Если локальная сеть физически находится под вашим контролем, то доступ к ней обычно полностью контролируем. Даже если для доступа пользователей в сеть требуются модемы, их можно настроить так, чтобы разрешить доступ только в определенные часы и применять обратный вызов для защиты от проникновения в сеть посторонних. Но при подключении к Internet вы оказываетесь перед лицом миллионов потенциальных хакеров, управлять которыми вы не в силах. Любое доверие к другим узлам в Internet чревато ослаблением защиты, поскольку хакер может взломать доверенную систему с целью получить больше информации о вашей.
Кража пароля
Простейший способ проникнуть в сеть - ввести имя и пароль существующего пользователя. При этом нарушитель вряд ли будет пойман до тех пор, пока кто-либо не заметит, что данный пользователь выполняет действия, не связанные с его рабочими обязанностями. Злоумышленник может угадать пароль или подобрать его при помощи таких программ, как Crack, расшифровывающих информацию в файле паролей.
Хорошая политика безопасности обязывает пользователей выбирать пароли, которые сложно угадать, - длиной более 6 символов, состоящие из цифр, прописных и строчных букв. Но все же не следует чрезмерно усложнять пароли. Пароли, слишком трудные для запоминания, пользователи часто записывают на бумаге, компрометируя саму идею аутентификации посредством пароля.
В настоящее время хакеры располагают инструментами, позволяющими направить на расшифровку паролей всю вычислительную мощь компьютера. Другие программы автоматизируют процесс подбора пароля из словаря во время многократных попыток входа в систему.
При подключении к Internet одна только проверка пароля не обеспечивает надежной защиты. Существует слишком много средств для ее взлома. Поэтому в качестве первого барьера на пути посторонних должен стоять межсетевой экран, а в сетях с повышенными требованиями к безопасности следует прибегать к более мощным методам аутентификации, например к одноразовым паролям или физическим ключам.
Социальный аспект проблемы безопасности
При реализации стратегии безопасности часто упускается из виду подготовка пользователей. Слишком часто пользователи просто подписывают в отделе кадров бумагу, в которой говорится о том, что они знакомы с политикой безопасности компании и обязуются следовать ей. На самом деле, многие даже не вполне понимают то, что написано в этом документе, и тем более не представляют себе всего значения политики безопасности. Простая тактика получения информации о сети заключается в том, чтобы спросить об этом кого-либо, кто уже работает в ней.
Выше уже отмечалось, насколько просто фальсифицировать сообщение электронной почты. Доверчивые пользователи обычно выдают информацию, если запрос исходит от лица, облеченного полномочиями. Следует разъяснять пользователям, что нельзя выдавать свой пароль даже начальнику. Если необходимо получить доступ к учетной записи пользователя, пароль может быть изменен администратором. Для временных сотрудников лучше создавать временные учетные записи. Но очень редко возникает необходимость в том, чтобы несколько пользователей применяли одну учетную запись или один пароль доступа к ресурсу.
Объясните пользователям, что надо обязательно проверять любые запросы, поступившие по небезопасным каналам, таким как электронная почта, прежде чем отвечать на них. Пользователи должны усвоить также, что информацию об их компьютере, сетевых серверах или вопросах безопасности нельзя обсуждать по телефону.
Черный вход
После того, как нарушителю удается получить хотя бы элементарный доступ к сети, его следующий шаг обычно заключается в формировании некой точки входа, облегчающей проникновение в сеть в будущем. Организация черного входа (backdoor) в сети иногда сводится просто к созданию новой учетной записи пользователя на сервере. Черный вход можно сделать при помощи «троянского коня», путем эксплуатации ошибки в операционной системе либо в приложении и даже изменением конфигурации брандмауэра или узлов в «демилитаризованной зоне». Поэтому я снова хочу напомнить о том, что после установки межсетевого экрана не следует забывать о защите индивидуальных компьютеров или отодвигать эту проблему на второй план.
Мониторинг сетевого трафика
Для перехвата сетевого трафика в локальной сети бывает достаточно подключить компьютер к сети и воспользоваться сетевым адаптером в promiscuous mode (режиме перехвата всех кадров). От этого удается защититься при помощи мониторинга сети и ограничения типов устройств, которые могут быть к ней подключены. В Internet пакет может перехватываться в любом сегменте, по которому он проходит. Поэтому не следует устанавливать незащищенные версии сетевых утилит, таких как FTP или Telnet. Эти приложения пересылают по сети имя пользователя и пароль в незашифрованном виде.
Internet не защищает и другую информацию в IP-пакетах. Единственный способ гарантировать надежную защиту Internet-соединения - либо применить технологию шифрования для отдельных передаваемых файлов, либо передавать пакеты обычных сетевых протоколов через закрытую частную сеть (VPN).
