Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Rainbow - новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru проекта Citycat.Ru

"Безопасность - это процесс"

Выпуск 8

Уважаемые подписчики компания Rainbow Technologies рада приветствовать Вас !


О создании многоуровневой системы защиты корпоративной сети

    В предыдущем выпуске рассылки был начат разговор о концепции и принципах построения многоуровневых всеобъемлющих систем защиты корпоративных сетей. Сегодня Мы публикуем вторую и завершающую часть данной статьи.

    Одним из основных принципов построения систем защиты сетей, является ограничение доступа к ненужным для пользователя ресурсам (POLA - Principle of Least Access). Каждый раз при установке нового программного обеспечения  Вы создаете еще одно потенциально уязвимое место в системе защиты. Это происходит по той причине, что разработчики ПО стремятся сделать его как можно более совместимым с другими программными продуктами. И естественно, установки "по умолчанию" любого ПО обеспечивают максимум интероперабельности. Даже если Вы потом начнете постепенно закрывать образованные новым ПО бреши в защите, то никогда не будет знать наверняка все ли недостатки устранены. Знаете почему? Потому что, пользователи обладающие правами доступа сверх им необходимым никогда об этом не скажут. И не потому, что они такие плохие, а потому что он об этом и не догадываются.
  Применение принципа ограничения доступа всегда требует, можно сказать даже некоей храбрости. Конечно, легче всего разрешить доступ всем сотрудникам ко всем ресурсам. И о Вашем существовании вспомнят лишь только тогда когда будет уже поздно - вашу сеть взломают. Но хорошая система защиты не может удовлетворять всем запросам сразу. Когда пользователи вашей сети всем довольны и к вам не никто с претензиями не обращается, это тревожный сигнал. В такой ситуации девять из десяти случаев это потенциально уязвимые места. Не надо успокаиваться, если Вас никто из сотрудников не критикует, это должно только настораживать. Хотя конечно и в этом надо знать меру и чрезмерно не ограничивать права пользователей.
Основные элементы многоуровневой системы защиты корпоративных сетей.

  1. Корпоративная политика безопасности.   Политика безопасности является отправной точкой создания системы. Именно здесь закладываются основные принципы и правила безопасности, определяются уровни привилегий различных пользователей. Зачастую, в компаниях даже и не думают об этом. Создание системы безопасности при отсутствие внятной и четкой политики равносильно строительству жилого дома без генерального плана, результат и в первом и втором случаях будет плачевным. Ничего кроме иллюзии защищенности и громадных финансовых затрат Вы не получите.
  2. Маршрутизаторы. Это первая линия где Ваша сеть непосредственно соприкасается с Internet. Производители данной коммуникационной аппаратуры должны создавать как можно более защищенные версии их программного обеспечения. Никогда не оставляете активными профили пользователей и пароли "по умолчанию".
  3. Анализ log-файла. Функционирование значительного числа компонентов Вашей сети можно контролировать через записи в log-файле. К их числу относятся межсетевые экраны, маршрутизаторы, Web, файл-сервера и так далее. Досконально изучите назначение каждого поля записи log-файла. Это позволит детально оценивать состояние Вашей сети. Постарайтесь проводить анализ содержания этого файла ежедневно. Если, к сожалению, это выполнить возможно, то хотя бы периодически просматривайте его.
  4. Межсетевой экран. Межсетевые экраны изначально  сконфигурированы таким образом, чтобы закрыть наиболее опасные "дыры" в защите сети. Однако только этим довольствоваться нельзя. Усиливайте и совершенствуйте правила безопасности, действующие на межсетевом экране. Если какой-либо сервис временно не используется, то лучше его закрыть. Периодически просматривайте конфигурационный файл Вашего межсетевого экрана и изменяйте его в соответствии с текущей обстановкой. В этом случае неоценимую помощь Вам может оказать служба LiveSecurity компании WatchGuard, являющаяся одной из составных частей аппаратно-программного комплекса межсетевого экрана WatchGuard Firebox System. При помощи нее группа немедленного реагирования компании предоставит конкретные рекоменданции по настройке межсетевого экрана для устранения опасности всевозможных видов атак, новых вирусов и так далее.
  5. Защита серверов. Защитите сервера Вашей сети на уровне операционной системы и приложений. Ограничьте  по максимуму привилегии пользователей. Приложения типа ServerLock позволят исключить использование  прав и привилегий администратора без вашего ведома. Проинструктируйте пользователей о том, каким образом должны составляться пароли. Периодически проверяйте офис, на наличие различных листочков и стикеров с записанными на них паролями (пользователи это очень любят делать).
  6. Антивирусное программное обеспечение. Основным требованием к продуктам этого класса является только одно, это своевременное обновление антивирусных баз. И желательно контролировать данный процесс.
  7. Системы IDS. Конечно, очень хорошо, если Ваше руководство согласилось и разрешило закупить систему такого класса. Их можно назвать последним рубежом обороны, если все предыдущие механизмы злоумышленник каким-то образом обошел, то IDS обмануть практически невозможно.
    Таким образом, завершенная система безопасности должна включать в себя все вышеперечисленные компоненты. И создать такой комплекс вполне по силам профессионалам.
 
 
Потенциальная опасность для FTP серверов

    10 апреля CERT обнародовала релиз, в котором, сообщается о потенциальной опасности для коммерческих FTP серверов. Целый ряд FTP серверов некорректно выполняют обработку буфера, что приводит к тому что злоумышленник может получить права root.
    Проблема является следствием так называемой функции glob(). Благодаря, которой, появляется возножность получить полный список файлов используя маски. Например, при выполнении команды <mget *.c"> пользователь получит полный список файлов исходных текстов созданных на "Си". Когда FTP daemon получает запрос, содержащий тильду (~) в качестве первого символа, он выполнят процедуру glob и предоставляет пользователю содержимое каталога, далее действуя аналогичным образом можно спокойно выполнить переполнение буфера. Прямым следствием этого является непосредственный доступ к другим областям памяти.

    Такая некорректная работа отмечается в:

    • Solaris 8; (Внимание! Особая опасность, т.к. именно под управлением этой операционной системы работает большинство программных межсетевых экранов - CheckPoint, Застава-Джет, CyberGuard и пр)
    • IRIX 6.5.X;
    • HPUX 11;
    • FreeBSD 4.2;
    • OpenBSD 2.8;
    • NetBSD 1.5;
    • UXP/V.
    Для решения возникшей проблемы необходимо временно (до выходов патчей фирм-разработчиков ПО) запретить анонимным пользователям доступ на запись в отведенные им каталоги. Но, для FTP серверов построенный на FreeBSD или IRIX, этого недостаточно. Если длина имени каталога составляет от 9 до 12 символов, все равно сохраняется потенциальная опасность компрометации сервера. Убедитесь что имена каталогов не превышают 8 символов, тогда эта опасность будет устранена.
    Хотя ошибка обработки буфера в FTP серверах обнаружена совсем недавно, уже выпущены патчи для OpenBSD и NetBSD.

    Дополнительную информацию можно получить, направив запрос автору рассылки

    С уважением Игорь Камолов.
 
 

Rainbow Technologies


http://subscribe.ru/
E-mail: ask@subscribe.ru

В избранное