Структура и параметры внутренней сети организации не должны быть видимы из-за брандмауэра.
Сотрудник отдела автоматизации
Брандмауэр должен быть сконфигурирован так, чтобы по умолчанию все сервисы, которые не разрешены, были запрещены. Должен производиться регулярный аудит его журналов на предмет выявления попыток проникновения или неверного использования Интернета.
Брандмауэр должен практически сразу уведомлять системного администратора при возникновении ситуации, требующей его немедленного вмешательства, такой как проникновение в сеть, отсутствие места на диске и т.д.
Брандмауэр должен работать на специальном компьютере - все программы, не относящиеся к брандмауэру, такие как компиляторы, редакторы, коммуникационные программы и т.д., должны быть удалены или доступ к ним должен быть заблокирован.
Высокий риск
Пользователь
Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.
Ваш браузер был сконфигурирован так, что доступ к ряду сайтов запрещен. О всех попытках получить доступ к этим сайтам будет доложено вашему начальнику.
Начальник отдела
Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.
Сотрудник отдела автоматизации
Весь доступ к Интернету должен протоколироваться.
Соединение с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей - большое число машин в организации. Должна быть написана политика (на основе анализа и учета вида деятельности организации и задач, стоящих перед ней), которая четко и ясно определяет, какие сервисы разрешено использовать, а какие - запрещено, как для внутренних, так и для внешних пользователей.
Имеется большое число Интернетовских сервисов. В 4 главе описывались самые популярные сервисы, такие как FTP, telnet, HTTP и т.д. Другие популярные сервисы кратко описаны здесь.
r-команды BSD Unix, такие как rsh, rlogin, rcp и т.д., предназначены для выполнения команд пользователями Unix-систем на удаленных ситсемах. Большинство их реализаций не поддерживают аутентификации или шифрования и являются очень опасными при их использовании через Интернет.
Протокол почтового отделения (POP) - это протокол клиент-сервер для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). POP не поддерживает шифрования - читаемые письма можно перехватить.
Протокол чтения сетевых новостей (NNTP) использует TCP и является протоколом с многоэтапной передачей информации. Хотя NNTP относительно прост, недавно имел место ряд атак на распространенные программы NNTP. NNTP-сервера не должны работать на той же машине, что и брандмауэр. Вместо этого надо использовать имеющиеся стандартные прокси-сервисы для NNTP.
Finger и whois выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо - в большинстве организаций finger должен быть отключен или его использование должно быть ограничено с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.
Протоколы удаленной печати в Unix lp и lpr позволяют хостам печатать, используя принтеры, присоединенные к другим хостам. Lpr - это протокол с использованием очереди запросов на печать, а lp использует rsh для этого. Обычно их обоих стоит отключить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.
Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и считается небезопасным при использовании его в недоверенных сетях. NFS должен быть запрещен с помощью брандмауэра.
Живое аудио (real audio) позволяет получать оцифрованный звук по сетям TCP/IP. Кроме него был разработан еще ряд сервисов для использования мультимедийных возможностей WWW.
Какие сервисы надо разрешать, а какие - запрещать, зависит от потребностей организации. Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 5.2
Ниже приведена таблица учета административных проблем, связанных с доступом к Интернету
| Сервис | Протоколы | Что нужно сделать | Почему это надо сделать |
| Пользователи должны иметь по одному адресу электронной почты | |||
| SMTP | Сервис электронной почты для организации должен осуществляться с помощью одного сервера | | |
| POP3 | POP-пользователи должны использовать APOP-аутентификацию. | ||
| IMAP | Рекомендовать переход на IMAP. | ||
| Новости USENET | NTTP | Блокировать на брандмауэре | |
| WWW | HTTP | Направлять на www.my.org | |
| * | Все другие | маршрутизировать |
Table 6.2 Образец политики безопасности для Интернета
| Политика | |||||
| Сервис | Изнутри наружу | Извне внутрь | Образец политики | ||
| Состояние | Аутентификация | Состояние | Аутентификация | ||
| FTP | Да | Нет | Да | Да | Доступ к FTP должен быть разрешен изнутри снаружу. Должна использоваться усиленная аутентификация для доступа снаружи к FTP. |
| Telnet | Да | Нет | Да | Да | Доступ по Telnet должен быть разрешен изнутри наружу. При доступе снаружи должна использоваться усиленная аутентификация. |
| Rlogin | Да | Нет | Да | Да | rlogin на внутренние машины организации с внешних хостов требует письменного разрешения ответственного за сетевые сервисы и использования усиленной аутентификации. |
| HTTP | Да | Нет | Нет | Нет | Все WWW-сервера, предназначенные для использования внешними пользователями, должны быть размещены за брандмауэром. Входящий HTTP через брандмауэр должен быть запрещен. |
| SSL | Да | Нет | Да | Да | Требуется использовать в сеансах SSL клиентские сертификаты при прохождении SSL-сеансов через брандмауэр. |
| POP3 | Нет | Нет | Да | Нет | POP-сервер организации должен быть размещен внутри за брандмауэром. Брандмауэр будет пропускать POP-трафик только к POP-серверу. Требуется использовать APOP. |
| NNTP | Да | Нет | Нет | Нет | Внешний доступ к NNTP-серверу запрещен. |
| Real Audio | Нет | Нет | Нет | Нет | Сейчас нет коммерческой необходимости поддерживать живое аудио через брандмауэр. Если такой сервис требуется, надо связаться с ответственным за сетевые сервисы. |
| Lp | Да | Нет | Нет | Нет | Входящие запросы на lp-сервис должны блокироваться на брандмауэре |
| Finger | Да | Нет | Нет | Нет | Входящие запросы на finger-сервис должны блокироваться на брандмауэре |
| Gopher | Да | Нет | Нет | Нет | Входящие запросы на gopher-сервис должны блокироваться на брандмауэре |
| Whois | Да | Нет | Нет | Нет | Входящие запросы на whois-сервис должны блокироваться на брандмауэре |
| SQL | Да | Нет | Нет | Нет | Соединения внешних хостов с внутренними БД должны быть утверждены ответственным за сетевые сервисы и использовать утвержденные прокси-сервисы. |
| Rsh | Да | Нет | Нет | Нет | Входящие запросы на rsh-сервис должны блокироваться на брандмауэре |
| Другие, такие как NFS | Нет | Нет | Нет | Нет | Доступ к любым другим сервисам, не указанным выше, должен быть запрещен в обоих направлениях, чтобы использовались только те Интернет-сервисы, которые нам нужны, и о безопасности которых имеется информация, а остальные были запрещены. |
Организация может захотеть поддерживать некоторые сервисы без усиленной аутентификации. Например, для загрузки внешними пользователями открытой информации может использоваться анонимный сервер FTP. В этом случае эти сервисы должны находиться на другой машине, чем брандмауэр, или в сети, которая не соединена с корпоративной сетью организации, содержащей критические данные. Ниже в таблице показан метод описания такой политики для FTP.
Table 6.3 Обобщенная политика безопасности
| Политика | Авторизованный FTP-сервис | Анонимный FTP-сервис |
| Поместить сервер снаружи брандмауэра | Нет | Да |
| Поместить сервер в служебную сеть, не содержащую критических данных | Нет | Да |
| Поместить сервер в защищенную сеть | Да | Нет |
| Поместить сервер на брандмауэр | Нет | Нет |
| Сервис будет доступен с любой машины в Интернете | Нет | Да |