Межсетевое экранирование

Список действий для обеспечения безопасности сетевой инфраструктуры


Расположение сети.

  • Web-сервер располагается в DMZ или внешне по отношению к организации, и соответствующим образом защищается firewall.

  • DMZ не следует располагать на третьем (или более) интерфейсе firewall’а.

Конфигурация firewall’а.

  • Web-сервер защищается firewall’ом.
  • Web-сервер, если он в большей степени подвержен атакам или является достаточно уязвимым, защищается firewall’ом прикладного уровня.
  • Firewall контролирует весь трафик между интернетом и web-сервером.
  • Firewall блокирует весь входящий трафик к web-серверу, за исключением ТСР порта, предназначенного для НТТР (80), и/или порта, предназначенного для НТТРS, который использует SSL/TLS (443).
  • Firewall блокирует (совместно с IDS) IP-адреса или подсети, о которых IDS сообщает, что с них выполняется атака.
  • Firewall уведомляет сетевого или web-администратора о подозрительной активности.
  • Firewall обеспечивает фильтрацию содержимого.
  • Firewall конфигурируется для защиты от атак на сервисы.
  • Firewall определяет неправильно сформатированные или известные атаки, связанные с запросом конкретных URL.
  • Firewall заносит в лог критичные события.
  • Firewall и лежащая в основе ОС устанавливаются в максимальный уровень безопасности.

Использование IDS.

  • Host-based IDS применяются для web-серверов, которые используют SSL/TLS.
  • IDS конфигурируется для просмотра сетевого трафика до любого firewall’а или фильтрующего роутера (network-based).
  • IDS конфигурируется для просмотра сетевого трафика к web-серверу и от web-сервера после firewall’а.
  • IDS блокирует (совместно с firewall) IP-адреса или подсети, с которых выполняется атака.
  • IDS уведомляет сетевого или web-администратора об атаках.
  • IDS конфигурируется для определения сканирования портов.
  • IDS конфигурируется для определения DoS-атак.
  • IDS конфигурируется для определения неправильно сформатированных URL-запросов.
  • IDS конфигурируется для создания логов событий.
  • IDS часто обновляется для получения новых сигнатур атак.
  • IDS конфигурируется для просмотра сетевых ресурсов, доступных web-серверу (host-based).

Использование сетевых коммутаторов и концентраторов.

  • Сетевые коммутаторы используются в сети web-сервера для защиты от сетевого просматривания.
  • Сетевые коммутаторы конфигурируются в режим максимальной безопасности для защиты от ARP-атак.
  • Сетевые коммутаторы конфигурируются таким образом, чтобы посылать весь трафик в сетевом сегменте к IDS-хосту (network-based).



Содержание раздела