Make your own free website on Tripod.com

 


Персональная СТРАНИЦА Юрия ТИМОФЕЕВА

Защитись профессионально.

© Тимофеев Юрий

Сегодня я бы хотел кратко и популярно изложить одну статью из хорошего первоисточника : "The interactive, online library of product information from Cisco Systems", раздел "Security Overview", предназначенный для "больших" сетей и "крутых" админов. Я пересказал весь материал близко к тексту, а мои комментарии даны мелким шрифтом. Я думаю, что обычный пользователь разберется во всем этом.

Создание профессиональной защиты.

Цель любой защиты - обеспечить максимальную защиту при минимуме воздействия на пользователя и производительность.

Термин "сеть" используется здесь мной не только в понимании, что сеть - это Интернет, сеть - это любая сеть, локальная, например.

1. Определите сетевые ресурсы, нуждающиеся в защите.

В нашем случае - это ваш персональный компьютер, windows'9x, папка "Мои документы". Сюда же отнесем те ресурсы вашего компьютера, жесткий диск, например, которые вы выделили в общее пользование сослуживцам.

В нашем случае единственным сетевым устройством, требующим защиты, является ваш персональный компьютер. Модем рассмотрим здесь же. ATS0=0 вполне достаточно. Подавляющее большинство широкораспространенных модемов по умолчанию запрещают удаленную загрузку firmware и удаленную конфигурацию.

В нашем случае, например, наша электронная почта.

2. Определите точки риска.

Вы должны знать и понимать, как потенциальный злоумышленник может проникнуть к вам или помешать вашим действиям. Обратите внимание на:

Проверьте телефонный провод, не подключились ли параллельно к вам соседи? Изучайте телефонные счета, присылаемые вам по почте. Это такие клочки бумаги, разносимые по почтовым ящикам, присмотритесь когда идете по лестнице, живыми людьми - почтальонами - дядей Васей или тетей Груней. Там написано куда вы звонили и сколько за это нужно заплатить. Крэки и читы в этом случае не помогают.

Команда ATS0=0 поможет вашему модему. А взломать можно, например, ваш телефон-факс-автоответчик. Сейчас практически все нормальные модели поддерживают удаленное управление. Пароль по-умолчанию обычно одинаков, например, такой : "111". Далее объяснять, думаю, не нужно, читайте инструкцию на ваш факс.

Обычно - это компьютеры, где инсталлирована операционная система с установками "по умолчанию".

3. Ограничьте область доступа.

То есть доступ, в том числе и незаконный, в одну часть системы не должен давать автоматически доступ ко всей системе, инфраструктуре в целом. Наиболее важным системам вы должны обеспечить более высокий уровень защиты.

Доступ в общий подъзд не дает доступа в конкретную квартиру, доступ в квартиру не предполагает доступа к вашим паролям и логинам.

4. Определите предположения.

Любая система защиты имеет свои положения, предположения, постулаты, основные идеи и т.п. Например, вы можете предположить, что ваша сеть/компьютер/устройство не обнаруживается злоумышленником, злоумышленник не слишком умен, ваш компьютер никому не нужен и т.д. Ваша задача выявить, определить, исследовать все предположения. Любое не выявленное предположение - потенциальная дыра в защите.

Это сложная задача, но нужно попробовать.

5. Определите стоимость защитных мер.

Стоимость может выражаться в увеличении времени соединения, возрастании неудобств для пользователя, в денежных затратах на программы и железо.

6. Человеческий фактор.

Если меры защиты слишком сложны, пользователи сопротивляются этим мерам и иногда даже обходят их. Например, если пароли слишком сложны для запоминания, их записывают карандашом на клавиатуре.

Любой пользователь может в определенной степени компрометировать систему защиты.

Следите за домочадцами. Если жена начинает интересоваться компьютерами и вашим паролем для dialup - это тревожный сигнал.

7. Храните ограниченное количество секретов.

Чем больше паролей, ключей шифрования и т.п., тем проблематичнее все это хранить.

8. Стройте масштабируемую защиту.

Используйте системный подход так, чтобы создать среду, которая не восприимчива к каждому изменению в стратегии защиты.

Заранее все обдумайте. Но если вы не админ, а пользователь ПК, то эта проблема не коснется вас в полной мере. Отдыхайте.

9. Изучите функции системы.

Разберитесь как ваша система обычно работает, знайте, что ожидается и непредвиденное поведение. По необычному поведению системы вы можете вычислить злоумышленника. Обязательно должен быть аудит системы, ведение подробных протоколов. Их архивирование.

Я не знаю как это сделать в windows.

10. Помните о физической защите.

Без комментариев.

Вот и все.


Лично я, при работе в Сети, использую связку:

Абсолютной безопасности не существует.

Впрочем, помогает парное молоко.
- Профессор, а когда его употреблять? До того или после того?
- Вместо того...
(c) анекдот


Главное меню

Зеркала сайта: