Иллюстрированный самоучитель по Development of safety

         

Модемы и прочие лазейки


Еще один способ расширить доступ к своим сетям заключается в использовании модемов. Некоторые организации эксплуатируют модемные накопители, управляемые отдельными серверами, которые защищают и поддерживают соединения с внешними пользователями. Другие устанавливают модемы на специальных серверах, которые предоставляют доступ минимальному количеству пользователей. Независимо от применяемого метода, общим является то, что администраторы контролируют модемный доступ централизовано.

Профессионалы в области безопасности считают, что централизованное управление модемами является ключевым моментом в управлении устройствами, обеспечивающими временный доступ. Таким образом, они могут контролировать и управлять процессом, не прерывая предоставление услуг. Чего они не желают позволить, так это установки модемов в разных местах сети. Модем, установленный в системе пользователя, которая сконфигурирована для ответов на входящие звонки, является потенциальной точкой доступа для тех. кто хочет взломать сеть.

Пользователи часто подмечают, что они могут установить модемы в своих системах, в которых работают программы, которые могут обеспечить удаленный доступ к их файлам. Эти программы представляют хорошо известные проблемы для информационной защиты, позволяющие любому, кто подключается к модему, получить доступ в систему и к сети, к которой эта система подключена. Более того, поскольку эти модемы не контролируются, администраторы никогда не смогут остановить взломщика до нанесения ущерба.

Помимо атак на отказы в обслуживании (denial of service attacks) существует проблема, которая может вынудить администраторов не спать по ночам - это модем, установленный в сети, которая неправильно сконфигурирована. Если требуется пользователям разрешение для подключения к сети, то администраторы предпочтут иметь правила, позволяющие им управлять доступом. Они потребуют внести в правила запрет на установку модемов без их разрешения. В таком случае в правила можно включить следующее предложение.

Пользователи не должны устанавливать модемы в своих системах или в любом месте сети без соответствующих санкций.

Отметим, что эта формулировка допускает исключения, но они должны быть санкционированы. В данных правилах не уточняется, что представляют собой "соответствующие санкции". Остается руководствоваться принятыми в организации инструкциями по проведению контроля (см. главу 3 "Обязанности в области информационной безопасности").

Не каждой организации нужен модемный доступ к сети. Некоторые организации могут установить всего несколько модемов и разработать правила, обеспечивающие требуемую конфигурацию и соответствие стандартам безопасности. Другие организации поддерживают большое количество модемов, позволяющих пользователям наборный доступ, соединение с сервером и аутентификацию непосредственно в сети. Независимо от требований организации правила безопасности должны поддерживать роль администраторов в контролировании и обслуживании вспомогательных систем.

Если в организации используется модемный накопитель, подключенный к централизованно управляемому серверу, который обеспечивает строгую аутентификацию, формулировка правил может быть следующей.

Системы коммутации должны устанавливаться и управляться системными администраторами. Пользователи, желающие получитъ доступ в сеть посредством модема, должны при подключении проходить аутентификацию. В эту аутентификацию необходимо включитъ компонент безотказности.

В формулировке не указывается, насколько строгим должен быть подход к аутентификации. Вводя лишь "компонент безотказности", вы не связываете внедрение аутентификации только с одним ее типом. Это предполагает, что будет использован некий строгий алгоритм привязки процесса к определенному пользователю. Он может быть каким угодно, начиная с алгоритма PKI и заканчивая аутентификацией с использованием устройств идентификации. Гибкость заключается также в том, что когда биометрия станет доступным средством, то может быть использована технология на ее основе, и не будет необходимости изменять правила.



Содержание раздела