Geum.ru


Политика безопасности при работе в Интернете

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование



?колироваться.

6.20. Примеры специфических политик для отдельных сервисов

Соединение с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей - большое число машин в организации. Должна быть написана политика (на основе анализа и учета вида деятельности организации и задач, стоящих перед ней), которая четко и ясно определяет, какие сервисы разрешено использовать, а какие - запрещено, как для внутренних, так и для внешних пользователей.

Имеется большое число Интернетовских сервисов. В 4 главе описывались самые популярные сервисы, такие как FTP, telnet, HTTP и т.д. Другие популярные сервисы кратко описаны здесь.

r-команды BSD Unix, такие как rsh, rlogin, rcp и т.д., предназначены для выполнения команд пользователями Unix-систем на удаленных ситсемах. Большинство их реализаций не поддерживают аутентификации или шифрования и являются очень опасными при их использовании через Интернет.

Протокол почтового отделения (POP) - это протокол клиент-сервер для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). POP не поддерживает шифрования - читаемые письма можно перехватить.

Протокол чтения сетевых новостей (NNTP) использует TCP и является протоколом с многоэтапной передачей информации. Хотя NNTP относительно прост, недавно имел место ряд атак на распространенные программы NNTP. NNTP-сервера не должны работать на той же машине, что и брандмауэр. Вместо этого надо использовать имеющиеся стандартные прокси-сервисы для NNTP.

Finger и whois выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо - в большинстве организаций finger должен быть отключен или его использование должно быть ограничено с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.

Протоколы удаленной печати в Unix lp и lpr позволяют хостам печатать, используя принтеры, присоединенные к другим хостам. Lpr - это протокол с использованием очереди запросов на печать, а lp использует rsh для этого. Обычно их обоих стоит отключить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.

Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации производитель не сделал прокси-сервера для них.

Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и iитается небезопасным при использовании его в недоверенных сетях. NFS должен быть запрещен с помощью брандмауэра.

Живое аудио (real audio) позволяет получать оцифрованный звук по сетям TCP/IP. Кроме него был разработан еще ряд сервисов для использования мультимедийных возможностей WWW.

Какие сервисы надо разрешать, а какие - запрещать, зависит от потребностей организации. Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 5.2

  • Состояние(Да/Нет) = могут ли пользователи использовать этот сервис
  • Аутентификация (Да/Нет) = выполняется ли аутентификация перед началом использования сервиса

6.21. Начальник отдела

Ниже приведена таблица учета административных проблем, связанных с доступом к Интернету

СервисПротоколыЧто нужно сделатьПочему это надо сделатьE-mailПользователи должны иметь по одному адресу электронной почты

  • Чтобы не раскрывать коммерческой информации. SMTPСервис электронной почты для организации должен осуществляться с помощью одного сервера
  • Централизованный сервис легче администрировать.
  • В SMTP-серверах трудно конфигурировать безопасную работу. POP3POP-пользователи должны использовать APOP-аутентификацию.
  • Чтобы предотвратить перехват паролей. IMAPРекомендовать переход на IMAP.
  • Он лучше подходит для удаленных пользователей, имеет средства шифрования данных. Новости USENET NTTPБлокировать на брандмауэре
  • Не нужен для деятельности организации WWWHTTPНаправлять на www.my.org
  • Централизованный WWW легче администрировать.
  • WWW-сервера тяжело конфигурировать *Все другиемаршрутизировать6.22. Сотрудник отдела автоматизации
    • Table 6.2 Образец политики безопасности для Интернета ПолитикаСервисИзнутри наружуИзвне внутрьОбразец политикиСостояниеАутентификацияСостояниеАутентификацияFTPДаНетДаДаДоступ к FTP должен быть разрешен изнутри снаружу. Должна использоваться усиленная аутентификация для доступа снаружи к FTP.TelnetДаНетДаДаДоступ по Telnet должен быть разрешен изнутри наружу. При доступе снаружи должна использоваться усиленная аутентификация.RloginДаНетДаДаrlogin на внутренние машины организации с внешних хостов требует письменного разрешения ответственного за сетевые сервисы и использования усиленной аутентификации.HTTPДаНетНетНетВсе WWW-сервера, предназначенные для использования внешними пользователями, должны быть размещены за брандмауэром. Входящий HTTP через брандмауэр должен быть запрещен.SSLДаНетДаДаТребуется использовать в сеансах SSL клиентские сертификаты при прохождении SSL-сеансов через брандмауэр. POP3НетНетДаНетPOP-сервер организации должен быть размещен внутри за брандмауэром. Брандмауэр будет пропускать POP-трафик только к POP-серверу. Требуется использовать APOP.NNTPДаНетНетНетВнешний доступ к NNTP-серверу запрещен.Real AudioНетНетНетНетСейчас нет коммерческой необходимости поддерживать живое аудио через брандмауэр. Если такой сервис требуется, надо связаться с ответственным за сетевые сервисы.LpДаНетНетНетВходящие запросы на lp-сервис должны блокироватьс