КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Стратегия построения защищённой системы
|
|
|
|
Стратегия – вопрос политический, а политика, как известно, "искусство возможного". Сделать все каналы защищёнными и передавать информацию только в шифрованном виде – возможно только теоретически. Интернет тем и отличается от прочих сетей, что в нём приходится взаимодействовать с чужими, и, более того, неизвестными людьми и системами.
Поэтому основным принципом является "разумная паранойя", когда любое действие, безопасность которого не гарантируется, рассматривается как враждебное, и " всё, что не разрешено – запрещено ".
Необходимо обеспечить работу нужных соединений, отфильтровав все ненужные. Этим занимается файерволл (брандмауэр, межсетевой экран, ip-фильтр).
При конфигурировании файрволла необходимо сперва определить, какие соединения от каких узлов на какие адреса и порты нам необходимы для работы. Например, если мы открываем веб-сервер, необходимо разрешить соединение по протоколу TCP на порт 80, если у нас есть ещё почтовый сервер – то соединения по 25 и 110 портам. Описав разрешающие правила, в конце списка обязательно надо добавить правило, запрещающее любое соединение по любому протоколу. При получении пакета файрволл просматривает правила сверху вниз, и если ни под одно разрешение пакет не подошёл – значит, этот пакет нам не нужен. После настройки следует тестирование – необходимо проверить, работает ли система так, как нам нужно. Если всё в порядке – сохраняем настройки и обязательно устанавливаем пароль на конфигурацию, чтобы пользователи не могли случайно или намеренно изменить их. Даже не являющаяся защищённой система (Windows ХP без установки сервис-паков и апдейтов) может годами работать в Интернет, если на ней грамотно настроен файрволл (при этом встроенного "брандмауэра Windows категорически недостаточно). Просто необходимо запретить всё ненужное, оставив только нужное – при этом атака извне (кроме DoS) становится практически невозможной. Но остаётся опасность атаки изнутри – через вирусы, трояны, эксплоиты и социальную инженерию.
|
|
|
Важное значение имеет зонирование системы. Так, не следует подключать напрямую к Интернет (выдавать белый IP-адрес) содержащий важную и конфиденциальную информацию сервер. Городскую казну не размещают в караульной башне, казна хранится в подвале внутреннего зАмка. Непосредственно к сети Интернет, с получением реального IP-адреса, должен быть подключён компьютер (или специальное устройство), не содержащий конфиденциальных данных и не предоставляющий сложных сервисов (в которых могут быть уязвимости). Также на этом компьютере не должны работать пользователи, способные запустить троян или принести вирус. Высокая мощность и большой диск такому компьютеру вовсе не требуются – справиться с функциями интернет-гейта для сети из сотни компьютеров вполне может давно устаревший Пентиум-1, лишь бы он был технически исправен.
Для сетей такого класса – дома и небольшого офиса (SOHO) – существуют недорогие готовые решения – интернет-роутеры. Часто такие роутеры выполнены в общем устройстве с ADSL-модемами или точками беспроводного доступа. По умолчанию такое устройство разрешает только доступ из внутренней сети к внешним ресурсам, игнорируя все попытки подключения извне. Для большинства малых сетей этого достаточно. В случае, если создаваемая система должна иметь доступ извне – ситуация усложняется. Нам необходимо на роутере включить режим "виртуального сервера", когда при получении пакета на внешний интерфейс с определённым номером порта роутер передаёт его на адрес внутренней сети. Это во многом похоже на настройку файрволла и выполняет те же функции. Не следует без необходимости использовать режим DMZ (демилитаризованная зона, разоружение) – при этом режиме роутер пробрасывает все внешние соединения на указанный компьютер внутренней сети.
|
|
|
В случае если необходима работа через Интернет с ценными данными (веб-портал, терминал-сервер и т.п.) – необходимо обеспечить три зоны безопасности. В первой зоне находится сервер интернет – отдельный компьютер или аппаратное устройство-роутер с файрволлом, во второй – сервер приложений удалённого доступа, на котором работают доступные извне службы (HTTP, VPN) и в третьем – сервер баз данных, который только предоставляет данные серверу приложений. Тогда даже при заражении сервера приложений вероятность повреждения данных существенно снижается. Разумеется, важным компонентом информационной безопасности является резервирование информации, хотя это и не относится непосредственно к сетевым системам, нелишне напомнить о бэкапе – недавняя история со взломом "Московского Комсомольца" наглядно это показала.
Если в работе системы используются беспроводные сети – использование шифрования обязательно. Помните, что нешифрованная информация в беспроводной сети доступна всем.
Обеспечение защиты от атаки изнутри – наиболее сложно. Прежде всего, тут в дело вступает "человеческий фактор" – а каждому из сотрудников свою голову не приставишь. Защита ведётся по двум направлениям. Во-первых, должно использоваться антивирусное ПО – современные версии популярных продуктов обеспечивают, как правило, комплексную защиту, определяя не только собственно вирусы, но также трояны, кейлоггеры, несанкционированное подключение и опасные веб-сайты. Разумеется, своевременное обновление имеет важное значение, но даже устаревший антивирус значительно лучше, чем его отсутствие – далеко не всегда опасность исходит от новейших программ. По возможности следует использовать безопасное ПО. Так, например, для Оперы и Мозиллы значительно меньше эксплоитов, чем для Internet Explorer, а случаев поражения червями почтовой программы The Bat! вообще единицы. Большинство почтовых программ имеют настройки, ограничивающие открытие потенциально опасного содержимого. Эти настройки необходимо использовать.
|
|
|
Важно также разграничение прав пользователей. Работать под административными правами нежелательно – при этом любой запущенный пользователем троян получает полную власть над системой. Пользователь с ограниченными правами имеет гораздо меньше возможностей что-то испортить (хотя от уничтожения пользовательских файлов это не спасёт).
В целом – есть полушутливое правило "хороший админ должен быть параноиком", то есть в любом нетипичном действии видеть угрозу. Ну и, конечно, регулярный бэкап и шифрование конфиденциальной информации, благо средств для этого хватает – от парольного архива до использования протокола https даже на домашнем сервере.
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 227; Нарушение авторских прав?; Мы поможем в написании вашей работы!