Список действий для обеспечения безопасности сетевой инфраструктуры
Расположение сети.
-
Web-сервер располагается в DMZ или внешне по отношению к организации, и соответствующим образом защищается firewall.
-
DMZ не следует располагать на третьем (или более) интерфейсе firewall’а.
Конфигурация firewall’а.
- Web-сервер защищается firewall’ом.
- Web-сервер, если он в большей степени подвержен атакам или является достаточно уязвимым, защищается firewall’ом прикладного уровня.
- Firewall контролирует весь трафик между интернетом и web-сервером.
- Firewall блокирует весь входящий трафик к web-серверу, за исключением ТСР порта, предназначенного для НТТР (80), и/или порта, предназначенного для НТТРS, который использует SSL/TLS (443).
- Firewall блокирует (совместно с IDS) IP-адреса или подсети, о которых IDS сообщает, что с них выполняется атака.
- Firewall уведомляет сетевого или web-администратора о подозрительной активности.
- Firewall обеспечивает фильтрацию содержимого.
- Firewall конфигурируется для защиты от атак на сервисы.
- Firewall определяет неправильно сформатированные или известные атаки, связанные с запросом конкретных URL.
- Firewall заносит в лог критичные события.
- Firewall и лежащая в основе ОС устанавливаются в максимальный уровень безопасности.
Использование IDS.
- Host-based IDS применяются для web-серверов, которые используют SSL/TLS.
- IDS конфигурируется для просмотра сетевого трафика до любого firewall’а или фильтрующего роутера (network-based).
- IDS конфигурируется для просмотра сетевого трафика к web-серверу и от web-сервера после firewall’а.
- IDS блокирует (совместно с firewall) IP-адреса или подсети, с которых выполняется атака.
- IDS уведомляет сетевого или web-администратора об атаках.
- IDS конфигурируется для определения сканирования портов.
- IDS конфигурируется для определения DoS-атак.
- IDS конфигурируется для определения неправильно сформатированных URL-запросов.
- IDS конфигурируется для создания логов событий.
- IDS часто обновляется для получения новых сигнатур атак.
- IDS конфигурируется для просмотра сетевых ресурсов, доступных web-серверу (host-based).
Использование сетевых коммутаторов и концентраторов.
- Сетевые коммутаторы используются в сети web-сервера для защиты от сетевого просматривания.
- Сетевые коммутаторы конфигурируются в режим максимальной безопасности для защиты от ARP-атак.
- Сетевые коммутаторы конфигурируются таким образом, чтобы посылать весь трафик в сетевом сегменте к IDS-хосту (network-based).