28. Аутентифікація та безпека мережі.

Мережна безпека має відношення не тільки до безпеки Internet, але і до захисту кожного мережного підключення і інтерфейсу. Це означає встановлення певних взаємостосунків між інформацією і тими, хто її запрошує. Основою управління доступом є аутентифікація. Аутентифікація є переднім рубежем захисту для будь-якої системи або мережі, де користувач на підставі пред'явлених повноважень одержує дозвіл на вхід в систему. Ми намагаємося розв'язати проблеми захисту інформації, спираючись на знання архітектури мережі і застосовуючи різні способи аутентифікації. 1. Адресація мережі і архітектура: керуючись правилами, необхідно проектувати мережу з урахуванням вимог безпеки, проектувальники відділяють системи з секретними або важливими даними для того, щоб було легше управляти доступом; в правилах мережної адресації визначається, яку інформацію про конфігурацію мережі можна публікувати зовні організації. Необхідно конфігурувати DNS для заховання імен від зовнішнього оточення і систему перетворення мережних адрес (NAT), щоб заховати адресацію; правила повинні визначати процедури розширення мережі; такі можливості, як статична і динамічна адресація, а також інші типи адресних рішень, теж повинні бути включені в правила адресації мережі. 2. Управління доступом до мережі: шлюзи визначаються як місця, де вхідний і вихідний трафік мережі організації, передається в іншу мережу. Не дивлячись на те, що в правилах передбачається мати тільки загальні формулювання, все таки можна розробити правила підключення до Internet, доступу до вхідних/вихідних телефонних каналів, а також інших зовнішніх підключень; в правилах використовування віртуальних приватних мереж (VPN) і екстрамереж визначено, яким чином мережа організації використовує загальнодоступну мережу; можна записати в правилах вимоги того, щоб всі допоміжні шлюзові системи були аутентифіковані в мережі, або вся інформація від допоміжних систем при проходженні через шлюз була аутентифікована. Правила повинні визначати особливі міркування для допоміжних систем, для яких відсутні вимоги по аутентифікації або ці вимоги не достатньо жорсткі; 3. Безпека реєстрації; за допомогою імен користувачів визначається, хто або що дістає доступ до мережі або намагається отримати доступ. Призначені для користувача імена можуть бути джерелом інформації, тому розсудливіше використовувати призначені для користувача імена, прив'язані до прізвища, імені, по батькові користувача, а не до його функціональних обов'язків. В правилах повинно бути відображено, що робити з призначеними для користувача іменами, призначеними операційною системою при її установці; - імена запрошених користувачів і користувачів, що не є співробітниками організації, повинні особливо ретельно контролюватися. В правила привласнення таких імен необхідно включити вимоги по контролю за ними і їх ануляції; в правила необхідно включити міркування про багатократні/однократні сеанси ідентифікації, а також вимоги, що стосуються систем позитивної ідентифікації; протоколювання як успішних, так і безуспішних спроб реєструватися в системі може бути використано засобами виявлення вторгнень. Додавання примітки про час і дату останньої реєстрації в системі, яке зможе проглядати користувач, створить новий рівень звітності про порушення безпеки; в правила обмеження числа сеансів реєстрації необхідно додати вимогу автоматичного виходу з системи (після закінчення проміжку часу, за часом доби і т.п.), при цьому важлива інформація повинна залишатися доступною без реєстрування. Крім того, необхідно ввести розпорядження тим, хто має доступ до важливої інформації, виходити з системи при залишенні робочих станцій без нагляду; правила адміністрування призначеного для користувача доступу можуть наказувати мінімальний рівень вимог для управління призначенням і розподілом призначених для користувача імен.