Раздел: Документация
0 ... 16 17 18 19 20 21 22 ... 125 Не устанавливайте утилиты удаленного доступа на брандмауэре. Запретите их. Если их использование в локальной сети разрешено, следует регулярно проверять файлы hosts. equiv и . rhost, чтобы убедиться в отсутствии несанкционированного доступа с их помощью. Другие сетевые сервисы В этой главе были рассмотрены лишь основные сервисы TCP/IP, которые существуют уже достаточно долго. Постоянно разрабатываются новые протоколы и сервисы. Например, для передачи Web-страниц служит протокол HTTP. Сервер RealAudio позволяет транслировать видео- или аудиопоток. Детали работы сотен доступных сервисов выходят за рамки данной книги. Но следует еще раз отметить, что при разработке межсетевого экрана следует отключать все сервисы и протоколы, разрешая работу только тех, которые необходимы. Это поможет вам защититься от появления новых протоколов или сервисов. Резюме Прежде чем вы начнете понимать, как брандмауэр защищает сеть, вам придется хорошо разобраться в принципах работы протоколов и сервисов TCP/IP. Если пользователи заявят, что им ьеобходим тот или иной сервис или определенный протокол, вы сможете грамотно обсудить с ними этот вопрос и аргументировать выбранную политику безопасности брандмауэра. При необходимости для особо опасных сервисов можно воспользоваться отдельным компьютером с собственным подключением к Internet. В следующих главах мы рассмотрим ряд проблем безопасности, которые могут вызвать определенные протоколы и сервисы, а также методы, помогающие обезопасить их применение. Jj b\ib\ hy Безопасность 1 Чч Internet Локальные и глобальные сети Главное отличие глобальной сети от локальной состоит в том, что она вам практически неподконтрольна. Администратор сети и, возможно, некоторые системные администраторы, способны в значительной степени контролировать узлы локальной сети и выполняющиеся в ней операции. Но подключенная к Internet локальная сеть становится частью большого конгломерата сетей, которыми вы почти (или совсем) не можете управлять. Поэтому сетевые проблемы, встречающиеся в типичной локальной сети, бледнеют по сравнению с теми, что появляются из Internet. Одна из причин этого - невероятное число образующих Internet компьютеров. Преступнику теперь нет необходимости вламываться в вашу серверную комнату, чтобы проникнуть в компьютер. Для входа в сеть хакеру больше не нужно снова и снова пытаться подобрать пароль модемного входа. Благодаря Internet вы можете подвергнуться атаке почти из любой точки земного шара. Безопасность в локальной сети Вы сами в состоянии выбирать протоколы локальной сети и следить за возможными злоупотреблениями посредством аудита и мониторинга сети. Существуют специальные средства, основанные на Simple Network Management Protocol (SNMP, Простой протокол управления сетью) или RMON и позволяющие осуществлять централизованное управление и аудит даже в сети крупной компании. Что такое RMON RMON (Remote Monitoring, Удаленный мониторинг) - средство для сбора и анализа данных. Обеспечивает возможность удаленного мониторинга сетевых компонентов, таких как компьютеры, маршрутизаторы, коммутаторы и др. Функциональность RMON, описанная в документах RFC 1513 и 1757, расширяет возможности протокола SNMP. Аутентификация пользователя Основной формой обеспечения безопасности в локальной сети является проверка имени и пароля пользователя. При этом каждому пользователю, имеющему доступ к сети, принадлежит уникальная учетная запись, выделенная сетевым администратором, и пароль, который обычно задается самим пользователем. Такая форма аутентификации возникла на первых автономных (не подключенных к сети) компьютерах с многопользовательскими операционными системами. Уникальное имя пользователя позволяло операционной системе определить, кто из пользователей вошел в нее, и наделять пользователей различными правами и привилегиями. Первоначальный пароль назначается создавшим учетную запись администратором. Но пользователь обязан поменять исходный пароль на другой, который сложно угадать. Он также отвечает за хранение пароля в тайне и не должен никому сообщать его. В локальной сети аутентификация становится более сложной. На автономном компьютере довольно легко обеспечить безопасность доступа к единственному файлу базы данных с именами и паролями операционной системы. Но где будет находиться эта информация, если связать несколько компьютеров в сеть? В некоторых операционных системах, таких как UNIX, каждый компьютер в сети содержит собственный файл паролей /etc/passwd. В этом файле записаны имена и пароли пользователей, а также другая информация, относящаяся к учетной записи пользователя. Несмотря на то что это простой текстовый файл, который можно распечатать и просмотреть, такой подход остается относительно безопасным, поскольку записанные в файле пароли зашифрованы. Вы можете положиться на этот метод, если доверяете пользователям вашей сети. Пароли удается расшифровывать с помощью специальных программ, поэтому, как легко догадаться, при подключении к Internet подобный метод аутентификации оставляет желать лучшего. Применение «теневого» файла паролей Пароли обычно находятся в файле /etc/passwd. Один из способов повышения безопасности заключается в создании «теневого» (shadow) файла паролей, недоступного для чтения пользователями. Обратитесь к документации своей системы, чтобы узнать, предоставляет ли она такую возможность. - ........ .......... ......1 ..................... .......... ............ - — :—-—.......... .......J С самого начала было очевидно, что метод хранения отдельного файла паролей на каждом сервере имеет свои недостатки. Например, для повышения безопасности пользователь должен периодически менять пароль. Если пользователю необходимо обращаться к ресурсам на нескольких компьютерах в локальной сети, то ему придется менять пароли на всех компьютерах. В сетевых операционных системах эта проблема решается путем создания общей базы данных, содержащей учетные записи для всех пользователей сети. В Windows NT для объединения учетных записей пользователей в группы в центральной 0 ... 16 17 18 19 20 21 22 ... 125
|