Главная: Рефераты

Рефераты. Политика безопасности при работе в Интернете - (диплом)

p>Организация должна проводить периодическое обучение в области безопасности всех руководителей, операторов и конечных пользователей так, как это описано в политике организации. Такое обучение должно дополняться доведением новых проблем с безопасностью, постоянно возникающих в Интернете. Пользователям рекомендуется просматривать списки рассылки, связанные с безопасностью, чтобы быть в курсе всех проблем и технологий и знать все новости, сообщаемые отделом информационной безопасности. Обучение безопасности в Интернете - средний риск

В организации должна быть достаточно либеральная политика в отношении использования Интернета, но опытные пользователи должны повышать свой уровень в отношении эффективного использования Интернета и рисков, связанных с ним. Следует добавить приведенные ниже положения к тем, что указаны для организации с низким риском. Обучение безопасности в Интернете должно включать проведение как комплексных, так и индивидуальных занятий со специалистами центров по обучению безопасности, краткое доведение информации о новостях и советов по использованию , а также другое необходимое обучение, как это принято в организации... При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование. Администраторы брандмауэра и ЛВС, а также технический персонал сетей, подключенных к Интернету, должны пройти курс обучения в области контроля за безопасностью в сети, достоинств и недостатков различных подходов, возможных видов атак, сетевой архитектуры и вопросов, связанных с политикой безопасности. Системные и сетевые администраторы должны пройти полный курс обучения в области администрирования брандмауэров. Некоторые средства сканирования (например, pingall, SATAN) стали обязательным элементом при проведении контроля защищенности сети для выявления активных систем, их IP-адресов, параметров конфигурации и т. д. Кроме того, для выявления уязвимых мест в системах крайне полезны как бесплатные, так и коммерческие средства (например, SATAN, ISS, NETProbe, PINGWARE, COPS, Tripwire и др. ). Все сетевые и системные администраторы должны уметь их использовать. Они также должны знать текущее состояние дел в этой области безопасности. Новые пользователи должны пройти вводный курс обучения работе в Интернете, который включает серьезную отработку практических навыков и обзор проблем безопасности. Все пользователи должны расписаться в журнале проведения инструктажей по использованию Интернета. Обучение безопасности в Интернете - высокий риск

Организация должна стремиться повысить доступность Интернета для своих сотрудников, но делать это консервативным методом и только после обучения пользователей в области правил безопасности при использовании Интернета. Уместна следующая политика помимо политики, указанной для организации со средним риском. Пользователи должны быть постоянно информированы о текущих проблемах с безопасностью в Интернете путем чтения сообщений и предупреждений об ошибках в программах и уязвимых местах и других советах, разборах имевших место происшествий, а также пройти курс обучения таким образом, как это определено в организации. При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование. 6. Политика безопасности брандмауэров

    6. 1. Основы и цель

Многие организации присоединили или хотят присоединить свои локальные сети к Интернету, чтобы их пользователи имели легкий доступ к сервисам Интернета. Так как Интернет в целом не является безопасным, машины в этих ЛВС уязвимы к неавторизованному использованию и внешним атакам. Брандмауэр - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями. Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Например, если менеджер, находящийся в командировке, имеет модем, присоединенный к его ПЭВМ в офисе, то он может дозвониться до своего компьютера из командировки, а так как эта ПЭВМ также находится во внутренней защищенной сети, то атакующий, имеющий возможность установить коммутируемое соединение с этой ПЭВМ, может обойти защиту брандмауэра. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера Интернета, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он или она устанавливают небезопасное соединение с Интернетом, в обход защиты брандмауэра. Брандмауэры часто могут быть использованы для защиты сегментов интранета организации, но этот документ в-основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls. "" Брандмауэры обеспечивают несколько типов защиты:

    Они могут блокировать нежелательный трафик

Они могут направлять входной трафик только к надежным внутренним системам Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом. Они могут протоколировать трафик в и из внутренней сети

Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения. Каждая из этих функций будет описана далее.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость брандмауэра как внутренним пользователям, так и внешним, осуществляющим взаимодействие через брандмауэр. Брандмауэр прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно брандмауэры конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу за брандмауэр); и с другой стороны брандмауэр конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям. 6. 2. Аутентификация

Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации: Имя/пароль

Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов Одноразовые пароли

Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом. Электронные сертификаты

    Они используют шифрование с открытыми ключами
    6. 3. Анализ возможностей маршрутизации и прокси-серверов

В хорошей политике должно быть написано, может ли брандмауэр маршрутизировать пакеты или они должны передаваться прокси-серверам. Тривиальным случаем брандмауэра является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов. Все, что он может - только маршрутизировать пакеты. А прикладные шлюзы наоборот не могут быть сконфигурированы для маршрутизации трафика между внутренним и внешним интерфейсами брандмауэра, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси-сервера). 6. 3. 1. Маршрутизация источника

Это механизм маршрутизации, посредством которого путь к машине-получателю пакета определяется отправителем, а не промежуточными маршрутизаторами. Маршрутизация источника в основном используется для устранения проблем в сетях, но также может быть использована для атаки на хост. Если атакующий знает, что ваш хост доверяет какому-нибудь другому хосту, то маршрутизация источника может быть использована для создания впечатления, что пакеты атакующего приходят от доверенного хоста. Поэтому из-за такой угрозы безопасности маршрутизаторы с фильтрацией пакетов обычно конфигурируются так, чтобы отвергать пакеты с опцией маршрутизации источника. Поэтому сайт, желающий избежать проблем с маршрутизацией источника, обычно разрабатывает политику, в которой их маршрутизация запрещена. 6. 3. 2. Фальсификация IP-адреса

Это имеет место, когда атакующий маскирует свою машину под хост в сети объекта атаки (то есть пытается заставить цель атаки думать, что пакеты приходят от доверенной машины во внутренней сети). Политика в отношении маршрутизации пакетов должна быть четкой, чтобы можно было корректно построить обработку пакетов, если есть проблемы с безопасностью. Необходимо объединить аутентификацию на основе адреса отправителя с другими способами, чтобы защитить вашу сеть от атак подобного рода. 6. 4. Типы брандмауэров

Существует несколько различных реализаций брандмауэров, которые могут быть созданы разными путями. В таблице 6. 1 кратко характеризуются несколько архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам. 6. 4. 1 Шлюзы с фильтрацией пакетов

Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил. Шлюзы с фильтрацией имеют свои недостатки, включая следующие: Адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, - единственная информация, доступная маршрутизатору при принятии решения о том, разрешать или запрещать доступ трафика во внутреннюю сеть. Они не защищают от фальсификации IP- и DNS-адресов.

Атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ брандмауэром. Усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов. У них практически отсутствуют средства протоколирования доступа к сети 6. 4. 2. Прикладные шлюзы

Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-сервера принимают запросы извне, анализируют их и передают безопасные запросы внутренним хостам, которые предоставляют соответствующие сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий. Так как прикладной шлюз считается самой безопасным типом брандмауэра, эта конфигурация имеет ряд преимущество с точки зрения сайта со средним уровнем риска: Брандмауэр может быть сконфигурирован как единственный хост, видимый из внешней сети, что будет требовать проходить все соединения с внешней сетью через него. Использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая организацию от небезопасных или плохо сконфигурированных внутренних хостов С помощью прикладных шлюзов может быть реализована усиленная аутентификация. Прокси-сервера могут обеспечивать детальное протоколирование на прикладном уровне Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра (то есть чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т. д. , независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер еа брандмауэре. Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP, HTTP и т. д. , поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий: Отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер - это предпочтительный подход, так как многие новые сервисы имеют большое число уязвимых мест. Разработать свой прокси - это достаточно сложная задача и должна решаться только техническими организациями, имеющими соответствующих специалистов . Пропустить сервис через брандмауэр - использование того, что обычно называется "заглушками", большинство брандмауэров с прикладными шлюзами позволяет пропускать большинство сервисов через брандмауэр с минимальной фильтрацией пакетов. Это может ограничить число уязвимых мест, но привести к компрометации систем за брандмауэров. Низкий риск

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.