- 1162 Просмотра
- Обсудить
Безопасная архитектура – это фундамент
Итак, помимо централизованной политики безопасности, без которой де факто невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее моменты. ♦ Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH. ♦ Шифрование критичных данных с использованием надежных криптоалгоритмов. ♦ Использование архитектуры сети, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя брандмауэрами. DMZ подразумевает под собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета. ♦ Использование IDS (Intrusion‑Detection System), IPS (Intrusion‑Prevention System). В идеальном случае такая система выдаст сигнал тревоги (или предотвратит саму попытку вторжения– IPS) при попытке проникновения. ♦ Использование NAT (технология трансляции адресов локальной сети на IP‑адрес внешнего соединения). Очевидно, что функция безопасности NAT реализуется, благодаря тому что скрытые адреса внутренних систем являются невидимыми из внешней сети, в частности из Интернета. ♦ Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации (подобные инструменты в значительной мере уменьшают риск вторжения изнутри). Более частные рекомендации могут быть следующими. ♦ Первое, что необходимо сделать, – установить самые последние обновления для вашей операционной системы. Скачать обновления можно с официального сайта Корпорации Microsoft, предварительно установив как можно более новый вариант сборки вашей операционной системы. Дыры как находили, так и будут находить, поэтому, если вы обладатель самых свежих обновлений, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки "умные люди" успевают написать вирус или создать червя. ♦ В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. Службу доступа к файлам и принтерам сети Microsoftпри отсутствии реальной необходимости сетевого доступа к ним необходимо отключить, чтобы не облегчать задачу всем любителям открытых по умолчанию C$, D$, ADMIN$и т. д. ♦ Все неиспользуемые сервисы желательно выключить: FTP, Telnet, удаленный реестр – зачем все это, если вы не используете ни один из перечисленных сервисов? Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов. ♦ Установите файловую систему NTFS, которая позволяет разграничить доступ к ресурсам вашего ПК и усложняет процесс локального взлома базы SAM. ♦ Удалите лишние учетные записи, а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине, и доступ по сети для Администратора. ♦ Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор. ♦ Желательно, чтобы на вашем ПК был установлен какой‑нибудь персональный брандмауэр, закрывающий доступ к открытым портам (ZoneAlarm, Outpost Firewall или что‑нибудь подобное). Помимо защиты от попыток проникновения извне, с помощью брандмауэра вы сможете легко и просто контролировать доступ программ (среди них может быть, к примеру, затаившийся троянский конь) к Интернету. Любая попытка вырваться в Сеть не останется незамеченной вашей "огнедышащей стеной". ПРИМЕЧАНИЕ Очевидно, что вышеперечисленное адекватно для защиты рабочих станций. Если же речь идет об организации безопасности крупной корпоративной сети, о защите сервера/шлюза, то здесь взор системного администратора/администратора безопасности в первую очередь должен быть направлен на использование UNIX‑подобных систем (FreeBSD, Linux) как наиболее безопасной альтернативе Windows. ♦ Не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать настолько же общественными, насколько места "М" и "Ж". ПРИМЕЧАНИЕ Под сниффером подразумевается программа, перехватывающая все пакеты, идущие по локальной сети. Как такое может быть? Просто. Сниффер переводит сетевую карту в "неразборчивый" режим, что позволяет захватить даже те пакеты, которые не предназначены для системы, в которой установлен сниффер. Пример: Cain & Abel. ♦ Как известно, при установлении SMB‑сеанса клиент отвечает серверу, отправляя в сеть LM‑хэш (Lan Manager‑хэш) и NT‑хэш (Windows NT). Возможность отправки двух вариантов зашифрованных паролей необходима для совместимости со старыми операционными системами. Как при локальном, так и при удаленном способах аутентификации система сначала пытается идентифицировать NT‑хэш. Если его нет, система пытается проверить подлинность LM‑хэша. А вот тут‑то и «зарыта собака». Дело в том, что криптостойкость LM‑хэша не выдерживает никакой критики. ♦ Не стоит пренебрегать установкой антивирусной программы. Увлекаться тоже не слудет. Факт, что "Каспер" может "убить" "Dr.Web" и наоборот, – ни для кого не секрет. ♦ Если вы любитель всевозможных сервисов, увеличивающих круг общения (ICQ, почтовый агент), необходимо помнить о том, что охотников за вашими личными данными достаточно, чтобы выведать у вас самую различную информацию, которая впоследствии может быть использована для удаленного вторжения. Реальный случай из жизни: в ICQ, методом социальной инженерии, взломщик прикидывается девчонкой и вступает с жертвой в живой разговор. Несколько минут разговора – и происходит обмен фотографиями, одна из которых (ясно, какая) – самый настоящий троянский конь. Жертва открывает JPG‑файл, а вместо обещанного откровенного эксклюзива – ошибка при открытии файла. Троянский конь уже в вашей системе.
Итак, помимо централизованной политики безопасности, без которой де факто невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее моменты. ♦ Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH. ♦ Шифрование критичных данных с использованием надежных криптоалгоритмов. ♦ Использование архитектуры сети, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя брандмауэрами. DMZ подразумевает под собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета. ♦ Использование IDS (Intrusion‑Detection System), IPS (Intrusion‑Prevention System). В идеальном случае такая система выдаст сигнал тревоги (или предотвратит саму попытку вторжения– IPS) при попытке проникновения. ♦ Использование NAT (технология трансляции адресов локальной сети на IP‑адрес внешнего соединения). Очевидно, что функция безопасности NAT реализуется, благодаря тому что скрытые адреса внутренних систем являются невидимыми из внешней сети, в частности из Интернета. ♦ Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации (подобные инструменты в значительной мере уменьшают риск вторжения изнутри). Более частные рекомендации могут быть следующими. ♦ Первое, что необходимо сделать, – установить самые последние обновления для вашей операционной системы. Скачать обновления можно с официального сайта Корпорации Microsoft, предварительно установив как можно более новый вариант сборки вашей операционной системы. Дыры как находили, так и будут находить, поэтому, если вы обладатель самых свежих обновлений, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки "умные люди" успевают написать вирус или создать червя. ♦ В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. Службу доступа к файлам и принтерам сети Microsoftпри отсутствии реальной необходимости сетевого доступа к ним необходимо отключить, чтобы не облегчать задачу всем любителям открытых по умолчанию C$, D$, ADMIN$и т. д. ♦ Все неиспользуемые сервисы желательно выключить: FTP, Telnet, удаленный реестр – зачем все это, если вы не используете ни один из перечисленных сервисов? Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов. ♦ Установите файловую систему NTFS, которая позволяет разграничить доступ к ресурсам вашего ПК и усложняет процесс локального взлома базы SAM. ♦ Удалите лишние учетные записи, а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине, и доступ по сети для Администратора. ♦ Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор. ♦ Желательно, чтобы на вашем ПК был установлен какой‑нибудь персональный брандмауэр, закрывающий доступ к открытым портам (ZoneAlarm, Outpost Firewall или что‑нибудь подобное). Помимо защиты от попыток проникновения извне, с помощью брандмауэра вы сможете легко и просто контролировать доступ программ (среди них может быть, к примеру, затаившийся троянский конь) к Интернету. Любая попытка вырваться в Сеть не останется незамеченной вашей "огнедышащей стеной". ПРИМЕЧАНИЕ Очевидно, что вышеперечисленное адекватно для защиты рабочих станций. Если же речь идет об организации безопасности крупной корпоративной сети, о защите сервера/шлюза, то здесь взор системного администратора/администратора безопасности в первую очередь должен быть направлен на использование UNIX‑подобных систем (FreeBSD, Linux) как наиболее безопасной альтернативе Windows. ♦ Не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать настолько же общественными, насколько места "М" и "Ж". ПРИМЕЧАНИЕ Под сниффером подразумевается программа, перехватывающая все пакеты, идущие по локальной сети. Как такое может быть? Просто. Сниффер переводит сетевую карту в "неразборчивый" режим, что позволяет захватить даже те пакеты, которые не предназначены для системы, в которой установлен сниффер. Пример: Cain & Abel. ♦ Как известно, при установлении SMB‑сеанса клиент отвечает серверу, отправляя в сеть LM‑хэш (Lan Manager‑хэш) и NT‑хэш (Windows NT). Возможность отправки двух вариантов зашифрованных паролей необходима для совместимости со старыми операционными системами. Как при локальном, так и при удаленном способах аутентификации система сначала пытается идентифицировать NT‑хэш. Если его нет, система пытается проверить подлинность LM‑хэша. А вот тут‑то и «зарыта собака». Дело в том, что криптостойкость LM‑хэша не выдерживает никакой критики. ♦ Не стоит пренебрегать установкой антивирусной программы. Увлекаться тоже не слудет. Факт, что "Каспер" может "убить" "Dr.Web" и наоборот, – ни для кого не секрет. ♦ Если вы любитель всевозможных сервисов, увеличивающих круг общения (ICQ, почтовый агент), необходимо помнить о том, что охотников за вашими личными данными достаточно, чтобы выведать у вас самую различную информацию, которая впоследствии может быть использована для удаленного вторжения. Реальный случай из жизни: в ICQ, методом социальной инженерии, взломщик прикидывается девчонкой и вступает с жертвой в живой разговор. Несколько минут разговора – и происходит обмен фотографиями, одна из которых (ясно, какая) – самый настоящий троянский конь. Жертва открывает JPG‑файл, а вместо обещанного откровенного эксклюзива – ошибка при открытии файла. Троянский конь уже в вашей системе.
Никто не решился оставить свой комментарий.
Будь-те первым, поделитесь мнением с остальными.
Будь-те первым, поделитесь мнением с остальными.