Вы найдете более подробную информацию о создании политики безопасности в главе 4.

Детальное описание основных служб TCP/IP см. в главе 2.

Результаты анализа этих служб и их потенциальной опасности помогут вам определить, какие из них необходимы для работы.

Новые угрозы безопасности

При подключении к Internet вы столкнетесь с проблемами безопасности на новом уровне, и они будут вас преследовать постоянно, если не принять адекватных мер предосторожности. В то время как раньше надлежало беспокоиться лишь об ошибках, совершенных неопытными пользователями, или о преднамеренном нарушении безопасности недовольными сотрудниками, теперь вы оказываетесь потенциальной жертвой любого хакера в мире!

Каждые несколько месяцев вы будете узнавать о новом вирусе, «троянском коне» или «черве», распространяющемся в Internet. Для вас, наверное, не секрет, что в мире полно талантливых программистов, тратящих месяцы и годы на разработку новой вредоносной программы или подготовку к взлому сайта. Ведь сделать это не столь уж и сложно. Многие ужасные истории, о которых вы слышали, происходили не в результате работы «хитрой» Программы, а благодаря эксплуатации известных брешей в системе безопасности распространенных операционных систем и приложений.

Несколько лет назад Дэн Фармер (Dan Farmer) и Вейтц Венема (Wietse Venema) написали статью о том, как знание методов взлома позволяет более надежно защитить сайт («Improving the Security of Your Site by Breaking Into It»). В этой статье авторы приводят примеры использования хакерами обычных системных утилит и программ для получения информации о вашей сети и компьютерах в ней. Они также описывают ряд особенностей программ, например программы sendmail, которые в прошлом применялись для взлома. Хотя некоторые уязвимые места, упомянутые в публикации, уже устранены за счет выпуска исправлений и обновленных версий программ, по прочтении этой статьи вы получите представление о вещах, о которых раньше, возможно, не задумывались. Большинство действующих в настоящее время операционных систем первоначально было разработано и установлено на отдельных компьютерах или в небольших сетях. С годами сетевые функции добавлялись и совершенствовались, но в операционных системах все еще существует множество особенностей, которые не предполагали работу в такой среде, как современный Internet.

стоит принять ее в качестве отправной точки. Затем, обсудив этот вопрос с пользователями или менеджерами, вы сможете заключить, каким службам будет разрешено работать через межсетевой экран.

Где найти эту статью?

Статья Фармера и Венема ((Improving the Security of Your Site by Breaking into lt» доступна на множестве сайтов. Вы можете найти ее копию при помощи поисковой системы, задав в качестве параметров поиска имена авторов. Я настоятельно рекомендую прочитать эту статью каждому, кто связан с вопросами сетевой безопасности.

Выбор доступных пользователям служб

с чего лучше начать планирование политики безопасности для сети? Во-первых, определите, какие службы должны быть доступны пользователям. Подключение сети к Internet уже само по себе означает, что оно должно каким-то образом использоваться. Чем вызвана необходимость подключения? Какую выгоду это принесет? Какие проблемы возникают при попытке обеспечить нужды пользователей?

Причиной подключения компании к Internet становится желание располагать некоторыми из типичных возможностей, такими как:

О электронная почта - для обмена корреспонденцией с поставщиками и клиентами;

О удаленный доступ - для обращения к ресурсам локальной сети компании извне;

О поддержка исследований - обеспечение взаимодействия технического персонала с коллегами в других компаниях и учреждениях;

О поддержка клиентов - возможность просмотра клиентами документации к продукту и другой литературы, что уменьшает нагрузку на службу поддержки;

О техническая поддержка - получение доступа (в качестве клиента) к документации, размещенной производителем в Internet;

О торговля и маркетинг - организация электронной торговли и маркетинга продукции компании в Internet.

В зависимости от того, что из перечисленного выше относится к вашей ситуации, вы можете для удовлетворения потребностей пользователей вприменять различные комбинации следующих служб:

О FTP. С помощью протокола передачи файлов (File transfer protocol) исследовательская группа обменивается файлами с другими сайтами. Доступ клиентов к файлам или документации обеспечивает анонимный (anonymous) FTP;

О Telnet. Эта служба может быть использована сотрудниками группы поддержки пользователей для удаленного входа на компьютер пользователя с целью диагностики проблемы. Применяется также при удаленном администрировании сети;

О WWW. Сервер WWW обеспечивает присутствие компании в Internet. Вы будете сообщать клиентам на корпоративном Web-сайте о выходе новых

продуктов или появлении новых служб, а также легко размещать на сервере документацию и осуществлять поддержку продуктов; О электронная почта. При помощи простого протокола пересылки почты (Simple Mail Transfer Protocol, SMTP) вы сумеете посылать электронную почту со своего компьютера почти в любую точку мира. Это прекрасный способ быстрого общения с клиентами и сотрудниками. Если учесть стоимость пересылки обычных писем, станет ясно, что большинство компаний в течение ближайших лет (по мере подключения к Internet все большего числа клиентов) начнут отправлять счета по электронной почте.

Более подробный список сетевых служб вы найдете в главе 2.

Это список лишь основных служб, доступных в Internet. Они упомянуты здесь только для того, чтобы вы поточнее определили, как вам хочется использовать Internet. Просмотрев перечень служб, которые, по вашему мнению, понадобятся для работы вашей компании, составьте несколько вопросов по каждому пункту. Существуют ли для данной службы относительно безопасный клиент и сервер? Не приведет ли ее использование к появлению потенциальных «дыр безопасности» в вашей локальной сети? И так далее.

Так как большинство служб протоколов TCP и UDP применяют определенные номера портов, при выборе доступных пользователям служб вы можете обратиться к списку стандартных портов в приложении 1.

Предположим, например, что ваша политика безопасности разрешает пользователям получать доступ к внешним компьютерам с помощью Telnet, но запрещает любые входящие подключения по данному протоколу. Это позволяет пользователям выполнять удаленное подключение к системам клиентов, но блокирует проникновение в вашу сеть извне. Примерно так же можно определять политику безопасности для других важных сетевых служб, таких как FTP и SMTP, в зависимости от конкретных нужд. Но иногда, как и в любой другой политике, вам придется делать исключелия.

Более подробную информацию о том, как существующая политика безопасности может помочь вам при создании брандмауэра, см. в главе 4.

Политика безопасности брандмауэра

После анализа различных вопросов безопасности имеет смысл приступить к разработке политики безопасности брандмауэра. Есть два основных метода ее реализации: