Раздел: Документация
0 ... 28 29 30 31 32 33 34 ... 125 или другим дорогостоящим оборудованием, например монитором с большой диагональю или жестким диском большого объема. Возьмите просто старый компьютер, который вам больше не нужен. Важно только настроить этот компьютер так, чтобы его было относительно легко взломать, но эта операция потребовала бы от хакера длительного времени, достаточного для его обнаружения. Сообщения о нарушениях и обратная связь Хорошая политика безопасности в состоянии защитить вашу сеть только при ее соблюдении. Напечатанный и подписанный документ сам по себе ни от чего вас не оградит. Чтобы эта политика работала, вы должны разработать методы контроля использования компьютеров и сети, а также меры, которые должны приниматься при нарушении политики безопасности. Многие брандмауэры выдают звуковые предупреждения при возникновении подозрительной активности. Большинство также создает log-файлы, которые необходимо периодически просматривать. Решите заранее, как вы будете реагировать на определенные предупреждения, и создайте процедуры для описания проблемы и устранения повреждений. Практически невозможно предвидеть все возможные бреши, которые будут возникать в защите вашей сети. Поэтому вы должны иметь, возможность изменять и дополнять эти процедуры по мере возникновения новых проблем. Например, при просмотре log-файла со списком пользователей, подключавшихся к серверу при помощи Telnet, вы обнаруживаете, что для проникновения в сеть применялась одна из учетных записей пользователя, которую вы считали отключенной. Что вам следует предпринять? Вот некоторые из возможных немедленных реакций: О изменить пароль для подозрительной учетной записи; О отключить от сети скомпрометированный сервер или рабочую станцию; О отключить сеть от внешнего мира, отсоединив соответствующий разъем маршрутизатора, если скомпрометировано большое число компьютеров. Что такое беззащитный узел В этой главе беззащитный узел определен как компьютер, который, по вашим расчетам, хакер попытается атаковать. В литературе этот термин иногда употребляется также для обозначения всех компьютеров, расположенных непосредственно в Internet или демилитаризованной зоне, поскольку они наиболее уязвимы для атак. ОТСЛЕЖИВАНИЕ РЕКОМЕНДАЦИЙ ПО БЕЗОПАСНОСТИ 97 Можно удалить учетную запись пользователя, чтобы ее нельзя было использовать для доступа в систему (вместо того, чтобы изменять пароль). Но, поскольку эта учетная запись - единственная точка связи с проникнувшим в вашу сеть нарушителем, лучше изменить пароль, а затем активно следить за развитием ситуации для получения дополнительной информации, которая поможет вам идентифицировать и обнаружить нарушителя. После того как вы отреагируете на появление «дыры безопасности» и эффективно устраните ее, необходимо определить нанесенный ущерб и принять следующие восстановительные меры. Была ли затронута база данных, надо ли восстановить ее из резервной копии? Если да, то насколько далеко придется вернуться назад, чтобы получить неиспорченные файлы? Как восстановить записи, сделанные между моментом резервного копирования и нарушением безопасности? Какие юридические вопросы при этом могут возникнуть? Храните log-файлы не менее года! Log-файлы операционной системы, межсетевого экрана или другого программного обеспечения становятся неоценимым оружием для обнаружения хакеров и определения способа их проникновения в сеть или компьютерную систему. Поскольку вирус или «троянский конь» до его активации способен долго скрываться в сети, следует хранить log-файлы в течение длительного времени. Для этого достаточно просто написать небольшую программу, которая будет регулярно архивировать их на другой компьютер или устройство резервного копирования. Необходимо хранить log-файлы хотя бы в течение года, прежде чем повторно использовать носитель. Если вы заранее продумаете ответы на эти вопросы и создадите формы для отчетов о нарушениях и описания мер по их устранению, вам будет легче справиться с нештатной ситуацией. Отслеживание рекомендаций по безопасности Для управления большинством обычных приложений, таких как текстовый редактор или браузер Internet, обычно достаточно просто прочесть документацию и периодически выполнять рутинные операции. Но управлять межсетевым экраном намного сложнее. Мало установить и настроить его: следует использовать все имеющиеся механизмы регистрации и предупреждений. Нет смысла проверять log-файлы раз в неделю. Разумнее делать это ежедневно. При настройке предупреждений убедитесь, что сообщения будут отправляться тому, кто обязан быстро реагировать на них. Поддержка безопасности - это не однократное действие, а непрерывный процесс оценки обнаруженных ошибок в программном обеспечении и проблем безопасности и выполнение ответных действий. Если вы приобрели коммерческий брандмауэр, читайте все рекомендации производителя по обеспечению безопасности по мере их выхода. Следует быстро анализировать новые исправления и немедленно устанавливать их, если они имеют отношение к вашей сети или брандмауэру и установленному программному обеспечению. Кроме того, в Internet существует множество ресурсов, способных помочь вам оставаться в курсе новых проблем, которые могут привести к нарушению защиты сети. В приложении 3 вы найдете список большого числа прекрасных сайтов, таких как FIRST (Forum of Incident Response and Security Teams - Форум для групп безопасности и разбора нарушений) и CERT (Computer Emergency Response Team-Аварийная компьютерная команда). Эти и другие перечисленные в приложении организации имеют, в свою очередь, списки рассылки, на которые вы можете подписаться, чтобы оставаться в курсе последних событий. Настройка брандмауэра - не та задача, которую можно выполнить один раз и забыть о ней. Это постоянный процесс, включающий в себя контроль, анализ и обновление. Резюме Прежде, чем принять решение о создании (или покупке) брандмауэра, следует полностью разобраться в политике безопасности компании. Если эта политика не описана в виде документов, необходимо вначале сформулировать их, а затем уже думать о формировании межсетевого экрана. Политика безопасности должна быть достаточно гибкой и предоставлять пользователям возможность свободно выполнять свои задачи, но настолько строгой, чтобы предотвратить проникновение в сеть посторонних. Не забывайте, что чрезмерно жесткая политика безопасности чревата двумя нежелательными последствиями: пользователи не смогут нормально выполнять свою работу или найдут новые методы нарушения выбранной вами стратегии. Разработанная вами политика безопасности должна быть справедливой и учитывающей пожелания подразделений и пользователей, которых она затронет. Архитектура межсетевого экрана зависит от нескольких факторов, в том числе от необходимой степени безопасности и выделенного финансирования. Простой маршрутизатор с фильтрацией пакетов стоит дешево (и даже ничего не стоит, если у вас уже есть маршрутизатор для подключения к Internet), но и обеспечивает он лишь минимальную защиту. Более сложный межсетевой экран, включающий в себя несколько экранированных подсетей, может оказаться довольно дорогим проектом и по начальным затратам, и по стоимости поддержки. 0 ... 28 29 30 31 32 33 34 ... 125
|