25633-1 (588369), страница 16
Текст из файла (страница 16)
Начальник отдела
Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.
Сотрудник отдела автоматизации
Весь доступ к Интернету должен протоколироваться.
6.20. Примеры специфических политик для отдельных сервисов
Соединение с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей - большое число машин в организации. Должна быть написана политика (на основе анализа и учета вида деятельности организации и задач, стоящих перед ней), которая четко и ясно определяет, какие сервисы разрешено использовать, а какие - запрещено, как для внутренних, так и для внешних пользователей.
Имеется большое число Интернетовских сервисов. В 4 главе описывались самые популярные сервисы, такие как FTP, telnet, HTTP и т.д. Другие популярные сервисы кратко описаны здесь.
r-команды BSD Unix, такие как rsh, rlogin, rcp и т.д., предназначены для выполнения команд пользователями Unix-систем на удаленных ситсемах. Большинство их реализаций не поддерживают аутентификации или шифрования и являются очень опасными при их использовании через Интернет.
Протокол почтового отделения (POP) - это протокол клиент-сервер для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). POP не поддерживает шифрования - читаемые письма можно перехватить.
Протокол чтения сетевых новостей (NNTP) использует TCP и является протоколом с многоэтапной передачей информации. Хотя NNTP относительно прост, недавно имел место ряд атак на распространенные программы NNTP. NNTP-сервера не должны работать на той же машине, что и брандмауэр. Вместо этого надо использовать имеющиеся стандартные прокси-сервисы для NNTP.
Finger и whois выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо - в большинстве организаций finger должен быть отключен или его использование должно быть ограничено с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.
Протоколы удаленной печати в Unix lp и lpr позволяют хостам печатать, используя принтеры, присоединенные к другим хостам. Lpr - это протокол с использованием очереди запросов на печать, а lp использует rsh для этого. Обычно их обоих стоит отключить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.
Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и считается небезопасным при использовании его в недоверенных сетях. NFS должен быть запрещен с помощью брандмауэра.
Живое аудио (real audio) позволяет получать оцифрованный звук по сетям TCP/IP. Кроме него был разработан еще ряд сервисов для использования мультимедийных возможностей WWW.
Какие сервисы надо разрешать, а какие - запрещать, зависит от потребностей организации. Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 5.2
-
Состояние(Да/Нет) = могут ли пользователи использовать этот сервис
-
Аутентификация (Да/Нет) = выполняется ли аутентификация перед началом использования сервиса
6.21. Начальник отдела
Ниже приведена таблица учета административных проблем, связанных с доступом к Интернету
| Сервис | Протоколы | Что нужно сделать | Почему это надо сделать |
| |
| Пользователи должны иметь по одному адресу электронной почты |
|
|
| SMTP | Сервис электронной почты для организации должен осуществляться с помощью одного сервера |
|
|
| POP3 | POP-пользователи должны использовать APOP-аутентификацию. |
|
|
| IMAP | Рекомендовать переход на IMAP. |
|
| Новости USENET | NTTP | Блокировать на брандмауэре |
|
| WWW | HTTP | Направлять на www.my.org |
|
| * | Все другие | маршрутизировать |
|
6.22. Сотрудник отдела автоматизации
Table 6.2 Образец политики безопасности для Интернета
|
| Политика |
| ||||
| Сервис | Изнутри наружу | Извне внутрь | Образец политики | |||
|
| Состояние | Аутентификация | Состояние | Аутентификация |
| |
| FTP | Да | Нет | Да | Да | Доступ к FTP должен быть разрешен изнутри снаружу. Должна использоваться усиленная аутентификация для доступа снаружи к FTP. | |
| Telnet | Да | Нет | Да | Да | Доступ по Telnet должен быть разрешен изнутри наружу. При доступе снаружи должна использоваться усиленная аутентификация. | |
| Rlogin | Да | Нет | Да | Да | rlogin на внутренние машины организации с внешних хостов требует письменного разрешения ответственного за сетевые сервисы и использования усиленной аутентификации. | |
| HTTP | Да | Нет | Нет | Нет | Все WWW-сервера, предназначенные для использования внешними пользователями, должны быть размещены за брандмауэром. Входящий HTTP через брандмауэр должен быть запрещен. | |
| SSL | Да | Нет | Да | Да | Требуется использовать в сеансах SSL клиентские сертификаты при прохождении SSL-сеансов через брандмауэр. | |
| POP3 | Нет | Нет | Да | Нет | POP-сервер организации должен быть размещен внутри за брандмауэром. Брандмауэр будет пропускать POP-трафик только к POP-серверу. Требуется использовать APOP. | |
| NNTP | Да | Нет | Нет | Нет | Внешний доступ к NNTP-серверу запрещен. | |
| Real Audio | Нет | Нет | Нет | Нет | Сейчас нет коммерческой необходимости поддерживать живое аудио через брандмауэр. Если такой сервис требуется, надо связаться с ответственным за сетевые сервисы. | |
| Lp | Да | Нет | Нет | Нет | Входящие запросы на lp-сервис должны блокироваться на брандмауэре | |
| Finger | Да | Нет | Нет | Нет | Входящие запросы на finger-сервис должны блокироваться на брандмауэре | |
| Gopher | Да | Нет | Нет | Нет | Входящие запросы на gopher-сервис должны блокироваться на брандмауэре | |
| Whois | Да | Нет | Нет | Нет | Входящие запросы на whois-сервис должны блокироваться на брандмауэре | |
| SQL | Да | Нет | Нет | Нет | Соединения внешних хостов с внутренними БД должны быть утверждены ответственным за сетевые сервисы и использовать утвержденные прокси-сервисы. | |
| Rsh | Да | Нет | Нет | Нет | Входящие запросы на rsh-сервис должны блокироваться на брандмауэре | |
| Другие, такие как NFS | Нет | Нет | Нет | Нет | Доступ к любым другим сервисам, не указанным выше, должен быть запрещен в обоих направлениях, чтобы использовались только те Интернет-сервисы, которые нам нужны, и о безопасности которых имеется информация, а остальные были запрещены. | |
Организация может захотеть поддерживать некоторые сервисы без усиленной аутентификации. Например, для загрузки внешними пользователями открытой информации может использоваться анонимный сервер FTP. В этом случае эти сервисы должны находиться на другой машине, чем брандмауэр, или в сети, которая не соединена с корпоративной сетью организации, содержащей критические данные. Ниже в таблице показан метод описания такой политики для FTP.
Table 6.3 Обобщенная политика безопасности
| Политика | Авторизованный FTP-сервис | Анонимный FTP-сервис |
| Поместить сервер снаружи брандмауэра | Нет | Да |
| Поместить сервер в служебную сеть, не содержащую критических данных | Нет | Да |
| Поместить сервер в защищенную сеть | Да | Нет |
| Поместить сервер на брандмауэр | Нет | Нет |
| Сервис будет доступен с любой машины в Интернете | Нет | Да |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
