Обратите внимание! Регистрация новых пользователей на сайте временно возможна только через СМС.

Четыре периметра безопасности

 hspace=Считается, что ресурсы локальной сети гораздо лучше защищены от вторжения, чем сервисы, непосредственно доступные из интернета. От чего зависит реальная безопасность?

Все информационные ресурсы условно делятся на три зоны: красную, желтую и зеленую.

К красной зоне относятся , имеющие реальные IP-адреса, их ресурсы являются внешним периметром, находящимся, что называется, «на острие атаки».

Сервера в желтой зоне имеют , но размещенные на них ресурсы доступны как из интернета, так и из локальной сети. Они располагаются в демилитаризованной зоне (), и только часть из них доступна через интернет.

Ресурсы локальной сети относятся к зеленой зоне и не предоставляют никакие сервисы за ее пределами.

Подобная организация сетевой инфраструктуры предполагает эшелонированную систему обороны, при которой каждая из зон представляет собой отдельный слой фортификационных сооружений, и эти слои как бы вложены друг в друга для обеспечения безопасности локальной сети.

Зеленая зона считается относительно безопасной, так как к ней запрещен доступ из интернета. Иллюзия безопасности усиливается при использовании  , который создает свой «круг доверия», используя централизованную базу данных с настройками доступа к ресурсам локальной сети. Управляющий сервер в домене называется . В чем же ахиллесова пята Active Directory? Некоторым приложениям для полного доступа к  требуются административные привилегии, а следовательно, взлом любого из таких сервисов даст злоумышленнику контроль над всеми компьютерами сети.

Как правило, для снижения рисков, связанных со взломом сетевых сервисов в рамках локальной сети, используются следующие меры: 

К сожалению, вышеуказанных мер нередко оказывается недостаточно для предотвращения несанкционированного доступа. И причина этого в недостаточном внимании, уделяемом защите , на которых размещаются сетевые сервисы. Для каждой из операционных систем существуют дополнительные возможности, применение которых способно минимизировать а сервисов.

Например, специфика типовой настройки политик безопасности для Windows-платформ в том, что ради совместимости с предыдущими версиями многие из политик, доступных в новых версиях, остаются неактивными, то есть возможности политик редко задействуются более чем на 30 процентов. Кроме ранее перечисленных, на платформе Windows 2008 R2 доступны следующие методы защиты серверов:

Для рабочих станций на также предусмотрены дополнительные возможности повышения безопасности: 

  • Применение  в отношении непривилегированных учетных записей системы 
  • Использование  для запуска уязвимых сервисов 
  • Настройка  
  • Развертывание клиентской части службы управления правами (
  • Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ

(Linux/FreeBSD/MacOS X) в дополнение к ранее перечисленным предлагают не менее развитые средства обеспечения безопасности: 

Рабочие станции на Linux также позволяют использовать эффективные средства защиты: 

  • Использование политик безопасности / 
  • Мощный межсетевой экран () с возможностью настройки для неподготовленного пользователя через  
  • Применение  для ограничения доступа к сервисам 
  • Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ

Методы защиты рабочих станций MacOS X не слишком отличаются аналогичных методов для , поэтому они отдельно рассматриваться не будут. Из минусов средств безопасности MacOS X можно назвать лишь неприменимость  ввиду несовместимости с ней , предоставляющего  для приложений.

Нетрудно заметить, что обеспечению безопасности на уровне хоста редко уделяется достаточно внимания, а для злоумышленника, получившего доступ в зеленую зону, это сильно облегчает жизнь.

К счастью, не нужно изобретать велосипед, так как в  уже предусмотрено 4 периметра безопасности: внешние ресурсы (красная зона), DMZ (желтая зона), локальная сеть (зеленая зона) и, наконец, уровень хоста. Обеспечив полноценную защиту каждого хоста, независимо от того, является ли он рабочей станцией в зеленой зоне или сервером в красной зоне можно сильно повысить безопасность IT-инфраструктуры в целом. И не забывайте про превентивные меры — применение системы обнаружения вторжений вкупе с организационными мерами.

Григорий Викторович Семенов
ведущий преподаватель
Центра компьютерного обучения «Специалист»
при МГТУ им. Н.Э.Баумана

 

 

 

 


07.02.2011

envelope

Спасибо! Вам на e-mail отправлено письмо со ссылкой для подтверждения

Если письмо не пришло, поищите его в папке со спамом или повторите подписку

email-checked.png

Вы подписались на рассылку