NetRoute Pro

NAT and Firewall

  • Increase font size
  • Default font size
  • Decrease font size
Новости

Политика безопасности компании

Thursday, 25 February 2010 16:34 Dimko
E-mail Print PDF

Что такое политика безопасности? Это всего лишь список того, что разрешено и запрещено делать на подключенном к сети компьютере. Хотя может создаться впечатление, что речь идет об очень простой вещи, в действительности хорошая политика охватывает множество различных тем и во всех деталях описывает разрешенные пользователям действия и штрафы за нарушение требований. Подробное описание политики безопасности имеет единственный недостаток: существует опасность, что пользователи не совсем поймут ее или даже не дочитают до конца, если она окажется слишком длинной. Но лучше заранее предупредить их о недопустимых действиях, чем впоследствии спорить о деталях. Если у вас возникают какие-то сомнения на этот счет, посоветуйтесь с юристами своей компании.

Политика безопасности должна быть сформулирована в одном или нескольких печатных документах. Прежде чем сотруднику будет разрешено использовать любые компьютерные ресурсы, он должен ознакомиться с документами политики безопасности и подтвердить их прочтение. В большинстве крупных компаний эта функция возлагается на отделы кадров, и политика безопасности обычно состоит из нескольких документов, таких как политика сетевого подключения и перечень допустимых применений, которые сотруднику следует подписать. Кроме того, полезно включить в их число документ, описывающий действия, которые нужно предпринять в случае возникновения нештатной ситуации, связанной с нарушением безопасности.

Политика сетевого подключения

Политикой сетевого подключения должны быть определены типы устройств, разрешенные для подключения к сети. Например, позволяя подключение серверов и рабочих станций, вы можете запретить подключение к сети модемных серверов удаленного доступа. Аналогично в политике подключения к сети должны быть детально определены настройки систем, которые допускается подключать к сети. Эта политика может включать в себя следующие разделы:

  • описание процесса установки и настройки операционной системы и приложений, а также их функциональные возможности, которые разрешено использовать;
  • местоположение в сети (физической подсети) систем определенного типа и процедуру разрешения вопросов адресации в сети;
  • требование об установке и регулярном обновлении антивирусного ПО;
  • описание настройки прав пользователей и защиты ресурсов, обеспечиваемых операционной системой;
  • процедуры, которым необходимо следовать для создания новой учетной записи пользователя, и аналогичные процедуры для ее удаления;
  • запрет настаттовку дополнительных аппаратных или программных компонентов без одобрения сетевого администратора (или другого ответственного лица).

Этот список, конечно же, можно дополнить. Его содержимое должно отражать специфику подключения к сети в вашей компании. Например, имеют ли право пользователи подключать переносные компьютеры к локальной сети или они должны обмениваться данными с настольным компьютером при помощи дискет либо других устройств хранения данных? Если подключение ноутбуков к сети разрешено, обязан ли каждый из них иметь собственный адрес или получать адрес при помощи DHCP? Далее, имеют ли право сотрудники подключать ноутбуки к другим сетям, скажем, к сети клиента при работе вне офиса?

Политика подключения к сети должна также описывать функции, для выполнения которых предназначены определенные компьютеры. Если в отделе может быть установлен Web- или FTP-сервер, полезно определить, в какой части сети его следует подключить. Например, удобно расположить его в описанной ниже демилитаризованной зоне (demilitarized zone), что позволит вашим клиентам получать к нему доступ через Internet и в то же время не позволит такому трафику проходить через внутреннюю сеть.

 

Подмена IP-адреса

Thursday, 25 February 2010 16:33 Dimko
E-mail Print PDF

Поле Source Address в заголовке IP-пакета служит для обозначения исходного узла, отправившего пакет. Это одно из полей, которое проверяется в фильтре пакетов. Существуют более и менее доверенные узлы. Фильтр может быть настроен так, чтобы он пропускал или блокировал пакеты в зависимости от адреса узла или сети.

Как убедиться в правильности адреса источника? В Internet имеется целый ряд бесплатных программ, позволяющих нарушителю посылать пакеты с произвольным адресом источника. В результате такой подмены брандмауэр пропустит созданные нарушителем пакеты, считая, что они исходят от доверенного компьютера или сети.

В качестве доверенного узла может выступать какой-либо узел в Internet или локальной сети. Если поддельный IP-адрес выглядит как адрес узла внутри вашей сети, стоит настроить фильтр пакетов так, чтобы он просто отбрасывал все внешние пакеты, адрес источника в которых принадлежит к внутренней сети. Следует сделать это на всех маршрутизаторах, соединенных с внешней сетью, поскольку на доверенные соединения между узлами локальной сети обычно накладываются менее строгие ограничения, чем на соединения с узлами в Internet.

Конечно же, если такой пакет все-таки пройдет сквозь брандмауэр и адресат ответит на него, то ответ будет отправлен узлу, заданному в поле адреса источника, так что атакующий не сможет его получить. Но во многих случаях это и не нужно. Так, если раньше ему удалось внедрить в сеть «троянского коня», ожидающего подключения к порту с заданным номером, он может применить этот метод для передачи пакета, получение которого заставит вредоносную программу выполнить какие-либо действия.

Если хакер уже имеет некоторые сведения о вашей сети и располагает достаточным временем, то не исключено, что результатом подмены IP-адреса станет более серьезная атака. При этом отключается какой-либо узел в Internet, известный хакеру в качестве доверенного с точки зрения вашей сети, а узел хакера выступает под видом этого доверенного узла. Доверенный узел обладает специальным доступом к вашей сети, поэтому, если атакующему удастся поместить в нее пакет, выглядящий как пришедший от доверенного узла, он может причинить серьезные разрушения. Доверенный узел выводится из строя при помощи атаки типа «отказ от обслуживания», после чего на ваш узел посылается пакет, который кажется поступившим от доверенного узла.

Атаки подобного типа иногда включают в себя подбор последовательного номера пакета, каким он был бы в непрерывном соединении. Это не слишком сложно, если атакующий хорошо разбирается в работе протокола TCP/IP и его конкретной реализации в операционной системе вашего компьютера.

Поскольку защищенный канал связи требуется часто, а брандмауэр стоит на границе сети и перехватывает весь трафик, многие брандмауэры имеют функцию создания VPN-соединения.

 

Вирусы и «троянские кони»

Wednesday, 24 February 2010 14:29 Dimko
E-mail Print PDF

Межсетевой экран не в состоянии защитить вас от всех опасностей. Даже при строгих мерах безопасности и высоком уровне подготовки пользователей, все же не исключается проникновение в сеть вредоносной программы, такой как вирус или «троянский конь». Вирусы могут скрываться в других программах или даже в загрузочном секторе диска. «Троянские кони» выдают себя за другие программы. Не обнаруженные вовремя программы обоих этих типов способны причинить значительные разрушения. Иногда их приносят пользователи на дискетах либо загружают из Internet с какой-либо другой программой, или они проникают в сеть через электронную почту.

Проблемы с разрушительными программами существовали и до появления Internet. Но Сеть создает новую почву для их распространения. Существуют сайты с рекомендациями по написанию подобных программ, содержащие примеры кода и инструкции по взлому устройств защиты.

Некоторые межсетевые экраны предусматривают ограниченную защиту от подобных программ, позволяя выполнять проверку «отпечатков пальцев» известных вирусов и «троянских коней». Но для того, чтобы подобная функция работала, следует постоянно обновлять базы данных антивирусной программы.

Не полагайтесь только на возможности межсетевого экрана. Продолжайте неусыпно следить за безопасностью отдельных компьютеров и устанавливайте антивирусное ПО на всех компьютерах сети.

Фальсификация электронной почты

Подделать электронную почту довольно несложно. SMTP - не слишком защищенный протокол в основном из-за того, что в нем нет надежной процедуры аутентификации. Каждый, подключившийся к почтовому серверу, обычно находящемуся на порту 25, сможет послать любому из пользователей сообщение, которое будет казаться пришедшим с вашего сервера.

Можно даже не тратить время на изучение работы протокола SMTP - чтобы разослать сообщения от имени другого пользователя, достаточно просто перенастроить почтовый клиент. Сегодня ни в коем случае нельзя быть уверенным на 100% в том, что известно, откуда пришло принятое почтовое сообщение. Поэтому фальсификация электронной почты грозит большими неприятностями. Попробуйте разослать пользователям письма с просьбой прислать вам копию пароля. Если вам удастся узнать таким образом действующие пароли, то что помешает сделать то же самое и нарушителю? Именно фальсификация электронной почты может оказаться средством, которое позволит постороннему добыть информацию о вашей сети или поместить в нее свои файлы.

Устранить проблему идентификации автора электронного сообщения помогает цифровая подпись (digital signature). Вы получите следующие преимущества:

  • аутентификацию автора сообщения;
  • гарантию целостности содержимого сообщения.

При использовании цифровой подписи сообщение шифруется секретным ключом, а чтобы прочитать его обязательно требуется соответствующий открытый ключ.

 

Взлом

Thursday, 25 February 2010 16:31 Dimko
E-mail Print PDF

Если локальная сеть физически находится под вашим контролем, то доступ к ней обычно полностью контролируем. Даже если для доступа пользователей в сеть требуются модемы, их можно настроить так, чтобы разрешить доступ только в определенные часы и применять обратный вызов для защиты от проникновения в сеть посторонних. Но при подключении к Internet вы оказываетесь перед лицом миллионов потенциальных хакеров, управлять которыми вы не в силах. Любое доверие к другим узлам в Internet чревато ослаблением защиты, поскольку хакер может взломать доверенную систему с целью получить больше информации о вашей.

Кража пароля

Простейший способ проникнуть в сеть - ввести имя и пароль существующего пользователя. При этом нарушитель вряд ли будет пойман до тех пор, пока кто-либо не заметит, что данный пользователь выполняет действия, не связанные с его рабочими обязанностями. Злоумышленник может угадать пароль или подобрать его при помощи таких программ, как Crack, расшифровывающих информацию в файле паролей.

Хорошая политика безопасности обязывает пользователей выбирать пароли, которые сложно угадать, - длиной более 6 символов, состоящие из цифр, прописных и строчных букв. Но все же не следует чрезмерно усложнять пароли. Пароли, слишком трудные для запоминания, пользователи часто записывают на бумаге, компрометируя саму идею аутентификации посредством пароля.

В настоящее время хакеры располагают инструментами, позволяющими направить на расшифровку паролей всю вычислительную мощь компьютера. Другие программы автоматизируют процесс подбора пароля из словаря во время многократных попыток входа в систему.

При подключении к Internet одна только проверка пароля не обеспечивает надежной защиты. Существует слишком много средств для ее взлома. Поэтому в качестве первого барьера на пути посторонних должен стоять межсетевой экран, а в сетях с повышенными требованиями к безопасности следует прибегать к более мощным методам аутентификации, например к одноразовым паролям или физическим ключам.

Социальный аспект проблемы безопасности

При реализации стратегии безопасности часто упускается из виду подготовка пользователей. Слишком часто пользователи просто подписывают в отделе кадров бумагу, в которой говорится о том, что они знакомы с политикой безопасности компании и обязуются следовать ей. На самом деле, многие даже не вполне понимают то, что написано в этом документе, и тем более не представляют себе всего значения политики безопасности. Простая тактика получения информации о сети заключается в том, чтобы спросить об этом кого-либо, кто уже работает в ней.

Выше уже отмечалось, насколько просто фальсифицировать сообщение электронной почты. Доверчивые пользователи обычно выдают информацию, если запрос исходит от лица, облеченного полномочиями. Следует разъяснять пользователям, что нельзя выдавать свой пароль даже начальнику. Если необходимо получить доступ к учетной записи пользователя, пароль может быть изменен администратором. Для временных сотрудников лучше создавать временные учетные записи. Но очень редко возникает необходимость в том, чтобы несколько пользователей применяли одну учетную запись или один пароль доступа к ресурсу.

Объясните пользователям, что надо обязательно проверять любые запросы, поступившие по небезопасным каналам, таким как электронная почта, прежде чем отвечать на них. Пользователи должны усвоить также, что информацию об их компьютере, сетевых серверах или вопросах безопасности нельзя обсуждать по телефону.

Черный вход

После того, как нарушителю удается получить хотя бы элементарный доступ к сети, его следующий шаг обычно заключается в формировании некой точки входа, облегчающей проникновение в сеть в будущем. Организация черного входа (backdoor) в сети иногда сводится просто к созданию новой учетной записи пользователя на сервере. Черный вход можно сделать при помощи «троянского коня», путем эксплуатации ошибки в операционной системе либо в приложении и даже изменением конфигурации брандмауэра или узлов в «демилитаризованной зоне». Поэтому я снова хочу напомнить о том, что после установки межсетевого экрана не следует забывать о защите индивидуальных компьютеров или отодвигать эту проблему на второй план.

Мониторинг сетевого трафика

Для перехвата сетевого трафика в локальной сети бывает достаточно подключить компьютер к сети и воспользоваться сетевым адаптером в promiscuous mode (режиме перехвата всех кадров). От этого удается защититься при помощи мониторинга сети и ограничения типов устройств, которые могут быть к ней подключены. В Internet пакет может перехватываться в любом сегменте, по которому он проходит. Поэтому не следует устанавливать незащищенные версии сетевых утилит, таких как FTP или Telnet. Эти приложения пересылают по сети имя пользователя и пароль в незашифрованном виде.

Internet не защищает и другую информацию в IP-пакетах. Единственный способ гарантировать надежную защиту Internet-соединения - либо применить технологию шифрования для отдельных передаваемых файлов, либо передавать пакеты обычных сетевых протоколов через закрытую частную сеть (VPN).

 

Атаки типа «отказ от обслуживания»

Wednesday, 24 February 2010 14:27 Dimko
E-mail Print PDF

Не все хакеры пытаются проникнуть в сеть с целью похищения данных. Некоторые просто хотят нарушить ее работу. Атаками типа «отказ от обслуживания» (denial-of-service, DOS) называются различные методы, расстраивающие работу всей сети целиком или отдельного ее участка. При этом злоумышленник обычно ставит перед собой одну из следующих задач:

  • перегрузить какой-либо из ограниченных ресурсов;
  • вызвать отказ какого-либо сетевого устройства или компьютера;
  • изменить настройки ресурса, сделав его непригодным для использования.

Перегрузка ограниченного ресурса может проявляться по-разному. Один из простых методов заключается в переполнении жесткого диска, что помешает нормальной работе с ним других пользователей и программ. Чтобы предотвратить подобную ситуацию, следует ограничивать свободное пространство, доступное службе анонимного FTP, позволяющей пользователям загружать файлы. Не следует помещать корневой каталог этой службы на диск с операционной системой или на другой диск, применяемый приложением или службой, которые рискуют пострадать в результате подобной атаки.

К другим ценным ресурсам относятся память, пропускная способность канала сети и процессорное время. Такие ресурсы не обязательно должны быть физическими компонентами компьютера. Действие атаки SYN flooding (Синхронная лавина пакетов) связано с переполнением очереди входящих запросов на подключение к определенному порту TCP. Даже если на компьютере более чем достаточно свободной памяти, размер этой очереди ограничивается реализацией стека TCP/ IP в данной системе.

В результате отказа сервера он перестает обслуживать запросы клиентов. Некоторые атаки добиваются результата за счет эксплуатации ошибок в операционной системе или реализации сетевых служб. Иногда для этого достаточно аварийного завершения работы соответствующего приложения.

Проникнувший в сеть нарушитель способен изменить конфигурационные файлы операционной системы или приложений, перенастроив их работу. Поэтому очень важно, чтобы работающие компьютеры были защищены также при помощи стандартных механизмов операционной системы.

С помощью протокола ICMP нарушитель в состоянии изменить и настройки сети, например таблицы маршрутизации. При этом может показаться, что какой-либо узел недоступен, хотя на самом деле это не так. Если соответствующая запись в таблице маршрутизации неверна, сетевой трафик не дойдет до узла независимо от того, включен он или выключен.

Основная проблема DOS-атак заключается в невозможности контролировать весь Internet. Некоторые из подобных атак могут быть остановлены при помощи межсетевого экрана.

 
More Articles...
  • «
  •  Start 
  •  Prev 
  •  1 
  •  2 
  •  3 
  •  4 
  •  5 
  •  6 
  •  7 
  •  8 
  •  9 
  •  Next 
  •  End 
  • »
Page 1 of 9

Главное меню


Сейчас на сайте

We have 1 guest online