средства хорошо интегрируются с современными web- приложениями и информационными системами Voice Video IM Web Источник: Cisco Systems
4 Что люди используют чаще всего? Преимущества мультисервисных коммуникаций признаны пользователями современных коммуникаций: аудиоконференции применяются повсеместно, всего на 20% отставая от электронной почты, которой пользуются практически все приложения Instant Messaging и видеоконференции «догоняют» аудиоконференции система видеоконференций и Instant Messaging NetMeeting входит в состав ОС Windows при современной цене веб- камеры, микрофона и наушников (колонок) этот сервис доступен, безусловно, всякому пользователю персонального компьютера Источник: MCI, Wainhouse Research, цитируется по материалам Cisco Systems
5 Решения Cisco Systems IP-телефония IP-телефония переносит услуги традиционной телефонной связи в среду IP-сетей продукты Cisco включают процессинг телефонных вызовов, IP-телефоны, видеоустройства, специальные приложения коммуникационные продукты Cisco поддерживают необходимое качество сетевого обслуживания (QoS) Унифицированные коммуникации продукты Cisco обеспечивают единую среду для всех видов коммуникаций «в одном флаконе» (электронная почта, голосовая почта и аудиоприложения, факс-сервис, серверы для трансляции аудио- и видеопотоков, контентные серверы, системы распознания речи Конференционные системы обеспечивают развитую среду для виртуальных коммуникаций Видеотелефония видеотелефоны Cisco в употреблении столь же просты в употреблении, как и обычные голосовые телефоны Решения для call-центров и систем работы с заказчиками Оборудование Cisco легко интегрируется со стандартным терминальным оборудованием и приложениями третьих производителей Источник: Cisco Systems, Tandberg
Cisco Solution Technology Integrator Уязвимости Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
7 Классификация угроз В самой общей классификации в мультисервисной сети и, в частности, в IP- телефонии, есть три объекта для атаки потенциального злоумышленника : трафик целью этих атак могут быть нарушение конфиденциальности переговоров, мошенничества перехват и прослушивание голоса могут производиться при помощи целого ряда общедоступных хакерских а также штатных диагностических инструментов, протокольных анализаторов сервис системы существует много способов для выполнения атаки на доступность услуг коммуникаций (Denial of service attack) цель такой атаки – преимущественно диверсионная, система должна перестать работать в определенный момент времени емкость линий связи это – более типичный для традиционной телефонии набор атак, с целью провести дорогой междугородный звонок «за чужой счет» Будучи по природе своей IP-сетями, мультисервисные сети подвержены всем типам атак, которые могут быть применены и к сетям передачи данных перехват пакетов, подмена IP-адресов, атаки man-in-the-middle, вирусы и многие другие кроме того, поскольку мультисервисные сети включают в себя довольно развитой комплекс прикладных сервисов, к ним могут быть применены специфические атаки перехват телефонных вызовов, несанкционированный доступ к голосовой почте, факсимильным документам, системам обмена сообщениями, несанкционированное подключение к системам вещания и т.п.
Cisco Solution Technology Integrator Общие меры защиты: спецподготовка Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
9 Подготовка коммуникационной среды Чтобы атаковать сеть, злоумышленник должен получить доступ к системам коммутации, трафику, активному оборудованию Для построения защищенной мультисервисной сети следует, прежде всего, принять меры спецподготовки безопасной коммуникационной среды (network hardening), которые имеет смысл применять при построении всякой защищенной системы: 1.исключить несанкционированные подключения, организовать физическую защиту систем коммутации 2.запретить (по мере возможности) управление по протоколу SNMP коммуникационными устройствами и серверами, удалить все неиспользуемые приложения, установить обновления (patch) ОС 3.проверить, что все устройства и серверы обеспечены средствами аутентификации и контроля доступа; исключить учетные записи пользователей, не защищенные, как минимум, стойким паролем
10 Защита терминальных устройств Некоторые IP-телефоны имеют порты данных (data port) для подключения компьютеров их рекомендуется использовать только в тех случаях, когда это оправданное и осознанное решение во всех прочих случаях конфигурация IP- телефона должна быть настроена так, чтобы порт данных был запрещен У IP-телефонов есть функция автоматической регистрации в IP-АТС (Call Manager) если эта функция включена, Call Manager регистрирует и начинает обслуживать всякое (в том числе несанкционированное) устройство эту функцию следует запретить (за исключением, быть может, этапа ввода сети в эксплуатацию, на котором производится регистрация большого количества новых устройств) Программные телефоны представляют собой повышенную опасность, поскольку работают в открытых операционных системах, более подвержены атакам вирусов, атакам со стороны компрометированных приложений (которых на персональном компьютере много больше, чем в IP-телефоне) и т.п. такие телефоны следует применять только в тех случаях, когда это реально необходимо
Cisco Solution Technology Integrator Общие меры защиты: структуризация Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
12 Сегментирование сети В целях безопасности рекомендуется разделять сегменты данных и голосовые сегменты Между сегментами сети средствами канального уровня (VLAN) и средствами пакетной фильтрации (межсетевой экран) следует организовать контроль доступа 1.доступ из голосовых сегментов в сегмент управления для управления вызовами (доступ IP-телефонов к Call Manager) 2.связь между Call Manager и системой голосовой почты (часто интегрируется с серверами электронной почты в) 3.доступ IP-телефонов к системе голосовой почты 4.доступ пользователей к Call Manager для управления персональными настройками и контроля ресурсов 5.доступ пользователей к серверам Правила фильтрации должны запрещать доступ IP-телефонов к несанкционированно установленному Сall Manager и, аналогично, несанкционированное устройство (компьютер или IP-телефон) должно быть запрещено на уровне фильтрации доступа к Сall Manager
13 Контроль адресных пространств Для IP-телефонов рекомендуется использовать внутренние планы IP- адресов (private address space) и, при взаимодействии с внешними сегментами, трансляцию адресов (NAT) Необходим особый контроль за физическим и подключениями и MAC- адресами следует привязывать статически IP- адреса к известным MAC-адресам на DHCP-серверах при этом IP-телефон будет всегда иметь один и тот же IP-адрес, а неконтролируемое устройство не сможет получить IP-адрес; эта мера также полезна для защиты от DHCP DoS attack следует рассмотреть возможность использования утилит для мониторинга MAC-адресов в голосовом сегменте (например, Arpwatch,
Cisco Solution Technology Integrator Общие меры защиты: аутентификация Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
15 Канальный уровень На канальном уровне осуществляется аутентификация устройства (device authentication) основной метод аутентификации устройства – контроль MAC-адресов если реализована регистрация MAC- адресов и строгая дисциплина управления IP-адресами, появление устройства с неизвестным MAC-адресом является прямым доказательством несанкционированного подключения некоторые IP-телефоны поддерживают L2 VLAN, например, на основе стандарта 802.1q, что позволяет усилить аутентификацию устройства и разделить сегменты данных и голоса на канальном уровне рекомендуется использовать именно такие телефоны Однако следует помнить о том, что сегодня многие сетевые адаптеры позволяют пользователю менять MAC-адрес перехватив MAC-адрес легитимного телефона, злоумышленник может изменить MAC-адрес своего адаптера и замаскироваться под легитимное устройство поэтому не стоит полагаться только на защиту канального уровня, а применять комбинацию мер защиты канального, сетевого и прикладного уровня
16 Сетевой и прикладной уровень На сетевом уровне IP-адрес не должен рассматриваться как даже нестойкий механизм аутентификации при этом все устройства L3 должны обеспечивать защиту от address spoofing в соответствии с RFC 2827 Механизмы аутентификации IP-телефонов некоторые телефоны поддерживают аутентификацию пользователя (log in) на основе пароля (PIN-кода) аутентификация пользователя должна производиться после аутентификации устройства - это снижает риск подключения неаутентифицированного телефона со spoofed MAC address аутентификация пользователя вводит элемент неотказуемости в том смысле, что пользователь знает, что его действия (и ответственность за них) связываются непосредственно с ним, а не с кем-то еще в этом случае следует помнить, что уход пользователя с рабочего места без выхода из системы (log off) – проблема безопасности некоторые системы телефонии используют устаревшую систему аутентификации на основе ввода кода доступа (access code) перед звонком это средство –плохое, потому что коды доступа фиксированы, меняются редко и, поэтому, становятся всем известны софтверные IP-телефоны поддерживают механизмы аутентификации Windows authentication При использовании систем IP-телефонии следует организовать корректную практику аутентификации пользователей на основе перечисленных механизмов использование системы телефонии без применения средств аутентификации должно быть исключено необходимо реализовать контроль качества/использования/замены паролей
Cisco Solution Technology Integrator Общие меры защиты: инфраструктура Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
18 Защита систем управления Ряд мер безопасности нужно организовать на системах голосовой почты и Call Manager, именно: провести спецподготовку платформы обеспечить аутентификацию пользователей, обеспечить контроль доступа на основе корректного распределения ролей к персональным (кастомизированным) профилям пользователей, хранящимся на Call Manager должны получать доступ практически все пользователи это должен быть непривилегированный доступ с сильной аутентификацией (качественный и обновляемый пароль/PIN; для дополнительной защиты доступа администраторов существует возможность применения двухфакторной аутентификации) в случае использования на голосовых серверах различных протоколов управления, необходимо следовать лучшим практикам их дизайна и эксплуатации (см. например, Cisco Design Guide, SAFE) применять, по мере возможности, серверные средства обнаружения аномальных активностей (host-based IDS, HIDS), использовать антивирус и контентный фильтр
19 Мониторинг безопасности Система должна обеспечивать функции подотчетности, мониторинга и аудита, достаточные для выявления и диагностики потенциально опасных событий. К таким функциям следует отнести: событийное протоколирование мониторинг, сигнализацию, обнаружение аномальных активностей аудит Рекомендации по функциональности и инфраструктуре для мультисервисных сетей – те же, что и в сетях данных событийное протоколирование, должно покрывать, как минимум, события доступа пользователей и звонков на Call Manager современные средства мониторинга, такие, как Cisco MARS, позволяют интегрировать данные мониторинга на основе множества протоколов (SNMP, Syslog, RDEP, SDEE, NetFlow), организовать вторичную обработку событий, корреляцию, сигнализацию, визуализировать состояние сети и точки возникновения проблем, автоматизировать процессы локализации и блокировки атак с реконфигурированием устройств защиты, аудит на базе развитой системы отчетов системы обнаружения/блокировки аномальных активностей (IDS/IPS) дополняют функциональность мониторинга, который основан на выводе событийной информации от зарегистрированных устройств, активным анализом событий всех прочих систем; эти системы следует устанавливать перед Call Manager, чтобы обнаруживать атаки из сегмента данных по сервису HTTP для пользователей между голосовым сегментом и сегментом данных, чтобы детектировать DoS атаки на голосовой сегмент, особенно учитывая, что stateful firewall на этом звене установить трудно (IDS, в отличие от пакетного фильтра, поддерживается на коммутаторах ЛВС) IDS обеспечивает два дополнительных преимущества: в случае атаки может переконфигурировать пакетные фильтры может сбросить TCP-соединение, в котором обнаружена сигнатура атаки
Cisco Solution Technology Integrator Дизайн VPN Дизайн защищенных мультисервисных сетей Область применения Уязвимости Общие меры защиты - спецподготовка - структуризация - аутентификация - инфраструктура Дизайн VPN
21 Архитектура VPN в мультисервисной сети
22 Политика безопасности Структура VPN-туннелей в мультисервисной сети практически повторяет правила контроля доступа между сегментами сети: 1.сегменты данных соединяются туннелями с серверным сегментом (как правило, в «мультизвездной» топологической схеме VPN, где серверные центры находятся в центрах «звезд»); сегменты данных также соединены с центром управления, чтобы защитить доступ пользователей к персональным настройкам Call Manager 2.голосовые сегменты, аналогично, соединены с центром управления и с серверным центром (доступ к голосовой почте), однако, поскольку телефоны, после обработки вызова на Call Manager, работают «напрямую» друг с другом, то политика связи голосовых сегментов представляет собой практически полносвязный граф VPN- туннелей 3.голосовые сегменты и сегменты данных полностью изолированы друг от друга, за исключением смешанных сегментов (преимущественно – малые офисы и системы персональной защиты) 4.и голосовые сети, и сети данных в нормальной ситуации полностью изолированы от открытого IP-трафика, за исключением трафика из голосовых сегментов в телефонную сеть общего пользования (ТСОП) если на входе во внутреннюю сеть после пограничного маршрутизатора установить шлюз безопасности, то для голосовых сегментов можно реализовать строгую политику безопасности «только IPsec»
23 Взаимодействие с ТСОП При взаимодействии сети IP- телефонии телефонными сетями общего пользования реализуется следующая логика установления соединения: 1.звонок из городской сети поступает на входной маршрутизатор этот звонок всегда приходит по открытому соединению, поскольку телефоны городской сети не защищены 2.входной маршрутизатор отправляет вызов на Call Manager, который вызывает соответствующий IP- телефон в корпоративной сети 3.после установления соединения IP- телефон соединяется с входным маршрутизатором, который транслирует его IP-трафик в протоклы ТСОП 4.шлюз безопасности, защищающий IP- телефон, пропускает этот IP-трафик без применения мер защиты (кроме пакетной фильтрации) Недостатками этой схемы являются наличие открытого трафика в звеньях передачи данных (2) и (3), а также неполная VPN-изоляция сегмента IP- телефонии (4)
24 Защита соединения с ТСОП Трафик между входным маршрутизатором, Call Manager и шлюзами в голосовых сегментах можно защитить при помощи IPsec VPN такая защита обеспечит полную изоляцию всех внутренних сегментов от открытого трафика это существенно усилит контроль доступа и снизит вероятность перехвата вызовов, атак Denial of Service и т.п. Защиту можно реализовать на отечественных алгоритмах для этого рядом с входным маршрутизаторои придется установить дополнительный шлюз безопасности или во входной маршрутизатор установить модуль NME-RVPN (верхний рисунок) Альтернативным вариантом является защита на основе западных криптоалгоритмов поскольку трафик в городскую сет не конфиденциален, достаточно использовать протокол IPsec AH (целостность и аутентификация пакетов, голубой туннель на нижнем рисунке) шлюзы CSP VPN могут обеспечить при этом прямое взаимодействие с входным маршрутизатором и межсетевым экраном Cisco (нижний рисунок)
25 Шлюзы CSP VPN Gate 100V, 1000V Ввиду того, что топология VPN для сети IP- телефонии представляет собой практически полносвязный граф, каждый шлюз безопасности должен поддерживать большое число защищенных соединений В этом случае лицензионные ограничения «малых» шлюзов CSP VPN Gate 100 и 1000 (10 и 50 туннелей, соответственно) могут оказаться «узким местом» в продуктах CSP VPN понятие «туннель» эквивалентно понятию «контекст безопасности» (security association) в архитектуре IPsec контекст безопасности, после установления защищенного соединения, «живет» предустановленное время, «занимая» пространство в лицензированном числе туннелей поэтому, например, в случае, когда из сети последовательно делается большое количество телефонных вызовов, число туннелей может быть исчерпано и новые соединения не будут устанавливаться пока «старые» контексты не отживут установленное время Для того, чтобы повысить «емкость» малого шлюза рекомендуется устанавливать короткое время жизни контекстов безопасности (например, 0,5-1 час вместо 8 часов по умолчанию) В случае, если и при коротком времени жизни контекста безопасности число туннелей будет недостаточно, можно использовать «расширенные» лицензии CSP VPN Gate 100V и 1000V, поддерживающие одновременно 250 и 500 туннелей, соответственно
26 Защита персональных коммуникаций В крупных корпоративных сетях защищенное решение «для общего пользования» представляется не всегда достаточным: сеть велика, сложна и ее в совокупности труднее контролировать как правило, критичность ресурсов сети крайне неоднородна, часть активов требует относительно низкого уровня защиты, часть – крайне критична как правило, данные, с которыми оперирует руководство компании, относятся к наиболее критичным информационным ресурсам и требуют максимальной защиты при этом следует учитывать, тот факт, что в структуре информационных обметов руководителей документальные активы не доминируют: бОльшая часть конфиденциальных коммуникаций лежит в области телефонных переговоров, диспетчерской связи и конференций Решение CSP VPN позволяет построить для руководства компаний систему персональной защищенной связи эта система обеспечивает изоляцию сети руководства компании, однородную и стойкую защиту как для данных, так и для телефонных переговоров и конференций
27 Роль сервиса VPN Применение VPN в мультисервисной сети обеспечивает ряд дополнительных, в сравнении с дизайном без VPN, механизмов безопасности: 1.обеспечивается конфиденциальность коммуникаций, трафик данных, телефонных переговоров, конференций не может быть перехвачен, прослушан, записан и повторен в персональных защищенных сетях конфиденциальность обеспечивается из конца в конец, никто из внешних пользователей, включая секретарей, системных администраторов и др., не может прослушать разговор по защищенному каналу 2.сетевой контроль доступа существенно усиливается за счет возможности изоляции защищенных подсетей: в сеть может попасть только пакет, шифрованный/подписанный при помощи стойкого секретного ключа практически устраняется возможность атак путем подмены IP-адресов (за исключением шлюзов, обеспечивающих обмен информацией с открытыми сетями) снижается уровень требований при контроле за планом IP-адресов и телефонных номеров, сервис NAT заменяется стойким механизмом VPN-туннелирования, который скрывает топологию защищаемой сети и исключает утечку открытого трафика за пределы корпоративного периметра снижаются риски установки несанкционированных устройств, в системах персональной защищенной связи практически исключается возможность несанкционированного подключения устройства в случае применения продукта CSP VPN Client снижаются риски применения программных телефонов 3.система сохраняет определенную уязвимость по отношению к DoS-атакам, но пространство атакуемых объектов существенно снижается и подавление сервиса системы становится существенно менее вероятным, чем в незащищенной сети 4.средства сетевой защиты естественным образом интегрируются в существующие инфраструктуры аутентификации, управления, мониторинга и аудита
Cisco Solution Technology Integrator Вопросы? Обращайтесь к нам! КОНТАКТЫ web: Тел.:+7 (499) (495) Факс:+7 (499)