Политика удаленного доступа определяет допустимые способы удаленного соединения с корпоративной информационной системой. Представляет собой основной документ безопасности в крупных транснациональных компаниях с географически разветвленной сетью. Должна описывать все доступные способы удаленного доступа к внутренним информационным ресурсам компании: доступ по коммутируемым сетям (SLIP, PPP), доступ с использованием ISDN/Frame Relay, Telnet/SSH доступ через Интернет, выделенную линию/VPN/DSL и пр. При этом определятся ограничения по организации удаленного доступа.
Политика безопасности при взаимодействии с сетью Интернет. Соединение сети организации с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей – большое число машин в организации. Поэтому на основе анализа и учета вида деятельности предприятия и задач, стоящих перед ним, проектировщиком должна быть создана политика безопасности, которая четко и ясно определяет, какие сервисы разрешено использовать пользователям корпоративной сети, а какие – запрещено, как для внутренних, так и для внешних пользователей.
Известно, что имеется большое число Интернет-сервисов, имеющие различные степени защищенности. К самым популярным можно отнести:
· FTP, telnet, http, а также и другие сервисы.
· Почтовый офисный протокол (POP) - для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). Этот протокол не поддерживает шифрования, поэтому читаемые письма можно легко перехватить.
· Протокол чтения сетевых новостей (NNTP) – использует протокол TCP и является протоколом с многоэтапной передачей информации. NNTP-серверы не должны работать на той же машине, что и брандмауэр. Вместо этого надо применять имеющиеся стандартные прокси-сервисы для NNTP.
· Службы Finger и Whois – выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо – в большинстве организаций Finger должен быть отключен или его применение следует ограничить с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.
· Протоколы удаленной печати в Unix lp и lpr - позволяют пользователям распечатывать информацию, используя принтеры, присоединенные к другим хостам. Обычно их обоих целесообразно ограничить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.
· Сетевая файловая система (NFS) – дает возможность делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и считается небезопасной при использовании ее в недоверенных сетях. Поэтому служба NFS должна быть запрещена с помощью брандмауэра.
Какие сервисы надо разрешать, а какие – запрещать, зависит от потребностей организации. Организация может захотеть поддерживать некоторые сервисы без усиленной аутентификации. Например, для загрузки внешними пользователями открытой информации может использоваться анонимный сервер FTP. В этом случае эти сервисы должны находиться на другой машине, чем брандмауэр, или в сети, которая не соединена с корпоративной сетью организации, содержащей критические данные.
В данном проекте разработчик принимает решение о разрешаемых доступах самостоятельно. При этом рекомендуется руководствоваться следующими положениями.
1. FTP: доступ к FTP можно разрешать изнутри и снаружи. При этом для доступа снаружи к FTP должна использоваться усиленная аутентификация.
2. Telnet: доступ по Telnet должен быть преимущественно разрешен изнутри наружу, а при доступе снаружи необходимо использовать усиленную аутентификацию.
3. rlogin: при доступе на внутренние машины организации с внешних хостов необходимо требовать письменного разрешения ответственного за сетевые сервисы; необходимо использовать усиленную аутентификацию.
4. WWW: все WWW-серверы, предназначенные для использования внешними пользователями, должны размещаться за брандмауэром.
5. РОР3: POP-сервер организации должен быть размещен внутри за брандмауэром, который будет пропускать POP-трафик только к POP-серверу. Требуется использовать протокол APOP.
6. SQL: соединения внешних хостов с внутренними БД должны быть утверждены ответственным за сетевые сервисы и использовать утвержденные прокси-сервисы.
Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 2.9.1
Таблица 2.9.1 - Примеры политики безопасности для Интернета
Сервис | Политика | ||||
Изнутри наружу | Извне внутрь | Образец политики | |||
Использовние | Аутент-ция | Использование | Аутент-ция | ||
разрешено? | выполняется? | разрешено? | выполняется? | ||
FTP | Да | Нет | Да | Да | |
Telnet | Да | Нет | Да | Да | |
Rlogin | Да | Нет | Да | Да | |
HTTP | Да | Нет | Нет | Нет | |
POP3 | Нет | Нет | Да | Нет | |
NNTP | Да | Нет | Нет | Нет | Внешний доступ к NNTP-серверу запрещен. |
SQL | Да | Нет | Нет | Нет | |
Rsh | Да | Нет | Нет | Нет | Входящие запросы на rsh-сервис должны блокироваться на брандмауэре |
Другие, такие как NFS | Нет | Нет | Нет | Нет | Доступ к любым другим сервисам, не указанным выше, должен быть запрещен в обоих направлениях, чтобы использовались только те Интернет-сервисы, которые нам нужны, и о безопасности которых имеется информация, а остальные были запрещены. |
При разработке политики, связанной с обеспечением безопасности при взаимодействии с сетью Интернет нужно также учитывать административные проблемы, связанные с доступом к незащищенной сети. В таблице 2.12.2 приведена часть из этих проблем.
Таблица 2.9.2
Сервис | Протоколы | Что нужно сделать? | Почему это надо сделать? |
Пользователи должны иметь только по одному адресу электронной почты | Чтобы не раскрывать коммерческой информации. | ||
SMTP | Сервис электронной почты для организации должен осуществляться с помощью одного сервера | Централизованный сервис легче администрировать. В SMTP-серверах трудно конфигурировать безопасную работу. | |
POP3 | POP-пользователи должны применять APOP-аутентификацию. | Чтобы предотвратить перехват паролей. | |
IMAP | Рекомендовать переход на IMAP. | Он лучше подходит для удаленных пользователей, имеет средства шифрования данных. | |
Новости USENET | NTTP | Блокировать на брандмауэре | Не нужен для деятельности организации |
WWW | HTTP | Направлять на www.my.org | Централизованный WWW легче администрировать. WWW-серверы тяжело конфигурировать |
Все другие | маршрутизировать |
Политика допустимого использования информационных ресурсов компании определяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации данной организации. В частности, политика допустимого использования определяет, могут ли сотрудники компании читать и копировать файлы, владельцами которых они не являются, но имеют доступ к ним. Также эта политика определяет правила допустимого использования корпоративной электронной почты, служб новостей и процедур доступа к сети компании.
Политика безопасности периметра описывает порядок и правила получения привилегированного доступа к системам безопасности периметра корпоративной сети компании. Кроме того, описывает процедуру инициации и обработки запросов на изменение конфигурации систем безопасности периметра сети, а также порядок и периодичность проверки этих конфигураций.
Политика выбора и использования паролей определяет правила и порядок создания и изменения паролей сотрудников компании.