6.2. Безопасная архитектура – это фундамент

6.2. Безопасная архитектура – это фундамент

Итак, помимо централизованной политики безопасности, без которой де факто невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее моменты.

? Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH.

? Шифрование критичных данных с использованием надежных криптоалгоритмов.

? Использование архитектуры сети, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя брандмауэрами. DMZ подразумевает под собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета.

? Использование IDS (Intrusion-Detection System), IPS (Intrusion-Prevention System). В идеальном случае такая система выдаст сигнал тревоги (или предотвратит саму попытку вторжения– IPS) при попытке проникновения.

? Использование NAT (технология трансляции адресов локальной сети на IP-адрес внешнего соединения). Очевидно, что функция безопасности NAT реализуется, благодаря тому что скрытые адреса внутренних систем являются невидимыми из внешней сети, в частности из Интернета.

? Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации (подобные инструменты в значительной мере уменьшают риск вторжения изнутри).

Более частные рекомендации могут быть следующими.

? Первое, что необходимо сделать, – установить самые последние обновления для вашей операционной системы. Скачать обновления можно с официального сайта Корпорации Microsoft, предварительно установив как можно более новый вариант сборки вашей операционной системы. Дыры как находили, так и будут находить, поэтому, если вы обладатель самых свежих обновлений, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки "умные люди" успевают написать вирус или создать червя.

? В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. Службу доступа к файлам и принтерам сети Microsoft при

отсутствии реальной необходимости сетевого доступа к ним необходимо отключить, чтобы не облегчать задачу всем любителям открытых по умолчанию C$, D$, ADMIN$ и т. д.

? Все неиспользуемые сервисы желательно выключить: FTP, Telnet, удаленный реестр – зачем все это, если вы не используете ни один из перечисленных сервисов? Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов.

? Установите файловую систему NTFS, которая позволяет разграничить доступ к ресурсам вашего ПК и усложняет процесс локального взлома базы SAM.

? Удалите лишние учетные записи, а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине, и доступ по сети для Администратора.

? Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор.

? Желательно, чтобы на вашем ПК был установлен какой-нибудь персональный брандмауэр, закрывающий доступ к открытым портам (ZoneAlarm, Outpost Firewall или что-нибудь подобное). Помимо защиты от попыток проникновения извне, с помощью брандмауэра вы сможете легко и просто контролировать доступ программ (среди них может быть, к примеру, затаившийся троянский конь) к Интернету. Любая попытка вырваться в Сеть не останется незамеченной вашей "огнедышащей стеной".

ПРИМЕЧАНИЕ

Очевидно, что вышеперечисленное адекватно для защиты рабочих станций. Если же речь идет об организации безопасности крупной корпоративной сети, о защите сервера/шлюза, то здесь взор системного администратора/администратора безопасности в первую очередь должен быть направлен на использование UNIX-подобных систем (FreeBSD, Linux) как наиболее безопасной альтернативе Windows.

? Не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать настолько же общественными, насколько места "М" и "Ж".

ПРИМЕЧАНИЕ

Под сниффером подразумевается программа, перехватывающая все пакеты, идущие по локальной сети. Как такое может быть? Просто. Сниффер переводит сетевую карту в "неразборчивый" режим, что позволяет захватить даже те пакеты, которые не предназначены для системы, в которой установлен сниффер. Пример: Cain & Abel.

? Как известно, при установлении SMB-сеанса клиент отвечает серверу, отправляя в сеть LM-хэш (Lan Manager-хэш) и NT-хэш (Windows NT). Возможность отправки двух вариантов зашифрованных паролей необходима для совместимости со старыми операционными системами. Как при локальном, так и при удаленном способах аутентификации система сначала пытается идентифицировать NT-хэш. Если его нет, система пытается проверить подлинность LM-хэша. А вот тут-то и «зарыта собака». Дело в том, что криптостойкость LM-хэша не выдерживает никакой критики (см. гл. 7).

? Не стоит пренебрегать установкой антивирусной программы. Увлекаться тоже не слудет. Факт, что "Каспер" может "убить" "Dr.Web" и наоборот, – ни для кого не секрет.

? Если вы любитель всевозможных сервисов, увеличивающих круг общения (ICQ, почтовый агент), необходимо помнить о том, что охотников за вашими личными данными достаточно, чтобы выведать у вас самую различную информацию, которая впоследствии может быть использована для удаленного вторжения. Реальный случай из жизни: в ICQ, методом социальной инженерии, взломщик прикидывается девчонкой и вступает с жертвой в живой разговор. Несколько минут разговора – и происходит обмен фотографиями, одна из которых (ясно, какая) – самый настоящий троянский конь. Жертва открывает JPG-файл, а вместо обещанного откровенного эксклюзива – ошибка при открытии файла. Троянский конь уже в вашей системе.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

RSA как фундамент ЭЦП

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

RSA как фундамент ЭЦП Не секрет, что наибольшую популярность среди криптоалгоритмов цифровой подписи приобрела RSA (применяется при создании цифровых подписей с восстановлением документа).На начало 2001 года криптосистема RSA являлась наиболее широко используемой


7.1. Политика безопасности как фундамент комплексной защиты. Понятие риска

Из книги Человеческий фактор в программировании автора Константин Ларри Л

7.1. Политика безопасности как фундамент комплексной защиты. Понятие риска Зачем нужна информационная безопасность (ИБ), какими средствами ее можно достичь и как с этим связана политика безопасности?Информация– это актив, ее можно купить и продать. Любая информационная


32 Re: Архитектура

Из книги Цифровой журнал «Компьютерра» № 35 [20.09.2010 — 26.09.2010] автора Журнал «Компьютерра»

32 Re: Архитектура Что произошло с архитектурой программного обеспечения? В типичном приложении для малого бизнеса или в стандартном коммерческом пакете зачастую бывает трудно обнаружить присутствие хоть какой-то структуры. Архитектура — будь то внутренняя


Промзона: Безопасная вилка для розеток Николай Маслухин

Из книги Интернет. Новые возможности. Трюки и эффекты [litres] автора Баловсяк Надежда Васильевна

Промзона: Безопасная вилка для розеток Николай Маслухин ОпубликованоНиколай Маслухин Практически в любом мебельном магазине можно купить блокираторы дверей и ящиков, насадки на острые предметы, заглушки на электрические розетки и тому подобные


Безопасная электронная почта: шифруем сообщения

Из книги Системное программирование в среде Windows автора Харт Джонсон М

Безопасная электронная почта: шифруем сообщения Вы, наверное, заметили, что очень часто при переходе на какой-либо сайт, где требуется регистрация и введение личных данных, в строке Адрес привычный http:// меняется на https:// и в нижней части окна Internet Explorer появляется значок в


Безопасная отмена выполнения потоков

Из книги TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) автора Фейт Сидни М

Безопасная отмена выполнения потоков Обсуждение предыдущего примера продемонстрировало, как безопасно отменить выполнение целевого потока, который использует состояния дежурного ожидания. Несмотря на использование АРС, такую отмену выполнения иногда называют


3.6 Архитектура TCP

Из книги Linux автора Стахнов Алексей Александрович

3.6 Архитектура TCP TCP реализуется на хостах. Наличие TCP на каждом конце соединения обеспечивает для доставки данных локального приложения следующие возможности:? Точность? Сохранение последовательности? Полноту? Исключение дублированияБазовый механизм для реализации


3.7 Архитектура UDP

Из книги Ubuntu 10. Краткое руководство пользователя автора Колисниченко Д. Н.

3.7 Архитектура UDP UDP реализуется на хостах. Протокол не обеспечивает целостности доставки данных, поскольку эта функция возлагается на обменивающиеся данными приложения. Именно они проверяют целостность доставляемых данных.Приложение, которое хочет переслать данные с


Крепкий фундамент

Из книги Цифровой журнал «Компьютерра» № 193 автора Журнал «Компьютерра»

Крепкий фундамент Есть три основных способа повысить доход от сайта.Привлечь больше посетителей. Чем больше клиентов попадает на сайт, тем чаще они превращаются в покупателей. Увеличить число посещений можно с помощью рекламы, позиционирования в поисковых системах,


Глава 7 Безопасная работа в Linux

Из книги Мир InterBase. Архитектура, администрирование и разработка приложений баз данных в InterBase/FireBird/Yaffil автора Ковязин Алексей Николаевич

Глава 7 Безопасная работа в Linux В этой главе мы в концептуальном плане, особо не вдаваясь в подробности, рассмотрим вопросы увеличения безопасности операционной системы Linux. Подробности вы всегда найдете в соответствующей литературе и главах, описывающих конкретное


25.1. Безопасная работа в Ubuntu

Из книги Операционная система UNIX автора Робачевский Андрей М.

25.1. Безопасная работа в Ubuntu Вспомните главу 2, когда мы очень легко получили права root, используя загрузочный LiveCD. Точно так же доступ к вашей системе может получить и злоумышленник. Алгоритм прост: загружается с LiveCD, получает права root, делает все, что хочет, с файлами на


UNIDO повысила оценку промышленной эффективности России. Фундамент для развития хайтека заложен? Михаил Ваннах

Из книги автора

UNIDO повысила оценку промышленной эффективности России. Фундамент для развития хайтека заложен? Михаил Ваннах Опубликовано 30 сентября 2013 Граждане нашей страны могли уже привыкнуть к довольно незавидным местам, отводимым Российской Федерации в


Университетское трио создаёт фундамент для технологии 4D-печати Андрей Васильков

Из книги автора

Университетское трио создаёт фундамент для технологии 4D-печати Андрей Васильков Опубликовано 02 октября 2013 Представьте автомобиль, рисунок покрышек которого динамически подстраивается под тип дороги, покрытие кузова само устраняет трещины и


Архитектура TCP/IP

Из книги автора

Архитектура TCP/IP Архитектура семейства протоколов TCP/IP основана на представлении, что коммуникационная инфраструктура включает три объекта: процессы, хосты, и сети. Процессы являются основными коммуникационными объектами, поскольку между процессами, в конечном итоге,