пятница, 17 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 3.

Перейдем теперь к….image

FireWall, Brandmauer, межсетевой экран.

При этих словах любой безопасник млеет и пускает слюну потирает руки: «сейчас я тут понастраиваю!!!». Увы, совсем не каждый умеет это делать. А неправильно настроенный файрволл это распахнутые врата в Вашу систему. Впрочем, это касается не только сетевых экранов. По статистике до 95% всех внешних проникновений в системы являются следствием неправильных настроек систем безопасности. И лишь 5% это различные уязвимости, не устраненные на момент взлома и прочие факторы. Вернемся тем временем к файрволлам: они должны быть настроены. Есть файрволлы, которые достаточно правильно настроены по-умолчанию, то есть допускают все (или только от соответствующих приложений) соединения наружу и никаких - внутрь. Здорово, если бы можно было оставить их в таком состоянии, но… мы ставим программы, которые нуждаются в сетевом доступе и мы работаем под администратором, позволяя установиться различным вредоносам… А зараженный компьютер не спасти экраном. Так же как не защитит нас и firewall, больше похожий на маасдам, чем на китайскую неприступную стену.

image Кстати, а Ваш файрволл защищает от атак уровня приложений? А то ведь просто позакрывать порты – не выход. А разные умные вещи типа stateful inspection он умеет? А это реально честный inspection или он просто придуривается, отслеживая соединение только по паре сокетов? А IDS у Вас есть, или Вы узнаете, что Вас атакуют только по звонкам пользователей, у которых «интернет кончился»? В общем, сам по себе сетевой экран не панацея.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

8 комментариев:

Анонимный комментирует...

Думаю, что в случае упоминания функционала IDS уровня хоста в контексте персонального брандмауэра, стоит говорить о системе IPS уровня хоста. Потому как наличие IDS и персонального брандмауэра уровня, не имеющих никакого общего канала обмена информацией о результатах инспектирования сетевых пакетов, для обычного пользователя ничего не даст. Не думаю, что большинство пользователей может понять, что данная сетевая активность является аномальной и написать на коленке сигнатуру для Snort, да ещё и включить запуск скрипта, перестраивающего политику ipfw по факту обнаружения такой атаки =)

Alexander Trofimov комментирует...

А почему персонального? Я вроде это нигде не обозначил. Это общие положения, как мне кажется.
В принципе, этим всем должны заниматься системы а-ля Stirling тот же самый. И ставить надо как хостовые IDS, так и сетевые. И файрволлы - так же. Это если для корпоративного пользователя. А для домашнего оно да, для домашнего все ограничивается обычно в плане IDS только фактом: Вас задосили. =)
Кстати, те, кто выпускают IDS уровня хоста очень часто их как раз, на моей памяти и интегрируют с различными другими системами. И с файрволлами и с антивирусами...

Анонимный комментирует...

Так я и пытаюсь с Вами спорить, Александр. Если можно так выразиться, я предложить детализировать сказанное Вами в котексте выбора средств защиты конечным пользователем, не искушенным в вопросах обеспечения информационной безопасности.
Что же касается комплексных средств защиты - это давняя тенденция интеграции всего в обном флаконе. Взять тот же Snort, бывший в свое время стандартом в секторе IDS уровня сети. Вырос до комплесного решения Sourcefire 3D System. Эту же тенденцию мы наблюдаем у компании Microsoft, следя за разработкой Forefront Stirling.

Анонимный комментирует...

Пардон, обшибся слегка:
Так я и НЕ пытаюсь с Вами спорить, Александр :)

Alexander Trofimov комментирует...

Давно я Snort не видел, видимо... =)
Надо посмотреть.
Чтобы детализировать этим подробности надо отдельную статью писать. Пока, если честно, не лежит душа к этой теме.
Но я занесу это в wishlist и обдумаю. Обещаю. =)
P.S. Я сам любитель поговорить на "Вы", но это быстро проходит... =)

Alexander Trofimov комментирует...

>>Так я и НЕ пытаюсь с Вами спорить
Теперь стало понятнее =)

Анонимный комментирует...

Насчет поговорить на "Вы": я не привык к незнакомым ЛИЧНО людям обращаться на "ты". Если всё таки доберусь до Платформы, надеюсь, будет шанс это исправить ;)

Alexander Trofimov комментирует...

Эээ... Ну тогда терпи пока - я буду хамить. Ок? =)