Возможности аудита безопасности

Своевременно проведенный аудит безопасности корпоративной системы Интернет/Интранет должен помочь свести воедино существующие меры безопасности, которые в свою очередь могут помочь в борьбе с атаками разного рода злоумышленников.

Системный администратор, исходя из политики сетевой безопасности в своей организации и имея четкое представление о возможных инцидентах и их последствиях, определит, какие меры являются необходимыми и приемлемыми для его сети. Например, такими мерами на уровне TCP/IP могут быть:

· фильтрация на маршрутизаторе;

· анализ сетевого трафика;

· защита маршрутизатора;

· защита хоста;

· превентивное сканирование.

1. Фильтры на маршрутизаторе, соединяющем сеть предприятия с Интернет, применяются для запрета пропуска датаграмм, которые могут быть использованы для атак как на сеть организации из Интернет, так и на внешние сети злоумышленником, находящимся внутри организации.

Для этого необходимо:

· запретить пропуск датаграмм с широковещательным адресом назначения между сетью организации и Интернет;

· запретить пропуск датаграмм, направленных из внутренней сети (сети организации) в Интернет, но имеющих внешний адрес отправителя;

· запретить пропуск датаграмм, прибывающих из Интернет, но имеющих внутренний адрес отправителя;

· на сервере доступа клиентов по коммутируемой линии – разрешить пропуск датаграмм, направленных только с/на IР-адрес, назначенный клиенту.

2. Анализ сетевого трафикапроводится для обнаружения атак, предпринятых злоумышленниками, находящимися как в сети организации, так и в Интернет.

Для этого следует:

· сохранять и анализировать статистику работы маршрутизаторов, особенно – частоту срабатывания фильтров;

· применять специализированное программное обеспечение для анализа трафика с целью выявления выполняемых атак. Выявлять узлы, занимающие ненормально большую долю полосы пропускания, и другие аномалии в поведении сети;

· применять специальные программы выявления узлов, использующих нелегальные IР- или MAC-адреса;

· применять специальные программы выявления узлов, находящихся в режиме прослушивания сети.

3. Мероприятия по защите маршрутизатора проводятся с целью предотвращения атак, направленных на нарушение схемы маршрутизации датаграмм или на захват маршрутизатора злоумышленником.

Для осуществления защиты маршрутизатора необходимо:

· использовать аутентификацию сообщений протоколов маршрутизации с помощью специальных алгоритмов;

· осуществлять фильтрацию маршрутов, объявляемых сетями-клиентами, провайдером или другими автономными системами. Фильтрация выполняется в соответствии с маршрутной политикой организации; маршруты, не соответствующие политике, игнорируются;

· отключить на маршрутизаторе все ненужные сервисы;

· ограничить доступ к маршрутизатору консолью или выделенной рабочей станцией администратора, использовать парольную защиту; не использовать Теlnet для доступа к маршрутизатору в сети, которая может быть прослушана;

· применять последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем.

· и др.

4. Защита хоста проводится с целью предотвращения атак, имеющих целью перехват данных, отказ в обслуживании или проникновение злоумышленника в операционную систему.

Для защиты хоста следует:

· запретить обработку запросов, направленных на широковещательный адрес;

· отключить все ненужные сервисы;

· использовать программы, позволяющие отследить попытки скрытного сканирования;

· применять средства безопасности используемых на хосте прикладных сервисов;

· использовать последние версии и обновления программного обеспечения, следить за бюллетенями по безопасности, выпускаемыми производителем и др.

Администратор сети должен знать и использовать методы и инструменты злоумышленника и проводить превентивное сканирование сети организации для обнаружения слабых мест в безопасности до того, как это сделает злоумышленник. Для этой цели имеется также специальное программное обеспечение – сканеры безопасности.