2022-03-15 21:15:00
Опубликованы рекомендации АНБ по защите сетевой инфраструктуры
Агентством национальной безопасности (англ.
National Security Agency,
NSA) недавно опубликованы рекомендации по организации защиты сетевой инфраструктуры.
Эти рекомендации опираются на концепцию нулевого доверия, речь о которой шла выше.
В документе содержится описание лучших практик по построению и конфигурированию сетей, а также работающих в них устройств и пользователей.
Вот краткий перечень основных рекомендаций:
Объединяйте схожие компоненты (рабочие станции, серверы, принтеры и т.п.) в отдельные сетевые сегменты путём физического или логического (VLAN) разделения на подсети.
Избегайте сетевых подключений между хостами в обход прописанных маршрутов (
backdoor connections).
Максимально ограничивайте доступ к устройствам, образующим периметр сети.
Используйте решения по контролю за доступом к сети (англ.
Network access control,
NAC), которые идентифицируют и аутентифицируют все уникальные устройства, подключаемые к сети.
Ограничивайте и контролируйте (фильтруйте) трафик по VPN-соединениям.
Проверяйте целостность файлов, программного обеспечения, настроек.
Надлежащим образом управляйте файловой системой и загрузочной областью устройств (
file system and boot management).
Управляйте обновлениями программного обеспечения.
Планируйте замену устройств, поддержка которых прекращена производителем.
Используйте централизованные (но кластеризованные) AAA-серверы (англ.
Authentication, authorization, and accounting,
AAA).
Настройте аутентификацию.
Настройте авторизацию.
Настройте отчётность (
accounting), то есть учёт всех событий получения кем-либо доступа к ресурсам и изменения прав доступа к объектам, а также возможность контроля этих событий сетевым администратором.
Применяйте принцип наименьшей привилегии (
least privilege).
Ограничивайте количество попыток аутентификации.
Используйте уникальные (отличные от заводских) логины и настройки учётных записей.
Измените пароли по умолчанию.
Удаляйте неиспользуемые учётные записи.
Используйте персонифицированные учётные записи.
Используйте наиболее надёжные на данный момент алгоритмы хэширования хранимых паролей.
Создавайте стойкие пароли.
Следите за уникальностью паролей.
Регулярно меняйте пароли.
Настройте журналирование событий в локальный буфер устройства и одновременно на централизованный (и желательно – удалённый) сервер.
Категорируйте записи в журналах (информационная, отладочная, критичная и т.д.).
Синхронизируйте часы на устройствах с серверами времени.
Заблокируйте возможность удалённого административного доступа по незашифрованным каналам.
Убедитесь в достаточной стойкости шифрования, используемого в протоколе удалённого доступа.
Ограничивайте доступ к службам удалённого управления устройствами.
Задайте допустимые периоды времени для установления административных соединений и разрывайте эти соединения по таймауту неактивности.
Заблокируйте ненужные сетевые службы.
Также в документе приводится ряд рекомендаций для администраторов по конфигурированию сетевых протоколов, служб, портов и т.д.
Пишите в комментариях, что из вышеперечисленного хотели бы разобрать подробнее #ИБ
249 views18:15