Раздел: Документация

0 ... 47 48 49 50 51 52 53 ... 125

Proxy Settings

аз

Туре ч~]§] нпр.

Proxy address to use

Secure: FTP: .. . Gopher: Socks:J

Г" Use the same proxy server for all protocols

-Exceptions —~™--" """*7

jiO Do not use proxy server for addresses beginning with:

Use semicolons (;)to separate entries.j

OK I Cancel

Рис. 7.4. Настройте proxy-серверы для различных протоколов в диалоговом окне Proxy Settings

Резюме

Proxy-серверы являются важным компонентом межсетевых экранов. Работая на прикладном уровне, proxy-серверы способны селективно разрешать или запрещать различные функции сетевых служб и протоколов. Они обеспечивают более надежные средства для регистрации активности и выдачи предупреждений, чем фильтры пакетов, поскольку лучше понимают принципы работы соответствующей службы или протокола. В следующих главах мы рассмотрим несколько различных proxy-серверов, в том числе TIS Internet Firewall Toolkit, SQUID и Microsoft Proxy Server.

---

Методы мониторинга

и АУДИТА

Операционной системы

Аудит и log-файлы

Надежная защита, обеспечиваемая продуманной архитектурой межсетевого экрана, не должна служить оправданием для небрежного выполнения обычных процедур по обеспечению безопасности. Даже если вы полностью доверяете пользователям локальной сети - что само по себе не всегда разумно - рискованно безоговорочно полагаться на то, что межсетевой экран защитит вашу сеть от всех возможных угроз, которые возникнут из внешнего мира. Internet позволяет злонамеренному хакеру атаковать вашу сеть почти из любой точки земного шара. В Internet существуют программы, автоматизирующие процесс поиска уязвимых сетей и систем и проникновения в них. Установленный и настроенный межсетевой экран следует считать лишь первой линией обороны, а не совершенным решением.

Что такое аудит

При обсуждении ayduma (auditing), под которым подразумевается процесс записи определенных событий, происходящих на компьютере или в сети, важно понимать, что только этот метод позволит вам отследить источник вторжения в сеть. Разумеется, если нарушитель повредит важные данные или нарушит работу важного сервера, вы быстро узнаете об этом\ Но сможете ли вы выяснить причину этих событий? Например, как определить, не был ли вызван отказ сервера ошибкой в операционной системе? Не произошло ли это в результате установки нового приложения? Находился ли источник данной проблемы внутри сети или снаружи?

И UNIX, и Windows NT обладают развитыми средствами аудита. Но нельзя быть уверенным в том, что установки операционной системы по умолчанию обеспечат нужный вам уровень аудита. В этой главе будут рассмотрены различные типы записываемой информации и настройка средств аудита в этих операционных системах.

---

Почему аудит столь важен?

В плане защиты сети хуже всего, если ее безопасность нарушена, а вы об этом даже не подозреваете. Чем дольше хакер будет находиться в системе подключенных к сети компьютеров, тем больший ущерб он причинит. Речь идет не только о первоначальном ущербе — краже конфиденциальной информации или разрушении важных данных. Это и время, которым хакер располагает, чтобы посеять семена для проникновения в сеть в будущем. Пока вам ничего не известно о его существовании, хакер способен заменить важные системные программы их модифицированными версиями. Он в состоянии создать новые учетные записи пользователей или «черные входы» в сеть, и к тому времени, когда вы обнаружите первоначальное проникновение, ваша сеть может оказаться в таком состоянии, что ее восстановление превратится в кошмар. Вот почему нельзя считать достаточными аудит и регистрацию событий на брандмауэре и следует строго контролировать работу всех установленных в сети операционных систем. Изучите существующие для этого методы и широко применяйте их. И, конечно же, часто - очень часто - просматривайте данные, записываемые средствами аудита!

Просмотр log-файлов

Нет смысла прибегать к средствам аудита, если вы не собираетесь регулярно просматривать полученные log-файлы. Перепахивание объемистых log-файлов отнимает массу времени, и при большой загрузке легко поддаться искушению отложить их просмотр. Но есть программы, способные ускорить этот процесс. Благодаря их помощи вам не потребуется читать все события в журнале событий Windows NT или в больших файлах, создаваемых утилитой syslog в UNIX. Существует несколько важных вещей, о которых вы не должны забывать:

О если есть способ проникнуть в систему, то нельзя быть уверенным и в том, что сами log-файлы не были изменены. Стоит ли доверять информации в log-файлах? Нарушитель, которому удастся войти в систему под именем привилегированного пользователя (например root), сумеет скрыть свои следы, редактируя log-файлы;

О повторяя рутинные процедуры снова и снова, легко утратить бдительность. Насколько сосредоточенными вы сможете оставаться, ежедневно просматривая множество log-файлов с очень скучной информацией? Нет ли опасности, что вы пропустите хотя бы одну важную запись, демонстрирующую брешь в системе защиты, в течение нескольких месяцев (или даже лет) прочитывая файлы, не содержащие важных результатов?

О log-файлы бывают довольно большими по объему. Не удивительно, если у вас появится желание удалить их или ограничить число регистрируемых событий, чтобы уменьшить занимаемый ими объем дискового пространства.

0 ... 47 48 49 50 51 52 53 ... 125