Делаем курсач по безопасности вычислительных сетей. Собственно, нам в общем-то не объясняли ни сети, ни их защиту. Мы не сетевые инженеры, первый раз с таким сталкиваемся. Организация - небольшой банк, головной офис и несколько филиалов. Изначально мы спроектировали сеть банка "до", то есть просто сеть без всякой защиты в Cicso Pocket Tracer. Сеть элементарная. И теперь нам нужно спроектировать эту сеть в GNS3, но уже в защищенном варианте. Стандартная архитектура - зоны LAN, DMZ, WAN, разделены межсетевым экраном. Все оборудование Cisco (свитчи и роутеры). LAN-зона - несколько VLANов с обычными компами сотрудников, DMZ-зона - планируется сервер на убунту для сайта и почты, и WAN-зона с роутером для выхода в интернет. Связь с филиалами планируется организовать через IPSec туннели. В качестве межсетевого экрана был выбран FortiGate по двум причинам - наличие образа для GNS3 и обилие обучающих материалов. Он представляет собой NGFW с двумя режимами profile-based и policy-based. На данный момент мы решили организовать все с помощью режима политик. Собственно эти политики позволяют настроить кому, что и куда можно/нельзя. Вопрос в том, будет ли этого достаточно? Что еще нужно добавить (желательно, чтобы это было реализуемо в gns3).
Akina, список угроз есть, изучены нормативные документы, составлен список подсистем системы защиты и список требований к ним, только вот не все средства защиты мы можем получить (так как продукты платные) и тем более установить их в GNS3.
ky0, хороший вопрос, но gns3 я не видел других альтернатив, в этом и проблема. По документам мы выбрали такие средства, которые по нормативным документам проходят, а в gns3 нет возможности реализовать это.
Убунту скорее условно, как система Linux, а подходящий по ФСТЭКу вариант это BaseALT Альт 8, к примеру.
Спасибо, кстати, за напоминание про PCI DSS, а то про него забыли.
В банковской сети, обычно, есть сегменты к которым ограничен доступ со стороны локальной сети. Доступ к компам в этой сети имеет ограниченный круг лиц, помещения под своей сигнализацией и т.п. Они стоят за своим собственным фаерволом и помещены в отдельную VLAN, но поскольку из этой подсети может требоваться доступ к банковским ресурсам, то средствами фаервола разрешается доступ по определенным фиксированным адресам.
Иногда бывает, что некоторые сегменты сети физически отделены от интернет, т.е. используется отдельная кабельная сеть и отдельные коммутаторы никак не связанные с интернет ни через шлюз ни через что-то другое.
С удаленными офисами связь предпочтительно делать не через интернет, а на базе какого-то оператора связи (или нескольких) формировать собственную корпоративную сеть. Трафик в такой сети передается через ВПН в шифрованном виде. Если какие-то удаленные офисы невозможно подключить к корпоративной сети, то используют интернет + ВПН. ВПН по уму должен строится с использованием сертифицированных средств.
В сети развернуты DLP системы, особенно это касается компов в изолированных подсетях.
Наличие антивируса, корпоративного фаервола - само собой разумеющиеся вещи.
Сегментация сети есть с помощью VLANов по отделам, например один влан для колл-центра, другой для бухгалтерии и т.д. У каждого влана своя сеть. Поэтому настроить правила доступа с помощью фаервола будет не особо сложно, просто создавая правила доступа/запрета для определенных адресов. Физически обособленные сегменты мы не рассматриваем в рамках курсового проекта.
Про удаленный доступ я понял, что вы имеете в виду. Вместо простой передачи по IPSecу по интернету приобрести VPN-канал у провайдера.
Антивирус, межсетевой экран и не только они, уже подобраны.
Спасибо за ваш ответ.
FlyServer, По ВПН не так. На базе оператора организуется корпоративная сеть. Другой вариант - выделенный канал от центрального офиса до удаленного, но при наличии кучи удаленных офисов, это будет слишком сложно.
Внутри корпоративной сети своими средствами строится ВПН. По выделенным каналам данные передаются то же через ВПН. ВПН должен контролировать сам банк. IPSec может не подойти, т.к. в РФ он не сертифицирован. Но если какие-то отечественные продукты встраивают поддержку сертифицированных крипто средств в IPSec, то такой вариант вполне годится.
res2001, два офиса в пределах Краснодара, один в Горячем ключе, но вот третий в Москве, тут уже не протянешь канал, действительно. Межсетевой экран FortiGate, который мы планируем использовать и с помощью которого возможно реализовать Site-to-site VPN IPSec, имеет действующий сертификат ФСТЭК, достаточно ли этого, чтобы было законно использовать IPSec?
Выделенный канал - обычно это не физический кабель. Канал может быть частью большого и толстого канала оператора. Главное, чтоб трафик внутри нашего канала был логически отделен от другого трафика. Это делается каналообразующей аппаратурой оператора с использованием специализированных протоколов. Обычно из областных центров нет проблем арендовать выделенный канал у крупного оператора федерального уровня в Москву или Питер.
Да, аренда такого канала стоит прилично. Но мы же говорим о банке и Москве. Допустим в Старые Васюки для небольшого офиса такой канал может стать золотым, там будет упрощенная схема через интернет.
Если в Москве будет несколько филиалов, то канал в Краснодар может быть один, в Москве организуется своя корпоративная сеть между филиалами с выходом в один канал.
Кстати, важный вопрос - резервирование. Должны резервироваться/дублироваться основные критически важные сервера/службы, каналы связи, канальное оборудование. Менее важные места должны иметь возможность восстанавливаться после сбоя за какое-то заранее оговоренное время.
Резервироваться могут так же и каналы связи между офисами. В этом случае имеет смысл выбирать другого оператора для резервного канала, у которого есть свои собственные каналы связи не связанные с первым оператором.
res2001, банк небольшой и аренда канала для одного офиса в Москве не самое выгодное решение, как мне кажется. Про дублирование мы знаем, в сети используем дублирование некоторых наиболее важных коммутаторов, соединяем с etherchannel (агрегация каналов), где возможно.
FlyServer, Один офис в Москве может по доходам быть равносилен остальному банку. Реальные примеры такого положения вещей из жизни у меня есть.
Не думайте, что аренда выделенного канала стоит космических денег. Нет, для банка вполне доступно, особенно когда речь идет о крупном офисе в Москве.
Когда реально сталкиваешься с необходимостью решить подобную задачу (выбрать какой канал использовать для удаленного офиса), то выбираешь из несколько вариантов, и часто цена вопроса - совсем не основной аргумент чтоб какой-то из вариантов забраковать.
FlyServer, почитайте про MPLS сети. Практически все серьезные организации, их используют для передачи данных, особенно содержащих разные степени тайн. И в добавок поверх этих сетей, городят еще пару-тройку инкапсуляций VPN, чтобы инфу за пределами собственной подконтрольной сети было невозможно не перехватить не расшифровать
Совет максимально общий но зайдите на сайт циско там есть наиболее употребимые конфигурации сетей. Выберите максимально похожую и вставляйте перевод в свой курсовой проект
Владимир Коротенко, так или иначе, я эту информацию уже находил и на русском языке, но там есть довольно специфические вещи, которых я еще не рассматривал, так что спасибо вам за наводку
>Что нужно для защиты локальной сети банка?
Многое. Начинать с найма соответствующих специалистов :)
ЗЫ Касательно "лабораторной" - инфраструктура CA внутренняя потребуется: все самоподписные сертификаты оборудования, серверов и рабочих станций менять на собственного выпуска, инспекцию SSL на FortiGate делать, VPN и 802.1X настраивать, и еще для многих вещей - в банке он есть в обязательном порядке.
Средний
