Наше Місто Івано-Франківськ - Форум
Привіт, Гість
( Вхід | Реєстрація )
 
Форум Блоги Анонси Статті Погода Пошук Галерея Карта Довідка Транспорт
 
   Відповісти   Створити нову тему
> Безпека мережі, актуально
pozitronik
повідомлення 26.12.2007, 15:25
Порядковий номер повідомлення #1

E-makers team


Хто: Технічний відділ
Повідомлень: 1134
З нами з: 21.9.2007
Мешканець №: 5
Подякували: 102 раз



Забезпечення безпеки мережі вимагає постійної роботи і пильної уваги до деталей. Поки "в Багдаді все спокійно", ця робота полягає в прогнозі можливих дій зловмисників, плануванні мір захисту і постійному навчанні користувачів. Якщо ж вторгнення відбулося, то адміністратор повинен виявити пролом в системі захисту, її причину і метод вторгнення
Формуючи політику забезпечення безпеки, адміністратор перш за все проводить інвентаризацію ресурсів, захист яких планується; ідентифікує користувачів, яким потрібний доступ до кожного з цих ресурсів, і з'ясовує найбільш вірогідні джерела небезпеки для кожного з цих ресурсів. Маючи цю інформацію, можна приступати до побудови політики забезпечення безпеки, яку користувачі будуть зобов'язані виконувати.
Політика забезпечення безпеки - це не звичайні правила, які і так всім зрозумілі. Вона повинна бути представлена у формі серйозного друкарського документа. А щоб постійно нагадувати користувачам про важливість забезпечення безпеки, можна розіслати копії цього документа по всьому офісу, щоб ці правила завжди були перед очима співробітників.
Хороша політика забезпечення безпеки включає декілька елементів, зокрема наступні:

Оцінка ризику.
Що саме ми захищаємо і від кого? Потрібно ідентифікувати цінності, що знаходяться в мережі, і можливі джерела проблем.
Відповідальність. Необхідно вказати відповідальних за вживання тих або інших заходів по забезпеченню безпеки, починаючи від затвердження нових облікових записів і закінчуючи розслідуванням порушень.
Правила використання мережевих ресурсів. У політиці повинно бути прямо сказано, що користувачі не мають права вживати інформацію не за призначенням, використовувати мережу в особистих цілях, а також навмисно заподіювати збиток мережі або розміщеної в ній інформації.
Юридичні аспекти. Необхідно проконсультуватися з юристом і з'ясувати всі питання, які можуть мати відношення до інформації, що зберігається або генерується в мережі, і включити ці відомості в документи по забезпеченню безпеки.
Процедури по відновленню системи захисту. Слід вказати, що повинне бути зроблене у разі порушення системи захисту і які дії будуть зроблені проти тих, хто став причиною такого порушення.

Класифікація вторгнень
Всі вторгнення можна розділити на п'ять класів, залежно від того що є їх метою.
Апаратні засоби. Робочі станції і сервери, принтери, дискові накопичувачі і мережеві кабелі, а також такі міжмережеві пристрої, як мости, маршрутизатори і комутатори.
Програмне забезпечення. Будь-яке програмне забезпечення, що працює на будь-якому комп'ютері в мережі, є потенційними "дверима" для зловмисника. Це можуть бути програми, куплені у зовнішніх розробників і програмне забезпечення для внутрішнього використання, створене власним відділом програмістів. Саме тому операційні системи потребують регулярної установки патчів.
Інформація. Найбільш значною цінністю, звичайно ж, є дані, які створюються або використовуються в мережі. Програмне забезпечення і операційні системи можна переустановити - а якщо піддадуться розголошуванню важливі дані, такі як списки клієнтів, відомості про продажі або корпоративні секрети, то збиток бізнесу може бути значним.
Люди. До "групи ризику" входять всі користувачі, що мають доступ до мережі або до будь-якого підключеного до неї пристрою.
Документи. Про цей дуже важливий для взломщиків ресурс часто забувають. Паролі записуються на папірцях; звіти, що містять конфіденційну інформацію, роздруковуються, а потім все це часто викидається в сміттєву корзину. Краще подрібнити ці папери на дрібні шматочки або зробити їх нечитаними іншим способом - і тільки потім викинути.
Хороша політика забезпечення безпеки, зрозуміла всім користувачам, - це щось набагато більше, ніж просто засіб запобігання деяким можливим проблемам. Хорошою практикою є процедура регулярного повторного ознайомлення користувачів з цією політикою, нарівні з інструктажем по техніка безпеки на робочому місці. Це не повинно бути порожньою формальністю. Важливо, щоб користувачі усвідомлювали, яку відповідальність вони беруть на себе одночасно з правом доступу до корпоративної комп'ютерної мережі.

Фізична безпека
Запобігання неавторизованому доступу до мережевих ресурсів означає, перш за все, неможливість фізичного доступу до компонентів мережі - робочих станцій, серверів, мережевих кабелів і пристроїв, і тому подібне Коли мережеве з'єднання виходить за межі вашої зони впливу, наприклад в точці підключення до зовнішнього провайдера інтернету, то контроль за фізичними аспектами мережі, зрозуміло, втрачається - і залишається покладатися на інші методи, такі як шифрування і туннелирование. Але устаткування в приміщенні компанії повинне знаходитися під пильним спостереженням.
Як би безглуздо це не звучало, але від несанкціонованого доступу часто рятує простій дверний замок. Сервери, на яких зберігаються важливі або уразливі дані, не повинні стояти відкрито на столі або в незачиненій кімнаті, куди може зайти хто завгодно. Аналогічним чином повинні захищатися маршрутизатори, концентратори, комутатори і інші пристрої. Кімнати з комп'ютерами повинні закриватися на замок або знаходитися під цілодобовим спостереженням. Якщо хтось із співробітників компанії працює цілодобово, то це кімнату закривати не обов'язково - але тільки в тому випадку, якщо персонал не чергує поодинці. У ідеалі доступ в подібні приміщення повинен контролюватися, наприклад, шляхом реєстрації в журналі.
Резервні носії, такі як стрічки або перезаписувані компакт-диски, повинні бути захищені так само, як і початкові дані. Неприпустимо зберігати резервні копії на сервері або робочій станції, залишати картріджи і CD на столі або в незачиненому ящику.

Утилізація старих комп'ютерів
При оновленні мережі і установці нових робочих станцій і серверів старе, непотрібне устаткування часто передають співробітникам компанії або іншим організаціям, наприклад школам. У політиці забезпечення безпеки повинне бути правило, згідно якому зі всіх жорстких дисків, що підлягають списанню, повинні бути видалені дані, а при необхідності - наново встановлена легальна копія операційної системи. Там же повинна бути описана процедура утилізації використаних дискет, компакт-дисків і картріджів з резервними копіями. При щонайменшій підозрі, що на них могла зберегтися важлива інформація, яку можна відновити, краще спочатку розбити ці носії і тільки потім викинути. Хорошим засобом знищення інформації з таких носіїв є магнітний пристрій "тотального" стирання.

Програмний доступ
Окрім фізичного, слід обмежити і програмний доступ до мережі. І все одно, незалежно від того наскільки добре налагоджений контроль доступу, завжди знайдеться людина, яка порушить цей захист. Тому необхідно мати можливість прослідкувати мережеві події і визначити по ним, чи не намагався хтось вторгнутися в мережу і наскільки це вдалося.

Існує декілька типових механізмів управління доступом до мережі:
• призначені для користувача облікові записи і паролі;
• фізичні ідентифікатори;
• захист ресурсів.
У багатьох операційних системах важливою частиною цієї схеми є концепція володіння ресурсами. Наприклад, в OPENVMS і Windows 2000/Server 2003 відстежуються користувачі, що створюють ресурси (такі як файли). Власники таких ресурсів мають право змінювати режим захисту файлу і надавати іншим користувачам повноваження, необхідні для роботи з цим файлом. Те ж саме, хоча і у меншій мірі, можна сказати про операційні системи Unix/Linux.7

Ідентифікація користувачів
Якщо в мережі не зберігаються надсекретні дані, то для доступу до ресурсів звичайний достатньо логіна і пароль. Управління такими системами зазвичай не представляє складнощів. У Windows 2000/XP і Server 2003 можна створювати відособлені захищені зони управління - домени. Мережевий адміністратор може надати користувачам домена права доступу до ресурсів будь-якого комп'ютера, будь то сервер або робоча станція. Крім того, при співпраці адміністраторів між доменами можуть бути встановлені довірчі відносини, внаслідок чого користувачі дістануть доступ до мережевих ресурсів іншого домена по тому ж обліковому запису і паролю. У Windows 2000 і пізніших версіях для розмежування доступу до важливих ресурсів можуть застосовуватися групові політики.
У Novell NetWare для цього застосовується служба Novel Directory Services, яка надає користувачеві реєстраційне мережеве ім'я. Кожен користувач представляється в каталозі об'єктом User, у властивостях якого міститься інформація про його паролі і з'єднання.
У операційних системах Unix концепція домена відсутня. Замість цього кожен хост Unix містить файл паролів, де зберігається інформація про кожного користувача, включаючи шифрований пароль. Для доступу до ресурсів інших мережевих хостов користувач Unix повинен або реєструватися на цьому комп'ютері, або використовувати проксі. Утиліти TCP/IP, такі як FTP і Telnet, часто пересилають паролі користувачів по мережі відкритим текстом і тому є легкою здобиччю для хакера.
У Unix для виконання звичайних мережевих операцій, таких як копіювання або друк файлів, або реєстрація на видаленій системі, використовуються утиліти видаленої роботи, зазвичай звані r-командами (їх імена починаються буквою r). Такі утиліти дуже корисні в мережевому середовищі, де один користувач працює на декількох комп'ютерах, але часто викликають проблеми з безпекою: адже для виконання команди на видаленому хосте користувачеві досить мати дійсний для цього хоста обліковий запис.
Замість пароля право доступу визначається записом у файлі /etc/hosts.equiv або.rhosts. Видалений комп'ютер довіряє комп'ютеру, на якому користувач виконує r-команду, якщо знаходить в одному з цих файлів відповідний запис. Кожен запис файлу /etc/hosts.equiv містить ім'я хоста і ім'я користувача і дозволяє ідентифікувати користувачів і хосты, яким дозволено виконувати відповідні команди. Тому введення пароля не вимагається. Вважається, якщо користувач реєструвався на видаленому хосте, то він вже пройшов аутентифікацію. Файл.rhosts працює так само, але знаходиться в домашньому каталозі користувача. Видалені користувачі, вказані в цьому файлі, можуть виконувати дії на підставі своїх облікових записів.
Не дивлячись на те, що в більшості операційних систем Unix і Linux збереглися базові r-команды, тепер у них з'явилася альтернатива - утиліти захисної оболонки (Secure Shell, SSH), що забезпечують передачу даних подібно до r-командам, але з аутентифікацією і шифруванням. Докладніші відомості про SSH можна отримати за адресою, а безкоштовні версії SSH-утилит - на веб-сайті.
Все це дуже нагадує механізм довірчих відносин Windows NT/2000/Server 2003/XP - але все таки це різні механізми. Зловмисник легко може видати себе за видалений вузол і дістати доступ до системи Unix/Linux за допомогою r-команд.
Системні демони і служби
Фонові процеси, що виконують різні функції на серверах Windows, називаються службами. У операційних системах Unix також є аналогічні фонові процеси, звані демонами. І ті, і інші процеси є фоновими - не вимагають взаємодії з клавіатурою і виконуються на комп'ютері, чекаючому запуску деякої функції. Іноді вони можуть стати причиною порушення системи захисту.
Слід ознайомитися з фоновими процесами, що виконуються на всіх серверах мережі, і відключити зайві. Наприклад, в системах Unix є багато фонових демонів, пов'язаних з набором протоколів TCP/IP. На одних комп'ютерах вони, потрібні, на інших же використовуються, в кращому разі, тільки деякі з них. Нижче перераховані деякі демони, яких нерідко можна відключити.
Служби TCP/IP, які іноді можна відключити
uucp - копіювання з одного комп'ютера Unix на іншій
finger - отримання інформації про користувачів
tftp - простий протокол передачі файлів (Trivial File Transfer Protocol)
talk - можливість обміну даними по мережі між користувачами
bootp - надання клієнтам інформації про мережу
systat - отримання інформації про систему
netstat - отримання інформації про мережу, такий як поточні з'єднання
rusersd - отримання інформації про користувачів, зареєстрованих в даний момент
rexd - видалення працюючої утиліти

Наприклад, служба tftp є спрощеним варіантом FTP. Вона компактна і зазвичай легко реалізується у вигляді перепрограмованого ПЗП. Тому ця служба корисна в деяких пристроях, що вимагають завантаження операційної системи з хоста. Проте слід врахувати, що, на відміну від FTP, служба tftp не має доступу до механізмів управління і, таким чином, ім'я користувача і пароль для неї непридатні. А оскільки аутентифікації немає, ту відсутність правильної настройки - наприклад, дозволи використання тільки в певній меті - може привести до серйозних порушень системи захисту.
На серверах Windows є дві утиліти з складу Resource Kit, які дозволяють встановити і запустити в режимі служби практично будь-яку програму або пакетний файл. Це INSTRV.EXE, яка застосовується для установки виконуваних програм, і SRVANY.EXE, яку можна використовувати для перетворення на службу інших файлів. На сервері, де часто реєструється декілька користувачів, можна внести до плану регулярного обслуговування проглядання працюючих служб і відключення або видалення тих з них, які не були встановлені при початковій установці операційної системи або не поставляються з продуктами, встановленими на даному комп'ютері. Для цього потрібно регулярно проводити інвентаризацію всього, що працює на кожному сервері. Інформація, отримана в результаті такої інвентаризації, може використовуватися і в інших цілях - наприклад, при переустановленні сервера після аварії (див. інвентаризація).

Зразок політики корпоративної безпеки
Мета: гарантувати використання за призначенням комп'ютерів і телекомунікаційних ресурсів Компанії її співробітниками, незалежними підрядчиками і іншими користувачами. Всі користувачі комп'ютерів зобов'язані використовувати комп'ютерні ресурси кваліфіковано, ефективно, дотримуючись норм етики і дотримуючи закони.
Наступна політика, її правила і умови стосуються всіх користувачів комп'ютерних і телекомунікаційних ресурсів і служб компанії, де б ці користувачі не знаходилися. Порушення цієї політики спричиняє за собою дисциплінарні дії, аж до звільнення і/або порушення кримінальної справи.
Дана політика може періодично змінюватися і переглядатися в міру необхідності.
• Керівництво компанії має право, але не зобов'язано перевіряти будь-який або всі аспекти комп'ютерної системи, зокрема електронну пошту, з метою гарантувати дотримання даної політики. Комп'ютери і бюджети надаються співробітникам Компанії з метою допомогти їм ефективніше виконувати свою роботу.
• Комп'ютерна і телекомунікаційна системи належать Компанії і можуть використовуватися тільки в робочих цілях. Співробітники Компанії не повинні розраховувати на конфіденційність інформації, яку вони створюють, посилають або отримують за допомогою тих, що належать Компанії комп'ютерів і телекомунікаційних ресурсів.
• Користувачам комп'ютерів слід керуватися перерахованими нижче запобіжними засобами відносно всіх комп'ютерних і телекомунікаційних ресурсів і служб. Комп'ютерні і телекомунікаційні ресурси і служби включають (але не обмежуються) наступне: хост-компьютеры, сервери файлів, робочі станції, автономні комп'ютери, мобільні комп'ютери, програмне забезпечення, а також внутрішні і зовнішні мережі зв'язки (інтернет, комерційні інтерактивні служби і системи електронної пошти), до яких прямо або побічно звертаються комп'ютерні пристрої Компанії.
• Користувачі повинні дотримувати умови всіх програмних ліцензій, авторське право і закони, що стосуються інтелектуальної власності.
• Невірні, нав'язливі, непристойні, наклепницькі, образливі, загрозливі або протизаконні матеріали забороняється пересилати по електронній пошті або за допомогою інших засобів електронного зв'язку, а також відображати і зберігати їх на комп'ютерах Компанії. Користувачі, подібні матеріали, що відмітили або отримали, повинні відразу повідомити про цей інцидент своєму керівникові.
• Все, що створене на комп'ютері, зокрема повідомлення електронної пошти і інші електронні документи, може бути проаналізовано керівництвом Компанії.
• Користувачам не дозволяється встановлювати на комп'ютерах і в мережі Компанії програмне забезпечення без дозволу системного адміністратора.
• Користувачі не повинні пересилати електронну пошту іншим особам і організаціям без дозволу відправника.
• Електронна пошта від юриста Компанії або адвоката, що представляє її, повинна містити в колонтитулі кожної сторінки повідомлення: "Захищено адвокатським правом/без дозволи не пересилати".
• Користувачам забороняється змінювати і копіювати файли, що належать іншим користувачам, без дозволу власників файлів.
• Забороняється використання без попереднього письмового дозволу комп'ютерних і телекомунікаційних ресурсів і служб Компанії для передачі або зберігання комерційних або особистих оголошень, клопотань, рекламних матеріалів, а також руйнівних програм (вірусів і/або коди, що самовідтворюється), політичних матеріалів і будь-якої іншої інформації, на роботу з якою у користувача немає повноважень або призначеною для особистого використання.
• Користувач несе відповідальність за збереження своїх паролів для входу в систему. Забороняється роздруковувати, зберігати в мережі або передавати іншим особам індивідуальні паролі. Користувачі несуть відповідальність за всі транзакції, які хто-небудь зробить за допомогою їх пароля.
• Можливість входу в інші комп'ютерні системи через мережу не дає користувачам права на підключення до цих систем і на використання їх без спеціального дозволу операторів цих систем.
 
COLOBOCman
повідомлення 27.12.2007, 4:49
Порядковий номер повідомлення #2

Почесний городянин


Хто: Адміністратор
Повідомлень: 1086
З нами з: 16.10.2007
З: Франик
Мешканець №: 40
Подякували: 126 раз



Стаття супер, но з цим не згідний.

Цитата
Те ж саме, хоча і у меншій мірі, можна сказати про операційні системи Unix/Linux
 
Majesty
повідомлення 27.12.2007, 12:12
Порядковий номер повідомлення #3

Драконоподібний мамонт


Хто: Технічний відділ
Повідомлень: 1486
З нами з: 21.9.2007
З: Франик
Мешканець №: 4
Подякували: 161 раз



Цитата
У багатьох операційних системах важливою частиною цієї схеми є концепція володіння ресурсами. Наприклад, в OPENVMS і Windows 2000/Server 2003 відстежуються користувачі, що створюють ресурси (такі як файли). Власники таких ресурсів мають право змінювати режим захисту файлу і надавати іншим користувачам повноваження, необхідні для роботи з цим файлом. Те ж саме, хоча і у меншій мірі, можна сказати про операційні системи Unix/Linux.7

Цитата
Стаття супер, но з цим не згідний.

Ти маєш на увазі, що до ніксів це відноситься в більшій мірі?
 

   Відповісти   Створити нову тему

 
RSS Текстова версія форуму; Котра година: 24.6.2024, 6:02