Добрый день. Работаю на небольшом предприятии (порядка 100 компов) и хотел бы описать нашу концепцию организации доступа в интернет. Возможно данная схема поможет кому то из форумчан усилить свою безопасность, а конструктивная критика статьи в свою очередь, поможет мне увидеть незамеченные дыры. Итак: На момент, когда мы поняли что необходимо менять концепцию защиты из защитных средств у нас было: 1) Шлюз на Cisco. 2) Прокси на Sams. С политиками доступа (можно везде кроме определенных категорий сайтов) и интегрированным DR WEB. 3) Ограничение прав на компьютерах сотрудников. (Работа только под обычным пользователем. ПО ставить нельзя. Только из под админа) 4) Антивирус Касперского на всех компьютерах. Важные замечания: Должен отметить что суть работы некоторых сотрудников такова, что им требуется доступ в интернет в свободном режиме (т е требуется искать информацию и заходить новые сайты) При этом на компах сотрудников содержится критическое ПО (банк - клиент, или биржевой трейдер и т.п.) Реализация запуска только разрешенных exe (из разрешенных мест) типа такого: https://habrahabr.ru/post/101971/ была проблематична в связи с наличием сетевых дисков с различным (в тч самописным) ПО. Причины по которым было решено изменить концепцию прозаичны. Нас взломали. Использовали троян 0-day. Заслали по почте ссылку. Сотрудник скачал, запустил и поехало... Кроме того в процессе выяснения обстоятельств взлома выяснилось что сами администраторы грешат тем что где то доступ не настроен как положено. Те не маловажную роль сыграл человеческий фактор. К счастью серьёзных финансовых потерь удалось избежать, хотя взлом имел все шансы стать успешным. В итоге было принято решение реализовать доступ следующим образом: - Выход в интернет (на все сайты) разрешен исключительно с одного терминального сервера. - На самом сервере опубликовано RDP приложение (браузер) которое запускается под залогинившемся пользователем. - Cервер помещен в DMZ. Доступ из локальной сети к нему возможен только через RDP и samba (для получения скаченных файлов). С самого сервера доступ в локалку запрещен. - Права пользователей на сервере ограничены исключительно запуском браузера и правом на запись в папку обмена файлами. Все остальное запрещено (использован браузер firefox как наиболее адекватно работающий с закладками пользователей в данном режиме) - С локальных компьютеров доступ в интернет разрешен по принципу белого списка (для того что бы работал Банк - Клиент и другие подобные системы) - Для оптимизации схемы были выделены сотрудники которым доступ в интернет действительно требуется. Все остальные могут заходить на прямую в интернет только на сайты из белого списка. Какие дыры были закрыты данной схемой: 1) Прорваться через сам браузер путем вредоносных аплетов стало крайне сложно. 2) Даже если на компьютер в локальной сети попал даунлоадер или иной вредоносный код (через почту, через папку обмена на терминальном сервере, через флэшки). Возможности удаленно управлять взломаным компьютером у злоумышленника серьёзно уменьшаются. Естественно, в данном решении есть и минусы. В нашем случае основной из них это стоимость. 1) Вам потребуется довольно мощный сервер. 2) Покупка ПО (ОС, терминальные лицензии). Если у вас есть сильный *nix админ, то можно реализовать данную схему без покупки лицензий. 3) Есть проблемы с тонкой оптимизацией. Порой браузер отъедает слишком много оперативной памяти. PS: С удовольствием почитаю про иные подходы к решению проблемы безопасного доступа в интернет, а так же конструктивную критику и комментарии.
Тем не менее DNS/icmp туннели будут свободно работать на пользовательских компах, чего вполне хватит для управления ботом.
icmp заблокирован. Про ДНС туннелирование почитал. Как можно бороться с пробрасыванием траффика подобным образом?
Оказывается наша циска умеет распознавать поведение dns запросов. Так что варианты настройки есть. Спасибо за подсказки.
