Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

-системы

Если Web-ссрвер уже надежно защищен и работает под управлением хорошо защищенной операционной системы, нужно обеспечить безопасность внутренней сети. Это можно сделать с помощью системы firewall. Она создает в вашей внутренней сети контролируемую точку, через которую проходит весь обмен с Интернет. В типичной архитектуре firewall- системы имеются средства фильтрации пакетов, модули-посредники (proxy), средства для аутентификации, сдвоенная служба доменных имен DNS и набор средств для осуществления мониторинга. Архитектура и уровень сложности вашей firewall-системы зависят от выбранной вами политики безопасности в Интернет, т. е. от допустимого риска, произведенных расходов и требуемой степени защиты.

Для приходящего из внешней сети трафика необходим фильтр, чтобы проверять заголовки каждого передаваемого пакета и задерживать все подозрительные. Если заголовок пакета благополучно прошел проверку, то пакет будет направлен к соответствующему серверу-посреднику (proxy server) для последующей проверки на прикладном уровне. Серверпосредник анализирует пакет с точки зрения безопасности и решает, отвергнуть его или передать пользователю. В средних и больших компаниях фильтрация пакетов осуществляется одним или несколькими маршрутизаторами. В небольших компаниях или в компаниях с ограниченным бюджетом для этого можно использовать либо Network Address Translator (NAT), либо программное обеспечение для фильтрации пакетов, устанавливаемое на сервере.

Имеется целый ряд серверов-посредников. Наибольшее распространение получили модули-посредники прикладного уровня, поддерживающие один вид сервиса, например HTTP, и допускающие выполнение только безопасных действий. Наиболее подходящая альтернатива серверу- посреднику - механизм SOCKS. Он мало отличается от интеллектуального фильтра и не поддерживает специфические команды прикладного уровня.

Из имеющихся на сегодня примерно 20 различных служб Интернет устанавливайте только наиболее существенные: HTTP для поддержки Web, FTP для передачи файлов, NNTP для Usenet, SMTP для электронной почты. Служба Telnet слишком опасна и вовсе не является необходимой для большинства компаний. Если все-таки вы намерены использовать эту услугу, предоставьте ее только группе избранных пользователей.

Также будьте осторожны с Sendmail - программным обеспечением SMTP-сервера для Unix, которое из-за имеющихся в нем «дыр» пользуется дурной славой. Оно содержит 20 тыс. строк многократно исправленного и широко распространенного исходного текста. Sendmail имеет больше нареканий со стороны ipynribi CERT (Computer Emergency Response Team), чем любые другие протоколы или услуги Интернет. Поскольку фирма Trusted Information Systems предлагает всем желающим вполне добротное и бесплатное программное обеспечение на основе протокола SMTP с поддержкой функций proxy, содержащее всего 600 строк хорошо документированного исходного текста, то дальнейшее использование ПО Sendmail неоправданно.

Одно из достаточно редко используемых средств firewall-систем - мониторинг событий. Как известно, у каждого сервера есть файл регистрации событий. Но кто же имеет столько времени, чтобы сидеть весь день и анализировать его? Именно для этого разработан целый ряд средств мониторинга, с помощью которых можно сформулировать правила отслеживания событий и отреагировать на них, если что-то пойдет не так. Например, Watcher - бесплатное инструментальное средство из архива COAST. Его используют для установки сигнала тревоги, уведомляющего об «атаке» или каком-либо другом подозрительном событии. В архиве COAST также содержится целый ряд других средств защиты.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>