Отправляет email-рассылки с помощью сервиса Sendsay

Безопасность компьютерных сетей и защита информации

Подписаться Бесплатная новостная рассылка Подписчиков 9.086 RSS
  Апрель 2001  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт рассылки: http://www.itnews.ru
Открыта: 23-02-2001

Автор
Сергей

Статистика

9.086 подписчиков
0 за неделю
  Все выпуски  

Rainbow - новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru проекта Citycat.Ru
 

"Безопасность - это не продукт, это процесс."

 Выпуск  7

Уважаемые подписчики компания Rainbow Technologies рада приветствовать Вас !


Снова о комплексировании средств защиты информации

    Зачастую при обсуждении различных механизмов защиты корпоративных сетей, например межсетевых экранов, специалисты напрямую связывают надежность защиты периметра сети с защитой отдельных рабочих станций. В общем это достаточно логично, если только обсуждается "идеальная" сеть, в которой пользовательские станции защищены на сто процентов. Однако таких сетей в природе не существует, во всяком случае пока не было. И завершенная система безопасности должна использовать целый набор различных механизмов защиты.
    Когда мы рисуем схему подключения корпоративной сети к Internet, то изображаем межсетевой экран в виде кирпичной стены. Очень хотелось бы верить что так оно на самом деле и есть - надежная непроницаемая защита. Однако, на практике эта защита не такая уж непроницаемая по причине всевозможных "дыр" в клиентском ПО, также часть потенциальных мест для атаки из вне создают сами администраторы систем безопасности разрешая пользователям своих сетей доступ к различным ресурсам Internet.
    Конечно, межсетевой экран необходим для создания системы безопасности, но он является лишь одной из ее составляющих. Сам по себе брандмауер не способен полностью защитить корпоративную сеть от вирусов или атак типа DoS. Но и антивирусная защита и межсетевой экран вместе не уберегут от злонамеренных действий какого-либо нелояльного сотрудника Вашей компании.
    Таким образом, завершенная и эффективная система защиты, должна включать в себя целы ряд компонентов, таких как:

  • административные меры (различные инструкции, приказы);
  • технические решения (межсетевые экраны, антивирусные программы);
  • меры ограничения физического доступа.
    В этом месте, наверное, кстати озвучить две основные аксиомы построения систем безопасности информации. Первая из которых гласит: "Невозможно создать абсолютно защищенную сеть, пригодную для работы". Всем понятно, что защитить сеть на 100 процентов невозможно, тогда ей просто невозможно будет пользоваться, теряется сам смысл создания сети как таковой. Вторая аксиома звучит следующим образом: "Система безопасности подобна цепи, прочность которой равна прочности самого слабого звена". Несомненно, эта аксиома выглядит вполне очевидной, но на ее основе зачастую делают неправильные выводы. Представим себе такую гипотетическую ситуацию. При конфигурации межсетевого экрана Вы создали сервис, запрещающий прохождение электронной почты с опасными вложениями (.exe, .scr, .vbs и так далее) - построена первая линия защиты. На все рабочих станциях сети установлено антивирусное программное обеспечение, но только 50 процентов сотрудников своевременно проводят его обновление. Очевидно, что самым слабым звеном данной системы безопасности является именно антивирусное ПО. Таким образом можно сделать вывод, что именно эти 50 процентов рабочих станций и являются потенциальными объектами для заражения вирусами. Правильно? НЕТ!!! Инфицированной может стать вся ваша сеть. Это пример упрощенного применения данной аксиомы.
    Совершенно очевидно, что не существует какой-либо системы способной самостоятельно на 100 процентов защитить корпоративную сеть. Можно лишь стремиться к более высокому уровню безопасности сочетая различные инструменты и технологии. В науке существует понятие "синергетика", означающее взаимодействие двух или более сил, результат которого имеет большую эффективность, чем данный параметр у каждой по отдельности. Это сложное и может где-то не очень понятное определение, как нельзя более точно выражает всю суть комплексной системы безопасности компьютерных сетей.
    Никто не станет устанавливать один межсетевой экран за другим пытаясь тем самым повысить защиту сети. Более логичным будет проведение неких инструктажей сотрудников по поводу своевременного обновления баз антивирусных программ, недопустимости использования на рабочем месте личных ноутбуков или дискет с непроверенной информацией и так далее. Ограничение доступа персонала к серверам с критически важной информацией. И целого ряда других мер.
    Допустим у Вас межсетевой экран Firebox II компании WatchGuard. Замечательно. Но он бессилен защитить сервера Вашей сети от деструктивных действий изнутри периметра сотрудников компании, не важно преднамеренных или нет. Можно, конечно каждый сервер защитить отдельным межсетевым экраном. Но это экстенсивный путь, не проще ли установить установить в Вашей сети какой-либо продукт класса IDS (Intrusion Detection System), например eTrust компании Computer Associates. Он позволит в режиме реального времени отслеживать всю подозрительную деятельность в сети. А  сервера с критически важной для Вашей компании информацией защитить при помощи системы ServerLock, что позволит значительно усилить контроль доступа к информации внутри сети, лишив тем самым злоумышленника возможности изменить или уничтожить данные. Совершенно не нужно быть гением, чтобы организовать такую систему. Необходимо лишь базовые знания сетевых технологий и потенциально возможных опасностей.
    В следующем выпуски нашей рассылки будут предложены конкретные пути создания комплексных (многоуровневых) систем безопасности компьютерных сетей.
 
 
Проблемы с аутентификацией в межсетевых экранах серии Cisco PIX

    В начале месяца появилось сообщение, что компания Cisco уведомила своих клиентов использующих межсетевые экраны Cisco PIX 515, 520, что обнаружена ошибка при аутентификации пользователей через сервера TACACS+ как изнутри так и снаружи. При определенных условиях межсетевой экран открывает значительное число сессий аутентификации, что приводит к его зависанию и перезагрузке. Данная проблемма наблюдалась в версии программного обеспечения 5.1.4. Более подробно механизм атаки изложен на secuityfocus . ъ
    Дополнительную информацию можно получить направив запрос автору расылки

    С уважением Игорь Камолов.
 

Rainbow Technologies
http://subscribe.ru/
E-mail: ask@subscribe.ru
В избранное