Читаем Политики безопасности компании при работе в Интернет полностью

Политики безопасности компании при работе в Интернет

Владимир Анатольевич Курбатов , Сергей Александрович Петренко

Источник: внутренние интерфейсы пограничных маршрутизаторов.

Получатель: сервер HP OpenView NNM.

Сервис: SNMP-trap, ICMP echo reply (используется для Open View polling).

Журналирование: выключено.

Описание: правило позволяет осуществлять мониторинг пограничных маршрутизаторов с помощью сервера HP OpenView NNM. Как уже было сказано выше, этот мониторинг является критически важным. Разрешен только доступ в режиме read-only; 16-е и 17-е правила используются редко, поэтому расположены именно здесь.

Правило 18

Источник: внутренние интерфейсы пограничных маршрутизаторов.

Получатель: сервер времени.

Сервис: NTP.

Журналирование: выключено.

Описание: правило разрешает пограничным маршрутизаторам синхронизировать время с сервером времени.

Правило 19

Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24). Получатель: VPN-шлюз.

Правило 20

Источник: VPN-шлюз.

Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Сервис: IPSec: IKE, ESP, TCP 7456 (Cisco IPSec tunneling over TCP).

Журналирование: включено (для журналирования всей активности, связанной с использованием VPN).

Описание: 19-е и 20-е правила разрешают удаленный доступ через VPN. Журналирование используется, хотя VPN-концентратор имеет свое собственное журналирование, потому что VPN-шлюз обеспечивает доступ во внутреннюю сеть компании, что очень важно. Публичные IP-адреса компании были исключены из списка для предупреждения попыток осуществить VPN-соединение из внутренней сети компании, VPN-соединение должно быть доступно только из Интернета.

Правило 21

Источник: любой из публичной IP-подсети (70.70.70.0/24). Получатель: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Правило 22

Источник: любой, за исключением публичной IP-подсети (70.70.70.0/24).

Получатель: любой из публичной IP-подсети (70.70.70.0/24).

Сервис: ICMP source quench.

Журналирование: включено.

Описание: 21-е и 22-е правила разрешают сообщения ICMP source quench для оптимизации скорости передачи, увеличивающей производительность.

Правило 23

Источник: любой.

Получатель: любой.

Сервис: любой.

Журналирование: включено; весь трафик, не удовлетворяющий предыдущим правилам, должен быть записан и проанализирован.

Описание: правило блокирует весь трафик, который не был явно разрешен в предыдущих правилах. Действие на это правило – drop, а не reject для того, чтобы к отправителю не посылался никакой трафик. В этом случае злоумышленникам трудно провести сетевую разведку.

Настройки безопасности Nokia IPSO. Выбор Nokia IPSO был обусловлен следующим:

• операционная система – урезанная версия Unix BSD;

• все исполняемые файлы находятся в файловой системе в режиме «только для чтения»;

• все настройки конфигурации хранятся в одном файле, что упрощает резервное копирование и проверки внесенных изменений;

• сервис Inetd стартует пустым, и каждый новый сервис должен быть добавлен явно;

• нет сервисов, способных отдать дополнительную информацию о системе удаленным пользователям, типа finger, who или talk;

• нет экспортируемой файловой системы или X Windows;

• система однопользовательская, то есть отсутствует угроза повышения привилегий непривилегированными пользователями;

• нет возможности добавлять новых пользователей.

Перейти на страницу: