Сетевая политика безопасности

При задании сетевой ПБ необходимо определить процедуры защиты своей сети, ее содержимого и пользователей от ущерба и потерь. С этой точки зрения сетевая ПБ играет роль проведения в жизнь общей ПБ, определенной в организации. Сетевая ПБ кон­центрируется на контроле сетевого трафика и его использования. Она определяет сетевые ресурсы и угрозы, использование и воз­можности сети, а также детальные планы действий при наруше­нии ПБ.

При применении сетевой ПБ необходимо стратегически реа­лизовать защитные границы внутри своей сети. Эти стратегиче­ские границы называются сетевыми периметрами. Устанавливая уровни безопасности сетевых периметров, можно осуществлять множественный контроль безопасности сетевого трафика.

Для установления сетевых периметров необходимо определить защищаемые компьютеры и сети, а также определить защитные механизмы для них. Одним из основных таких элементов является межсетевой экран. Чтобы установить успешный периметр безо­пасности, межсетевой экран (МЭ) должен быть шлюзом для всех соединений между доверенными сетями, не доверенными и не­известными. Каждая сеть может содержать множество внутренних периметров. Чтобы понять, как сетевые периметры располагаются относительно друг друга, рассмотрим два типа сетевых перимет­ров: внешний и внутренний.

В простейшем случае сетевой периметр организации включает в себя внешний и внутренний периметры (рис. 1.6).

Внешний сетевой периметр идентифицирует точку разделения между устройствами, которые контролируются, и теми, которые не контролируются. Обычно этой точкой является маршрутиза­тор, который используется для разделения своей сети от сети про­вайдера Интернета.

Внутренний сетевой периметр представляет собой дополнитель­ные границы, в которых размещаются другие механизмы безопас­ности, такие как МЭ и фильтрующие маршрутизаторы. В этом слу­чае внешний и внутренний периметры определены расположени­ем внешнего и внутреннего маршрутизаторов и МЭ. Расположение МЭ между внутренним и внешним маршрутизаторами дает наи­большую дополнительную защиту от атак с обеих сторон, но зна­чительно уменьшает трафик, который должен исследовать МЭ, так как ему не нужно просматривать пакеты, циркулирующие во внут­ренней сети.

С точки зрения пользователей внешних сетей МЭ представляет собой все доступные компьютеры доверенной сети. Он определяет центральную точку, через которую должны проходить все соедине­ния между двумя сетями.

Внешний сетевой периметр является наиболее небезопасной областью сетевой инфраструктуры организации. Обычно эта об­ласть предназначается для маршрутизаторов, МЭ и общедоступ­ных интернет-серверов, таких как HTTP, FTP или e-mail. По­скольку к этой области легко получить доступ, она является наи­более часто атакуемой (обычно для того, чтобы через нее получить доступ к внутренней сети). Поэтому критичные данные, предназ­наченные только для внутреннего использования, не должны рас­полагаться во внешнем сетевом периметре.

Можно использовать множество внутренних МЭ для установ­ки множества внутренних сетевых периметров (рис. 1.7).

Использование внутренних межсетевых экранов позволяет ог­раничить доступ к совместно используемым внутренним ресурсам сети.

Доверенными сетями являются сети внутри сетевого перимет­ра безопасности. Под доверенными сетями понимаются сети, над

которыми специалисты организации имеют полный администра­тивный контроль. При установке МЭ необходимо точно иденти­фицировать типы сетей, которые присоединяются к МЭ посред­ством сетевых адаптеров. После начального конфигурирования доверенные сети включают МЭ и все сети позади него.

Недоверенными сетями являются сети, которые находятся вне установленного сетевого периметра. Они являются недоверенны­ми, так как они вне контроля. При установке МЭ необходимо также точно определить недоверенные сети, от которых МЭ мо­жет допускать запросы.

Неизвестными сетями являются сети, которые не являются ни доверенными, ни недоверенными. Неизвестные сети существуют вне периметра безопасности (по умолчанию все недоверенные сети рассматриваются как неизвестные).

Область внешнего сетевого периметра называют демилитари­зованной зоной (Demilitarized Zone, DMZ). Демилитаризованная зона — по международному праву территория, на которой ликви­дированы военные укрепления и сооружения, запрещено содер­жание вооруженных сил.

В русском языке есть более подходящее название — «нейтраль­ная зона» (территория, географический район, где по междуна­родному соглашению или решению государства, к которому он принадлежит, запрещается размещение военных объектов, под­готовка и ведение боевых действий). Так как аббревиатура DMZ прижилась в Интернете и компьютерных публикациях, будем ис­пользовать ее.

Важной составной частью политики безопасности является се­тевая политика безопасности или политика сетевого подключе­ния. Политикой сетевого подключения должны быть определены типы устройств, разрешенные для подключения к сети. В ней дол­жны быть детально определены настройки систем, которые до­пускается подключать к сети. Эта политика может включать в себя следующие разделы:

• описание процесса установки и настройки операционной системы (ОС) и приложений, а также их функциональных возможностей, которые разрешено использовать;

• местоположение в сети (физической подсети) систем опре­деленного типа и процедура разрешения вопросов адресации в сети;

• требование об установке и регулярном обновлении антиви­русного ПО;

• описание настройки прав пользователей и защиты ресурсов,
обеспечиваемых ОС;

процедуры, которым необходимо следовать для создания новой учетной записи пользователя, и аналогичные процедуры для ее удаления;

• запрет на установку дополнительных аппаратных или про­граммных компонентов без одобрения сетевого администратора (или другого ответственного лица).

Дата добавления: 2014-01-15; Просмотров: 3549; Нарушение авторских прав?; Мы поможем в написании вашей работы!