Изоляция intranet
В ожидании худшего

Эффективная система защиты представляет из себя нечто большее, чем хороший брандмауэр и программа поддержки паролей.

12:01 Attempt to login to intra with joeshmoe from sucker.com
12:02 mail looter@sucker.com 

12:03 mail looter@sucker.com 

12:04 mail looter@sucker.com all in httpd2
12:08 mail looter@sucker.com all in ftpd

Если на вашей консоли управления внезапно появляются похожие команды, возможно вы попали в беду.

Эти строки свидетельствуют о том, что хакер вошел в вашу сеть, пользуясь краденным именем пользователя - joeshmoe - и запрашивает файл паролей, список хостов и (упаси, Господи!) содержимое сервера Web. Если у вас нет определенных средств защиты, он получит то, что хочет.

Большинство незаметно проявляющихся, как в этом случае, неприятностей для администратора intranet представляет собой злонамеренные попытки хакеров получить критически важные данные. Они часто пользуются загруженными из Web инструментальными средствами, автоматизирующими процесс вторжения, которые будут работать с узлом до тех пор, пока не добьются того, чего хотят или не оставят узел в покое, признав тщетность своих попыток.

Если вы задраили все люки в вашу intranet, то можете надеется на последний вариант. Большинство брандмауэров, шифрующего программного обеспечения, аппаратных ключей, программ, поддерживающих пароли, и служб аутентификации отражают многие, хотя и не все, инспирированные атаки.

Изоляция intranet

Но перед тем как вы сможете подготовить хитроумный план по изоляции intranet, вы должны вернуться и оценить ситуацию, складывающуюся в вашем бизнесе. Следует оценить последствия утечки информации.

Информация может не предоставлять никакого интереса для посторонних, и поэтому не стоит сооружать вокруг крепость. Хакеров обычно интересуют серьезные задачи и возможность получения высокой компенсации. Если информация не представляет ценности для них, может и не стоит городить огород?

Многие компании слишком прониклись проблемой защиты от "большой плохой Internet", и, как следствие, инвестируют значительные средства. Защита стоит денег, получить можно все, что хочешь, но за это придется платить.

В качестве примера можно привести компанию, которая перенесла свою маркетинговую информацию из внутренней базы данных Lotus Notes на серверы Web, к которым могут получить доступ деловые партнеры во всем мире. Для идентификации пользователей компания намерена использовать пароли. Такой подход не обеспечивает высокую степень защиты, проведенный анализ отдачи от вложенных средств и привел к выводу о том, что устанавливать брандмауэры и программы шифрования не выгодно. Несмотря на то, что информация является безусловно важной, это не оправдывает инвестиции в чрезвычайные средства защиты.

В ожидании худшего

Несомненно, любая организация должна учитывать тот факт, что где-нибудь, как-нибудь и кто-нибудь нарушит защиту intranet. Если вы не можете спать по ночам, мучительно думая о том, что кто-то, кому это не дозволено, сможет добраться до вашей информации, просто не помещайте ее в intranet.

Именно такой подход избрала компания Digital Equipment, пионер intranet.

Весьма важная информация, например данные о зарплате, на intranet не досягаема, но кроме того, компания использует еще и более гибкую стратегию. Она заклоючается в переходе от модели, в рамках которой защита всей информации и узлов сети обеспечивалась на одном уровне, к другой модели, которая разбивает всю информацию по степени секретности на три уровня.Таким образом, граница свободного доступа к данным, была отодвинута до узлов, которые не содержат важную информацию, обеспечивая более легкий доступ к общей информации.

К информации, которой будет присвоен высший уровень секретности, относятся личные данные, финансовая информация, подробные сведения о потребителях и ранние инженерные планы продуктов. Допуск к такой информации имеет лишь весьма ограниченный круг лиц.

Каким образом компания намерена защищать свои данные, ввиду того, что этим могут воспользоваться злоумышленники, не сообщается, но информация, имеющая наивысший приоритет секретности, шифруется во время передачи и хранения.

Благодаря новому многоуровневому подходу, еще большая группа людей получит возможность обращаться к узлам, имеющим промежуточный уровень секретности и содержащим информацию, защищенную авторским правом, но общедоступную. Примером такой информации является время встреч, что может быть достаточно важным, сведения о промежуточных стратегиях и конфиденциальные подробности о продуктах, которые должны быть реализованы в ближайшее время. Доступ к данным предоставляется только тем, кому это необходимо, но при этом информация не должна быть настолько скрыта, чтобы ограничивать деловую деятельность.

Узлы, имеющие самый низкий уровень секретности, будут содержать информацию для корпоративного использования, например каталог внутренних телефонов.

Компании и институты, которые не могут допустить никаких вторжений, - к примеру, больницы размещающие записи о пациентах на частной Web - должны изолировать intranet от Internet и других внутренних корпоративных сетей. Это возможно лучший и единственно разумный способ уменьшить шансы недоброжелателей в Сети вторгнуться в вашу intranet.

Именно такого курса придерживается служба безопасности компании Software 2000 в отношении защиты своей intranet. Обратится к этой intranet из Internet практически невозможно. Точка. Брандмауэр блокирует даже собственные попытки хозяев получить доступ.

Это значит, что только сотрудники, работающие в штаб-квартире компании могут пользоваться услугами intranet, однако отсюда вовсе не следует, что каждый пользователь здесь может получить доступ ко всем ресурсам Web. Серверы Web, содержащие конфиденциальную информацию, например, текст программ и утилиты, являются объектами механизмов защиты внутренней сети. Эти меры обеспечиваются операционной системой Windows. Защита реализована на следующем уровне, по сравнению с защитой паролем, на уровне защиты домена. Если нет прав на доступ к этому домену, то невозможно будет получить доступ к любому из ресурсов окружения.

Picture (1х1)

По мере исследования intranet пользователи часто пытаются обратиться к узлам, доступ к которым ограничен. Это нормальное явление при работе в сети. Постоянное же обращение человека в одно и то же место могло бы угрожать безопасности, но в общем случае это абсолютно безобидно.

Если Software 2000 решит расширить свою intranet для сотрудников иных подразделений, она добавит другие меры защиты. Дополнительным уровнем, помогающим выйти из затруднительного положения и обрести состояние душевного равновесия может стать шифрование.

По мнению Джима Джуристы, менеджера группы передовой технологии компании Logical Design Solutions, разрабатывающей приложения для intranet и Internet, шифрование следует использовать всякий раз, когда происходит доступ к информации, касающейся личных данных, а не только, когда она передается по Internet. Logical Design также рекомендует компаниям применять по крайней мере пароли и аутентификацию, для проверки идентичности конкретных пользователей, входящих в intranet.

Все меры по защите могут пропасть даром, если не следить за своей сетью. Следует регулярно проверять записи о регистрации, созданные брандмауэром, с тем, чтобы убедиться в безвредности попыток неавторизованного входа. С течением времени, получается полная картина того, попытки какого рода предпринимались, что это за люди и какие использовались механизмы поиска.

Если же угрожающая опасность серьезна, можно просто отсоединить провода, тогда вопроса о возможности несанкционированного вторжения не возникает; это нельзя будет сделать физически.

Поделитесь материалом с коллегами и друзьями