Ако сградата има една или две врати, то мрежата има толкова, колкото са потребителите й. Отделно са тези, които не влизат през вратата, а през прозореца или правят дупки в оградата. И колкото повече са желаещите да влязат, толкова повече мерки за спирането им са необходими. А желаещи да се вмъкнат в държавни, корпоративни и други фирмени мрежи има, като целите им са известни от векове – кражба.

Средствата за защита също са известни – първо трябва да имаме огради, стражи, катинари или защитни стени, токъни, пароли, биометрика и т.н.. После трябват политики как да се прилагат и от кой защитните средства (както в крепостите навремето – колко стражи има, кога се сменят, кой държи ключа от хазната, царските покои и т.н.). Трябва да има и проверки или наблюдение на изпълнението, така че ако има пропуски или слабости да се вземат бързи мерки да не се допускат неоторизирани посетители.

Ключовите концепции в компютърната мрежова сигурност също наподобяват мерките, с които неМрежова сигурност – къде да поставим оградата желаните лица са държани извън оградата на крепостта. Тe започват с автентикацията или удостоверяването на самоличност или доказване на правото да влезеш вътре. За целта може да се изисква едно или повече доказателства, че си доверено лице, а именно парола, токън, карта, пръстов отпечатък, снимка на ирис и т.н. Към всяко удостоверение има и съответна политика, предвиждаща какъв достъп то осигурява на „приносителя“, т.е. в кои врати може да влезе. Обаче той може да се е снабдил с фалшиво пълномощно или да е подкупил някой вътрешен човек да постави взрив под формата на злонамерен софтуер – ето защо са необходими антивирусни програми, системи за откриване на прониквания. Тези системи могат също да са тайни наблюдатели, които следят за съмнително поведение в трафика на мрежата. И накрая всички събития трябва да се записват, защото ако се случи нещо, ще има разследване, което трябва да се знае, какво се е случвало през цялото време, за да попадне на следи към престъпника.

Това, разбира се, са общите неща. В динамичната среда непрекъснато се прилагат нови хитрости за нападение и съответно нови методи за защита. Защита на инфраструктуратаНа-. пример поставянето на примамки, които всъщност не са истинските ценни ресурси, могат да подмамят взломаджиите в клопка. Това спомага и да се изучават методите на атака. Добре е и ако все пак крадецът достигне до важни документи, да не може да ги разчете, т.е. те да се пазят в шифрован или криптиран вид. Към мрежовата сигурност могат да се присъединят и инструментите за социална сигурност, като тези, предпазващи децата от намирането на неподходящо съдържание.

Кои са най-честите проблеми в мрежовата сигурност

Най-често когато се спомене термина мрежова сигурност човек си представя вируси, хакери и зловреден софтуер като заплаха за сигурността. Но не можете да си представите какви поразии може да направи в сигурността на мрежата съвсем неумишлена човешка грешка или присъщите на човешката природа слабости.

Мрежовата сигурност е толкова ценна за бизнеса, колкото и мерките за охраняване на финансовите активи. Но въпреки че и двете са потенциална цел за кражби, те се различават съществено – кражбата на мрежова информация може да се направи невидимо за окото и анонимно, докато този, който краде от склада не може да се скрие зад ISP адрес или да набута откраднатите данни на отдалечен необозначен диск.

Най-честият проблем в мрежовата сигурност всъщност не са външните заплахи, а е свързан със собствените служители на фирмата и техните грешки или умишлени действия. Хората правят грешки – понякога поради липса на опит или поради лошо обучение, а понякога поради достигането до погрешно предположение. Но независимо от причината и липсата на лоши намерения, нещо толкова просто като натискане на погрешен клавиш на клавиатурата, има потенциала да причини световно спиране на интернет.

Друг проблем на сигурността е пиратството, което има за цел да отмъкне интелектуална собственост. За щастие има методи (кодове на авторски права, цифрови водни знаци), които могат да помогнат за прилагане на законите за авторски права, ако това се случи.

Преднамереното заграбване на информация с цел изнудване или разкриването й, различни саботажни действия или вандализъм (разрушаване на мрежовата система или нейната информация) също са възможни общи проблеми за мрежовата сигурност.

Хакерите, които успяват да получат достъп до информацията в мрежовата система, понякога се опитват да я продадат обратно на компанията, заплашвайки я, че ще я разкрият на всички, или я продават на конкуренти.

Друг проблем за мрежовата сигурност са софтуерните атаки (червеи, вируси, отказ от обслужване и макроси). Обикновено те целят да повредят или разрушат системата цел и по този начин да лишат потребителите й от обслужване. И за съжаление тези атаки не само са чести, но и в много случаи те успяват да прекъснат или разрушат някои системи за мрежова сигурност за дълги периоди от време и с астрономически финансови загуби.

Природните сили също не са за пренебрегване – светкавици, порои, пожари и земетресения. Но чест проблем на мрежовата сигурност са и просто повредите в апаратурата, остарели технологии, проблеми с доставчика на интернет или софтуерни проблеми и грешки.

Важно е, когато се решава как най-добре да се защити мрежата, да се вземат под внимание всички възможни заплахи – тези, които не са нарочни, тези, които са злонамерени и тези, които са извън човешкия контрол.

10 общи пропуски в проектирането на мрежова сигурност

Брайън Поси, специалист по мрежова сигурност, дефинира 10 точки, където можете да сгрешите при изграждането й.

1 Направи и забрави

Първият пропуск се отнася повече за планирането отколкото за проектирането. Това е нагласата „направи и забрави“. Това се случва, когато фирмите работят усилено, за да защитят своите мрежи, без да намират време да преоценяват своите планове за сигурност. Заплахите за сигурността непрекъснато се развиват и вашата архитектура на сигурността трябва също да се развива. Най-добрият начин е да правите оценка на вашите нужди от сигурност на регулярни интервали.

2 Отваряне на повече портове в защитната стена от необходимото

Всички знаем, че излишните портове на защитната стена са нещо лошо, но понякога отварянето им е неизбежно. Например при Microsoft Ofce Communications Server 2007 R2 – ако смятате да осигурите външен достъп, трябва да отворите дузина портове, допълнително OCS 2007 R2 задава динамично много портове. Какво да прави администраторът по сигурност?

Едно от най-добрите решения е да се използва реверсивно прокси (например Microsoft ForeFront Treat Management Gateway). Реверсивното прокси стои между интернет и сървъра, който изисква отварянето на много портове. Въпреки че няма как да се заобиколи нуждата от отварянето на портове, реверсивното прокси може да пресрещне и да филтрира заявките и след това да ги подаде на сървъра, за който са предназначени. Това помага да се скрие сървъра от външния свят и помага да се гарантира, че до сървъра няма да достигат злонамерени заявки.

3 Изпълняване на две роли

В икономическата касапница, в която сме, натискът да се изстисква колкото се може повече от наличните сървърни ресурси е огромен. Така че може да е съблазнително да се хостват много приложения или много приложни роли на един сървър. Въпреки че тази практика не е задължително лоша, има компютърен закон, който казва, че колкото повече нараства размерът на кода, толкова се увеличава шансът да съществува уязвимост, която да бъде експлоатирана.

Не винаги е практично да се отдели един сървър за всяко приложение, но най-малкото трябва да внимавате кои приложения или приложни роли се хостват на един сървър. Например като минимум Exchange 2007 изисква три сървърни роли (транспортен хъб, клиентски достъп и пощенски сървър). Въпреки че можете да хоствате и трите роли на един сървър, би следвало да избегнете това, ако ще предоставяте Outlook уеб достъп на външни потребители. Ролята сървър за клиентски достъп използва IIS, за да хоства Outlook уеб достъп. Следователно, ако разположите ролята на сървър за клиентски достъп на същия сървър, на който са ролите на транспортен хъб и пощенски сървър, вие в значителна степен показвате вашата пощенска база данни към интернет.

4 Игнориране на работните станции в мрежата

Най-голямата отделна заплаха за мрежовата сигурност са работните станции. Много организации правят много за защитата на своите мрежови сървъри, но на практика пренебрегват работните станции. Докато работните станции не бъдат заключени както трябва, потребителите (или злонамерените уеб сайтове) могат да инсталират неоторизиран софтуер с невъобръзими последици.

5 Пропуски в SSL криптирането, където е необходимо

Всички знаят, че уеб сайтовете трябва да използват SSL криптиране всеки път когато потребител влиза в област с чувствителна информация, като за потребителско име и парола или номер на кредитна карта. Много организации обаче вземат погрешни решения, когато става въпрос за осигуряване на техните уеб портали. Често се среща необезопасено съдържание на защитена страница. Когато това се случи, потребителите получават подкана да кажат дали искат да се покажат и двете – сигурното и несигурното съдържание. Това изгражда в потребителите навик да дават разрешение на Internet Explorer да им предоставя несигурно съдържание.

По-малко очевиден, но дори по-често срещан проблем е, че често организациите не криптират критични страници на уеб сайтовете си. Според специалистите добре е всяка страница, която дава информация за сигурност, съвет за сигурност или за контакти да бъде SSL криптирана. Това не означава, че тези страници са особено чувствителни, а просто, че сертификатът, използван от процеса на криптиране, гарантира на потребителите, че те получават достъп до легитимна уеб страница, а не до страница, която някой е поставил като фишинг скам.

6 Използване на самоподписани сертификати

Тъй като много организации напълно пренебрегват важността на SSL криптирането, Microsoft започна да включва самоподписани сертификати в някои от своите продукти. По този начин уеб интерфейсите могат да се използват с SSL криптиране, дори ако организацията все още не е получила свой собствен сертификат.

Въпреки че саморъчните сертификати са подобре от нищо, те не са заместител на валиден SSL сертификат от доверена сертифицираща организация. Самоподписаните сертификати първоначално са предназначени като помощ да се увеличи сигурността на продукта до момента, в който администраторът не го обезопаси както трябва. Саморъчните SSL сертификати могат да предоставят SSL криптиране, но потребителите ще получават предупредително съобщение в браузърите си, защото техните компютри нямат доверие в сертификата (а и не би трябвало да имат). Още повече някой SSL базирани уеб услуги (като ActiveSync) не са съвместими със самоподписаните сертификати, поради проблема с доверието.

7 Прекалени регистрации на сигурността

Въпреки че е важно да се регистрират събитията, които се случват във вашата мрежа, също е важно да не се престаравате и да извършвате прекалени регистрации. Прекалено многото регистрации могат да направят трудно и дори невъзможно да определите мястото н събитие в сигурността, което наистина ви интересува. Вместо да се опитвате да записвате всичко, се фокусирайте върху регистрирането на събития, които са от значение.

8 Случайно групиране на виртуални сървъри

Виртуалните сървъри обикновено се групират на хост сървъри според тяхната производителност. Например, виртуални сървъри с висока степен на обръщения може да се съчетаят на един хост с няколко виртуални сървъра с ниска степен на обръщения. От гледна точка на производителността, това е много добра идея, но този подход може да не е най-добрата идея от гледна точка на сигурността.
 
Препоръчително е да се използват специално предназначени за целта хостове за всички виртуални сървъри, които са директно свързани към интернет. С други думи, ако имате три виртуални сървъра, които доставят услуги на интернет потребители, вие трябва да помислите за групирането им на хост, но не слагайте инфраструктурни сървъри (като домейн контролери) на този хост.

Причината за този съвет е, че така се осигурява защита срещу изплъзващи се атаки. Изплъзващата се атака е тази, при която хакерът може да се изплъзне от виртуалната машина и да поеме контрол върху хоста. В реалния свят това не се е случвало, но може би и този ден ще дойде. Когато това се случи, вие ще имате по-добра защита за атаката, ако виртуалните машини, които са обърнати към интернет, споделят виртуализационен хост само с подобно защитени уеб ориентирани сървъри.

9 Поставяне на частни сървъри в демилитаризираната зона (DMZ)

Ако можете да го избегнете, опитайте се да не слагате частни сървъри във вашата DMZ. Ако бъдат компрометирани, те могат да разкрият информация за вашата Active Directory.

10 Зависимост от потребителите за инсталиране на ъпдейти

Един последен пропуск може да бъде зависимостта от потребителите за разгръщането на патчове в сигурността. Често се срещат практики на използване на Windows Server Update Services (WSUS) за патчване на работни станции. За съжаление много от тези инсталирания разчитат на потребителите да кликнат на опцията за инсталиране на последни ъпдейти. Проблемът е, че потребителите знаят, че процесът на обновяване ще изисква от тях да рестартират компютъра си. Някои от тях могат да отлагат това инсталиране безкрайно. Вместо да разчитате на крайните потребители, използвайте решения за управление на патчовете, които ги поставят автоматично, без да дават избор на потребителите. 

Вашето Име:

Вашият Email Адрес:

Вашият web сайт:

Оценете тази статия:
Слаб Отличен

Коментар:

BOLD

"QUOTE"

UNDERLINE