Обеспечение безопасности Internet-соединений

Internet-соединения должны быть защищены с помощью нескольких, наклады­вающихся друг на друга механизмов, включающих в себя брандмауэры, фильтры па­кетов, средства физической безопасности, журналы аудита, аутентификацию и авто­ризацию. Общедоступные серверы, такие как серверы World Wide Web и, возможно, серверы протокола передачи файлов (File Transfer Protocol — FTP) могут предостав­лять доступ без аутентификации, однако все остальные серверы должны требовать от пользователя аутентификации и авторизации. Общедоступные серверы должны быть размещены в сети “зоны свободной торговли” (free-trade- zone network), за­щищенной от других сетей брандмауэрами.

Если заказчик может позволить себе два отдельных сервера, то экспертами по безо­пасности не рекомендуется совмещать службы протокола FTP и Web-службы на одном и том же сервере. Пользователи протокола FTP имеют больше возможностей для чте­ния и, возможно, изменения файлов, чем пользователи Web-служб. Хакер может ис­пользовать протокол FTP для повреждения Web-сайта компании, нанося тем самым ущерб репутации компании и, возможно, нарушая работу основанных на Web коммер­ческих и других приложений. Эксперты по безопасности рекомендуют ни в коем слу­чае не разрешать Internet-доступ к серверам простого протокола передачи файлов (Trivial File Transfer Protocol — TFTP), поскольку этот протокол не имеет функций ау­тентификации. Эксперты также рекомендуют отключать порты и службы, которые в данный момент не используются или являются несущественными.

Следует соблюдать особую осторожность при добавлении сценариев интерфейса об­щего шлюза (Common Gateway Interface — CGI) или других типов сценариев к Web- серверам. Сценарии должны тщательно проверяться на наличие уязвимых с точки зрения безопасности мест. Приложения электронной торговли можно устанавливать на Web- серверах только в том случае, если они совместимы со стандартом уровня безопасного соке­та (Secure Socket Layer — SSL).

Серверы электронной почты в течение долгого времени были источником вторжений для сетевых злоумышленников, вероятно, потому что протоколы и различные версии электронной почты в течение некоторого времени находились в свободном обращении и хакеры легко могли изучить принципы их работы. Кроме того, по самой своей природе серверы электронной почты должны допускать внешний доступ. Для защиты серверов электронной почты сетевой администратор должен владеть информацией о последних случаях появления вирусов, быть в курсе последних извещений о найденных в програм­мах уязвимых местах, для чего следует подписаться на рассылки электронной почты, по­священные вопросам безопасности. Важно также своевременно устанавливать выпус­каемые дополнения к программам, которые закрывают обнаруженные уязвимые места.

Червь SQL Slammer, вероятно, не смог бы разрушить Internet, если бы админист­раторы Microsoft SQL Servers установили утилиту безопасности, которая была до этого доступна в течение более чем шести месяцев.