- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Примечание
Для обеспечения еще большего уровня защиты на каждой системе в DMZ можно установить межсетевые экраны или системы обнаружения вторжений узлового уровня. В этом случае взлом одной системы в DMZ не позволит злоумышленнику получить неограниченный доступ к другим системам в DMZ
Разработка партнерских сетей
Концепции разработки интернет-архитектур, обсужденные выше, также могут быть использованы при разработке сетей между партнерами. Потребность в постоянном соединении между организациями продолжает стремительно возрастать, так как это снижает их затраты.
Работа с партнерскими сетями
Партнерские сети, как правило, создаются для обмена определенными файлами или фрагментами данных между организациями. Это обуславливает требование соединения отдельных систем внутри одной организации с конкретными системами в другой организации. Это не означает, однако, что одной организации требуется неограниченный доступ к сети другой организации.
Если при построении партнерской сети использовать подход с учетом возможных рисков, станет видно, что при соединении двух организаций проявление угроз действительно возможно. Соединенные сети двух организаций обеспечивают возможность сотрудников одной организации осуществлять доступ в сеть другой организации и наоборот. Также следует вспомнить материал лекции 7, в которой говорилось о том, что клиенты и поставщики могут являть собой злоумышленников. Разумеется, необходимо реализовать некоторый контроль для обработки данного риска.
Настройка
Требования безопасности для партнерской сети немного отличаются от требований в случае с интернет-соединением. Поэтому мы можем использовать те же архитектуры и методологии.
Службы, необходимые для соединения, определены, и системы, предоставляющие эти службы, расположены в демилитаризованной зоне. Это не та DMZ, которая использовалась для интернет-соединения, хотя она может располагаться за пределами области, защищаемой межсетевым экраном интернета, при наличии достаточного объема ресурсов (см. рис. 16.14). Изучая рисунок, обратите внимание на то, что на межсетевом экране добавлены два интерфейса: один для партнерской DMZ, а другой - для партнерской сети.
На межсетевом экране необходимо установить дополнительные правила, чтобы позволить системам в партнерской организации, а также внутренним системам осуществлять доступ к партнерским DMZ-системам. Однако не должны присутствовать правила, позволяющие системам в партнерской организации подключаться к внутренней сети, демилитаризованной зоне интернета или к интернету. На многих межсетевых экранах может потребоваться установить дополнительные запреты. В таблице 16.1 показано, каким образом будут изменены правила.
Таблица 16.1. Правила маршрутизатора интернета с доступом в партнерскую сеть |
||||
Номер правила |
IP-адрес источника |
IP-адрес назначения |
Служба |
Действие |
1 |
Партнерская сеть |
Партнерская DMZ |
Необходимая для партнерских взаимоотношений |
Принятие |
2 |
Партнерская сеть |
Любой |
Любая |
Отказ |
3 |
Партнерская DMZ |
Партнерская сеть |
Необходимая для партнерских взаимоотношений |
Принятие |
4 |
Любой |
Партнерская сеть |
Любая |
Отказ |
5 |
Любой |
Веб-сервер |
HTTP |
Принятие |
6 |
Любой |
Почтовый сервер |
SMTP |
Принятие |
7 |
Почтовый сервер |
Любой |
SMTP |
Принятие |
8 |
Внутренняя сеть |
Любой |
HTTP, HTTPS, FTP, telnet, SSH |
Принятие |
9 |
Внутренняя DNS |
Любой |
DNS |
Принятие |
10 |
Любой |
Любой |
Любой |
Сброс |
Как видно из таблицы 16.1, в верхней части списка присутствуют правила, конкретно отклоняющие доступ к партнерским сетям и из них. Так как большая часть межсетевых экранов работает по первому совпавшему условию, необходимо расположить перед правилами глобального разрешения правила 5, 6, 7, 8 и 9.
увеличить изображение Рис. 16.14. Партнерская DMZ, использующая межсетевой экран интернета
Службы электронной коммерции. Различия между службами электронной коммерции и обычными службами DMZ. Примеры служб электронной коммерции. Вопросы взаимоотношений "компания-клиент" и "компания-компания". Решение проблемы доступности. Реализация безопасности служб электронной коммерции. Реализация безопасности клиентской стороны. Безопасность соединений. Хранение информации на компьютере клиента. Реализация безопасности серверной части. Защита сервера от атак.
Электронная коммерция (e-commerce) встречается в интернете повсюду. Компании по всему миру используют сайты в интернете для предложения клиентам своей продукции. Некоторые из этих попыток оказались успешными, другие - провалились. Успешные организации объединяет тот факт, что они осознают, что занимаются электронной коммерцией для того, чтобы делать деньги. Деньги можно делать, предлагая новые услуги через интернет, расширяя имеющиеся услуги, либо посредством предоставления имеющейся услуги за более низкую цену.
Организации, занимающиеся электронной коммерцией, подвергают себя опасности. Они вкладывают средства в новые технологии и в новые методы предоставления товаров и услуг в надежде повысить степень выгоды бизнеса. Риски, представляемые для организации, имеют несколько причин: сторонние люди могут проигнорировать услугу, могут не появиться новые клиенты, а имеющимся клиентам новая услуга может прийтись не по душе. Так как речь идет об организациях, занимающихся электронной коммерцией, необходимо принимать в расчет полностью новый набор угроз и уязвимостей. Эти новые угрозы и уязвимости обуславливают риски, которые необходимо контролировать.
Говоря об электронной коммерции, необходимо иметь в виду, что электронные системы обработки заказов и платежей существуют уже продолжительное время. На протяжении многих лет между компаниями используется система Electronic Data Interchange (EDI) для заказа товаров и осуществления платежей. Большим преимуществом, которое заставляет много говорить об электронной коммерции, является то, что сегодня обычные покупатели могут заказать практически любой товар из любого места, а любая организация может очень быстро открыть электронный магазин. Кроме того, многие организации, занимавшиеся ранее продажей товаров через распространительные сети, теперь могут продавать свою продукцию непосредственно покупателям и таким образом снижать стоимость ведения бизнеса.