3.3 Организация антивирусного контроля
Немаловажно обеспечить антивирусную защиту для серверов компании и для клиентских машин.
Для обеспечения антивирусной безопасности предлагается использовать продукт «Symantec Endpoint Protection» клиент-серверную версию. Основная особенность этой программы: функционирование без вмешательства администратора и наличие большого количества передовых технологий.
Symantec Endpoint Protection 11.0 сочетает в себе Symantec AntiVirus с улучшенными функциями предотвращения угроз. Это обеспечивает превосходную защиту от вредоносных программ для ноутбуков, рабочих станций и серверов. В этом продукте необходимые технологии защиты тесно интегрированы в одном агенте и консоли управления. Это позволяет повысить степень защиты и снизить стоимость владения.
Основная особенность этой программы: функционирование без вмешательства администратора и наличие большого количества передовых технологий:
Эвристическая защита от новых и ранее неизвестных угроз. В отличие от других эвристических технологий, превентивное сканирование TruScanTM учитывает обычное и подозрительное поведение неизвестных программ, что обеспечивает более точное обнаружение вредоносного программного обеспечения.
Интеграция VxMS (Veritas Mapping Service — технология Veritas) обеспечивает лучшее обнаружение и удаление руткитов, работая на уровне ниже операционной системы, что позволяет лучше выполнить анализ и восстановление.
Управление приложениями позволяет администраторам управлять доступом к конкретным процессам, файлам и папкам со стороны пользователей и приложений. Обеспечивает анализ приложений, контроль за процессами, контроль за доступом к файлам и реестру, контроль за модулями и DLL Позволяет администраторам запретить рискованные или сомнительные операции.
Контроль за подключением и использованием периферийных устройств. Блокировка конечных систем для запрета подключения съемных дисков, пишущих приводов, принтеров и прочих устройств USB.
Развертывание данного продукта в локальной сети проходит как правило в три основных этапа:
-
установка серверной части антивируса;
-
установка клиентской части антивируса;
-
настройка комплекса программ на обновление и автоматическую проверку.
3.3.1 Установка серверной части антивируса
Установка управляющего сервера, базы данных и клиентского модуля проводится на одну рабочую станцию ОС Windows server 2003, используется встроенная в продукт База Данных на основе Sybase, также поддерживаются версии БД MS SQL 200/2005.
Все необходимые для работы компоненты устанавливаются также, предварительно должна быть установлена последняя версия Sun Java. Развертывание управляющего сервера Symantec Endpoint Protection Manager занимает примерно 15 минут, включая процесс создания и инициализации Базы Данных.
После установки потребовалась 1 перезагрузка, после которой все сервисы стартовали автоматически. Занимаемое место на диске может увеличиваться пропорционально, так как все обновления хранятся в хронологическом порядке определенное количество версий, что позволяет переводить пользователей практически на любые версии компонент.
После установки и перезагрузки, на управляющий сервер антивируса можно зайти через консоль. Окно входа в консоль показана на рисунке 3.4.
Рисунок 3.4 – Окно входа на управляющий сервер Symantec Endpoint Protection
После ввода логина и пароля, указав управляющий сервер мы попадем в консоль управления сервера. Консоль сервера показана на рисунке 3.5. В данном окне мы видим основную доступную статистику по антивирусам компании, количество зараженных компьютеров, уровень угроз, различные отчеты состояний антивирусов пользователей.
Рисунок 3.5 – Главное окно консоли управляющего сервера Symantec Endpoint Protection
Чтобы установить антивирус на пользовательскую машину необходимо создать установочный пакет клиента в консоли управляющего сервера. После этих действий мы получим пакет который необходимо установить всем пользователям. Политики безопасности можно настраивать как сразу при добавлении пакета клиента, как и после установки через управляющий сервер. На рисунке 3.6 показано что создано два пакета для различных платформ. Один пакет мы будем использовать для пользователей, другой для самого сервера, так как он тоже должен быть под защитой антивирусной программы.
Рисунок 3.6 – Установочные пакеты клиента в консоли управляющего сервера
3.3.2 Установка клиентской части антивируса
Установка клиентской части антивируса происходит с помощью запуска сделанных на сервере пакетов. Установка происходит в автоматическом режиме. Помимо того что антивирус устанавливается, он так же получает автоматически настройки. Главное окно антивируса показано на рисунке 3.7.
Рисунок 3.7 – Главное окно антивируса на клиентском компьютере
Клиентская часть начнет поиск сервера, и если сервер доступен по сети то последует автоматическое обновление всех модулей. Изменить параметры антивируса внутри клиентской части нельзя, по умолчанию это запрещено политикой сервера. При обнаружении вирусов или других нежелательных программ антивирус сообщит об этом пользователю и направит отчет на сервер. Таким образом мы получили клиентский антивирус с централизованным управлением через сервер.
После установки всех клиентских пакетов, переходим в консоль управляющего сервера. Состояние антивирусов и компьютеров всех пользователей в сети показано на рисунке 3.8.
Рисунок 3.8 – Мониторинг клиентов подключенных к управляющему серверу
Тут мы можем назначать принудительную проверку отдельным компьютерам. Так же может с этого окна обновлять рабочие станции, менять индивидуально политики настройки антивирусов.
3.4 Программно-аппаратная защита компьютеров с помощью программного комплекса Secret Net 5
Система защиты Secret Net используется в организации “Надежный контакт” для защиты хранимой и обрабатываемой информации на персональных компьютерах в локальной сети от противодействия попыткам нарушения нормального функционирования локальной сети и прикладных систем на ее основе. Данная система защиты установлена и настроена на всех локальных компьютерах организации.
Система включает средства:
-
идентификации и аутентификации пользователей (в том числе и при использовании карт Touch Memory и Smart Card);
-
разграничения доступа к ресурсам;
-
контроля целостности;
-
регистрации событий в журнале безопасности;
-
затирания остатков данных на носителях информации;
-
шифрования трафика сети;
-
управления средствами защиты и др.
Эта система не сможет решить всех проблем по созданию комплексной защиты компьютерных систем, этого не сможет сделать никакое отдельно взятое техническое средство защиты, так же как и любая совокупность таких средств. Объясняется это тем, что создание комплексной системы защиты организации, кроме применения технических (аппаратно-программных) средств, предполагает принятие специальных мер правового и административного характера и обеспечение непрерывной организационной поддержки функционирования установленных средств защиты специальным персоналом.
Надо совершенно четко понимать, что система Secret Net – это всего лишь инструмент, позволяющий системному администратору значительно проще и надежнее решать одну из стоящих перед ними задач – задачу разграничения доступа должностных лиц к ресурсам компьютера (аппаратным, программным, информационным) в строгом соответствии с принятой в организации политикой безопасности.
Для эффективного применения системы защиты, назначены пользователям компьютера полномочия по доступу к ресурсам в соответствии с политикой безопасности. Требуемые полномочия назначаются пользователям путем соответствующей настройки средств парольной защиты, атрибутного и полномочного механизмов управления доступом к ресурсам компьютера.
На рисунке 3.9 показан алгоритм функционирования программно-аппаратных средств защиты информации Secret Net в локальной сети.
Рисунок 3.9 – Схема алгоритма функционирования программно-аппаратных средств защиты информации
На рисунке 3.9 показана типичная процедура входа пользователя в систему с применением двойной идентификации (пароль + дополнительное средство, например Smart Card). Число попыток идентификации ограничено: при превышении их количества рабочая станция будет заблокирована.
Все действия пользователя регистрируются в системном журнале, содержимое которого может быть в последствии просмотрено и проанализировано.
При возникновении события несанкционированного доступа к информации, происходит оповещение системного администратора системы, а он уже принимает решение о принятии соответствующих мер.
3.5 Обеспечение работы VPN-сети
В организации “Надежный Контакт” помимо главного офиса, есть также удаленный филиал. Некоторым работникам удаленного филиала необходим доступ к базе данных 1С Предприятия. Для этого необходимо объединить две локальные сети в одну с помощью технологии VPN. Принцип работы VPN показан на рисунке 3.10.
Рисунок 3.10 – Организация VPN-туннеля
Для объединения двух локальных сетей, внешний адреса шлюзов должны иметь статические адреса в Internet. Так как нет возможности получить статические адреса, провайдер выделяет только динамически адреса, решено использовать службу DynDNS.
При регистрации в сервисе DynDNS пользователь получает доменное имя третьего уровня. Специальный клиент устанавливается на пользовательский компьютер. Этот клиент постоянно отправляет сигналы DNS-серверу сервиса DynDNS, тем самым сообщая о своём IP-адресе. Сервер службы DynDNS сохраняет последний IP-адрес пользователя, и при обращении к пользовательскому доменному имени, полученному при регистрации, перенаправляет запрос на этот IP-адрес. Данный сервис необходим чтобы пользователь удаленного филиала смог найти сервер главного офиса, поэтому необходимость в статическом внешнем адресе отпала. Главное окно клиента DynDNS показано на рисунке 3.11.
Рисунок 3.11 – Главное окно DynDNS
В главном окне мы видим последний обновленный IP-адрес. Данный клиент запущен на сервере как служба.
После установки DynDNS, необходимо провести настройку VPN-сервера в главном офисе, а так же требуется добавить пользователей в домен для доступа к VPN.
VPN-сервер настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ). Откроем службу "Маршрутизация и удаленный доступ" и зайдем в свойства сервера. Окно службы показано на рисунке 3.12.
Рисунок 3.12 – Служба "Маршрутизация и удаленный доступ"
Выставим параметр "локальной сети и вызова по требованию", а также "сервер удаленного доступа", как на рисунке 3.13.
Рисунок 3.13 – Свойства сервера маршрутизации
Зайдем во вкладку "IP", выберем название внутреннего адаптера и создадим статический пул адресов отличного от внутреннего, который будет присваиваться VPN клиентам (смотреть рисунок 3.14). Диапазон адресов возьмем 192.168.1.100-192.168.1.110 c маской подсети 255.255.255.0.
Рисунок 3.14 – Настройка вкладки IP, сервера маршрутизации
Далее во вкладке "PPP" снимем галку с "Многоканальные подключения" – это ускорит работу Интернета. Во вкладке "Журнал событий" выставим параметр "вести журнал всех событий".
Основная настройка сервера маршрутизации завершена. Далее необходимо настроить порты и правильно сконфигурировать NAT-сервер.
Для настройки портов, в главном окне службы “Маршрутизация и удаленный доступ”, зайдем в свойства "Порты", как показано на рисунке 3.15. По умолчанию RRAS создаст 5 "PPTP" , 5 "L2TP" и 1 "Прямой параллельный".
Рисунок 3.15 – Свойства раздела маршрутизации “Порты”
Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений. Удалим порты L2TP. Окно настройки минипорта WAN показано на рисунке 3.16.
Рисунок 3.16 – Настройка портов WAN(L2TP)
Далее настроим PPTP-порты. Выставим необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений), смотреть на рисунке 3.17.
Рисунок 3.17 – Настройка портов WAN(PPTP)
После настроек всех портов мы получим следующее окно, смотреть рисунок 3.18.
Рисунок 3.18 – Настройка портов WAN(PPTP)
Далее сконфигурируем NAT-преобразование сетевых адресов. Зайдем в "IP-маршрутизация" / "NAT-преобразование сетевых адресов". Так как Win-сервер предоставляет только VPN (роль шлюза выполняет linux-сервер), то необходимо удалить внутренний интерфейс (смотреть рисунок 3.19).
Рисунок 3.19 – Настройка NAT-преобразования сетевых адресов
Далее нам надо добавить RAS интерфейс, для этого в командной строке наберем "netsh routing ip nat add interface Внутренний private", результат выполнения показан на рисунке 3.20.
Рисунок 3.20 – Настройка NAT-преобразования сетевых адресов
Настроив службу маршрутизации осталось только добавить пользователей для работы с VPN, выставить соответствующие привилегии. Для этого зайдем в Active Directory и создадим нового пользователя vpn_user, этот пользователь нужен для авторизации из удаленного филиала. В свойствах пользователя необходимо разрешить трафик VPN (смотреть рисунок 3.21).
Рисунок 3.21 – Настройка разрешений для пользователя vpn-user
Таким образом настроен VPN-туннель между главным офисом и филиалом. Доступ к такому подключению имеет только один компьютер филиала, поэтому защита этого компьютера одна из ключевых. Трафик между компьютерами шифруется, но в случае проникновения на компьютер с доступом к VPN, возможна атака на сервер в главном офисе. Сам доступ в сеть VPN определен только в рабочие часы. Все удаленные подключения заносятся в логи журналов сервера. Дополнительные меры безопасности для данного случая: привязка удаленного компьютера к статическому IP-адресу и запись этого адреса на сервере, можно так же привязывать идентификаторы в пользователе.
|
