Наскільки безпечні інтрамережі, Інтернет і інші мережі, Security & Hack, статті

Завдяки спрощеним перегляду технологія интрасетей стає
привабливою для розповсюдження інформації всередині підприємства, але в той
Водночас викликає занепокоєння у адміністраторів мереж, що відповідають за
захист даних. Незважаючи на те що Web-броузери та Web-сервери здаються
ідеальними інструментами, які забезпечують швидкий і простий доступ до
документами та даними, відкритість цієї технології призводить до необхідності
приймати спеціальні заходи, що запобігають можливість отримання
інформації обмеженого користування небажаними особами, будь то
службовці компанії або сторонні люди. Інтрамережі породжують нові проблеми
захисту даних. Одне з найсерйозніших побоювань полягає в тому, що
використання доступних кожному Web-інструментів посилить загрозу вторгнень
ззовні. Щоб парирувати її, адміністратори мереж захищають межі своїх
интрасетей за допомогою брандмауерів.
Конфіденційні дані Одночасно виникає необхідність обмежити
доступ і всередині підприємства, щоб виключити можливість потрапляння
конфіденційних даних у руки службовців, які не мають на це повноважень.

Кілька постачальників посилено рекламують в цих цілях установку
брандмауерів в ключових пунктах між відділеннями, що, згідно з їх
твердженням, ефективно обмежить доступ до Web-сторінок і
Web-додатків, що використовуються в одному відділенні, з іншого. Деякі
фірми, наприклад Bay Networks, для підвищення надійності захисту на
підприємстві пропонують застосовувати концентратори і маршрутизатори з
вбудованими функціями брандмауерів. Багато адміністратори, однак,
скептично ставляться до такого підходу. На думку одного з них,
додаток внутрішнього маршрутизатора брандмауером припускає, що
фізична структура корпоративної мережі збігається з її логічної
структурою, а це не завжди передбачається при конфігуруванні мережі.
Крім того, він вказує, що встановлення брандмауерів між відділеннями не
враховує типової ситуації, коли доступ до конфіденційної інформації
повинен надаватися тільки керівникам з особливого списку, які
можуть бути розосереджені по мережі. “Використовувати брандмауер для захисту
інтрамережі – це те ж саме, що колоти волоські горіхи кувалдою “, –
іронізує він. Уважне адміністрування Проте менеджери
вважають найкращим способом контролю за безпекою интрасетей
уважне адміністрування прав доступу користувачів. Деякі з
них вважають, що контроль за допомогою паролів у поєднанні з такими
продуктами, як Secure Sockets Layer компанії Netscape Communications,
дозволить ефективно і гнучко обмежувати доступ. Однак експерти з захисту
даних висловлюють думку, що ризик, пов’язаний з інструментальними
засобами, вихідний код яких загальнодоступний, зберігається. “Важко
зробити дійсно секретної яку програму, написану мовою HTML
або Java, – стверджує Пітер Тіппетт (Peter Tippett), президент
Національної асоціації комп’ютерної безпеки (NCSA). – Вони розраховані
тільки на передачу по лініях зв’язку і виконання на комп’ютері “.

Сценарії загального міжмережевого інтерфейсу (Common Gateway Interface, CGI),
використовувані для підключення Web-серверів до внутрішньої бази даних або
системах обробки транзакцій, також стали предметом серйозного
занепокоєння адміністраторів интрасетей. Ці сценарії, написані на
інтерпретуються, а не компільованих мовах, наприклад Practical Extraction
and Reporting Language, особливо уразливі для несанкціонованого доступу,
оскільки в них можуть бути включені вводять в оману оператори.
Передавши в сценарії CGI непередбачені вхідні дані, хакери можуть
домогтися, щоб сервер переслав їм по електронній пошті файли паролів,
встановити сеанси зв’язку по протоколу Telnet з секретними ресурсами або
отримати доступ до корисної інформації про конфігурацію. Крім того, вони
можуть проникати в мережу з метою встановлення режиму так званого відмови
в послугах, коли серверу доводиться виконувати деякі займають ресурси
дії (наприклад, масовий пошук), що робить систему непридатною для
звичайного використання.
Незважаючи на те що включення Web-сервера між кінцевими користувачами і
додатками може забезпечити незалежність від платформи та спростити
подання даних, воно ускладнює захист даних. Заходи захисту, властиві
давно створеним програмам, тепер недостатні, оскільки їх клієнтом
є Web-сервер, а не кінцевий користувач. HTML-сторінка стає
другим найважливішим пунктом контролю захисту. Навіть при наявності засобів захисту
додатків кожен бажаючий, який має фізичний доступ до сегмента
локальної мережі, здатний перехопити повідомлення, передані по інтрамережі
(Якщо тільки не використовується який-небудь спосіб шифрування). Як сказав
Тіппетт, порівняно легко можна перетворити ПК користувача в пристрій
для перехоплення інформації. “З’являється все більше автоматизованих
інструментів, що дозволяють незаконно втручатися в мережу, навіть не думаючи про
цьому “, – констатував він.

Шифрування паролів Самими важливими даними, які можуть бути перехоплені,
є паролі, звичайно відкрито посилаються при вході користувачів в
систему. Розташовує таким паролем хакер може “підібратися” до сервера і
проникнути в області, доступ до яких дозволено конкретному користувачеві.
Ось чому шифрування необхідно вже в процесі початкової передачі паролів
користувачів. Інші дані, передані в Web-середовищі, наприклад номера
системи соціального забезпечення, також можуть вимагати шифрування.
Безумовно, ефективність контролю доступу в кінцевому підсумку залежить від
старанності технічного персоналу, який здійснює адміністрування
інтрамережі. Промахи в організації захисту Недоліки в адмініструванні
систем захисту, мабуть, відбуваються з кількох причин. По-перше,
передбачається, що внутрішнім користувачам можуть бути надані
повноваження вищого рівня, ніж при доступі через Internet ззовні.
По-друге, внутрішні Web-вузли часто довіряються тим, хто краще освоїв мову
HTML, а не службовцям, глибоко знають використовувані компанією методи захисту.
По-третє, ринок засобів захисту в Web-середовищах тільки формується, тому в
штаті лише небагатьох інформаційних служб є фахівці, знайомі з
відповідними інструментами та їх практичним використанням.
Для багатьох адміністраторів мереж технічні питання захисту, поряд з
загальним відчуттям невпевненості, будуть служити перешкодою для більш широкого
використання внутрішніх Web-вузлів (крім розповсюдження корпоративних
новин, довідкових даних про персонал та інформації про пільги для
службовців).

Проте деяких адміністраторів явно залучають швидкість і простота
створення интрасетей. Ці споживачі, щоб не допустити погіршення захисту,
повинні з великою увагою ставитися до поєднання брандмауерів, засобів
аутентифікації, ефективних сценаріїв CGI, а також методів шифрування. Як
сказав директор за спеціальними проектами Стів Кобб (Steve Cobb), у сфері
захисту интрасетей яскраво виявляються більш загальні проблеми захисту даних в
компаніях. Тут наочно виявляються недоліки як самої політики
захисту, так і методів її втілення на практиці.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*