Записи Друзья Комментарии
specialistru
Аватар specialistru

 -Метки

aladdin etoken. apple ipad dhtml java и js linux ubuntu php php и mysql) в учебном центре "специалист" s.builder. курсы adobe flash cs5/cs4. smo) в учебном центре "специалист" xml акция больше плюсов больше экзаменов microsoft — больше скидка ведущие компании доверяют «специалисту» видео и 3d гимназии и колледжа двери в бауманку откроет «специалист» дизайн итоги конкурса «полигон для творчества» сезон 2011 компьютерная графика компьютерный центр специалист курсы unix freebsd курсы «специалиста» — сдача toefl курсы и сертификации autodesk курсы по основам веб-технологий курсы подготовки к егэ 2012 курсы этичного хакинга от центра «специалист» курсы этичное хакерство лицея мастер-классы за рубежом налоги настройка и ремонт пк основы сетевых технологий поздравляем с 8 марта и дарим праздничные скидки поздравляем с днем работника культуры россии поздравляем с днем работника органов наркоконтроля пять причин с чем вы столкнетесь при сдаче егэ сайты ведущих преподавателей цко "специалист" сапр скидки на экзамены microsoft до 40% стратегия выбора профессии считаешь себя мастером по сборке пк тариф от билайн «для настоящих специалистов» удобно и надежно! управление it инфраструктурой учебный центр специалист хотите научиться рисовать быстро и красиво четыре периметра безопасности яндекс директ и метрика. курсы cms 1с-битрикс

 -Фотоальбом

Посмотреть все фотографии серии Общая
Общая
09:18 16.09.2011
Фотографий: 1

 -Поиск по дневнику

Поиск сообщений в specialistru

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 25.08.2011
Записей:
Комментариев:
Написано: 267

Записи с меткой четыре периметра безопасности

(и еще 1 записям на сайте сопоставлена такая метка)

Другие метки пользователя ↓

3d творчество: полигонные испытания apple ipad dhtml faq по работе нового сервера онлайн тестирования faq по сертификациям microsoft java и js joomla linux ubuntu php и mysql) в учебном центре "специалист" s.builder. курсы adobe flash cs5/cs4. smo) в учебном центре "специалист" «специалист» обучает программистов фгуп «госнииас» акция больше плюсов больше экзаменов microsoft — больше скидка ведущие компании доверяют «специалисту» видео и 3d двери в бауманку откроет «специалист» день карьеры теперь в режиме вебинара дизайн итоги конкурса «полигон для творчества» сезон 2011 компьютерная графика компьютерный центр специалист курсы google adwords и analytics курсы «специалиста» — сдача toefl курсы и сертификации autodesk курсы по основам веб-технологий курсы подготовки к егэ 2012 курсы этичное хакерство лицея мастер-классы за рубежом налогообложение и тк настройка и ремонт пк основы сетевых технологий поздравляем с 8 марта и дарим праздничные скидки поздравляем с днем защитника отечества поздравляем с днем работника органов наркоконтроля пользователь пк праздник к нам приходит программирование и продвижение в seo сайты ведущих преподавателей цко "специалист" сапр советы «специалиста» - бухгалтерский учет стратегия выбора профессии удобно и надежно! учебный центр специалист хотите научиться рисовать быстро и красиво центр «специалист» подводит итоги 2011 года цифровое будущее немыслимо без «специалиста» четыре периметра безопасности яндекс директ и метрика. курсы cms 1с-битрикс
Нравится

Четыре периметра безопасности

Дневник
Четверг, 15 Сентября 2011 г. 10:10 + в цитатник
Считается, что ресурсы локальной сети гораздо лучше защищены от вторжения, чем сервисы, непосредственно доступные из интернета. От чего зависит реальная безопасность?

Все информационные ресурсы условно делятся на три зоны: красную, желтую и зеленую.

К красной зоне относятся хосты, имеющие реальные IP-адреса, их ресурсы являются внешним периметром, находящимся, что называется, «на острие атаки».

Сервера в желтой зоне имеют частные IP-адреса, но размещенные на них ресурсы доступны как из интернета, так и из локальной сети. Они располагаются в демилитаризованной зоне (DMZ), и только часть из них доступна через интернет.

Ресурсы локальной сети относятся к зеленой зоне и не предоставляют никакие сервисы за ее пределами.

Подобная организация сетевой инфраструктуры предполагает эшелонированную систему обороны, при которой каждая из зон представляет собой отдельный слой фортификационных сооружений, и эти слои как бы вложены друг в друга для обеспечения безопасности локальной сети.

Зеленая зона считается относительно безопасной, так как к ней запрещен доступ из интернета. Иллюзия безопасности усиливается при использовании домена Active Directory, который создает свой «круг доверия», используя централизованную базу данных с настройками доступа к ресурсам локальной сети. Управляющий сервер в домене называется контроллером домена. В чем же ахиллесова пята Active Directory? Некоторым приложениям для полного доступа к службе каталогов требуются административные привилегии, а следовательно, взлом любого из таких сервисов даст злоумышленнику контроль над всеми компьютерами сети.

Как правило, для снижения рисков, связанных со взломом сетевых сервисов в рамках локальной сети, используются следующие меры:

Для защиты Windows-серверов
Использование непривилегированных учетных записей для запуска сетевых сервисов
Установка ограничений с помощью групповых политик
Настройка брандмауэра Windows
Установка антивируса, антиспама и антитрояна
Для защиты UNIX-серверов (Linux/FreeBSD)
Использование непривилегированных учетных записей для запуска сетевых сервисов (демонов)
Запуск сервисов в Chroot
Настройка межсетевого экрана
Для почтовых серверов используются антивирусы и антиспам-решения
Для серверов, выступающих в роли интернет-шлюзов, применяются прокси-сервера
К сожалению, вышеуказанных мер нередко оказывается недостаточно для предотвращения несанкционированного доступа. И причина этого в недостаточном внимании, уделяемом защите хостов, на которых размещаются сетевые сервисы. Для каждой из операционных систем существуют дополнительные возможности, применение которых способно минимизировать риски возможного взлома сервисов.

Например, специфика типовой настройки политик безопасности для Windows-платформ в том, что ради совместимости с предыдущими версиями многие из политик, доступных в новых версиях, остаются неактивными, то есть возможности политик редко задействуются более чем на 30 процентов. Кроме ранее перечисленных, на платформе Windows 2008 R2 доступны следующие методы защиты серверов:

Усиление политик безопасности там, где не требуется совместимость с предыдущими версиями Windows
Виртуализация серверов с использованием технологии Hyper-V
Виртуализация приложений с использованием технологии App-V (ранее SoftGrid)
Использование службы управления правами (AD RMS)
Рекомендуется использовать шифрование файловых систем на серверах, к которым возможен несанкционированный физический доступ
Для рабочих станций на Windows 7 также предусмотрены дополнительные возможности повышения безопасности:

Применение новых групповых политик в отношении непривилегированных учетных записей системы
Использование XP mode для запуска уязвимых сервисов
Настройка UAC-виртуализации
Развертывание клиентской части службы управления правами (AD RMS)
Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ
UNIX-системы (Linux/FreeBSD/MacOS X) в дополнение к ранее перечисленным предлагают не менее развитые средства обеспечения безопасности:

Применение сетевого суперсервера для ограничения доступа к сервисам
Использование политик безопасности SELinux/AppArmor в Linux, MAC во FreeBSD
Виртуализация серверов с использованием технологий OpenVZ/LXC в Linux и Jail в FreeBSD
Виртуализация приложений путем совмещения помещения сервисов в Chroot и применения к ним политик безопасности
На файловых серверах, работающих в Windows-окружении, целесообразно использовать антивирусные средства защиты (это позволит проверить каждый файл двумя разными антивирусами — сначала на сервере, а затем на клиенте)
Рекомендуется использовать шифрование файловых систем на серверах, к которым возможен несанкционированный физический доступ
Рабочие станции на Linux также позволяют использовать эффективные средства защиты:

Использование политик безопасности SELinux/AppArmor
Мощный межсетевой экран (netfilter) с возможностью настройки для неподготовленного пользователя через Firestarter
Применение сетевого суперсервера для ограничения доступа к сервисам
Рекомендуется использовать шифрование файловых систем так как к рабочим станциям и ноутбукам возможен несанкционированный физический доступ
Методы защиты рабочих станций MacOS X не слишком отличаются аналогичных методов для Linux, поэтому они отдельно рассматриваться не будут. Из минусов средств безопасности MacOS X можно назвать лишь неприменимость MAC ввиду несовместимости с ней Carbon, предоставляющего API для приложений.

Нетрудно заметить, что обеспечению безопасности на уровне хоста редко уделяется достаточно внимания, а для злоумышленника, получившего доступ в зеленую зону, это сильно облегчает жизнь.

К счастью, не нужно изобретать велосипед, так как в best practice уже предусмотрено 4 периметра безопасности: внешние ресурсы (красная зона), DMZ (желтая зона), локальная сеть (зеленая зона) и, наконец, уровень хоста. Обеспечив полноценную защиту каждого хоста, независимо от того, является ли он рабочей станцией в зеленой зоне или сервером в красной зоне можно сильно повысить безопасность IT-инфраструктуры в целом. И не забывайте про превентивные меры — применение системы обнаружения вторжений вкупе с организационными мерами.

Подробнее - http://www.specialist.ru/news/1471/chetire-perimetra-bezopasnosti

Метки:  

 Страницы: [1]

О проекте