Сегодня я бы хотел кратко и популярно изложить одну статью из хорошего первоисточника : "The interactive, online library of product information from Cisco Systems", раздел "Security Overview", предназначенный для "больших" сетей и "крутых" админов. Я пересказал весь материал близко к тексту, а мои комментарии даны мелким шрифтом. Я думаю, что обычный пользователь разберется во всем этом.
Цель любой защиты - обеспечить максимальную защиту при минимуме воздействия на пользователя и производительность.
Термин "сеть" используется здесь мной не только в понимании, что сеть - это Интернет, сеть - это любая сеть, локальная, например.
1. Определите сетевые ресурсы, нуждающиеся в защите.
В нашем случае - это ваш персональный компьютер, windows'9x, папка "Мои документы". Сюда же отнесем те ресурсы вашего компьютера, жесткий диск, например, которые вы выделили в общее пользование сослуживцам.
В нашем случае единственным сетевым устройством, требующим защиты, является ваш персональный компьютер. Модем рассмотрим здесь же. ATS0=0 вполне достаточно. Подавляющее большинство широкораспространенных модемов по умолчанию запрещают удаленную загрузку firmware и удаленную конфигурацию.
В нашем случае, например, наша электронная почта.
2. Определите точки риска.
Вы должны знать и понимать, как потенциальный злоумышленник может проникнуть к вам или помешать вашим действиям. Обратите внимание на:
Проверьте телефонный провод, не подключились ли параллельно к вам соседи? Изучайте телефонные счета, присылаемые вам по почте. Это такие клочки бумаги, разносимые по почтовым ящикам, присмотритесь когда идете по лестнице, живыми людьми - почтальонами - дядей Васей или тетей Груней. Там написано куда вы звонили и сколько за это нужно заплатить. Крэки и читы в этом случае не помогают.
Команда ATS0=0 поможет вашему модему. А взломать можно, например, ваш телефон-факс-автоответчик. Сейчас практически все нормальные модели поддерживают удаленное управление. Пароль по-умолчанию обычно одинаков, например, такой : "111". Далее объяснять, думаю, не нужно, читайте инструкцию на ваш факс.
Обычно - это компьютеры, где инсталлирована операционная система с установками "по умолчанию".
3. Ограничьте область доступа.
То есть доступ, в том числе и незаконный, в одну часть системы не должен давать автоматически доступ ко всей системе, инфраструктуре в целом. Наиболее важным системам вы должны обеспечить более высокий уровень защиты.
Доступ в общий подъзд не дает доступа в конкретную квартиру, доступ в квартиру не предполагает доступа к вашим паролям и логинам.
4. Определите предположения.
Любая система защиты имеет свои положения, предположения, постулаты, основные идеи и т.п. Например, вы можете предположить, что ваша сеть/компьютер/устройство не обнаруживается злоумышленником, злоумышленник не слишком умен, ваш компьютер никому не нужен и т.д. Ваша задача выявить, определить, исследовать все предположения. Любое не выявленное предположение - потенциальная дыра в защите.
Это сложная задача, но нужно попробовать.
5. Определите стоимость защитных мер.
Стоимость может выражаться в увеличении времени соединения, возрастании неудобств для пользователя, в денежных затратах на программы и железо.
6. Человеческий фактор.
Если меры защиты слишком сложны, пользователи сопротивляются этим мерам и иногда даже обходят их. Например, если пароли слишком сложны для запоминания, их записывают карандашом на клавиатуре.
Любой пользователь может в определенной степени компрометировать систему защиты.
Следите за домочадцами. Если жена начинает интересоваться компьютерами и вашим паролем для dialup - это тревожный сигнал.
7. Храните ограниченное количество секретов.
Чем больше паролей, ключей шифрования и т.п., тем проблематичнее все это хранить.
8. Стройте масштабируемую защиту.
Используйте системный подход так, чтобы создать среду, которая не восприимчива к каждому изменению в стратегии защиты.
Заранее все обдумайте. Но если вы не админ, а пользователь ПК, то эта проблема не коснется вас в полной мере. Отдыхайте.
9. Изучите функции системы.
Разберитесь как ваша система обычно работает, знайте, что ожидается и непредвиденное поведение. По необычному поведению системы вы можете вычислить злоумышленника. Обязательно должен быть аудит системы, ведение подробных протоколов. Их архивирование.
Я не знаю как это сделать в windows.
10. Помните о физической защите.
Без комментариев.
Вот и все.
Лично я, при работе в Сети, использую связку:
Абсолютной безопасности не существует.
Впрочем, помогает парное молоко.
- Профессор, а когда его употреблять? До того или после того?
- Вместо того...
(c) анекдот
Зеркала сайта:
|