Этапы разработки политики доступа к службам.
Как уже отмечалось, Firewallявляется непосредственной реализацией политики сетевого доступа к службам. Порядок доступа к службам в значительной степени определяется политикой, лежащей в основе Firewall.Обычно это политика типа запрещено все, что не разрешено. Такая политика более безопасна и, следовательно, более предпочтительна.
Выше отмечалось, что некоторые схемы организации защиты сетей на основе Firewallмогут реализовывать обе политики безопасности, а Firewallс простым шлюзом заведомо является "запрещающим все". Рассмотренные примеры показывают и то, что системы, требующие таких служб, которые не пропускает Firewall,можно разместить в экранированных подсетях отдельно от других систем сети. Поэтому, в зависимости от требований безопасности и гибкости, одни типы Firewallболее предпочтительны, чем другие. Это означает, что сначала надо выбрать политику безопасности, а затем уже приступать к реализации Firewall.
При выборе политики доступа к Internet, NIST рекомендует брать сначала наиболее безопасную политику, т.е. запрещать все службы, кроме специально разрешенных. Затем разработчик политики должен ответить на следующие вопросы:
какие из служб Internetорганизация собирается пользовать (например, TELNET, Mosaicили NFS),
где эти службы будут использоваться: в локальной области через Internet,через модем или из удаленных организаций,
необходимы ли дополнительные требования, например, шифрование или поддержка входного диалога, какой риск связан с предоставлением этих служб и доступа,
как повлияет обеспечение защиты на удобство управления и использования сети,
оправданны ли предполагаемые меры обеспечения безопасности, с точки зрения соотношения их стоимости и возможного риска.
Например, в сети может возникнуть необходимость использования NFSмежду двумя удаленными объектами, однако политика, по умолчанию запрещающая все, запретит его использование. Если риск, связанный с использованиемNFSдля данной организации является допустимым, она может потребовать замены политики безопасности на менее безопасную, разрешающую все службы, кроме специально запрещенных, и разрешающую NFS.Кроме того, можно реализовать такой Firewall,который позволяет поместить системы, требующие NFS,в экранированную подсеть, тем самым сохраняя политику, запрещающую все по умолчанию, для всех остальных систем сети. Если же риск использования NFSслишком велик, то в этом случае NFSдолжна быть исключена из списка разрешенных служб.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.