Азбука сисадмина 8:
Безопасность прежде всего


Для начинающих администраторов малых ЛВС

— Ты какой антивирус используешь?
— Мозг!

bash.org.ru

 

Защита информации — задача комплексная. И если от простой её потери убытки могут быть весьма значительны, то от утечки к конкурентам ущерб может возрасти многократно. Большая часть атак злоумышленников в настоящее время направлена на извлечение выгоды, и оборона от внешних воздействий должна быть по возможности безупречной. Готовых решений не существует, хотя крупные поставщики антивирусного ПО постоянно улучшают свои продукты. Но решение проблемы одним лишь программным путём невозможно. Только комплексный подход может быть успешен. Сегодня обсудим некоторые общие принципы организации защиты данных от внешних злонамеренных воздействий, базируясь на которых можно выстроить свою, достаточно надёжную систему безопасности.

Следует сразу же отметить, что 100% надёжности достигнуть не удастся. Речь идёт о старом споре «снаряда и брони», как только улучшается один компонент связки, так сразу же начинает совершенствоваться другой, и так до бесконечности. Это и есть «единство и борьба противоположностей», на Востоке обозначаемая символом «инь-ян». Однако для решения практических задач лучше отвлечься от их невыполнимости и приступить к практике.

Не будем рассматривать и классифицировать угрозы, разве что в объёме, необходимом для понимания методик защиты от них. Потому что тема эта слишком объёмна для небольшого материала, к тому же сайты производителей антивирусного ПО предлагают много материалов по ней.

Кроме того, в сети множество «хакерских» сайтов держит в открытом доступе достаточно подробную и детальную информацию об организации атак, знание которой также будет не лишним и для защиты от них. Информация эта очень быстро меняется, и вся конкретика должна отслеживаться именно на сегодняшний день. Так что читайте! А сейчас приступим к собственно выстраиванию эшелонированной обороны.

Выбор провайдера интернет-услуг

Сейчас всё меньше и меньше остаётся предприятий, не подключённых к глобальной сети. Используется она не только для получения информации, но и для обмена данными с удалёнными площадками, деловой переписки и просто общения. Поэтому и становится главной точкой входа для всевозможных угроз. Существенно ограничить их количество поможет правильный выбор провайдера.

Если его сеть не защищена от несанкционированной деятельности пользователей, как внутри собственной сети, так и извне, то вся работа по противостоянию угрозам ложится на плечи абонента. А это значит, что даже давно известные и примитивные атаки при отсутствии должного уровня защиты от них могут привести к ситуации отказа в обслуживании (DoS) просто из-за их массовости. С другой стороны, при грамотном ограничении прав абонентов и должной фильтрации входящего трафика жизнь клиентов существенно облегчается.

Полным отсутствием контроля сетевой активности чаще грешат небольшие провайдеры, новички на этом рынке, которые на начальном этапе своей деятельности на дешёвом оборудовании стремятся быстро оправдать вложенные деньги. При этом тарифы могут быть весьма заманчивы. Не обманывайтесь! Давно известно, что скупой платит дважды, дурак — трижды, а лох всегда. Потому при выборе поставщика услуг к оценке их стоимости надо подходить комплексно и прямо интересоваться мерами, предпринимаемыми провайдером для обеспечения безопасности потребителей его услуг.

Также неплохо работает «сарафанное радио», репутация солидной и уважаемой конторы приобретается долго, а теряется легко. Поэтому надо рассмотреть вопрос со всех сторон перед заключением договора и постараться проанализировать сам договор. Хотя обычно он типовой и не предполагает специальных условий сотрудничества за разумные деньги. И ещё — те, у кого с безопасностью всё нормально, обычно охотно обсуждают этот вопрос с клиентами, в то время как манкирующие ею напирают на настройку антивирусов и файрволлов на стороне пользователя, «нашими специалистами и практически бесплатно». Однако, чем больше степеней защиты, тем выше надёжность. Поэтому — в первую очередь определяемся с провайдером.

Обучение персонала

Ещё Кевин Митник считал, что лучший хак — социальная инженерия. С тех пор ничего не изменилось. Не буду углубляться в методологию, достаточно просто знать, что это та же самая оперативная работа, только направленная не правоохранительными органами против предполагаемых преступников, а злоумышленниками против целевой организации. Способы обмана бдительности разнообразны, но существуют простые методы борьбы с ними.

Любое лицо, которому предоставляется информация, должно быть авторизовано, любая транзакция по предоставлению данной конкретной порции информации — санкционирована, а ещё лучше — регламентирована. Проще говоря, не разговаривайте с незнакомцами, не давайте им ключи от квартиры, где деньги лежат...

Все сотрудники фирмы должны прекрасно представлять себе разницу между общедоступной и конфиденциальной информацией и уровень своего допуска к секретам фирмы. К сожалению, обычно решение этих задач ложится на администраторов малых ЛВС, потому что в небольших конторах отдел безопасности состоит в хорошем случае из вахтёрши на входе. Но может не быть и её. Поэтому надо сначала руководству, а потом и всем остальным сотрудникам разъяснить простые правила общения с незнакомцами и указать на тревожные симптомы «разведки боем».

Ещё один простой пример из смежной области — мошеннические проделки, о которых сейчас известно практически всем. «Лохотроны», непонятные звонки по телефону и различные финансовые пирамиды на слуху уже лет десять, однако вот и сейчас ходят по улицам косяки «обманутых соинвесторов». Чем примитивнее и масштабнее разводка, тем больше жертв. Люди не верят, что их дурят так тупо или просто попадаются на личное обаяние мошенников. Наша задача состоит в том, чтобы разъяснить сотрудникам специфику информационных угроз.

Поэтому всегда своевременно информируйте всех коллег о новых приёмах завоевания доверия в нашей области и будьте, естественно, в курсе сами. Как вы понимаете, конкретику здесь рассматривать бесполезно по причине её динамичности.

Защита точки входа

Ну вот только третьим пунктом идёт в нашем списке собственно техническая задача, которую мы можем решить самостоятельно. Для защиты интернет-подключения на стороне клиента существует огромное множество решений, как чисто программных, так и аппаратных и комплексных. И именно их широкий ассортимент подсказывает, что универсального пока ещё не придумали. Хотя многие поставщики постоянно спорят с этим утверждением.

Для нас же важно определиться со стоимостью вариантов выбора исходя из предполагаемого уровня безопасности, изучить продукты и внедрить их в практику.

Самые дорогие и надёжные аппаратные решения предлагает небезызвестная Cisco, но круг её клиентов расширяется медленно именно из-за их стоимости. Если Вы можете себе их позволить, то читаете не тот материал, лучше изучать базу знаний на сайте производителя.

Воплощение «в железе» начального уровня кусочка известного программного продукта сейчас достаточно модная тенденция, но пока ещё такой класс оборудования не обкатан временем и рекомендован для профессионального применения быть не может, хотя для домашнего пользователя является вариантом выбора.

С другой стороны, фильтрация трафика на основе комплекса правил в тех же ADSL модемах к примеру от Zyxel реализована давно, полностью проверена временем и будет хорошим подспорьем в работе при разумной цене устройства.

Так что после выбора провайдера, и, желательно, проконсультировавшись с ним, выбираем канальное оборудование. Программу сменить проще, а здесь закладываемся на годы вперёд, так что не экономим без нужды.

Затем надо как-то раздать трафик пользователям. Конечно же можно решить эту задачу как раз на уровне абонентского модема, подключив его напрямую в локальную сеть, но правильнее организовать отдельный сервер для управления трафиком, почтой, отдаваемым во внешний мир контентом и так далее. Серверные задачи мы обсудим в одной из следующих статей.

Здесь же надо определиться с тем, что именно будет фильтровать и раздавать трафик, а также защищать его от вредоносного кода и активности, и на какой аппаратной базе будет всё это работать. Если способностей выбранного аппаратного средства недостаточно, то надо организовать отдельный сервер для доступа в интернет и фильтрации трафика.

Основные классы защитных программных средств

В сущности, они практически все могут функционировать в трёх режимах:

  1. Выполняться на сервере или специализированной аппаратной платформе с возможным полным доступом к клиентским ПК для обеспечения их безопасности, с установкой на них некоего агента или без оной
  2. Работать в распределённой клиент-серверной среде
  3. Выполняться на всех машинах по отдельности, независимо на каждой.

Последний подход в сетевом мире мало перспективен, первый обычно избыточно дорог для небольших сетей, а вот второй при правильной балансировке нюансов и конкретики наиболее соответствует поставленным задачам.

Файрволл

Брандмауэр, файрволл — система контроля сетевого трафика на основании правил, позволяющих или не позволяющих сетевую активность. Протокол TCP основан на обмене пакетами данных, эти программы блокируют одни пакеты и пропускают другие. Как правило, достаточно сложны в настройке и требуют постоянного сопровождения для пресечения новых угроз и разрешения активности новых приложений. Обязательны для использования настолько, что простой их представитель не только входит в комплект ОС Windows, но и активирован по умолчанию в Vista.

Антивирус

Самая известная разновидность защитного ПО появилась ещё до распространения локальных и глобальных сетей, когда общение между ПК происходило посредством дискеток. На них же и ходили от одной жертвы к другой old-styled вирусы. По характерным участкам программного кода (дефинициям) антивирусы опознают зараженные известными вирусами файлы и пытаются вылечить их, в случае неудачи — уничтожают. Помимо этого они умеют выявить в файле фрагменты, похожие на опасный код, но ещё не вошедшие в их базу данных.

Обязательны к использованию, требуют ежедневного обновления. Если у пользователя есть возможность приносить на ПК информацию на сменных носителях, то защита только в точке входа неэффективна, нужна установка на каждый ПК. Поскольку ежедневное обновление индивидуально каждого клиента расходует очень много трафика, лучше закачивать его на сервер, а потом отдавать клиентам.

Выбор конкретного продукта — предмет религиозных войн, здесь рассматриваться не будет. Запомнить надо одно простое правило — два антивируса на одном компьютере хуже, чем ни одного, потому что они не уживаются между собой.

Прочее защитное ПО

Каждый день несёт новые угрозы безопасности, с которыми порой невозможно бороться традиционными средствами. Поэтому возникают целые новые классы программ для защиты от них.

  • Некоторое время назад Microsoft выпустила бесплатное (для зарегистрированных пользователей Windows) приложение Defender, или Защитник. В придачу к базовой функциональности антивируса он отслеживает обращение разных программ к точкам автоматического запуска при старте системы, и запрашивает подтверждение пользователя. Функция безусловно полезная, т. к. таких точек много, и кому знать их лучше, как не производителю системы
  • Объём навязчивой рекламы, спама, в почте и интернет-пейджерах вырос настолько, что её фильтруют даже провайдеры. Но зачастую и на почтовом сервере организации такой фильтр будет уместен, и даже в почтовом клиенте пользователя
  • По-русски адекватно как назвать — не знаю, а так antispyware & antimalware & antiadware, чем-то родственные антивирусам. Они отслеживают устанавливаемые при посещении не уважающих пользователей сайтов программы, которые могут показывать рекламу, заменять строку поиска в браузере, собирать пользовательские данные для последующей переправки хозяину и выполнять другие несанкционированные действия. Выполнять эти пакости могут не только устанавливаемые программы, но и запускаемые прямо на сайте скрипты, поэтому контроль идёт по точкам входа: стартовая страница, автозапуск, cookies и т. д.

Желательно применять какую-либо программу каждого класса. В последнее время все крупные антивирусные пакеты активно внедряют в свой состав все вышеперечисленные функции, так что вполне возможно, что один из них может покрыть все потребности в защите от вредоносного ПО и фильтрации трафика. С одной стороны, использование единого комплекта вместо кучки разношёрстных утилит логичнее и проще, с другой стороны, попытки объять необъятное пока проваливаются обычно.

Обновление ОС и ПО

В последнюю очередь в тексте, но едва ли не в первую очередь по важности. Многие угрозы безопасности используют уязвимости в защите ОС и программ, а проще говоря вовремя не выявленные ошибки в их коде. Изучение систем с целью выявления таких ошибок ведётся постоянно, на основе обнаруженных тут же вырабатываются новые сценарии атак. После первой серии атак часто производителю ОС удаётся выяснить, что в этот раз использовали злоумышленники, и тогда он выпускает «заплатку», заменяет дефектный участок кода новым. Эти обновлённые версии системных файлов доступны для немедленной бесплатной загрузки зарегистрированным пользователям, а раз в год примерно выпускаются в виде service pack, сервис-пака, содержащего все обновления за этот период. Не надо пренебрегать обновлениями, после их выпуска атаки на закрываемую им уязвимость вовсе не прекращаются. Помимо самой операционной системы, достаточно активно обновляются крупные программные пакеты, особенно работающие с файлами из сети. Также лучше постоянно следить за этими изменениями.

Полная победа в этой войне невозможна

В основном всё. Когда определитесь с выбором конкретных приложений, то останется изучить их работу, настроить, выработать политику обновления, запустить серверную часть и внедрить клиентскую в стандартный программный пакет организации.

Но как бы ни казалась надёжной защита, окончательная победа в этой войне невозможна, и каждый день приносит новые вызовы. Поэтому надо следить за работой системы безопасности постоянно.

Кроме того, грамотный пользователь должен знать все точки входа потенциальных угроз и признаки их активности. Знать, какие процессы выполняются в системе и кем они запущены. Что загружается автоматически при старте ОС. Запускать TCPview при подозрительной сетевой активности. Принимать информацию только из надёжных источников и контролировать её на входе. В общем, оставаться начеку. Только так можно минимизировать последствия информационных атак в нашем быстром мире.

В следующей главе рассмотрим принципы организации работы с удалёнными площадками.

Данный материал можно и нужно критиковать в конференции, НО только предметно и конструктивно. По результатам обсуждения он может быть переработан и дополнен.

Продолжение следует…




Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.