СИСТЕМА МОНИТОРИНГА И УПРАВЛЕНИЯ ГРУППОВОЙ ПОЛИТИКОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ

Крупные корпорации тратят большие деньги для обеспечения безопасности своей информации и нуждаются в защите своих данных. Первый шаг для любого злоумышленника — найти уязвимости сети путем сканирования открытых портов. Порты — это механизмы, с помощью которых сеть предприятия открывает и подключается к более широкому миру Интернета. Хакер видит открытый порт как неизбежный соблазн для доступа к информации. Сетевой брандмауэр блокирует порты, которые не должны быть открыты.

Правильно настроенный брандмауэр выступает в качестве первой линии обороны в любой сети. Сетевой брандмауэр устанавливает правила какие порты должны быть открыты, а какие — закрыты. Должны быть открыты только те порты, которые необходимы для запуска и работы служб.

Если работа происходит в Интернете или используются почтовые сервера в сети, то соответствующие порты для этих услуг должны быть открытыми. Если эти сервисы не используются непосредственно в собственной сети, то порты должны быть закрыты. Как правило, большинство маршрутизаторов включают функциональность брандмауэра.

Брандмауэр присутствуют во многих операционных системах, но этого, как правило, не достаточно. Одна из самых распространенных ошибок в конфигурировании сетевого оборудования — применение паролей «по умолчанию».

Во многих случаях это тривиальный вопрос, чтобы злоумышленнику определить марку и номер модели устройства сети. Не менее тривиальный — использовать Интернет для получения инструкций нахождения имени пользователя и пароля по умолчанию.

Устаревший маршрутизатор или брандмауэр является еще одной распространенной проблемой. Оборудования корпоративной сети, как приложения и операционные системы, должны быть обновлены в плане безопасности и исправления ошибок. Прошивка маршрутизатора и / или брандмауэр поставляется, вероятно, устаревшая, поэтому очень важно, убедиться в обновлении.

Некоторые производители маршрутизаторов имеют простое диалоговое окно, которое позволяет проверять наличие новых версий прошивки изнутри меню администрирования маршрутизатора. Для маршрутизаторов, которые не имеют автоматической проверки версии прошивки, можно узнать номер версии в меню администратора маршрутизатора.

Большинство маршрутизаторов и брандмауэров включают в себя несколько параметров, которые помогают определить, как виден маршрутизатор и / или брандмауэр внешнему миру. Один из самых простых методов, которые хакер использует, чтобы найти сеть, — отправить запрос проверки, которая является всего сетевым запросом, чтобы увидеть ответ сервера. Идея в том, если сетевое устройство отвечает, то появляется соблазн для хакера дополнительно изучить и, возможно, эксплуатировать данную сеть.

Вы можете сделать это более трудным для злоумышленников, просто установив маршрутизатор сети или брандмауэр, так что он не будет отвечать на сетевой запрос (Ping). Обычно возможность блокировать сетевые пакеты можно найти в меню Администрирование для брандмауэра и / или маршрутизатор.

Один из лучших способов увидеть наличие открытых портов или видимых уязвимостей сети, сделать то же самое, что и злоумышленник — сканировать сеть.

С помощью сканирования сети с теми же инструментами, которые используют исследователи в области безопасности (или хакеры), Вы увидите проблемы сети. Наиболее популярным инструментом сканирования сети с открытым исходным кодом является Nmap.

Необходимо произвести сканирование сети, чтобы увидеть какие порты открыты (которые не должны быть открыты), а затем вернуться в брандмауэр, чтобы внести необходимые изменения.

По умолчанию большинство небольших маршрутизаторов используют так называемый DHCP, который автоматически распределяет IP-адреса компьютеров, подключенных к сети.

DHCP упрощает подключение, чтобы пользователи могли подключиться к Вашей сети, но это позволяет хакерам легко подключиться к сети. Если сеть имеет только определенное количество пользователей, и обычно не имеются гостевые пользователи подключенные к сети, можно рассмотреть возможность блокировки IP-адресов.

Маршрутизаторе / брандмауэр позволяет указать IP-адреса для пользователей DHCP. Необходимо определить МАС-адрес, которому можно затем назначить IP.

Преимуществом присвоения IP является то, что легко отследить, какие IP связаны с конкретным ПК и / или пользователем. При использовании DHCP один ПК потенциально может иметь различные IP-адреса в течение некоторого периода времени, когда ПК выключается и включается. Зная, что в вашей сети, Вы будете знать откуда и где проблемы возникают.

Брандмауэра не всегда достаточно, чтобы защитить сеть предприятия. Реалии сегодняшнего дня является то, что основная часть всего сетевого трафика идет через порт 80 для HTTP или веб-трафика. Так что, если оставить этот порт открытым, то остается опасность атак, направленных на порт 80.

В дополнение к межсетевому экрану, Intrusion Prevention System (IPS) технология, которая может играть ключевую роль сетевой безопасности. IPS делает больше, чем просто контроль портов, — она проводит мониторинг транспортных потоков на наличие аномалий, которые могут указывать на вредоносную активность.

Web Application Firewall (WAF) помогает защититься от атак, которые специально направлены против приложений. Если применяются сетевые приложения, WAF, как часть веб-сервера, является ключевой технологией. Несколько производителей, включая Barracuda имеют сетевые WAF решения. Другим вариантом является проект с открытым кодом ModSecurity.

Любая организация, в которой работает больше двух человек, нуждается в политиках для определения ролей и описания поведения. Это в полной мере касается и компьютеров. Пользователи рассчитывают на возможности своих компьютеров, и персонал отдела информационных технологий не сможет удовлетворить их ожидания, если не постарается добиться определенного уровня равных возможностей на рабочих станциях и серверах. Компания Microsoft осознала эту потребность и предложила реализовать управление рабочими станциями на основе политик [1].

Большое внимание уделяется разграничением прав пользователя для того, чтобы сотрудники имели доступ только для своего набора программных продуктов или набора функций одного ПО. Для решения этой проблемы и управления групповой политикой на предприятии был реализован программный комплекс, который позволяет управлять групповой политикой и производить мониторинг всех процессов, происходящих на стороне пользователя.

Изменение объектов групповой политики происходит за счет изменения соответствующей записи реестра. Администратор выбирает набор программных продуктов или функций отдельных приложений, к которым должен иметь доступ пользователь или группа пользователей. Все настройки применяются после следующего входа пользователя в систему.

Рисунок 1. Структура сети

Во-первых, Администратор или владелец корпоративной сети получит возможность запрещать или позволять запуск отдельных приложений, программ и компонентов, находящихся на локальном компьютере, что позволит избежать использование сторонних программных продуктов или программ сбора информации.

Во-вторых, присутствует возможность управления отдельными функциями в рамках одного приложения. Тем самым, позволив оградить пользователя от ненужных функций или модулей программы, которые могут негативно повлиять на целостность и безопасность данных.

В-третьих, это использование ресурсов системы, например, запрет использование CD-ROM, подключение портативных устройств и использование сетевых принтеров.

Данный продукт был протестирован на предприятия «ОАО ЗПП Томский» — результаты тестирования показали эффективность данного ПО, который позволил сократить временные затраты на администрирование и значительно повысил уровень безопасности на предприятии, позволив разграничить уровень доступа сотрудников у конфиденциальной информации.

Список литературы:
1.    Пол Мак-Федрис. Microsoft Windows 7. Полное руководство, 2012 , 800 с.