- •Политика безопасности брандмауэров
- •1. Основы и цель
- •2. Аутентификация
- •3. Анализ возможностей маршрутизации и прокси-серверов
- •3.1. Маршрутизация источника
- •4. Типы брандмауэров
- •4.1 Шлюзы с фильтрацией пакетов
- •4.2. Прикладные шлюзы
- •4.3. Гибридные или сложные шлюзы
- •4.4. Рейтинг
- •5. Архитектуры брандмауэра
- •5.1. Хост, подключенный к двум сегментам сети
- •5.2. Экранированный хост
- •5.3. Экранированная подсеть
- •6. Интранет
- •7. Администрирование брандмауэра
- •7.1. Квалификация администратора брандмауэра
- •7.2. Удаленное администрирование брандмауэра
- •8. Доверительные взаимосвязи в сети
- •9. Виртуальные частные сети (vpn)
- •10. Отображение имен в адреса с помощью dns
- •11. Целостность системы
- •12. Документация
- •13. Физическая безопасность брандмауэра
- •14. Действия при попытках нарушения безопасности
- •15. Восстановление сервисов
- •16. Усовершенствование брандмауэра
- •17. Пересмотр политики безопасности для брандмауэра
- •18. Системные журналы (сообщения о событиях и итоговые отчеты)
- •19. Примеры политик
- •20. Примеры специфических политик для отдельных сервисов
10. Отображение имен в адреса с помощью dns
В Интернете доменная служба имен обеспечивает средства для отображения между доменными именами и IP-адресами, например, отображает имя serverl.acme.com в адрес 123.45.67.8. Некоторые брандмауэры могут быть сконфигурированы так, что будут являться еще и основным, вторичным или кэширующим DNS-серверами.
Принятие решения относительно администрирования DNS-сервиса вообще-то не относится к области безопасности. Многие организации используют услуги третьей организации, такой как провайдер Интернета, для администрирования своей DNS. В этом случае брандмауэр может быть использован как кэширующий сервер DNS для улучшения производительности, при этом вашей организации не надо будет самой поддерживать базу данных DNS.
Если организация решила иметь свою базу данных DNS, брандмауэр может функционировать еще и как DNS-сервер. Если брандмауэр должен быть сконфигурирован как DNS-сервер (основной, вторичный, кэширующий), необходимо, чтобы также были предприняты другие меры безопасности. Одним из преимуществ использования брандмауэра еще и как DNS-сервера является то, что он может быть сконфигурирован так, что будет скрывать информацию о внутренних хостах сайта. Другими словами, когда брандмауэр выступает в роли DNS-сервера, внутренние хосты получают полную информацию о внутренних и внешних данных DNS. А внешние хосты, с другой стороны.
не имеют доступа к информации о внутренних машинах. Для внешнего мира все соединения с любым хостом внутренней сети кажутся исходящими от брандмауэра. Если информация о хостах скрыта от доступа извне, атакующий не будет знать имен хостов и внутренних адресов, предоставляющих те или иные сервисы Интернету.
Политика безопасности для скрытия DNS-информации может иметь следующий вид:
Если брандмауэр должен работать как DNS-сервер, то он должен быть сконфигурирован так. чтобы скрывать информацию о сети, чтобы данные о внутренних хостах не предоставлялись внешнему миру.
11. Целостность системы
Для предотвращения неавторизованной модификации конфигурации брандмауэра должна иметься некоторая форма гарантий целостности. Обычно для рабочей конфигурации системы вычисляются контрольные суммы или криптографические хэш-функции, которые хранятся потом на защищенном носителе. Каждый раз, когда конфигурация брандмауэра модифицируется авторизованным на это человеком (обычно администратором брандмауэра), необходимо обновить контрольные суммы файлов и сохранить их на сетевой файловой системе или на дискетах. Если проверка целостности системы покажет, что конфигурация брандмауэра была изменена, то сразу станет ясно, что система была скомпрометирована.
Данные для проверки целостности брандмауэра должны обновляться при каждой модификации конфигурации брандмауэра. Файлы с этими данными должны храниться на носителе, защищенном от записи или выведенном из оперативного использования. Целостность системы на брандмауэре должна регулярно проверяться, чтобы администратор мог составить список файлов, которые были модифицированы, заменены или удалены.