Криптопротокол S-HTTP

Необхідність обмеження доступу до загальних мережних ресурсів, від яких залежить робота певних відділів або всієї компанії, очевидна. Забезпечення мережної безпеки робочих станцій є менш відповідальним завданням. Можна визначити наступні варіанти забезпечення доступу до користувальницьких комп'ютерів:

користувачі мережі можуть обмінюватися між собою інформацією необмежено;

користувачі можуть обмінюватися інформацією тільки всередині відділу;

користувачі не мають права надавати доступ до своїх локальних ресурсів.

Розглянемо кожний із цих варіантів докладніше.

Якщо користувачам дозволено спілкуватися між собою необмежено, вони можуть безперешкодно надавати доступ до своїх локальних файлів, принтерам або просто грати в мережні ігри. Але такий "ліберальний підхід" може мати досить неприємні наслідки: так, якщо на одному з комп'ютерів з'явиться вірус, він зможе швидко поширитися на інші комп'ютери. Антивірусні програми істотно знижують імовірність подібної ситуації, однак навіть програма (АВП) при своєчасному відновленні антивірусних баз і проведенні модернізації оперативної системи (ОС) (що у великій мережі саме по собі є складним завданням) завжди існує загроза появи вірусу, здатного обійти АВП або "знаючого" про "незалатану дірку" в ОС.

У зв'язку із цими небезпеками виникає питання: чи так необхідно надавати, наприклад, доступ до локальних файлів сусідньому відділу (або доступ до принтера - користувачам з іншого відділу). Напевно, має сенс певною мірою пожертвувати функціональністю, дозволити взаємний доступ користувачам тільки в межах відділу (другий варіант). У результаті подібного компромісу новому, "удосконаленому" виду вірусу, якщо такий і з'явиться в мережі, не вдасться у короткий термін поширитися за межі відділу, а виходить, для його усунення буде потрібно набагато менше часу й засобів.

Третій варіант - найбезпечніший: доступ до машин користувачів закритий. Правда це пов’язано із цілим рядом незручностей, таких як неможливість обмінюватися файлами, давати доступ до принтерів, однак подібні проблеми можна вирішити відносно просто, створюючи папки обміну файлами на файловому сервері, підключаючи принтери через принт-сервери. Звичайно ж в обмеженні не обійтися без виключень, але кількість "привілейованих" користувальницьких ПК необхідно звести до мінімуму.

Поряд із заходами для безпосереднього обмеження доступу, можливо, буде потрібен захист від перехоплення й підміни інформації. Необхідно визначити голосовий трафік і забезпечити його шифрування.

Однак найважливіший вид трафіка в мережі - службовий мережний трафік. Внесення помилок у його роботу може викликати простій у функціонуванні всієї мережі. Якщо ж зловмисник одержить доступ до керування комутатором або маршрутизатором, це дозволить йому модифікувати списки доступу за своїм розсудом; а одержання доступу до центрального сервера аутентифікації й авторизації відкриває перед ним необмежені можливості для протиправної діяльності в мережі.

Визначивши, що треба захищати, розглянемо деякі засоби забезпечення захисту. Почнемо із самого головного - службового мережного трафіка й керування мережею. Оскільки необхідно забезпечити максимальний рівень захисту, насамперед варто повністю обмежити доступ. Сучасні комутатори дозволяють блокувати службовий трафік на своїх портах. Реалізуючи цю можливість, потрібно всі порти комутатора налаштувати за замовчуванням на блокування такого трафіка, дозволяючи його роботу тільки на потрібних портах. Якщо протоколи підтримують аутентифікацію - це треба обов'язково використати. Бажано, щоб у випадку появи службового трафіка (наприклад, пакетів BPDU) з боку користувальницького порту комутатор не тільки фільтрував такі пакети, але й сповіщав про це системному адміністратору. Для автоматичного сповіщення й журналювання можна застосовувати syslog або snmptrap. Завдяки цим програмам, підтримка яких забезпечується практично всіма виробниками устаткування, інформацію про події можна направляти з різних пристроїв у журнал.Важливим службовим трафіком є поширення мережних адрес - маршрутна інформація. При настроюванні маршрутизації IP-адрес доцільно використати всі можливості протоколу по аутентифікації й фільтрації префіксів. Однак основними адресами, застосовуваними в локальних мережах, є, як правило, фізичні адреси Ethernet-пристроїв - Мас-адреса. Інформація про MAC-адреси поширюється автоматично, для цього не потрібно використовувати окремі протоколи маршрутизації, а виходить, будь-який користувач мережі може переповнити мережу псевдоадресами, просто відправляючи безліч невеликих пакетів зі свого комп'ютера, використовуючи як адресу призначення широкомовної адреси, й у якості вихідної щоразу вказувати нову Мас-адресу. У результаті продуктивність мережі може впасти на кілька порядків.