Политикой сетевого подключения должны быть определены типы устройств, раз решенные для подключения к сети. Например, позволяя подключение серверов и рабочих станций, можно запретить подключение к сети модемных серверов удаленного доступа. Аналогично в политике подключения к сети должны быть детально определены настройки систем, которые допускается подключать к сети. Эта политика может включать в себя следующие разделы:
§ описание процесса установки и настройки операционной системы и приложений, а также их функциональные возможности, которые разрешено использовать;
§ местоположение в сети (физической подсети) систем определенного типа и процедуру разрешения вопросов адресации в сети;
§ требование об установке и регулярном обновлении антивирусного программного обеспечения;
§ описание настройки прав пользователей и защиты ресурсов, обеспечиваемых операционной системой;
§ процедуры, которым необходимо следовать для создания новой учетной записи пользователя, и аналогичные процедуры для ее удаления;
|
|
§ запрет на установку дополнительных аппаратных или программных компонентов без одобрения сетевого администратора (или другого ответственного лица).
Этот список можно дополнить. Его содержимое должно отражать специфику подключения к сети. Например, имеют ли право пользователи подключать переносные компьютеры к локальной сети или они должны обмениваться данными с настольным компьютером при помощи дискет либо других устройств хранения данных? Если подключение ноутбуков к сети разрешено, обязан ли каждый из них иметь собственный адрес или получать адрес при помощи DHCP? Далее, имеют ли право сотрудники подключать ноутбуки к другим сетям, скажем, к сети клиента при работе вне офиса?
Политика подключения к сети должна также описывать функции, для выполнения которых предназначены определенные компьютеры. Если в отделе может быть установлен Web- или FTP-сервер, полезно определить, в какой части сети его следует подключить. Например, удобно расположить его в описанной ниже демилитаризованной зоне (demilitarized zone), что позволит клиентам получать к нему доступ через Internet и в то же время не позволит такому трафику проходить через внутреннюю сеть.
Допустимые применения
Из всего бизнес-оборудования настольные компьютеры чаще всего используются не по назначению. Это означает, что кроме выполнения функций, нужных для работы, например приложений для редактирования текстов и баз данных, компьютер может служить для запуска игровых и других программ, не имеющих ничего общего со служебными обязанностями пользователя. Другому оборудованию, копировальным аппаратам или телефонам, также часто приходится исполнять неслужебные функции, но все же не в таких масштабах, как компьютерам. При подключении к Internet возможные злоупотребления такого рода возрастают многократно.
|
|
Поскольку компьютеры обладают большим потенциалом для злоупотребления и неправильного использования, важно четко определить что разрешено делать на компьютере, а какие действия являются неприемлемыми. Для этого удобно сформулировать допустимые применения в отдельном документе.
Рекомендуется включить в него следующие пункты:
§ запрет на установку на компьютере любых приложений, не одобренных и не приобретенных компанией, в том числе «нелегальных» копий программ и условно бесплатных (shareware) программ, загруженных из Internet;
§ запрет на копирование приложений, принадлежащих компании, для работы с ними в другом месте, например на домашнем компьютере пользователя;
§ требование выхода пользователя из системы при его отсутствии за компьютером. В качестве альтернативы для защиты оставленного без присмотра компьютера допустимо применять хранитель экрана с проверкой пароля;
§ требование докладывать ответственному лицу о любой подозрительной активности;
§ запрет на применение компьютера или приложений на нем для причинения беспокойства другому лицу или угроз в отношении него;
§ запрет на использование электронной почты в личных целях;
§ запрет на попытки доступа к данным, не связанным непосредственно с производственными обязанностями, иногда называемые зондированием сети (probing the network).
Приведенный выше список также неполон. Необходимо составить собственный список с учетом бизнес-окружения, в котором работает компания, обсудить политику допустимых применений с менеджерами всех подразделений, чтобы понять, чего они ожидают от сети, и попытаться создать набор правил, позволяющих пользователям выполнять свою работу, не нарушая безопасности сети.
Политика брандмауэра
С политикой безопасности часто путают политику брандмауэра (firewall policy).
После разработки политики безопасности и выбора сервисов и протоколов, которым будет разрешена работа через брандмауэр, и необходимых настроек, можно принять решение о том, как реализовать эту политику. Межсетевой экран использует набор правил, определяющих, какие пакеты (в случае пакетного фильтра) или сервисы (в случае proxy-сервера или шлюза) будут работать через него. При этом выбирается одна из следующих двух стратегий:
§ разрешить любой доступ, не запрещенный правилами;
§ запретить любой доступ, не разрешенный правилами.
При выборе первой стратегии придется создавать правила, которые бы учитывали все возможные запреты. Это не только приведет к необходимости иметь множество правил, но и заставит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.
Вторая стратегия проще и безопаснее. Запретив весь трафик и задав правила, разрешающие доступ через экран только для нужных протоколов и сервисов, можно будет намного строже управлять брандмауэром. В подобной ситуа ции потенциальному нарушителю придется искать способ каким-то образом вос пользоваться доступом в ограниченных вами условиях.
После выбора стратегии следует определить, каким сервисам будет разрешено работать через межсетевой экран и в каком направлении. Следует отобрать их на основе общей политики безопасности. Например, если нужно запретить за грузку программ из Internet, стоит заблокировать в межсетевом экране установку входящих соединений FTP. Если нужно, чтобы пользователи не применяли FTP для пересылки наружу конфиденциальных данных или программ, имеет смысл запретить передачу файлов пo FTP. Аналогично можно ограничивать работу с другими службами, такими как Telnet или HTTP.
|
|
Например, если полностью запретить работу с протоколом FTP, как получать обновления и исправления программ? Разум нее сделать исключение для одного укрепленного компьютера, доступ к которому будут иметь только определенные пользователи. Другое решение - выделить для этого компьютер, не подключенный к локальной сети и выходящий в Internet через модем.
Например, список может состоять из таких правил:
§ электронная почта может пересылаться в обоих направлениях, но должна проходить через защищенный SMTP-сервер;
§ запрещена работа любых служб, требующих установки прямого соединения между внутренним клиентом и внешним сервером. Все разрешенные службы обязаны пользоваться proxy-сервером;
§ доступ к внешним узлам через Telnet разрешен только сотрудникам исследовательского отдела и запрещен всем остальным пользователям. Пользователи, которые могут войти в сеть снаружи, должны подключаться с помощью модема, установленного на защищенном сервере, помещенном в экранированную подсеть;
§ запрещен доступ по протоколу FTP в обоих направлениях;
§ серверы DNS в экранированной подсети выполняют преобразование адресов межсетевых экранов и proxy-серверов, но не клиентов во внутренней локальной сети.
Это краткий список. Его можно составить, следуя принципу запрета всего, что не разрешено.
Кроме определения разрешенных сервисов и способа их реализации (при помощи proxy-сервера или пакетного фильтра, для всех пользователей или только для избранных узлов), следует также включить в политику брандмауэра пункты задающие частоту просмотра log-файлов, настройку предупреждений и т.д.