Перейдем теперь к….
FireWall, Brandmauer, межсетевой экран.
При этих словах любой безопасник млеет и пускает слюну потирает руки: «сейчас я тут понастраиваю!!!». Увы, совсем не каждый умеет это делать. А неправильно настроенный файрволл это распахнутые врата в Вашу систему. Впрочем, это касается не только сетевых экранов. По статистике до 95% всех внешних проникновений в системы являются следствием неправильных настроек систем безопасности. И лишь 5% это различные уязвимости, не устраненные на момент взлома и прочие факторы. Вернемся тем временем к файрволлам: они должны быть настроены. Есть файрволлы, которые достаточно правильно настроены по-умолчанию, то есть допускают все (или только от соответствующих приложений) соединения наружу и никаких - внутрь. Здорово, если бы можно было оставить их в таком состоянии, но… мы ставим программы, которые нуждаются в сетевом доступе и мы работаем под администратором, позволяя установиться различным вредоносам… А зараженный компьютер не спасти экраном. Так же как не защитит нас и firewall, больше похожий на маасдам, чем на китайскую неприступную стену.
Кстати, а Ваш файрволл защищает от атак уровня приложений? А то ведь просто позакрывать порты – не выход. А разные умные вещи типа stateful inspection он умеет? А это реально честный inspection или он просто придуривается, отслеживая соединение только по паре сокетов? А IDS у Вас есть, или Вы узнаете, что Вас атакуют только по звонкам пользователей, у которых «интернет кончился»? В общем, сам по себе сетевой экран не панацея.
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
8 комментариев:
Думаю, что в случае упоминания функционала IDS уровня хоста в контексте персонального брандмауэра, стоит говорить о системе IPS уровня хоста. Потому как наличие IDS и персонального брандмауэра уровня, не имеющих никакого общего канала обмена информацией о результатах инспектирования сетевых пакетов, для обычного пользователя ничего не даст. Не думаю, что большинство пользователей может понять, что данная сетевая активность является аномальной и написать на коленке сигнатуру для Snort, да ещё и включить запуск скрипта, перестраивающего политику ipfw по факту обнаружения такой атаки =)
А почему персонального? Я вроде это нигде не обозначил. Это общие положения, как мне кажется.
В принципе, этим всем должны заниматься системы а-ля Stirling тот же самый. И ставить надо как хостовые IDS, так и сетевые. И файрволлы - так же. Это если для корпоративного пользователя. А для домашнего оно да, для домашнего все ограничивается обычно в плане IDS только фактом: Вас задосили. =)
Кстати, те, кто выпускают IDS уровня хоста очень часто их как раз, на моей памяти и интегрируют с различными другими системами. И с файрволлами и с антивирусами...
Так я и пытаюсь с Вами спорить, Александр. Если можно так выразиться, я предложить детализировать сказанное Вами в котексте выбора средств защиты конечным пользователем, не искушенным в вопросах обеспечения информационной безопасности.
Что же касается комплексных средств защиты - это давняя тенденция интеграции всего в обном флаконе. Взять тот же Snort, бывший в свое время стандартом в секторе IDS уровня сети. Вырос до комплесного решения Sourcefire 3D System. Эту же тенденцию мы наблюдаем у компании Microsoft, следя за разработкой Forefront Stirling.
Пардон, обшибся слегка:
Так я и НЕ пытаюсь с Вами спорить, Александр :)
Давно я Snort не видел, видимо... =)
Надо посмотреть.
Чтобы детализировать этим подробности надо отдельную статью писать. Пока, если честно, не лежит душа к этой теме.
Но я занесу это в wishlist и обдумаю. Обещаю. =)
P.S. Я сам любитель поговорить на "Вы", но это быстро проходит... =)
>>Так я и НЕ пытаюсь с Вами спорить
Теперь стало понятнее =)
Насчет поговорить на "Вы": я не привык к незнакомым ЛИЧНО людям обращаться на "ты". Если всё таки доберусь до Платформы, надеюсь, будет шанс это исправить ;)
Эээ... Ну тогда терпи пока - я буду хамить. Ок? =)
Отправить комментарий