Межсетевой обмен

Межсетевой обмен
Взаимосвязанные сети создают свой собственный набор проблем безопасности помимо тех, которые применимы ко всем сетевым ресурсам. Критической компонентой создания эффективной межсетевой безопасности является определение периметра интернета. Каждый компонент его опишем в этой части вместе со специальными положениями политики в отношении его.

Определение периметра
Невозможно адекватно защитить информационные ценности университета без знания каждой точки риска и выработки соответствующих мер защиты. Для целей этой политики периметр определяется как совокупность всех точек соединения с ближайшими соседями в Интернете. Всемирный Интернет приводит к существованию ряда уникальных ситуаций, которые требуется рассмотреть отдельно. Точка риска определена как точка соединения, а из этого следует, что риск существует только в месте самого соединения. Это - самое неприятное следствие. Точки риска возникают в каждой точке соединения с сетью или узлом, не входящим в состав локальной сети.

Точка риска
Этот термин был выбран вместо точки атаки, так как последняя предполагает преступную деятельность с другой стороны соединения. Компрометация или искажение информации часто не являются результатом преступной деятельности, хотя результат может оказаться таким же. Модем, присоединенный к сетевому узлу, представляет собой точку риска, если отвечает на телефонные звонки и предоставляет возможность соединения удаленному пользователю. Фактически, если такой модем присоединен к сети, то есть меняет свой статус и становится интернетом. В каждой точке доступа к интернету должно быть реализовано управление доступом, независимо от того, является ли она соединением с интернетом или модемом.
Другая точка риска - это туннелирование. Туннелирование - это технология, посредством которой информация одного протокола инкапсулируется в другом протоколе для транспортировки и распаковывается в свой обычный протокол в месте назначения. Протокол NETBEUI Windows NT часто инкапсулируется в протоколе TCP/IP для использования его более передовой маршрутизации. Если точка отправления или приема туннеля находятся в интернете, то точка, находящаяся в сети деканата, является точкой риска и требует управления доступом.

Управление доступом
В каждой точке риска интернета должна использоваться некоторая форма управления доступом. Когда точка риска соединяет две сущности с эквивалентными привилегиями доступа, она может быть объявлена доверенным соединением, при условии, что все точки риска в обоих интернетах находятся между сущностями с эквивалентными привилегиями доступа. Если существует точка риска с сущностью с меньшими привилегиями доступа, то всем присоединенным интернетам назначается уровень привилегий, равный низшему уровню точки риска.
Привилегии доступа точки риска могут быть повышены соответствующей фильтрацией или аутентификацией. Фильтрация включает запрет взаимодействия с узлами, имеющими более низкий уровень привилегий, чем тот, что у интернета с другой стороны точки риска. Аутентификация должна использоваться в тех случаях, когда сущность или пользователь могут располагаться на узле с меньшими привилегиями, чем те, которые имеются у узла, на котором находится информация, к которой должен иметься доступ по принципу “знать то, что нужно для работы” .
Не должно существовать прецедентов получения доступа через точку риска между интернетами с различными уровнями привилегий без использования сильной аутентификации. Традиционные имя и пароль пользователя не считаются сильной аутентификацией в рамках этой политики. Эта форма аутентификации является достаточной только тогда, когда оба интернета имеют одинаковые уровни привилегий, но может применяться как дополнение к сильной аутентификации, до или после сеанса усиленной аутентификации для большего контроля доступа.
3.2.2 Обмен данными
В отличие от сети, где обмен происходит только между узлами сети, интернет позволяет совместно использовать и обмениваться информацией с узлами других интернетов. Должно уделяться достаточное внимание тому, какие данные импортируются из или экспортируются в интернеты различных уровней привилегий. Данные, которые предназначены для замены или обновления данных, находящихся на узлах, доступных любым пользователям интернета, могут экспортироваться из интернета с большими привилегиями в интернет без ограничений на доступ к общедоступной информации.
Допустимо экспортировать данные из интернета с низким уровнем привилегий в сеть с высоким уровнем привилегий, если известно, что данные не представляют риска компрометации или искажения для интернета-получателя. Примером таких допустимых передач может быть импорт пользователем технической статьи или текста программы для внутреннего использования. Вообще, исходный( то есть читаемый человеком) материал может импортироваться из интернетов с низкими привилегиями без тщательного просмотра, если данный материал служит интересам деканата. Но этого нельзя сказать про импорт исполняемых файлов или двоичных данных. Двоичные данные или программы не могут быть импортированы из интернета с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. из интернета с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. Нельзя записывать в интернете какие-либо данные или программы на носители информации и импортировать в сеть деканата без тщательного анализа компетентными ответственными лицами.
Допустимо экспортировать данные из интернета с высокими привилегиями в интернет с низкими привилегиями, если уровень привилегий сети назначения выше или равен уровню привилегий, требуемому для доступа к данным. Нельзя записывать в сети деканата какие-либо данные или программы на носители информации и экспортировать их в интернет без тщательного анализа компетентными ответственными лицами.
Аутентификация
Аутентификация в точке риска между интернетами - это первый шаг по управлению доступом к информационным ценностям с другой стороны точки риска. Если уровень привилегий обоих сторон одинаков, то можно реализовать обычные механизмы аутентификации. Примерами не столь сильных технологий является использование r-команд Unixа, с помощью которых два узла доверяют друг другу с помощью взаимной верификации на основе идентификатора пользователя и узла; традиционные идентификатор пользователя и пароль тоже не очень сильная технология, так как она уязвима к компрометации неосторожным пользователем. Более сильные технологии включают процессы, которые менее уязвимы к компрометации. Это могут быть одноразовые пароли, которые никогда не используются снова. Одноразовые пароли могут генерироваться программой и печататься на листах бумаги или они могут генерироваться смарт-картами на основе текущего времени и даты, случайных чисел, или других методов, приводящих к получению уникального пароля. Усиленная аутентификация может быть реализована с помощью технологии запрос-ответ. В этом случае аутентифицирующейся сущности дается случайное число-запрос, которое она должна зашифровать и отослать зашифрованный результат.
Сервер аутентификации
Для интернетов, которые соединяются с сетью деканата через точки риска, требующие усиленной аутентификации, университет требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других интернетов с целями, отличными от обработки событий, связанных с аутентификацией. Допускается вход в этот интернет транзакций аутентификации, ответов на запросы службы имен, и результатов синхронизации времени для поддержки технологий аутентификации на основе времени. Выходить из этого интернета через единственную точку риска могут только ответы на транзакции аутентификации, запросы к службе имен и запросы к службе времени. Для этого интернета может также допускаться передача сообщений службы протоколирования событий, связанных с безопасностью, если администратор безопасности сочтет нужным хранить протоколы событий на сервере аутентификации. Серверу аутентификации также разрешается посылать уведомления об инцидентах с безопасностью информации по электронной почте для последующего анализа их администратором безопасности. Сервер аутентификации может быть физически защищен путем помещения его в закрытую комнату, доступ в которую разрешен только администратору безопасности.
Доступ к Интернету
Это - специальный случай в политике деканата, требующий отдельного описания и рекомендаций. При подключении деканата к Интернету он получает значительные выгоды при ведении своей деятельности, но также подвергается при этом большом риску. В этой части опишем, как уменьшить риск, связанный с Интернетом.
Разрешенные службы
Деканат поддерживает и поощряет свободный обмен электронной почтой между своими служащими.

Деканат поддерживает свободный обмен статьями конференций, новостей с другими узлами Интернета. Реальная транспортировка этих статей в и из деканата должна быть ограничена небольшим числом доверенных соседей-серверов новостей, другой обмен статьями конференций запрещен. Служащие должны быть проинформированы о порядке составления и передачи статей в конференции Интернета перед тем, как им будет позволено читать или посылать статьи в конференции. Деканат будет поддерживать группы новостей, которые необязательно имеют прямую деловую направленность в интересах повышения производительности работы сотрудников, но он оставляет за собой право ограничить или удалить трафик новостей, который будет представляться ей бесполезной тратой сетевых ресурсов. Деканат поддерживает Службу Доменных Имен Интернет. Ни при каких обстоятельствах деканат не будет разрешать зональные передачи списков имен узлов деканата, кроме случаев, когда доверенный вторичный сервер имен запрашивает зональную передачу; сервера имен деканата всегда будут отвечать на UDP-запросы имен.
Администраторы безопасности отвечают за принятие решения в отношении допустимости обмена узлов деканата сообщениями по протоколу ICMP с другими узлами Интернета.
Администраторы безопасности отвечают за принятие решения о том, какие известные службы протокола TCP полезны для деятельности деканата, и за оценку риска деканата. Администраторы безопасности отвечают за поддержание целостности периметра между интернетами деканата и Интернетом. Они должны использовать все доступные средства для предотвращения несанкционированного доступа в интернеты деканата и всеми силами отражать любую форму атаки на периметр обороны.
Деканат может принять решение сделать некоторую информацию доступной для публичного доступа. Это должно делаться путем создания сервера для WWW и/или анонимного FTP. Администраторы сетевой безопасности должны обеспечить помощь в этом, согласованную с их другими обязанностями по установке таких информационных серверов. Если администраторы безопасности решат поместить сервер за периметром обороны, они должны проконсультироваться с ответственной организацией в отношении процедур, которым надо будет следовать в том случае, если сервер окажется разрушен преступниками за пределами деканата.

Выводы: Документ, описывающий политику сетевой безопасности в деканате, распределяет ответственность за ее реализацию и поддержание между конкретными должностными лицами, определяет обязанности каждого служащего деканата в отношении использования сетевых ресурсов и необходимости сообщать об уязвимых местах в системе защиты. Он также устанавливает, что общей политикой является - запрещено все, что явно не разрешено. Другими словами, если деятельность или вид доступа не могут быть найдены в этом документе, то они запрещены.