26 февраля, пятница 18:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Безопасный интернет в офисе

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Безопасный интернет в офисе

    Задача: обезопасить информационные ресурсы компании от троянов методом отделения сети для работы с Интернетом от сети компании, но так, чтоб при этом пользователям было комфортно работать.
    У кого есть опыт практической реализации подобных проектов (скажем, так, для офиса от 50 компьютеров и более)?

    1) Ставим на рабочие компьютеры VMware Workstation (в режиме Bridged) и настраиваем VMware на отдельную подсеть, у которой есть нормальный доступ к Интернету и нет доступа к офисным серверам (кроме прокси ), а у основной ОС доступ к Интернету отбираем (может не на 100% отбираем, но всякие там HTTP, HTTPS, SMTP, ... и все то, где destination = anywhere точно отбираем).

    Сам так дома работаю. Неудобств абсолютно никаких, даже Skype не тормозит А вот как насчет целого офиса?

    Может ли троян (самостоятельно) вылезти из VMware в основную ОС? или установить маршрутизацию в офисную подсеть?

    Нужно ли в данном случае ставить антивирус на основную ОС? на VMware? на прокси-сервер?

    2) Ставим терминальный сервер.
    Вопрос обсуждался в 2007 году: Доступ в сеть Интернет в терминальном режиме
    http://bankir.ru/dom/showthread.php?...C5%D2%CE%C5%D4
    и в 2008 году: Терминальный сервер для выхода в интернет
    http://bankir.ru/dom/showthread.php?...C5%D2%CE%C5%D4

    В чем различие для пользователя при использовании: Linux на сервере и Xming на рабочих компьютерах? сервер Windows + лицензии TS? сервер Windows + лицензии TS + Citrix XenApp?

    Каковы должны быть характеристики сервера: память и процессоры?

    Какова цена вопроса в случае покупки лицензий?

    А может не интернет надо выносить на терминальный сервер, а наоборот, информационные ресурсы компании туда вынести?
    Последний раз редактировалось WildCat; 26.11.2010, 13:50.

  • #2
    Сообщение от WildCat Посмотреть сообщение
    1) Ставим на рабочие компьютеры VMware Workstation
    ...
    Может ли троян (самостоятельно) вылезти из VMware в гостевую ОС? или установить маршрутизацию в офисную подсеть?
    Из гостевой в хозяйскую - да, причем легко и непринужденно. См. адвизори PT-2008-05

    С момента выхода выхода драйвера до момента написания PoC-эксплойта прошло несколько часов. Эксплойт из гостевой системы добирался до ядра хозяйской операционки и демонстрировал возможнолсть бсконтрольного обращения к функциям ядра. В VMWare ESX такой фокус не пройдет.

    Из хозяйской в гостевую - еще проще.

    Сообщение от WildCat Посмотреть сообщение
    Нужно ли в данном случае ставить антивирус на гостевую ОС? на VMware? на прокси-сервер?
    Нужно, но в первые сутки вирусной волны не поможет.

    Сообщение от WildCat Посмотреть сообщение
    А может не интернет надо выносить на терминальный сервер, а наоборот, информационные ресурсы компании туда вынести?
    Совершенно точно не надо. Если айтишники компании не могут обеспечить нормальный патч-менеджмент для рабочих мест, то у меня есть очень серьезные сомнения в том, что они способны не накосячить с реализацией таких вот решений.

    Комментарий


    • #3
      Сообщение от malotavr Посмотреть сообщение
      Из гостевой в хозяйскую - да, причем легко и непринужденно.
      Согласен, хотя ту уязвимость давно исправили, но VMware не является панацеей от троянов. Но как дополнительный барьер - почему бы нет?

      Комментарий


      • #4
        Сообщение от WildCat Посмотреть сообщение
        Задача: обезопасить информационные ресурсы компании от троянов методом отделения сети для работы с Интернетом от сети компании, но так, чтоб при этом пользователям было комфортно работать.
        ...

        А может не интернет надо выносить на терминальный сервер, а наоборот, информационные ресурсы компании туда вынести?
        Наверно так будет гораздо правильнее если:
        1. Ограничите файловый обмен между терминальными сессиями и компьютерами-терминалами. Причем неважно какой - прямой ли или по почте или через шару.
        2. Диски естественно не мапить.
        3. Сегмент с ресурсами отделен от остальной сети - доступ через фаервол и только к серверу терминалов...

        Можно дальше продолжать. Но мне кажется проще защитить ограниченное число серверов, чем кучу компов пользователей, но и их надо пускать пусть не через терминал, но через прокси уж точно и с контролем трафика.

        Комментарий


        • #5
          Сообщение от VSolon Посмотреть сообщение
          ...
          Ограничите файловый обмен между терминальными сессиями и компьютерами-терминалами.
          ...
          мне кажется проще защитить ограниченное число серверов, чем кучу компов пользователей
          ...
          Терминальный сервер, защищающий ресурсы компании, должен быть гораздо более мощным, чем терминальный сервер, защищающий выход в интернет.

          Совсем ограничить файловый обмен между ресурсами компании и интернетом нельзя, т.к. у пользователей (пусть не у всех) есть необходимость в таком обмене.

          Комментарий


          • #6
            Сообщение от WildCat Посмотреть сообщение
            Согласен, хотя ту уязвимость давно исправили, но VMware не является панацеей от троянов. Но как дополнительный барьер - почему бы нет?
            Я просто ответил на вопрос про возможность. Разумеетя, не всякий троян такое умеет

            Комментарий


            • #7
              Сообщение от WildCat Посмотреть сообщение
              Терминальный сервер, защищающий ресурсы компании, должен быть гораздо более мощным, чем терминальный сервер, защищающий выход в интернет.
              Все это верно. Просто я исхожу из следующих посылок.
              Терминальный сервер является очень большой угрозой в случае если:
              1. Если на него ежедневно не ставятся все патчи безопасности включая патчи на все ПО и плагины к ИЕ.
              2. Он стоит не в ДМЗ, а лучше в отдельном ДМЗ.
              3. Прямой файловый обмен с него на компьютеры пользователей запрещен.
              4. Активных пользователей на терминальном сервере с правами админа нет.
              5. Про антивирусы понятно, но я бы применил HIPS.

              Если есть файловый обмен между Интернет и локальной сетью - есть угроза заражения, а уж как файл попадет напрямую ли иле через терминалку - вопрос второй. Опять же риск - если заразить терминальный сервер - можно заразить всех кто на него заходит.

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Из гостевой в хозяйскую - да, причем легко и непринужденно. См. адвизори PT-2008-05

                С момента выхода выхода драйвера до момента написания PoC-эксплойта прошло несколько часов. Эксплойт из гостевой системы добирался до ядра хозяйской операционки и демонстрировал возможнолсть бсконтрольного обращения к функциям ядра. В VMWare ESX такой фокус не пройдет.
                Все таки хочется дать свой комментарий по этому поводу.
                Уязвимости указанные уважаемым malotavr довольно старые и давно залатаны, а новых пока не найдено, и условно можно считать такой способ, дополнительной защиты от угроз из сети Интернет, вполне жизнеспособным.
                Другой вопрос, что данный способ не дает 100% гарантии, но этого не обеспечит и любой другой.
                Также в этом способе я вижу еще одно преимущество, виртуальной машиной можно использовать один из дистрибутивов Linux, благо виртуальная машина будет использоваться только для серфинга в сети Интернет. А также права в ней зарезать по максимуму... Таким образом от большинства эпидемий такая схема спасет, хотя бы потому, что на системах Linux пока и не было таких широкомасштабных эпидемий и такого количества вредоносных программ как на платформе Windows.
                И если и ставится на виртуальную машину антивирус, он как правило отличается от того, который установлен на основной машине, что увеличивает возможности обнаружить зловреда...
                Другое дело, что пользователям за данный шаг приходится расплачиваться производительностью используемоего компьютера.

                Комментарий


                • #9
                  Главный вопрос в том, как организовать файловый обмен между "закрытой" и "открытой" сетями без затруднений для пользователей.
                  - Любые подключения дисков, как терминальной сессии так и к виртуальной машине делают все усилия по разделению сетей бессмысленными.
                  - Любые другие варианты для пользователей не удобны.

                  В любом случае прийдется создавать некий буфер обмена между сетями, который будет самым слабым местом во всей цепочке. От выбора реализации буфера будет зависеть удобство пользователей, от средств защиты буфера будет зависеть итоговая безопасность.

                  P.S.: в любом случае стоимость всего этого удовольствия будет от 500 000 руб.

                  Комментарий


                  • #10
                    Сообщение от tomato Посмотреть сообщение
                    Главный вопрос в том, как организовать файловый обмен между "закрытой" и "открытой" сетями без затруднений для пользователей.
                    Главный вопрос - на кой все это вообще нужно? Сотни тысяч компаний прекрасно существуют с обычным подключением к Интернет и не ставят во главу угла безопасность; превалирует обычно бизнес и его потребности. И такого подхода придерживаются даже те компании, у которых почти весь бизнес целиком зависит от Интернет. И даже они не используют таких сложных, неудобных и не дающих существенного роста защищенности схем ;-(

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      ... И такого подхода придерживаются даже те компании, у которых почти весь бизнес целиком зависит от Интернет. ...
                      Так уж сложилось, что банки в своей работе распоряжаются по большей части не своими деньгами, свой кошелек можно бросить и на рабочем столе, да и потерять его можно, но это свой кошелек, а тут чужие деньги. Психологически подход другой, а если учесть что получить управление над компьютером элементарно, даже если он за фаерволом и антивирус у него стоит, но человек за этим компьютером лазает в Интернете где не попадя.

                      P.S.Однако согласитесь, вы же не держите на своем компьютере файл с данными кредитной карточки и CVV кодом и именем берите мои деньги.txt?

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        Главный вопрос - на кой все это вообще нужно?
                        Хороший вопрос!

                        Но лично мне интересно, кто как делает и делает ли вообще.

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Главный вопрос - на кой все это вообще нужно? Сотни тысяч компаний прекрасно существуют с обычным подключением к Интернет и не ставят во главу угла безопасность...
                          Но еще есть ряд контор, у которых доступ в Интернет осуществляется с другой физической машины, которая находится в другой подсети.
                          В большинстве случаев ответом на вопрос "на кой все это вообще нужно?" является - из-за тараканов в голове начальника отдела IT, который где-то услышал, что так можно полностью обезопасить свою локальную сеть от вредоносных программ из сети Интернет, и решил внедрить у себя данное решение, не смотря на протесты пользователей в частности и бизнеса в общем.
                          На практике я встречал такое решение, где в одном из доменов доступ в Интернет осуществлялся по такой схеме. В общем схему можно считать неэффективной, т.к. были другие возможности попадания вредоносных программ на компьютеры пользователей, через флешки, двдромы, почтовые вложения. Но если считать по числу обнаруженных антивирусом вредоносных объектов в разных доменах, с одинаковым количеством рабочих станций, то в домене где использовались виртуальные машины, вредоносных объектов обнаруживалось примерно на 50% меньше, чем в домене без виртуальных машин, с прямым доступом в сеть Интернет.

                          Комментарий


                          • #14
                            Сообщение от Uomo Посмотреть сообщение
                            Но еще есть ряд контор, у которых доступ в Интернет осуществляется с другой физической машины, которая находится в другой подсети.
                            Сбербанк)

                            Комментарий


                            • #15
                              Сообщение от VSolon Посмотреть сообщение
                              Так уж сложилось, что банки в своей работе распоряжаются по большей части не своими деньгами, свой кошелек можно бросить и на рабочем столе, да и потерять его можно, но это свой кошелек, а тут чужие деньги.
                              А у других типа деньги/информация свои? Тоже небось чужие ;-)

                              Сообщение от VSolon Посмотреть сообщение
                              Психологически подход другой, а если учесть что получить управление над компьютером элементарно, даже если он за фаерволом и антивирус у него стоит, но человек за этим компьютером лазает в Интернете где не попадя.
                              Так и не имея прямого доступа проблем получения доступа нет. Начиная от заражения через периферийные носители и заканчивая управления трояном в оффлайн-режиме - через команды, отсылаемые по почте или через систему файлов. Такие прецеденты тоже бывали. Нечасто, но бывали.

                              Сообщение от VSolon Посмотреть сообщение
                              P.S.Однако согласитесь, вы же не держите на своем компьютере файл с данными кредитной карточки и CVV кодом и именем берите мои деньги.txt?
                              Не в текстовом файле ;-) Я взвесил риски и принял решение, что хранение в защищенном хранилище удобнее и защищеннее, чем хранить это дома в сейфе ;-)

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Главный вопрос - на кой все это вообще нужно? Сотни тысяч компаний прекрасно существуют с обычным подключением к Интернет и не ставят во главу угла безопасность; превалирует обычно бизнес и его потребности. И такого подхода придерживаются даже те компании, у которых почти весь бизнес целиком зависит от Интернет. И даже они не используют таких сложных, неудобных и не дающих существенного роста защищенности схем ;-(
                                У нас неправильный герб - на мой взгляд, российскую национальную идею должны символизировать Емеля с щукой. Вот сейчас мы придумаем техническую фигню, и по щучьему велению она решит нам проблему.

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  А у других типа деньги/информация свои? Тоже небось чужие ;-)

                                  ...Я взвесил риски и принял решение,...
                                  Вот это ключевое. Стоимость системы безопасности не должна превышать стоимости информации которую эта система защищает.

                                  И второе - система должна быть сбалансирована, всеобъемлющая, последовательная и поступательная.

                                  Комментарий


                                  • #18
                                    Сообщение от malotavr Посмотреть сообщение
                                    ...должны символизировать Емеля с щукой. Вот сейчас мы придумаем техническую фигню, и по щучьему велению она решит нам проблему.
                                    Если говорить языком аллегорий и оперировать той же сказкой, то Емеля с Щукой все же уже следующий этап, а первый Емеля на печи.

                                    Комментарий


                                    • #19
                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Главный вопрос - на кой все это вообще нужно? Сотни тысяч компаний прекрасно существуют с обычным подключением к Интернет и не ставят во главу угла безопасность; превалирует обычно бизнес и его потребности. И такого подхода придерживаются даже те компании, у которых почти весь бизнес целиком зависит от Интернет. И даже они не используют таких сложных, неудобных и не дающих существенного роста защищенности схем ;-(
                                      Не согласен. В этом подходе помимо минусов есть и плюсы, а раз задача поставлена (и вполне четко), то плюсов для конкретной конторы оказалось больше, так что мой вопрос главнее
                                      И не вижу ничего удивительного в отказе от закрытых сетей в Интернет-зависимых бизнесах иначе было бы не логично. Но вот представьте контору на конкурентном рынке, где доказанная утечка информации равна серьезной потере имиджа, с последующей потерей большей части клиентов. В таких местах бизнес сам понимает (хотя, наверно, интуитивно понимает, а не разумно) что безопасность важна и готов мириться с неудобствами.

                                      Комментарий


                                      • #20
                                        Сообщение от tomato Посмотреть сообщение
                                        Но вот представьте контору на конкурентном рынке, где доказанная утечка информации равна серьезной потере имиджа, с последующей потерей большей части клиентов. В таких местах бизнес сам понимает (хотя, наверно, интуитивно понимает, а не разумно) что безопасность важна и готов мириться с неудобствами.
                                        Куча примеров показывает обратное ;-) Бизнес не готов мириться с неудобствами, он ставит задачу перед безопасниками оставить удобство, но сделать его безопасным ;-) Яркий пример - наша компания. У нас и рынок конкурентный, и репутационные риски велики, да и наказание за утечк данных клиентов немифическое, как в России. Но при этом задача решена так, чтобы и удобство было, и высокий уровень защиты.

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Яркий пример - наша компания. У нас и рынок конкурентный, и репутационные риски велики, да и наказание за утечк данных клиентов немифическое, как в России. Но при этом задача решена так, чтобы и удобство было, и высокий уровень защиты.
                                          Дык! Поделитесь опытом, если не жалко.
                                          Стандартное решение большинства безопасников -- запретить всё, нахрен. Ясен пень, что это никого не устраиват, со всеми вытекающими...

                                          Комментарий


                                          • #22
                                            Хорошо настроенные МСЭ + IPS + регулярное обновление всех систем + регулярное сканирование... ничего нового ;-)

                                            Комментарий


                                            • #23
                                              Одно из типовых решений, предлагаемых интеграторами в похожих случаях:
                                              - для доступа в Интернет используется терминальный сервер с установленным ПО, которое контролирует запуск приложений по принципу "белого списка" (запрет выполнения всех исполнимых файлов, скриптов, макросов и т.д.,которые не были авторизованы). Если сервер используется только для доступа, то на удобство пользователей это не сильно влияет.
                                              - терминальный сервер попадает в Интернет только через специализированный Web шлюз, который проверяет объекты и трафик на вирусы,выполняет динамическую категоризацию и фильтрацию, предоставляет "облачные сервисы"
                                              - доступ между сетями ограничен МСЭ с конкретно настроенными правилами: клиенты "туда" по терминальным сессиям, "обратно" доступа нет.
                                              Для значительного снижения рисков проникновения вредоносного ПО во внутреннюю сеть из Интернета этого достаточно. Примерная стоимость такого решения будет от 0,5 млн. С учетом того, что нужно будет закрывать и другие потенциальные каналы, получается дороговато для сети из 50 машин..

                                              Комментарий


                                              • #24
                                                Сообщение от СОВИТ Посмотреть сообщение
                                                Одно из типовых решений, предлагаемых интеграторами в похожих случаях:
                                                - для доступа в Интернет используется терминальный сервер с установленным ПО, которое контролирует запуск приложений по принципу "белого списка"
                                                Если их слушать, то в метро надо ездить не иначе как в костюмах химзащиты.

                                                Я бы хотел посмотреть, как у этих интеграторов устроен доступ в интернет в конторе и по домам.

                                                Комментарий


                                                • #25
                                                  Сообщение от ost Посмотреть сообщение
                                                  Если их слушать, то в метро надо ездить не иначе как в костюмах химзащиты.
                                                  Про бронежилет и каску на случай терракта забыли

                                                  На самом деле здесь в основе лежит подход ФСТЭК к обеспечению защиты: есть СЗИ - все защищено. Нет СЗИ - нет защиты... То есть оценка рисков фактического нарушения ИБ не производится. Отсюда и возникают "бешенные" требования к технической защите - обязан обвешаться по самое не хочу и пофиг, что там на самом деле, сколько это стоит и возможно ли после этого нормально работать...
                                                  Да пребудет с тобой Сила!

                                                  Комментарий


                                                  • #26
                                                    А может просто поставить CISCO IronPort на входе или в DMZ? Какие будут за и против?

                                                    Комментарий


                                                    • #27
                                                      А может просто поставить CISCO IronPort на входе или в DMZ? Какие будут за и против?
                                                      В DMZ. Это и будет специализированный Web шлюз) Наличие одного из таких устройств (IronPort, BlueCoat, Websense и т.д.) при правильной конфигурации и полностью "заряженного" достаточно для достижения приемлемого уровня защищенности доступа в Интернет.

                                                      Комментарий

                                                      Обработка...
                                                      X