100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №55 "IP-телефония подвержена заражению червями, вирусами и троянцами"24.08.2009 10:53
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Этот миф проистекает из того факта, что «АТС» (сервер управления), которая управляет телефонными звонками, обычно строится на базе распространенных операционных систем - Windows или Linux. Это позволяет некоторым экспертам делать вывод, что заразить такой сервер управления ничего не стоит и вся телефонная сеть будет быстро выведена из строя.
Разумеется, зерно истины в этом мифе существует и это одна из немногих угроз, которая применима только к IP-, а не традиционной телефонии. Но, как и во многих других мифах, надо четко отделять зерна от плевел и понимать, где миф имеет под собой почву, а где это не более чем уловка. Как сложно себе представить сервер АБС, выставленный в Интернет, так и сервер управления IP-телефонией обычно защищается не менее серьезно.
Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами используется целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной программ. Первой линией обороны является антивирус, который защищает сервер управления от локального или удаленного заражения.
Вторая линия обороны заключается в сегментации сети и отделении IP-АТС от всех остальных узлов. При этом усилить эту линию можно применением межсетевых экранов и систем обнаружения и предотвращения атак, разграничивающих доступ к инфраструктуре IP-телефонии и отражающих любые несанкционированные действия против нее.
Третья линия обороны строится на использовании персональных систем предотвращения атак (HIPS) и антивирусов на оконечных узлах, участвующих в инфраструктуре IP-телефонии.
Последняя по счету, но не последняя по важности линия обороны - инициатива Network Admission Control (контроль сетевого доступа), в рамках которой все несоответствующие политике безопасности (в т.ч. с неустановленным или неактуальным антивирусным программным обеспечением, с неустановленными «заплатками» и т.п.) рабочие станции, сервера и иные устройства не смогут получить доступ к корпоративной сети и, в частности, к сегменту IP-телефонии, и нанести ущерб их ресурсам. Незащищенные узлы получат доступ только в специально выделенный карантинный сегмент сети, в котором они смогут получить последние обновления для своего антивируса, заплатки для своей операционной системы и т.п., чтобы привести себя в соответствие с требованиями компании.
В заключение можно отметить, что данный миф может стать реальностью только в одном случае - потребитель IP-телефонии сам отказывается от применения защитных мер и подставляет свою телефонную систему под удар вредоносных программ.
Миф №56 "В IP-телефонии легко совершить мошенничество"28.08.2009 15:37
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Многие компании часто сталкиваются с тем, что сотрудники, не имея на то никаких привилегий, совершают междугородние и международные звонки, «ставя» свою компанию на деньги. Вычислить таких сотрудников непросто – ведь они могут совершать несанкционированные звонки с любого аппарата, который находится в компании. Попытки «привязать» возможность осуществления дорогостоящих звонков к телефонному номеру (а, следовательно, к телефонному аппарату) ни к чему не приводит, т.к. сотрудник всегда может позвонить именно с того телефона, у которого такая возможность есть. Как быть? В традиционной телефонии эта проблема не решается, в отличие от ее «IP-сестры», которой хоть и присуща подмена адресов (решаемая при помощи уже описанных методов проверки подлинности), но не мошенничество со звонками.
Сервер управления инфраструктурой IP-телефонии (IP-АТС, CallManager и другие названия в зависимости от производителя) может содержать ряд возможностей, позволяющих снизить вероятность осуществления телефонного мошенничества в зависимости от его типа (кража услуг, фальсификация звонков, отказ от платежа и т.п.). В частности, для каждого абонента можно:
• заблокировать звонки, как на определенные группы номеров, так и с них;
• заблокировать возможность переадресации звонков на различные типы номеров - городские, мобильные, междугородние, международные и т.д.;
• отфильтровывать звонки по различным параметрам;
• и т.д.
При этом все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент осуществляет звонок. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному ограниченному списку телефонных номеров, например, в скорую помощь, милицию, внутренний отдел поддержки или службу безопасности.
Миф №57 "Злоумышленник с административными правами может нарушить функционирование инфраструктуры IP-телефонии"04.09.2009 14:09
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Этот миф проистекает из того факта, что IP-АТС представляет собой обычную программу, как «Опердень банка» или Windows, у которых есть пользователи с административными правами, которые в свою очередь могут нарушить функционирование всей инфраструктуры IP-телефонии. И причин тут может быть несколько - от грядущего увольнения до невыплаты квартальной премии. И хотя такая же точно угроза существует и в традиционной телефонии, посмотрим, как с ней можно бороться именно в IP-АТС.
В «серьезных» серверах управления IP-телефонии предусмотрены расширенные возможности по наделению системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены - доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т.д. Кроме того, все производимые администратором действия будут фиксироваться в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности. При этом с целью снижения риска превышения привилегий, пользователей с правами администратора может быть несколько - у каждого свои полномочия и свой сектор ответственности.
Т.к. инфраструктура IP-телефонии является достаточно разветвленной, то управление конфигурацией IP-телефонов и взаимодействие их с сервером управления может осуществляться по защищенному от несанкционированного доступа каналу, предотвращая любые попытки прочтения или модификации управляющих команд. Для защиты канала управления могут и должны использоваться различные криптографические протоколы - IPSec, SSL, TLS и т.д.
Резюмируя, мы видим, что хотя теоретически возможность нанесения вреда банку со стороны администратора и существует, но при правильном построении системы защиты, такая возможность превращается скорее в миф, чем остается реальностью.