Наскільки безпечні інтрамережі

www.hackerz.ru

<br /> Завдяки спрощеному перегляду технологія интрасетей стає<br /> привабливою для розповсюдження інформації всередині підприємства, але в той<br /> Водночас викликає занепокоєння у адміністраторів мереж, що відповідають за<br /> захист даних. Незважаючи на те що Web-броузери і Web-сервери здаються<br /> ідеальними інструментами, які забезпечують швидкий і простий доступ до<br /> документів та відомостей, відкритість цієї технології призводить до необхідності<br /> приймати спеціальні заходи, що запобігають можливість отримання<br /> інформації обмеженого користування небажаними особами, будь то<br /> службовці компанії або сторонні люди. Інтрамережі породжують нові проблеми<br /> захисту даних. Одне з найбільш серйозних побоювань полягає в тому, що<br /> використання доступних кожному Web-інструментів посилить загрозу вторгнень<br /> ззовні. Щоб парирувати її, адміністратори мереж захищають кордони своїх<br /> интрасетей за допомогою брандмауерів.<br /> Конфіденційні дані Одночасно виникає необхідність обмежити<br /> доступ і всередині підприємства, щоб виключити можливість потрапляння<br /> конфіденційних даних у руки службовців, які не мають на це повноважень.<br /> Кілька постачальників посилено рекламують у цих цілях установку<br /> брандмауерів в ключових пунктах між відділеннями, що, згідно з їх<br /> твердженням, ефективно обмежить доступ до Web-сторінок і<br /> Web-додатків, що використовуються в одному відділенні, з іншого. Деякі<br /> фірми, наприклад Bay Networks, для підвищення надійності захисту на<br /> підприємстві пропонують застосовувати концентратори і маршрутизатори з<br /> вбудованими функціями брандмауерів. Багато адміністратори, однак,<br /> скептично ставляться до такого підходу. На думку одного з них,<br /> додаток внутрішнього маршрутизатора брандмауером припускає, що<br /> фізична структура корпоративної мережі збігається з її логічної<br /> структурою, а це не завжди передбачається при конфігуруванні мережі.<br /> Крім того, він вказує, що установка брандмауерів між відділенням не<br /> враховує типовій ситуації, коли доступ до конфіденційної інформації<br /> повинен надаватися тільки керівникам з особливого списку, які<br /> можуть бути розосереджені по мережі. &quot;Використовувати брандмауер для захисту<br /> інтрамережі &#8211; це те ж саме, що колоти волоські горіхи кувалдою &quot;, &#8211;<br /> іронізує він. Уважне адміністрування Проте менеджери<br /> вважають найкращим способом контролю за безпекою интрасетей<br /> уважне адміністрування прав доступу користувачів. Деякі з<br /> них вважають, що контроль за допомогою паролів в поєднанні з такими<br /> продуктами, як Secure Sockets Layer компанії Netscape Communications,<br /> дозволить ефективно і гнучко обмежувати доступ. Однак експерти із захисту<br /> даних висловлюють думку, що ризик, пов&#39;язаний з інструментальними<br /> засобами, вихідний код яких загальнодоступний, зберігається. &quot;Важко<br /> зробити дійсно секретної будь-яку програму, написану мовою HTML<br /> або Java, &#8211; стверджує Пітер Тіппетт (Peter Tippett), президент<br /> Національної асоціації комп&#39;ютерної безпеки (NCSA). &#8211; Вони розраховані<br /> тільки на передачу по лініях зв&#39;язку і виконання на комп&#39;ютері &quot;.<br /> Сценарії загального міжмережевого інтерфейсу (Common Gateway Interface, CGI),<br /> використовувані для підключення Web-серверів до внутрішньої базі даних або<br /> системах обробки транзакцій, також стали предметом серйозного<br /> занепокоєння адміністраторів интрасетей. Ці сценарії, написані на<br /> інтерпретуються, а не компільованих мовах, наприклад Practical Extraction<br /> and Reporting Language, особливо уразливі для несанкціонованого доступу,<br /> оскільки в них можуть бути включені що вводять в оману оператори.<br /> Передавши в сценарії CGI непередбачені вхідні дані, хакери можуть<br /> домогтися, щоб сервер переслав їм електронною поштою файли паролів,<br /> встановити сеанси зв&#39;язку по протоколу Telnet із секретними ресурсами або<br /> отримати доступ до корисної інформації про конфігурацію. Крім того, вони<br /> можуть проникати в мережу з метою встановлення режиму так званого відмови<br /> в послугах, коли серверу доводиться виконувати деякі займають ресурси<br /> дії (наприклад, масовий пошук), що робить систему непридатною для<br /> звичайного використання.<br /> Незважаючи на те що включення Web-сервера між кінцевими користувачами і<br /> додатками може забезпечити незалежність від платформи та спростити<br /> подання даних, воно ускладнює захист даних. Заходи захисту, властиві<br /> давно створеним додаткам, тепер недостатні, оскільки їх клієнтом<br /> є Web-сервер, а не кінцевий користувач. HTML-сторінка стає<br /> другим найважливішим пунктом контролю захисту. Навіть при наявності засобів захисту<br /> додатків кожен бажаючий, який має фізичний доступ до сегмента<br /> локальної мережі, здатний перехопити повідомлення, передані по інтрамережі<br /> (Якщо тільки не використовується який-небудь спосіб шифрування). Як сказав<br /> Тіппетт, порівняно легко можна перетворити ПК користувача в пристрій<br /> для перехоплення інформації. &quot;З&#39;являється все більше автоматизованих<br /> інструментів, що дозволяють незаконно втручатися в мережу, навіть не думаючи про<br /> цьому &quot;, &#8211; констатував він.<br /> Шифрування паролів Найбільш важливими даними, які можуть бути перехоплені,<br /> є паролі, звичайно відкрито посилають при вході користувачів в<br /> систему. Розташовує таким паролем хакер може &quot;дістатися&quot; до сервера і<br /> проникнути в області, доступ до яких дозволено конкретному користувачеві.<br /> Ось чому шифрування необхідно вже в процесі початкового передачі паролів<br /> користувачів. Інші дані, передані в Web-середовищі, наприклад номери<br /> системи соціального забезпечення, також можуть вимагати шифрування.<br /> Безумовно, ефективність контролю доступу в кінцевому підсумку залежить від<br /> старанності технічного персоналу, який здійснює адміністрування<br /> інтрамережі. Промахи в організації захисту Недоліки в адмініструванні<br /> систем захисту, мабуть, відбуваються з кількох причин. По-перше,<br /> передбачається, що внутрішнім користувачам можуть бути надані<br /> повноваження вищого рівня, ніж під час доступу через Internet ззовні.<br /> По-друге, внутрішні Web-вузли часто довіряються тим, хто краще освоїв мову<br /> HTML, а не службовцям, глибоко знають використовувані компанією методи захисту.<br /> По-третє, ринок засобів захисту в Web-середовищах тільки формується, тому в<br /> штаті лише небагатьох інформаційних служб є фахівці, знайомі з<br /> відповідними інструментами та їх практичним використанням.<br /> Для багатьох адміністраторів мереж технічні питання захисту, поряд з<br /> загальним відчуттям невпевненості, будуть служити перешкодою для більш широкого<br /> використання внутрішніх Web-вузлів (крім розповсюдження корпоративних<br /> новин, довідкових даних про персонал та інформації про пільги для<br /> службовців).<br /> Проте деяких адміністраторів явно привертають швидкість і простота<br /> створення интрасетей. Ці споживачі, щоб не допустити погіршення захисту,<br /> повинні з великою увагою ставитися до поєднання брандмауерів, засобів<br /> аутентифікації, ефективних сценаріїв CGI, а також методів шифрування. Як<br /> сказав директор за спеціальними проектами Стів Кобб (Steve Cobb), у сфері<br /> захисту интрасетей яскраво виявляються більш загальні проблеми захисту даних у<br /> компаніях. Тут наочно проявляються недоліки як самої політики<br /> захисту, так і методів її втілення на практиці.<br />

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*