Три шага к управлению конфигурациями сетевых устройств
Сегодня сложно представить себе современную организацию без локальной вычислительной сети, подключенной к Интернету. Это позволяет обеспечить совместное использование информации, в том числе конфиденциальной. Однако вследствие ошибок, допущенных при конфигурации сетевого оборудования, или намеренных действий людей, преследующих собственные цели, такой доступ может достаться злоумышленнику.
Задача обеспечения безопасности при передаче информации по сетям связи не имеет одного универсального решения. Более того, для каждого уровня взаимодействия информационных систем в сети (согласно сетевой модели OSI) потребуется свое решение. В статье мы рассмотрим три метода обеспечения безопасности в сети путем правильного подхода к конфигурированию и управлению изменениями в конфигурации сетевого оборудования: коммутаторов, маршрутизаторов, межсетевых экранов и т. п.
Подход к управлению конфигурациями подробно рассмотрен в цикле Деминга, также известном как PDCA Cycle. Аббревиатура PDCA образуется словами Plan («планирование»), Do («действие»), Check («контроль»), Act («корректировка») и описывает циклически повторяющийся процесс принятия решения. Для анализа конфигураций сетевого оборудования разработано довольно много программных продуктов. Среди наиболее популярных решений можно выделить американское программное обеспечение Orion NCM, open-source-проект rConfig, а также российскую разработку компании «Газинформсервис» – Efros Config Inspector. Полноценное сравнение решений достойно отдельной статьи; сегодня для примера рассмотрим только отечественное решение.
Анализ сетевой инфраструктуры
Первым делом следует озаботиться инвентаризацией оборудования. Для этого лучше всего воспользоваться сканером сети, который обнаружит все доступные устройства в заданном диапазоне IP-адресов. После того как объекты защиты выявлены и данные о них заведены в средство анализа конфигураций, разумным будет провести проверку на наличие известных уязвимостей.
Зачастую первым этапом повышения уровня защищенности от угроз информационной безопасности планируют выполнение тестирования на проникновение (pentest). Однако это может не привести к желаемым результатам. Вероятно, специалист обнаружит одну из многих уязвимостей, воспользуется ей и продемонстрирует один сценарий атаки из всех доступных. Поэтому сначала рекомендуется устранить известные уязвимости, повысить общий уровень информационной безопасности и лишь потом приглашать специалиста по «взлому».
Оценить количество уязвимостей в операционных системах можно и вручную, воспользовавшись бесплатными сервисами Vulners или Efros Checker: сервисы предоставляют информацию об известных уязвимостях со ссылками на рекомендации по их устранению.
Итак, PDCA-цикл будет таков: наметить и выполнить мероприятия по анализу сетевой инфраструктуры на наличие уязвимостей, устранить известные уязвимости, следуя рекомендациям производителей и экспертов, запланировать регулярные обновления баз знаний об уязвимостях и проверки инфраструктуры и в случае обнаружения новых уязвимостей действовать в установленном порядке.
Стандартизация конфигураций
После устранения известных уязвимостей следует заняться стандартизацией конфигураций. Международная организация Center for Internet Security (CIS) разработала набор правил безопасной конфигурации для огромного количества оборудования и программного обеспечения. Эти правила и проверки также часто называют термином compliance – «проверка на соответствие».
Набор правил только лишь для устройств Cisco под управлением операционной системы IOS содержит свыше 80 рекомендаций. Разумеется, гораздо более эффективным подходом является автоматизация процесса проверки соответствия сетевого оборудования и выделение из всего набора лишь тех правил, что актуальны для конкретного устройства или группы устройств.
Для выполнения проверок соответствия требованиям или рекомендациям можно рассмотреть такой подход: составить перечень рекомендаций, выполнить проверку автоматизированным средством (например, с помощью Efros Config Inspector 3) и устранить несоответствие. Современные средства проверки конфигурации позволяют сформировать различные шаблоны для разных групп устройств, а также создать пользовательский набор проверок, содержащий лучшие рекомендации из различных источников: CIS не является единственным законодателем, многие производители составляют собственные наборы правил compliance.
Контроль целостности конфигураций
Наконец, немаловажной задачей является контроль целостности конфигураций. В самом деле, ценность описанных выше шагов невелика, если привилегированный пользователь сможет незаметно внести изменения в конфигурацию устройства. Для контроля целостности и ведения истории изменений в конфигурациях разработано много решений, включая даже своего рода экзотику – использование Git или SVN (системы контроля версий ПО), но большинство администраторов ИТ и ИБ склоняются к специализированным решениям, описанным выше.
В пользу специализированных отечественных решений говорит и тот факт, что ФСТЭК выдвигает требования к обязательной сертификации на отсутствие недокументированных возможностей. В последние годы в свете санкций, наложенных США и ЕС на Россию, зарубежные компании испытывают трудности с предоставлением исходных кодов программ для получения сертификата. Подытоживая этот пункт, можно представить такой PDCA-цикл: создать базу данных эталонных (прошедших проверки на наличие уязвимостей и соответствие стандартам кибербезопасности) конфигураций, запланировать и выполнять регулярные проверки на наличие изменений, принимать согласованные и отклонять незапланированные изменения. Также следует принять во внимание, что качественное современное средство управления конфигурациями не только выполняет запланированные проверки по расписанию, но и своевременно реагирует на изменения в конфигурациях сетевого оборудования в режиме реального времени путем приема syslog-сообщений с контролируемых устройств.
Автор: Сергей Никитин, менеджер по продукту компании "Газинформсервис"
Опубликовано 12.11.2018