A la organización de la defensa es necesario tomar en consideración los derechos diferentes y las posibilidades, que tiene cada uno los grupos designados. Si con la defensa de las personas extrañas y los usuarios del sistema todo bastante simplemente, C por la defensa de los abusos los administradores y los elaboradores del asunto van considerablemente más difícil. De los medios conocidos es posible recomendar la división de las funciones (por ejemplo, dividir las funciones del administrador del sistema y el especialista en la seguridad del sistema) y la gestión de las actas del trabajo a los mecanismos con la anotación una sola vez (WORM). En el caso general, si hay una necesidad de construir el sistema protegido de los administradores y los elaboradores, es necesario dirigirse a los especialistas en la seguridad informática. La verdad es que en el resultado significativo de los casos es bastantes defensas de extranjeros y usuarios.

¿Que hacer?

Hay muchas variantes del refuerzo de la seguridad del sistema. En calidad del primer paso tiene que estimar las pérdidas máximas del ataque exitoso y determinar, que gastos por el refuerzo de la seguridad serán tomados y suficientes. En vista de esto tiene que recoger los medios duros, de programa y administrativos del refuerzo de la seguridad.

La restricción y la diferenciación del acceso

Es reconocido por todos que cualquier usuario debe tener el acceso solamente a aquellos recursos, que le son necesarios. Todos los ambientes de red tienen más o unos medios menos desarrollados de la restricción del acceso. La tarea clave a la diferenciación del acceso es la identificación del usuario.

Antes de que servidor cualquiera del sistema concederá el acceso a los recursos, él debe comprender, con quién tiene que hacer. Por otro lado, antes de que entregar a cualquier servidor la información importante, el abonado quiere persuadirse también que sus datos serán enviados a destino.

En la variante simplísima para la confirmación de los poderes del cliente sirve парольная la defensa. Sin embargo por sí misma no es la panacea. Se puede interceptar la consigna con la transmisión por la red, recoger, echar de ver al juego etc. Este problema se decide el uso de los medios adicionales: чиповых de las tarjetas o TOUCH MEMORY http://www.confident.ru/. A la construcción de los sistemas con un alto grado de la defensa pueden aplicarse los mecanismos de la identificación por los parámetros biológicos: por la retina del ojo, por la huella dactilar o por la forma de la mano. Pero todos estos métodos sobreentienden la posibilidad del contacto físico con el detector. Si esto es imposible, se aplican los principios siguientes: antes de que entregar la consigna, es necesario establecer la unión protegida por la cifración del tráfico. Esto se hace del modo siguiente: a la conexión el servidor entrega al cliente la llave abierta, el cliente genera la llave secreta (simétrica), cifra por su llave abierta y entrega al servidor. Más todo el tráfico, incluso el nombre y la consigna del usuario, pasa por la red en el tipo cifrado. En esta cadena hay todavía un eslabón débil - el usuario debe persuadirse también que tiene que hacer con aquel servidor, con que él quería tener que hacer. Es posible en caso contrario la situación, cuando los malhechores meten a usted el servidor "falso". Os conectáis a él, introducís la consigna, después de que el servidor falso imita la intermitencia en la red, habiendo recordado su combinación del nombre y la consigna. En lo sucesivo puede ser usada para la recepción del acceso al servidor presente. Para el permiso del problema dado sirven los servidores аутентификации. Al establecimiento de la unión protegida se usa la tercera parte, que confirma la autenticidad y el cliente y el servidor. En el Internet hay unas firmas que prestan a los servicios semejantes por dinero. Debe mencionar en esta relación los productos siguientes: secure shell las firmas, que permite trabajar en el interpretador de mando con шифрацией del tráfico, la acta ssl (secure socket layer) la firma netscape communications corporation, que usa el sistema de los certificados аутентификации y la cifración por el algoritmo rsa (rsa data security, inc.) en el trabajo a través del web-browser, también el sistema аутентификации kerberos y otros.

La desinformación

La desinformación es una primera barrera en la vía que ataca. La realización del ataque exitoso tiene que mucho saber el sistema atacado. Hasta inofensivo a primera vista la información (por ejemplo, sobre la versión de su sistema de operaciones o WEB - el servidor) puede ser importante al ataque. Por eso el primer paso a la construcción del sistema de la defensa es una ocultación o la desfiguración del máximo de la información.

Debe sustituir para empezar todas las invitaciones estandartizadas y los encabezamientos. Luego es necesario llevar dos DNS-servidores - uno para el mundo exterior, а otro para el uso interior. En el DNS-servidor destinado al mundo exterior, debe excluir las anotaciones sobre todos los coches a excepción del mínimo absolutamente necesario. Aquí puede surgir, sin embargo, el problema. Algunos WEB - y los FTP-servidores exigen la presencia del nombre registrado a la conexión a él. Es completamente justificada En este caso la aplicación del PROXY-servidor. Y bien, y no es necesario dar, al fin, la información completa sobre el sistema, cuando le llama el agente comercial y bajo pretexto de la venta del nuevo servidor o el enrutador trata вызнать a usted del detalle del ajuste de su red. Mismo toca las formas de todo género de registro en los WEB-servidores y otros lugares. Tiene que también advertir todos los empleados de lo que cualquier información sobre la red local de la organización es una información cerrada.

La cifración del tráfico

A la organización de la intrarred el tráfico antes que no pasaba de la raya de la red local, es dejado pasar a través de muchos kilómetros de las redes de uso común. Además muy muchas personas pueden verlo. Especialmente esto toca la transmisión del tráfico a través del Internet, pero la amenaza se conserva y con su transmisión a través del canal distinguido digital. Para la prevención de la intercepción de la información en esta etapa aplican la cifración. En la actualidad son elaborados muchos algoritmos buenos de la cifración. Todo se puede dividirlos en dos grupos en principio diferentes - con la llave simétrica (secreta) y con asimétrico (abierto). La diferencia entre ellos consiste en lo siguiente: al uso de la llave simétrica y el remitente y el destinatario del mensaje deben tener la misma clave secreta, con que ayuda es cifrado y es descifrado el mensaje. El problema principal a este método - la transmisión de la clave secreta. La clave secreta debe pasar por el canal secreto. Si dos abonados no disponen del canal secreto entre ellos y no en el estado de encontrarse personalmente, el esquema dado es inaceptable. A la cifración con la llave abierta se crea un par de las llaves - abierto y secreto. El mensaje cifrado por medio de la llave abierta, no puede ser descifrado sin conocimiento de la clave secreta y al contrario. Esta propiedad da la posibilidad de pasar sin el canal secreto. Si quiero que alguien me haya mandado el mensaje cifrado, genero un par de las llaves y publico la llave abierta por la imagen más ancha. Cualquiera, quien puede recibir mi llave abierta, puede mandarme el mensaje cifrado, que podré descifrar solamente por la clave secreta fresca. Sobre esto las ventajas del método dado acaban y comienzan las faltas: la cifración con las llaves asimétricas exige más de recursos de cómputo, para el mantenimiento análogo криптостойкости debe usarse una llave más larga. Y en general método dado se basa en el teorema no probado de la imposibilidad por el modo analítico de exponer el número cualquiera a los multiplicadores simples. Por estas causas el método dado de la cifración aplican habitualmente en la combinación con la cifración tradicional con la llave simétrica.

Apetece prevenir del uso de los sistemas no verificados e improvisados de la cifración. Existe la opinión, si el sistema conocido, es conocido y como de romperle - es mejor mí escribiré propio algoritmo, aunque simple, pero nadie conocido. Esto radicalmente el acceso equivocado. La criptografía es mucho más difícil y es más extenso, que esto parece a primera vista, а криптоаналитика es mucho más potente.

La gestión "de las revistas personales"

En el caso general por los defectos en los sistemas aplicados, para el aumento de la comodidad del trabajo o para el alivio de la administración al usuario le son concedidos los derechos un poco sobrantes. Por ejemplo, si en el trabajo de algún programa es necesario anotar los datos en los ficheros, son concedidos habitualmente los derechos para la anotación en el catálogo entero. En este caso el usuario puede violar el trabajo del sistema, sin superar los derechos, delegados a ello.

En los casos semejantes puede ayudar la gestión de las actas del trabajo de los usuarios separados. Esto permite en caso necesario seguir las acciones del usuario, exactamente determinar que tenía lugar - la falta o el ataque, cuando que acciones eran hechas. A menudo tales actas ayudan restablecer la integridad del sistema. Las faltas de la gestión de tales actas, ay, son evidentes: el volumen grande de las actas lleva a lo que nadie los analiza, además, ocupan simplemente muchos lugares sobre los discos u otros acumuladores.

Los muros contrafuegos

En últimos años los muros contrafuegos (FIREWALLS) o "межсетевые las pantallas" (su este nombre oficial) han adquirido el estatus del medio absolutamente necesario a la conexión al Internet. Aunque os conectáis del ordenador de casa, vale la pena pensar en el muro contrafuegos, а si conectáis la red local al Internet, el muro contrafuegos se hace es simplemente necesario.

Los muros contrafuegos es habitualmente aceptado clasificar por el nivel en el modelo estandartizado de red, sobre que él trabaja.

El primer nivel - la filtración de los paquetes que pasan a nivel de IP. En este nivel es posible realizar la defensa fundada en las IP-direcciones. Por ejemplo, no dejar pasar los paquetes del Internet, dirigido en aquellos servidores, el acceso a que no debe realizarse de afuera. También en este nivel puede ser cortado tal tipo pérfido del ataque, como IP - SPOOFING, es decir el recurso a su coche con la dirección del remitente falsa del paquete (por ejemplo, que pertenece a cualquier coche en su red local). En este caso la filtración se realiza según aquel principio que del canal, por que sois conectados al Internet, no puede llegar el paquete con la IP-dirección de su red local.

El nivel siguiente - la TCP-unión. Aquí la filtración es posible, excepto las direcciones, también por los números de los puertos TCP y las banderas que contiene en los paquetes. (Por ejemplo, la interpelación por el establecimiento de la unión.) así como en el nivel dado son filtradas las actas UDP e ICMP.

Debe después el análisis de las actas aplicadas, tales como FTP, HTTP, SMTP y otros. En el nivel dado puede ser realizado el control del contenido de los flujos de los datos. En particular, es posible prohibir a los usuarios de su red local recibir del Internet los módulos cumplidos u otros tipos de los ficheros.

Y al fin, hay unos medios que incluyen juntos con todos los niveles mencionados de la filtración el sistema pericial, que, analizando el tráfico, diagnostica los acontecimientos, que pueden presentar la amenaza de la seguridad de su red, e informa de esto al administrador. También puede independientemente cambiar las reglas de la filtración, - por ejemplo, endurecerlos en caso del peligro.

Al momento presente se ha formado el mercado extenso en esta esfera. Sobre ello son presentados los medios en la banda más ancha de los precios. Los UNIX-sistemas con soltura difundidos, tales como FREEBSD (http://www.freebsd.org/) y linux, incluyen los instrumentos para la filtración en los niveles ip, tcp, udp e icmp. De los sistemas de pago tiene que mencionar firewall-1 (check point software), firewall plus, border manager (novell http://www.novell.com/), black hole. También los medios de la seguridad asisten en los sistemas de operaciones de los enrutadores duros, por ejemplo ios v.11.x las firmas cisco systems (http://www.cisco.com/).

A la instalación del muro contrafuegos es posible seguir las concepciones distintas. En la variante más protegida se prohíben todas las uniones como del Internet a los coches de la red local, y de los coches locales afuera. Para el trabajo con FTP - y los WEB-servidores se establece el PROXY-servidor, que puede al mismo tiempo y analizar el tráfico de usuario. En la variante facilitada se cierran todas las actas, el trabajo a través de FTP y HTTP está permitido. Esto lleva menos de incomodidades, pero lleva a lo que cae abrir la banda ancha de los puertos TCP para las uniones entrantes, puesto que esto exige la acta FTP. Y bien, y es posible, al fin, tal variante del trabajo, cuando es abierto todo, solamente los lugares separados son cubiertos, por ejemplo, TELNET al UNIX-servidor o el 139 puerto, a través de que trabaja la división de los recursos en WINDOWS.

La rutina

El trabajo rutinario no es menos importante, que es competente el sistema construido. No cada ataque se manifiesta en seguida. Puede encontrarse Completamente tal ataque, que consecuencias se manifestarán en algunas semanas o los meses. En relación a esto es simplemente necesario de antemano planear los gastos del tiempo por el análisis de las actas, el control de la ejecución del reglamento y aquel las acciones semejantes.

En el caso cuando en el trabajo del sistema es engendrado el volumen grande de las actas diversas, es simplemente necesaria alguna automatización de su análisis. En las variantes primitivas basta el cálculo de la estadística y la representación conveniente de los resultados recibidos. Hasta tales medidas modestas permitirán revelar la conducta insólita del usuario (el acceso en el tiempo, insólito para él, el cambio brusco de los volúmenes de la información recibida y así sucesivamente.).

Para la prevención del estropeo de la información es necesario el análisis de la integridad de la información: el test de la integridad архивированных de los ficheros, el cálculo y la verificación de las sumas de control para los ficheros.

Solamente la realización escrupulosa de los procedimientos rutinarios puede dar algunos motivos para contar el sistema seguro.

Las dificultades

Muchas medidas completamente evidentes pueden dar el efecto completamente paradójico, si no tomar en consideración lo que las medidas prescritas son cumplidas por las personas vivas.

Por ejemplo, en los canales IRC es posible encontrar las quejas de, si que "админ va a cerrar el acceso a IRC" y en relación a esto "no es posible esta prohibición en cierto modo dar una vuelta alrededor". A lo largo de "la conversación" tal usuario es listo a contar de la red todo que sabe, y aprovecharse de prácticamente cualquier consejo, que le darán, hasta el lanzamiento de cualquier inmediatamente programa entregado, que puede encontrarse completamente "troyano".

Es necesario tomar en consideración la psicología de los usuarios prácticamente constantemente. Así, la regla de crestomatía no usar las consignas "estandartizadas" llega a la contradicción con la regla "nunca anotar las consignas". El usuario raro es capaz en seguida de recordar hasta la consigna pronunciada de ocho carácteres. Por eso el cuadro frecuente es o la aplicación de las consignas como "QQQQQ", "PRIVET" y así sucesivamente. En caso de que las consignas semejantes se separen automáticamente, cerca de los puestos de trabajo es fácil encontrar el trozo de papel, sobre que es anotada la consigna generada según las reglas, "completamente secreta".

Depende de la situación concreta pueden ponerse las decisiones distintas: la reglamentación dura de los trabajos, las restricciones adicionales del lugar (en que ordenador) y el tiempo del trabajo, el endurecimiento del acceso en los locales, es posible de donde el acceso al sistema, el uso de los mecanismos duros de la identificación (por ejemplo, DALLAS LOCK) etc.

Descrito en la literatura взломы de los sistemas con el uso de así llamado de "la ingeniería social", es decir con el uso de los métodos psicológicos, no técnicos, muestran la eficiencia extraordinaria de tales vías, como el alquiler temporal al trabajo, el uso de los contactos personales con los trabajadores de la empresa etc. La tarea de la prevención del uso de tales métodos se refiere más bien a la gestión del servicio de seguridad, pero con todo eso algunas medidas deben ponerse al administrador de sistema.

En primer lugar, no vale la pena divulgar, y además explicar detalladamente el mecanismo del sistema, los modos de su defensa del acceso no autorizado.

En segundo lugar, es necesario tratar simultanear la reglamentación dura del trabajo del personal (el uso de las consignas, la observación de la confidencialidad y la diferenciación de los poderes) con la cooperación probablemente más ancha. Es decir no vale la pena "de principio" bloquear los servicios, interesantes las personas. Tiene que más bien hacer en el caso general el uso de algún instrumento seguro, por medio de la aplicación PROXY o el análisis del tráfico, que prohibir completamente el uso del servicio. La abundancia de las prohibiciones lleva a lo que las personas buscan (¡y encuentran a menudo!) las vías de rodeo, con todo que permiten hacer lo que apetece, pero ya alrededor del administrador de sistema. Es desagradable especialmente lo que durante la búsqueda de tales vías son atraídas "las conocidas" diversas, que reciben la información confidencial sobre el sistema.

El problema siguiente es una observación del reglamento establecido por la dirección y el administrador mismo del sistema. A menudo después de la introducción suficiente (según el administrador) las medidas de la seguridad comienza alguna euforia. La consecuencia de esto es lo que el reglamento establecido cumple no por completo o no cumple en absoluto, las actas no son analizadas, no es hecho el test suficiente.

El currículum vitae

Poco probable este artículo puede llamar los cambios revolucionarios en las mentes de los lectores. Al fin y al cabo, por los problemas de la seguridad es escrito el número enorme de los artículos, las notas (por ejemplo, en el servidor http://www.hackzone.ru/) y así sucesivamente. Es más o unos libros menos detallados e informativos y las direcciones. Así que la información basta, en general. En calidad del currículum vitae es posible llevar algunos buenos deseos:

• сбалансированно se acercáis a los problemas de la defensa y seguridad;
• No traten de seguir la moda y no se aparten de lado a lado;
• Tomen en consideración en el trabajo la psicología de los usuarios;
• Eviten hace mucho los problemas conocidos, con que había ya muchos administradores;
• Si sentís que la tarea le va muy ancho, lo reconozcan y se dirijan a los especialistas.