Компания HP
Опубликован: 22.09.2006 | Доступ: свободный | Студентов: 616 / 52 | Оценка: 4.22 / 3.72 | Длительность: 22:59:00
ISBN: 978-5-9556-0042-6
Лекция 10:

Управление средой брандмауэра с использованием NNM

< Лекция 9 || Лекция 10: 123 || Лекция 11 >

Списки управления доступом маршрутизаторов и NNM

Поскольку маршрутизаторы должны всегда функционировать идеально, сетевым администраторам следует делать все возможное, чтобы защитить их от несанкционированного доступа. Одним из постоянно используемых средств является список управления доступом (ACL), также называемый просто списком доступа. Этот список представляет собой последовательность однострочных записей в конфигурационном файле маршрутизатора, посредством которых можно ограничить доступ к некоторым сервисам до определенных устройств или диапазона IP-адресов.

Поскольку в NNM используется SNMP, маршрутизаторы следует конфигурировать так, чтобы разрешать системам NNM доступ к службе SNMP на порте 161. Доступ можно дополнительно ограничить до некоторой части MIB (в зависимости от поставщика и версии ОС маршрутизатора). Например, в маршрутизаторе внешнего доступа с огромной таблицей маршрутизации будет возникать высокий уровень загрузки ЦП, когда NNM запрашивает его таблицу маршрутизации. Это очень неприятно, поскольку функционирование маршрутизаторов внешнего доступа тщательно отслеживается. Конфигурирование такого маршрутизатора, запрещающее доступ к таблице маршрутизации, восстанавливает психическое здоровье сетевых менеджеров. Это не влияет на процесс автоматического раскрытия, производимый NNM, поскольку домен управления обычно не распространяется за пределы маршрутизатора внешнего доступа. Пример списка доступа приводится на рис. 10.3.

Маршрутизаторы в среде DMZ конфигурируются с ограничительными ACL, и для надлежащего функционирования автоматического раскрытия система NNM должна иметь доступ к SNMP. Таким образом, если появляется новое устройство или изменяется MAC-адрес или имя устройства, NNM может выявить это конфигурационное событие и сгенерировать сигнал.

Пример списка доступа маршрутизатора

увеличить изображение
Рис. 10.3. Пример списка доступа маршрутизатора

Эти строки в конфигурационном файле маршрутизатора Cisco определяют access-list 2 как IP-адреса 192.6.173.101 и 192.6.173.202. Список access-list 2 применяется к агенту SNMP ( snmp-server ), так что только устройства из этого списка могут выполнять операции snmpget (RO). Строкой сообщества для RO является public.

Фильтрация пакетов с использованием маршрутизатора

Одним из компонентов DMZ (см. контекстную диаграмму на рис. 10.4) может быть маршрутизатор с определенными в конфигурационном файле фильтрами пакетов. Эти фильтры можно конфигурировать для отражения атак с имитацией IP-адресов, и они могут ограничить внешний доступ к некоторым сетевым серверам.

Имитация IP происходит, когда исходный IP-адрес пакета, поступающего из ненадежной сети, подделывается таким образом, как будто он из корпоративной сети. Например, предположим, что LAN сервера безопасности (Secure Sever LAN, SSL) – это подсеть 192.6.173. Один интерфейс маршрутизатора находится в DMZ, а другой подключается к ненадежной сети. Этот интерфейс можно сконфигурировать так, чтобы избежать имитации IP путем блокирования пакетов, входящих из ненадежной сети с исходными IP-адресами, принадлежащими подсетям 192.6.173 и 192.6.174.

Пакетный фильтр маршрутизатора

Рис. 10.4. Пакетный фильтр маршрутизатора

Маршрутизатор, показанный на этом рисунке, сконфигурирован с фильтрами пакетов на его интерфейсах. Интерфейс, соединенный с ненадежной сетью, пропускает только пакеты, предназначенные для серверов web, mail, DNS и telnet. Это блокирует все прямые атаки на сам маршрутизатор, основной защитный компьютер и устройства в частной сети слева от основного защитного компьютера.

Тот же самый внешний маршрутизатор можно было бы сконфигурировать так, чтобы разрешить пакетам вход в DMZ только в том случае, если они отвечают следующим критериям:

  • запросы SMTP (на порт TCP 25), посылаемые на сервер e-mail;
  • запросы DNS (на порт UDP 53);
  • ответы HTTP, возвращаемые на proxy-web-сервер;
  • запросы HTTP (порт TCP 80), относящиеся к публичному web-серверу;
  • ответы FTP, возвращаемые proxy-web-серверу;
  • пакеты telnet (от порта TCP 23), ограниченные шлюзом telnet.

Это предотвращает вход в DMZ telnet, FTP и других клиентов, и разрешает вход в DMZ клиентам SMTP, DNS и HTTP ненадежной сети.

Удаленный доступ к NNM

Каким образом член группы поддержки, оснащенный портативным компьютером и находящийся, скажем, дома или в номере гостиницы, может получить доступ к одной из корпоративных систем NNM, чтобы поработать над проблемой?

Простым низкопроизводительным решением является подключение модемного порта системы NNM к заданной телефонной линии. Удаленный член группы поддержки набирает номер и входит в систему UNIX, предоставляя свое учетное имя, пароль учетной записи и пароль подключения. Первоначально устанавливается терминальный сеанс, ограничивающий доступный набор инструментальных средств приложениями командной строки. Однако можно конфигурировать соединение по протоколу двухточечного соединения (PPP) либо вручную, либо во входном скрипте, чтобы дать портативному компьютеру возможность работать в качестве удаленного узла сети. Тогда специалист-ремонтник сможет запустить эмулятор X-Windows и получить доступ к полному GUI NNM. Ограничения на пропускную способность коммутируемых модемных соединений будут заметно снижать скорость реакции приложений X-Windows. Удачным решением при использовании коммутируемого доступа является VNC (Virtual Network Computing), так как для него используется гораздо меньшая пропускная способность, чем для X-Windows.

Большинство корпораций обеспечивает более безопасное и потенциально более производительное решение для удаленного доступа пользователей портативных компьютеров в форме коммутируемого доступа "1-800", требующего наличия карт SecureID для аутентификации. В этом случае портативный компьютер становится доверенным узлом корпоративной сети, и удаленный специалист по поиску и устранению неисправностей получает доступ к системе NNM через telnet или X-Windows. Конечно, если доступ к системе NNM заблокирован по причине выхода из строя сети, запасным решением является прямое использование коммутируемой модемной связи.

Для служащих, которые стационарно работают в удаленном режиме, например, у себя дома, часто обеспечивается защищенный доступ к корпоративной сети с помощью службы ISDN на скорости более 128Kbps. Служба ISDN является безопасной по причине наличия автоматического определения номера (ANI), свойственного протоколу сигнальной системы 7 (SS7), который используется в ISDN.

Удаленные пользователи, работающие дома, могут также пользоваться высокоскоростным доступом в Internet в виде цифровой абонентской линии (DSL), кабельного модема или службы FTTH (Fiber To The Home). При этом некоторые корпорации предпочитают использовать технологию виртуальной частной сети (VPN) для создания защищенного шифрованного IP-туннеля между домашними компьютерами служащих и корпоративной сетью. Это обеспечивает высокоскоростной способ удаленного доступа к системам NNM корпорации. И снова считается, что выход сети из строя не затрагивает доступ к системе NNM.

< Лекция 9 || Лекция 10: 123 || Лекция 11 >
Андрей Хохлов
Андрей Хохлов
Россия
Игорь Соловьев
Игорь Соловьев
Россия, Братск