Вас пригласили в качестве консультанта по безопасности в офис компании ООО “Третий вариант”. В компании не давно произошла утечка базы данных клиентов, и директор фирмы всерьез задумался о безопасности коммерческих данных.
Системный администратор организации сообщил следующее.
Организация имеет один центральный офис и удаленный филиал. В центральном офисе находятся кабинет директора, кабинеты отдела продаж и бухгалтерии. Филиал находится в другом городе и подключается к 1С установленной на сервере через службу терминалов по протоколу RDP.
На сервере установлен контроллер домена. На пользовательских компьютерах установлена ОС Windows 7. Из соображений безопасности пользователи работают в доменных учетных записях.
В кабинете директора установлен Wi-Fi-роутер, играющий роль шлюза всей офисной сети. Директор подключается к нему через Wi-Fi с личного ноутбука. Так же для выхода в Интернет данной Wi-Fi сетью пользуются клиенты организации.
Wi-Fi роутер
WAN Провайдер, DHCP client, включен NAT(PAT), firewall, проброшен порт RDP 3389 на сервер 192.168.0.2
LAN 192.168.0.1
DHCP-Server Отключен
Wireless SSID: MegaOffice
Security: WPA Personal/TKIP
Password: 13467925
В отделе продаж установлено два компьютера, в бухгалтерии два компьютера и сервер. Все эти устройства подключены к коммутатору, установленному на этаже. На сервере установлена Windows Server 2008R2 и серверная часть 1С:Предприятие 8.2. C 1C работают сотрудники отдела продаж, бухгалтерии, а так же иногда подключается директор предприятия. К 1С подключение осуществляется через тонкий клиент 1С.
Server AD+1C
IP-адрес 192.168.0.2
Роль DHCP сервер Область 192.168.0.100-254Шлюз 192.168.0.1DNS 192.168.0.2 8.8.8.8Lease time 5d
Роль DNS сервер Зона “domain.local”
Роль контроллер AD Домен “domain.local”
Роль сервер терминалов
Существует также удаленный офис находящийся в другом городе. Сеть его состоит из одного концентратора, маршрутизатора (подключенного к сети провайдера) и двух компьютеров менеджеров, работающих с 1С установленной на сервере в бухгалтерии. Компьютеры не находятся в корпоративном домене. Системный администратор давно хочет настроить какое-нибудь VPN-подключение, для того чтобы добавить компьютеры удаленного филиала в домен.
Директор фирмы готов закупить новое оборудование, при обосновании его необходимости. Так же, он отметил, что фирма стремительно расширяется и следует заложить некоторый запас для добавления новых рабочих станций. Использовать можно оборудование любых вендоров.
Решение
Проанализировать существующую сеть предприятия на предмет проблем безопасности согласно варианту.
В существующей сети есть следующие проблемы безопасности:
1. Уязвимость роутера в качестве шлюза сети, злоумышленник может легко получить удаленный неавторизованный доступ к различным сетевым ресурсам.
2. Доступ по протоколу RDP напрямую в интернет может привести к потере данных, получению неавторизованного доступа, потере рабочих станций и компрометации локальной сети
3. Совместное подключение основной сети и клиентского Wi-Fi
4. Выдача адресов DNS серверов AD
5. Проброс портов из интернет без файервола в основную сеть удаленном офисе, что может привести к взломам, сбору информации о сети.
6. Единый пароль для доступа в сеть и отсутствие сегментации на отдельные локальные сети и группы пользователей, при такой организации любой пользователь может получить несанкционированный доступ к информации о сети, хранимым данным
7. Прямой доступ для пользователей в сеть, отсутствие ограничений трафика, сайтов может привести к атакам вредоносного ПО, в том числе Malware, вирусов, а также доступу в сеть злоумышленников
8. Отсутствие настроек ролей доступа, которое может привести к изменениям настроек, доступу к сети и данным нелегитимных пользователей.
2)Разработать модель угроз сети:
Исходя из проблем безопасности сети, возможны следующие угрозы:
анализ сетевого трафика, который перехватывает передаваемые и принимаемые из внешних сетей данные;
сканирование, при помощи которого определяется следующая информация: тип применяемых операционных систем, сетевые адреса рабочих станций, топология сети, открытые порты и службы, открытые соединения и т.д.;
считывание паролей в сети;
построение ложного маршрута сети;
подмена доверенного объекта в сети;
внедрение ложного объекта как внутри локальных сетей, так и во внешней сети;
вызывание отказа в обслуживании;
удаленный запуск приложений;
внедрение посредством сети вредоносных программ: вирусов, шпионов, троянов.
Для реализации угроз злоумышленник может иметь следующие средства:
программные и аппаратные компоненты средств защиты информации;
доступные в свободной продаже технические средства и программное обеспечение;
специальные программные и аппаратные средства для взлома средств защиты информации;
штатные средства, которые могут быть использованы внутренним нарушителем.
Необходимо отметить, что нарушители, реализующие угрозы могут быть как внешними: конкуренты, клиенты, случайные нарушители
. Так и внутренними: сотрудники компании, поэтому необходимо применять не только меры традиционные защиты от нарушителей, но и разграничение прав и уровней доступа.
3)Разработать перечень мер для повышения безопасности и отказоустойчивости сети.
В качестве мер для повышения безопасности и отказоустойчивости сети можно выделить:
физические меры – защищать сетевое оборудование от несанкционированного доступа путем защищенных кабель-каналов, замков на дверях, решетках на окнах;
правовые меры регулируются в соответствии с законодательством России, а также классом конфиденциальной информации;
программные способы: защищенные соединения Virtual Private Network (VPN), системы обнаружения вторжения, программное обеспечение серии Firewall Analyzer, антивирусные программы, настройка ролей доступа;
криптографические способы: шифрование SSL/TLS;
аппаратные меры: сетевые экраны, коммутаторы, маршрутизаторы, файерволы, шлюзы сети, прокти-серверы;
организационные меры – подписание договоров и контрактов с сотрудниками, разграничение прав доступа к информации и меры ответственности за их нарушение, разработка политики безопасности сети.
4)Разработать план модернизации сети.
Исходя из проблем, имеющихся в сети, был разработан следующий план модернизации сети:
1. Доступ по протоколу RDP с VPN и настройка определённых разрешенных IP адресов
2. Разграничение локальной сети на зоны VLAN, максимальная изоляция гостевого WiFi от основной сети
3