Безопасная архитектура - это фундамент

Stfw.Ru: Итак, помимо централизованной политики безопасности, без которой де факто невозможно построение безопасной сети в принципе, особое внимание следует обратить на следующее моменты.

- Использование безопасных протоколов обмена (не секрет, что такие текстовые протоколы, как FTP и telnet, представляют собой явную угрозу) и туннелирование данных, например, посредством SSH.
- Шифрование критичных данных с использованием надежных криптоалгоритмов.
- Использование архитектуры сети, включающей в себя наличие DMZ (демилитаризованной зоны), обслуживаемой двумя брандмауэрами. DMZ подразумевает под собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета.
- Использование IDS (Intrusion‑Detection System), IPS (Intrusion‑Prevention System). В идеальном случае такая система выдаст сигнал тревоги (или предотвратит саму попытку вторжения- IPS) при попытке проникновения.
- Использование NAT (технология трансляции адресов локальной сети на IP‑адрес внешнего соединения). Очевидно, что функция безопасности NAT реализуется, благодаря тому что скрытые адреса внутренних систем являются невидимыми из внешней сети, в частности из Интернета.
- Защита периферии посредством тонких клиентов и двухфакторной системы аутентификации (подобные инструменты в значительной мере уменьшают риск вторжения изнутри).

Более частные рекомендации могут быть следующими.
- Первое, что необходимо сделать, - установить самые последние обновления для вашей операционной системы. Скачать обновления можно с официального сайта Корпорации Microsoft, предварительно установив как можно более новый вариант сборки вашей операционной системы. Дыры как находили, так и будут находить, поэтому, если вы обладатель самых свежих обновлений, расслабляться все равно не стоит: с момента обнаружения новой уязвимости и до момента выхода заплатки "умные люди" успевают написать вирус или создать червя.
- В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. Службу доступа к файлам и принтерам сети Microsoftпри
отсутствии реальной необходимости сетевого доступа к ним необходимо отключить, чтобы не облегчать задачу всем любителям открытых по умолчанию C$, D$, ADMIN$и т. д.
- Все неиспользуемые сервисы желательно выключить: FTP, Telnet, удаленный реестр - зачем все это, если вы не используете ни один из перечисленных сервисов? Это не только улучшит производительность вашей системы, но и автоматически закроет кучу открытых портов.
- Установите файловую систему NTFS, которая позволяет разграничить доступ к ресурсам вашего ПК и усложняет процесс локального взлома базы SAM.
- Удалите лишние учетные записи, а в оснастке gpedit.msc запретите локальный и сетевой вход для всех пользователей, оставив только используемых на данной машине, и доступ по сети для Администратора.
- Не используйте автоматический ввод пароля при входе в систему, особенно для пользователя Администратор.
- Желательно, чтобы на вашем ПК был установлен какой‑нибудь персональный брандмауэр, закрывающий доступ к открытым портам (ZoneAlarm, Outpost Firewall или что‑нибудь подобное). Помимо защиты от попыток проникновения извне, с помощью брандмауэра вы сможете легко и просто контролировать доступ программ (среди них может быть, к примеру, затаившийся троянский конь) к Интернету. Любая попытка вырваться в Сеть не останется незамеченной вашей "огнедышащей стеной".

ПРИМЕЧАНИЕ
Очевидно, что вышеперечисленное адекватно для защиты рабочих станций. Если же речь идет об организации безопасности крупной корпоративной сети, о защите сервера/шлюза, то здесь взор системного администратора/администратора безопасности в первую очередь должен быть направлен на использование UNIX‑подобных систем (FreeBSD, Linux) как наиболее безопасной альтернативе Windows.

- Не стоит забывать и о снифферах, с помощью которых ваши пароли могут стать настолько же общественными, насколько места "М" и "Ж".

ПРИМЕЧАНИЕ
Под сниффером подразумевается программа, перехватывающая все пакеты, идущие по локальной сети. Как такое может быть? Просто. Сниффер переводит сетевую карту в "неразборчивый" режим, что позволяет захватить даже те пакеты, которые не предназначены для системы, в которой установлен сниффер. Пример: Cain & Abel.

- Как известно, при установлении SMB‑сеанса клиент отвечает серверу, отправляя в сеть LM‑хэш (Lan Manager‑хэш) и NT‑хэш (Windows NT). Возможность отправки двух вариантов зашифрованных паролей необходима для совместимости со старыми операционными системами. Как при локальном, так и при удаленном способах аутентификации система сначала пытается идентифицировать NT‑хэш. Если его нет, система пытается проверить подлинность LM‑хэша. А вот тут‑то и «зарыта собака». Дело в том, что криптостойкость LM‑хэша не выдерживает никакой критики (см. гл. 7).
- Не стоит пренебрегать установкой антивирусной программы. Увлекаться тоже не слудет. Факт, что "Каспер" может "убить" "Dr.Web" и наоборот, - ни для кого не секрет.
- Если вы любитель всевозможных сервисов, увеличивающих круг общения (ICQ, почтовый агент), необходимо помнить о том, что охотников за вашими личными данными достаточно, чтобы выведать у вас самую различную информацию, которая впоследствии может быть использована для удаленного вторжения. Реальный случай из жизни: в ICQ, методом социальной инженерии, взломщик прикидывается девчонкой и вступает с жертвой в живой разговор. Несколько минут разговора - и происходит обмен фотографиями, одна из которых (ясно, какая) - самый настоящий троянский конь. Жертва открывает JPG‑файл, а вместо обещанного откровенного эксклюзива - ошибка при открытии файла. Троянский конь уже в вашей системе.

Защити свой компьютер от вирусов   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Безопасная архитектура - это фундамент, в разделе Защити свой компьютер от вирусов вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  ПК месяца (ноябрь 2017) - 17.11.2017: STFW.Ru: Три конфигурации, три ценовые категории, три лучших варианта потратить


•  Из-за критики игроков Electronic Arts экстренно меняет политику микротранзакций в игре Star Wars: Battlefront II накануне релиза - 17.11.2017: STFW.Ru: На 17 ноября запланирован официальный релиз игры Star Wars: Battlefront II, разработкой


•  Турция отозвала 40 военных с учений НАТО после скандала с фото - 17.11.2017: STFW.Ru: источник: echo.msk.ruАНКАРА, 17 ноя — РИА Новости. Президент Турции Тайип Эрдоган


•  Бывший спасатель-авиадесантник написал открытое письмо Путину о катастрофе в системе МЧС - 17.11.2017: STFW.Ru: источник: img.znak.comОстался один вертолет, парашютов нет, зарплата — 23


•  Обзор Huawei Mate 10 Lite: 4 камеры и экран 18:9 за 10 тысяч гривен - 17.11.2017: STFW.Ru: Большинство флагманов 2017 года выделяются «безрамочными» дизайном, экранами


•  С начала года криптовалюта «Карбованець» подорожала почти в 70 раз, превысив отметку в $1 - 17.11.2017: STFW.Ru: Сегодня ночью, как мы уже написали, самая популярная в мире криптовалюта