Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Источник: ргоху-серверы демилитаризованной зоны.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: HTTP, HTTPS, FTP.
Журналирование: включено. Эта установка может быть изменена после полной реализации всей архитектуры, потому что правило будет создавать слишком много записей в журналах. Весь исходящий трафик к внешним Web-cepвeрам будет журналироваться.Правило 13
Описание: правило разрешает внутренним пользователям получать доступ к внешним Web-серверам, определенным в политике компании. Это второе по частоте использования правило.
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Получатель: внешние SMTP-серверы компании.Правило 14
Источник: внешние SMTP-серверы компании.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: SMTP.
Журналирование: включено, журналируются все входящие и исходящие SMTP-соединения.
Описание: 13-е и 14-е правила разрешает внешним SMTP-серверам принимать и отправлять электронную почту.Правило 15
Источник: внешние DNS-серверы компании.
Получатель: DNS-серверы ISP1 и ISP2.
Сервис: DNS, TCP и UDP.
Журналирование: включено, журналируются все входящие и исходящие STMP-соединения.
Описание: правило позволяет разрешать внешние DNS-имена. TCP разрешен для того случая, когда DNS-ответ слишком большой для размещения в UDP-пaкете. Эта установка обеспечивает наиболее защищенный способ разрешения внешних DNS-имен, потому что требуется только доступ к четырем внешним DNS-серверам, которые принадлежат двум известным провайдерам.Правило 16
Источник: сервер HP OpenView NNM.
Получатель: внутренние интерфейсы пограничных маршрутизаторов.
Сервис: SNMP-read, ICMP echo request (используется для Open View polling).Правило 17
Источник: внутренние интерфейсы пограничных маршрутизаторов.
Получатель: сервер HP OpenView NNM.
Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).
Журналирование: выключено.
Описание: правило позволяет осуществлять мониторинг пограничных маршрутизаторов с помощью сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Разрешен только доступ в режиме read-only; 16-е и 17-е правила используются редко, поэтому расположены именно здесь.Правило 18
Источник: внутренние интерфейсы пограничных маршрутизаторов.
Получатель: сервер времени.
Сервис: NTP.
Журналирование: выключено.
Описание: правило разрешает пограничным маршрутизаторам синхронизировать время с сервером времени.Правило 19
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24). Получатель: VPN-шлюз.
Правило 20
Источник: VPN-шлюз.
Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Сервис: IPSec: IKE, ESP, TCP 7456 (Cisco IPSec tunneling over TCP).
Журналирование: включено (для журналирования всей активности, связанной с использованием VPN).
Описание: 19-е и 20-е правила разрешают удаленный доступ через VPN. Журналирование используется, хотя VPN-концентратор имеет свое собственное журналирование, потому что VPN-шлюз обеспечивает доступ во внутреннюю сеть компании, что очень важно. Публичные IP-адреса компании были исключены из списка для предупреждения попыток осуществить VPN-соединение из внутренней сети компании, VPN-соединение должно быть доступно только из Интернета.Правило 21
Источник: любой из публичной IP-подсети (70.70.70.0/24). Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Правило 22
Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).
Получатель: любой из публичной IP-подсети (70.70.70.0/24).
Сервис: ICMP source quench.
Журналирование: включено.
Описание: 21-е и 22-е правила разрешают сообщения ICMP source quench для оптимизации скорости передачи, увеличивающей производительность.Правило 23
Источник: любой.
Получатель: любой.
Сервис: любой.
Журналирование: включено; весь трафик, не удовлетворяющий предыдущим правилам, должен быть записан и проанализирован.
Описание: правило блокирует весь трафик, который не был явно разрешен в предыдущих правилах. Действие на это правило – drop, а не reject для того, чтобы к отправителю не посылался никакой трафик. В этом случае злоумышленникам трудно провести сетевую разведку.Настройки безопасности Nokia IPSO. Выбор Nokia IPSO был обусловлен следующим:
• операционная система – урезанная версия Unix BSD;
• все исполняемые файлы находятся в файловой системе в режиме «только для чтения»;
• все настройки конфигурации хранятся в одном файле, что упрощает резервное копирование и проверки внесенных изменений;
• сервис Inetd стартует пустым, и каждый новый сервис должен быть добавлен явно;
• нет сервисов, способных отдать дополнительную информацию о системе удаленным пользователям, типа finger, who или talk;
• нет экспортируемой файловой системы или X Windows;
• система однопользовательская, то есть отсутствует угроза повышения привилегий непривилегированными пользователями;
• нет возможности добавлять новых пользователей.Также были проделаны следующие шаги по повышению защищенности системы:
• начальное конфигурирование было произведено без подключения в сеть;
• все неиспользуемые интерфейсы отключены;
• для удаленного администрирования используется SSH v.2 в режиме RSA, отключен SSH v.l;
• Telnet отключен;
• HTTP отключен, для начального администрирования был использован SSL. После настройки конфигурации SSL был отключен и для администрирования используется только SSH и локальный браузер Lynx;
• доступ для управления и администрирования ограничен определенным списком IP-адресов через списки контроля доступа;
• на межсетевых экранах используется статическая маршрутизация.Настройки безопасности сервера управления Check Point Firewall-1. Сервер управления установлен на Windows 2000 Service Pack 4 и сконфигурирован в соответствии с руководствами по безопасности, указанными ранее. Глобальные свойства Check Point Firewall-1. Первый и наиболее важный шаг после начальной настройки Firewall-1 – отключить неявные правила, установленные по умолчанию на закладке Global Properties. На рис. 4.8 показаны правила, имеющие обозначение «First», то есть они обрабатываются перед любыми другими правилами.
Читать дальшеИнтервал:
Закладка:
