|
|
|
|
|
Интернет : Безопасность в интернет ->
|
|
|
|
|
 Концептуальные решения в отношении использования технологии брандмауэров должны приниматься совместно с решениями, касающимися безопасности всей сети. Они включают в себя решения о безопасности самих машин в сети, безопасности доступа через модемы, безопасности доступа к Интернету, защите информации, находящейся на машинах в сети и другие решения. Автономная политика, описывающая только брандмауэр, неэффективна; требуется интеграция ее в общую политику безопасности организации.
Шаги при создании политики сетевого доступа
Брандмауэр - это реализация политики сетевого доступа. Существует ряд вариантов этой политики, которые можно реализовать, таких как запрет доступа извне, неограниченный доступ в Интернет или ограниченный входящий доступ и ограниченный выходящий доступ. Политика проектирования брандмауэра определяет во многом политику сетевого доступа: чем строже политика проектирования брандмауэра, тем более строгой будет и политика сетевого доступа. Поэтому, прежде всего, нужно определиться с политикой проектирования брандмауэра.
Типовыми политиками проектирования брандмауэра являются запрет всех сервисов, кроме тех, что явно разрешены, или разрешение на доступ ко всем сервисам, кроме тех, что явно запрещены. Первый тип более безопасен и поэтому предпочтителен, но он также более строг, в результате чего при нем допускается работа меньшего числа сервисов. Некоторые типы брандмауэров могут реализовывать оба вида политики управления доступом, в то время как брандмауэр на основе шлюза с двумя интерфейсами предназначен для реализации политики "все, что не разрешено - запрещено".
Системы, требующие обеспечения доступа к сервисам, не пропускаемым брандмауэром, могут быть размещены в изолированных подсетях отдельно от других внутренних систем. Ключевым моментом здесь является то, что в зависимости от требований обеспечения безопасности и гибкости, некоторые типы брандмауэров более предпочтительны, чем другие. Этот факт подчеркивает важность правильного выбора политики до начал создания брандмауэра; другой порядок действий нецелесообразен.
Для того, чтобы правильно разработать концептуальную политику брандмауэра, а затем систему брандмауэра, которая реализует эту политику, NIST рекомендует, чтобы сначала был разработан самый безопасный вариант политики - то есть запретить все сервисы, кроме тех, что явно разрешены.
Разработчики политики должны разбираться в следующих вопросах и задокументировать их:
- какие сервисы в Интернете организация планирует использовать (например, TELNET, WWW, NFS);
- каким образом эти сервисы будут использоваться, то есть локально, через Интернет, по модему из дома или из удаленных организаций;
- дополнительные потребности, такие как шифрование и обеспечение работы по модему;
- какие риски связаны с предоставлением этих сервисов;
- какова стоимость средств защиты, и каковы изменения в возможностях использования сети при обеспечении защиты;
- приоритеты обеспечения безопасности при использовании тех или иных сервисоы по отношению к возможности использовать их: будет ли предоставляться сервис, если он слишком рискован, или его слишком дорого защищать.
Ответы на эти вопросы просты, но отвечать на них, скорее всего, придется несколько раз. Например, организация может хотеть использовать NFS между двумя удаленными сетями, но политика "запрещать все, что не разрешено" может запрещать доступ к NFS. Если риск, связанный с NFS, приемлем для организации, то потребуется переработка концептуальной политики брандмауэра на менее строгую - разрешение всех сервисов, кроме тех, которые явно запрещены, и разрешение пропускать NFS через брандмауэр к внутренним системам. Или же может потребоваться приобретение брандмауэра, который может разместить системы, которым требуется NFS, в изолированной подсети, позволяя таким образом оставить политику "запрещать все, что не разрешено". Или риск использования NFS может оказаться слишком большим; и NFS будет исключен из списка сервисов, которые разрешено использовать удаленным системам.
Для того, чтобы помочь в разработке политики брандмауэра ниже описан ряд типовых проблем, которые нужно решить при создании брандмауэра.
Гибкость политики
Любая политика безопасности, связанная с доступом из Интернета, сервисами Интернета и доступом к сети вообще должна быть гибкой. Эта гибкость должна иметься по двум причинам: сам Интернет постоянно меняется и потребности организации могут измениться по мере появления новых сервисов в Интернете и новых способов выполнения деятельности организации. Появляются новые протоколы и новые сервисы в Интернете, которые предоставляют новые возможности организациям, использующим Интернет, но это может привести к появлению новых проблем с безопасностью.
Поэтому политика должна иметь возможности учета и включения этих новых проблем с безопасностью. Другая причина гибкости заключается в том, что риски для организации также не являются статичными. Риск может измениться из - за больших изменений, таких как новые обязанности, возложенные на организацию, или маленьких изменений, таких как изменения конфигурации сети.
Политика усиленной аутентификации удаленных пользователей
Удаленные пользователи - это те пользователи, которые устанавливают соединения с внутренними системами откуда-либо из Интернета. Эти соединения могут исходить от любого места в Интернете, от модемных линий, от авторизованных пользователей, работающих из дома. В любом случае для всех таких соединения должны использоваться меры усиленной аутентификации брандмауэра перед предоставлением доступа к внутренним системам. В политике должно быть указано, что удаленные пользователи не могут получать доступ к системам с помощью неавторизованных модемов за брандмауэром. Не должно быть исключений для этого правила, так как даже один перехваченный пароль или один неконтролируемый модем может открыть "черный вход" в обход брандмауэра.
Такая политика имеет и недостатки: необходимо обучать пользователей пользоваться средствами усиленной аутентификации, тратить средства на устройства аутентификации пользователей, и администрировать удаленный доступ. Но будет глупостью установить брандмауэр и не контролировать удаленный доступ.
Политика доступа через модемы
Полезной возможностью для авторизованных пользователей является наличие удаленного доступа к внутренним системам, когда пользователи находятся вне сети. Такая возможность позволяет им осуществлять доступ к системам из мест, где Интернет может быть и не доступен. Эти возможности являются одним из путей получения доступа злоумышленником.
Авторизованные пользователи могут также хотеть иметь возможность исходящих звонков для доступа к системам в других местах, к которым невозможен доступ через Интернет.
Эти пользователи должны понимать, что они могут создать уязвимые места при небрежном обращении с модемом. Возможность исходящих звонков легко может позволить организовать и входящие звонки, если не принять соответствующие предосторожности.
Обе эти возможности должны учитываться при разработке брандмауэра и включены при необходимости в него. Требование обязательности использования мер усиленной аутентификации при доступе через брандмауэр должно быть обязательно отражено в политике. Политика также может запрещать использование неавторизованных модемов, присоединенных к системам сети, если доступ по модему обходит средства защиты брандмауэра. Строгая политика может ограничить число используемых модемы в сети, уменьшая таким образом ее уязвимость.
Удаленные соединения с сетью организации
Помимо соединений через модемы, политика должна регламентировать использование соединений с помощью протоколов SLIP и PPP. Пользователи могут использовать их для создания новых сетевых соединений внутри защищенной сети. Такое соединение потенциально является способом обхода брандмауэра, и может оказаться даже более опасным, чем коммутируемое соединение.
Обычно политика очень строго регламентирует соединения подобного рода.
Политика для информационного сервера
Сеть, которая предоставляет доступ к информационному серверу, должно учесть этот вид доступа при проектировании брандмауэра. Хотя информационный сервер создает специфические проблемы с безопасностью, он не должен стать уязвимым местом для сети. В политике должна быть отражена посылка, что безопасность сети не должна пострадать из-за того, что нужно иметь информационный сервер.
Можно сделать важный вывод о том, что трафик, связанный с информационным сервером, в корне отличается от трафика, связанного с работой других приложений, таких как электронная почта. С каждым из этих двух видов трафика связаны свои риски, и не следует смешивать их.
Источник: NPK
Что такое аутсорсинг ИТ-услуг?
На данный момент вышеперечисленные ит услуги москва и регионы активно используют как наиболее эффективный инструмент в работе компании
Серьезные знакомства в интернете - это не миф
В русскоязычном интернете есть множество сайтов знакомств
Комментарии к статье
|
|
| |
|
|
