21.4 Tarmoq hujumiga qarshi mudofaa 659
Qaysi biri yaxshiroq? Xo'sh, bu bog'liq. Tarmoq xavfsizligi arxitekturasini loyihalashda e'tiborga olinishi kerak bo'lgan omillar oddiylik, qulaylik, texnik xizmat ko'rsatish, deperimetrizatsiya, ortiqcha blokirovkaga nisbatan past blokirovka va rag'batlantirishdir.
Birinchidan, xavfsizlik devorlari juda oz sonli ishlarni bajarganligi sababli, ularni juda oddiy qilish va ko'plab zaiflik va xatolar manbalarini olib tashlagan holda asosiy operatsion tizimdan ko'plab murakkab komponentlarni olib tashlash mumkin. Agar sizning tashkilotingiz mashinalarning katta heterojen populyatsiyasiga ega bo'lsa, unda xavfsizlikni boshqarish bo'yicha vazifalarni imkon qadar ko'proq kichik sonli oddiy qutilarga yuklash mantiqan to'g'ri keladi. Boshqa tomondan, agar siz
minglab bir xil konfiguratsiya qilingan shaxsiy kompyuterlar bilan qo'ng'iroqlar markazi kabi ishlayotgan bo'lsangiz, ushbu konfiguratsiyani qattiq ushlab turish uchun kuchingizni sarflash mantiqan.
Ikkinchidan, ishlab chiqilgan markaziy o'rnatishlar nafaqat katta operatsion xarajatlarni keltirib chiqaradi, balki odamlar o'z ishlarini bajarish uchun sizning xavfsizlik devoringizni chetlab o'tadigan kabel modemlari kabi orqa eshiklarni o'rnatishga xalaqit berishi mumkin. 1990-yillarda Buyuk Britaniya diplomatlari hukumat ta'minotchilaridan "xavfsiz" elektron pochta tizimini kutishdan charchagan; Ular elektron pochtadan foydalanishni afzal ko'rgan odamlar bilan gaplashishlari uchun elektron pochtaga kirishlari kerak edi. Ulardan ba'zilari oddiygina mahalliy do'konlardan shaxsiy kompyuterlarni sotib olishdi va AOL-da hisob qaydnomalariga ega bo'lishdi, shu bilan tarmoqni bosgan yoki haqiqatan
ham AOL parolini taxmin qilgan har bir kishiga nozik ma'lumotlarni oshkor qilishdi. Haqiqatan ham, yuzdan ortiq mamlakat diplomatlari xabarlar maxfiyligi uchun Torga ishonish uchun ahmoqlik qilganda veb-pochta akkauntlari buzilgan va zararli Tor chiqish tugunining hujumiga uchragan (bu voqeani 23.4.2-bo‘limda muhokama qilaman). Shunday qilib, ehtiyotkor tizim ma'muri "siyosat"da ko'rsatilganidan ko'ra haqiqiy tarmoq konfiguratsiyasini bilishini ta'minlaydi.
Uchinchidan, xavfsizlik devorlari (boshqa filtrlash mahsulotlari kabi) odamlar ularni aylanib o'tish yo'llarini topmaguncha bir muncha vaqt ishlaydi. Dastlabki xavfsizlik devorlari faqat pochta va veb- trafik orqali o'tishga imkon beradi; Shunday qilib, kompyuter o'yinlaridan anonimlik proksi- serverlarigacha bo'lgan ilovalar mualliflari mijoz-server trafigini iloji boricha oddiy veb-trafikga o'xshatish uchun o'z protokollarini qayta ishlab chiqdilar. Endi, albatta, Web 2.0 dunyosida tobora ko'proq ilovalar aslida veb-ga asoslangan; shuning uchun biz bir xil o'yinlar veb-proksi-serverda yana o'ynalishini kutishimiz mumkin.
Uyga qo'ng'iroq qilishni talab qiladigan dasturiy mahsulotlar bilan bog'liq alohida muammolar mavjud. Masalan, Windows Media Player-dan birinchi marta foydalanganingizda, u sizga "xavfsizlikni yangilash" kerakligini aytadi. Aslida nima sodir bo'layotgani shundaki, u ommaviy-xususiy kalitlar juftligini yaratish va ochiq kalitni Microsoft-ga yuborish orqali o'zini "individuallashtiradi". Agar sizning xavfsizlik devoringiz bunga ruxsat bermasa, WMP himoyalangan kontentni o'ynamaydi. Microsoft sizga WMP trafigini avtomatik ravishda uzatadigan ISA xavfsizlik devori mahsulotidan foydalanishni taklif qiladi. Bu ishonch, oshkoralik va raqobatga oid bir qancha masalalarni ko'tarishi mumkin!
Keyingi, deperimiterizatsiya - so'nggi mashhur so'z. Taraqqiyot barcha himoyani perimetrga qo'yishni tobora qiyinlashtirmoqda. Perimetrni saqlashning juda texnik qobiliyati xotira kartalari, noutbuklar va ilgari bajarilgan funktsiyalar uchun ishlatiladigan PDA-larning ko'payishi bilan buziladi.
660 21-bob ÿ Tarmoqqa hujum va mudofaa
ish stoli kompyuterlari va funktsiyalarni ko'proq autsorsingni o'z ichiga olgan biznes usullarini o'zgartirish orqali - rasmiy ravishda subpudratchilarga yoki norasmiy ravishda reklama bilan qo'llab-quvvatlanadigan veb-ilovalarga. Tashkilotingizning ba'zi qismlarini yaxshi nazorat qilib bo'lmasa (masalan, savdo guruhi va ilmiy-tadqiqot laboratoriyasi), boshqalari esa (moliya bo'limi) bo'lishi kerak bo'lsa, alohida tarmoqlar kerak bo'ladi. Perimetrning emirilishi mobillik va veb-ilovalarning ko'payishi tufayli yanada yomonlashadi. Bu perimetrda ishlarni bajarishga bo'lgan rag'batni to'xtatish bilan to'ldiriladi, chunki foydali narsalarni qilish qiyinlashadi. Kod va ma'lumotlar o'rtasidagi farq yangi skript tillari tomonidan doimiy ravishda yo'q qilinadi; firmada javascriptga ruxsat bermaslik qat'iyati buni talab qiladigan mashhur veb-saytlar tomonidan tezda yo'q qilinadi; va hokazo.
Va keyin bizning eski do'stimiz Qabul qiluvchining ishlash xarakteristikasi yoki ROC egri chizig'i.
Hech qanday filtrlash mexanizmi to'liq aniqlikka ega emas, shuning uchun underblocking va overblocking o'rtasida muqarrar ravishda o'zaro kelishuv mavjud. Agar siz bolalarning jamoat kutubxonalarida pornografiyaga kirishini to'xtatish uchun tsenzura tizimini ishga tushirayotgan bo'lsangiz, ba'zi rasmlar o'tib ketganda ota-onalar va cherkovlarni bezovta qilasizmi yoki ortiqcha blokirovka qilib, so'z erkinligi huquqlarini buzganlik uchun sudga tortilasizmi?
Jinsiy aloqa, zo'ravonlik va yomon til uchun veb-kontentni filtrlash uchun foydalaniladigan xavfsizlik devori tizimlari, shuningdek, erkin so'zlash saytlarini blokirovka qilishga moyilligi bilan yomonlashdi (chunki ularning ko'pchiligi xavfsizlik devori sotuvchilarini tanqid qiladi va ba'zilari xavfsizlik devorini chetlab o'tish bo'yicha texnik maslahatlar beradi. blokirovka qilish.)
Nihoyat, xavfsizlik hech bo'lmaganda texnologiya kabi rag'batlarga bog'liq.
O'zi tanigan yuzlab odamlar tomonidan foydalaniladigan bo'lim tarmog'iga g'amxo'rlik qilayotgan va shaxsan o'zi bosqin yoki konfiguratsiya xatosi tufayli yuzaga kelgan tartibsizliklarni bartaraf etishi kerak bo'lgan tizim boshqaruvchisi katta jamoaning shunchaki bir a'zosi bo'lgan odamga qaraganda ancha ishtiyoqlidir. minglab mashinalardan keyin.
|
