Обеспечение безопасности сетевых служб

Многие из рекомендаций по обеспечению безопасности Internet-соединений при­менимы также и к вопросам безопасности во внутренних сетях предприятия. Внутрен­ние сетевые службы могут использовать аутентификацию и авторизацию, фильтры па­кетов, журналы аудита, средства физической безопасности, шифрование и т.д.

Для защиты внутренних сетевых служб важно обеспечить защиту межсетевых уст­ройств, таких как маршрутизаторы и коммутаторы. Для получения доступа к этим уст­ройствам у пользователя должен запрашиваться загрузочный идентификатор ID (Login ID) и пароль, независимо от того, каким образом происходит доступ — через консоль­ный порт или непосредственно через сеть. Администратор, которому требуется лишь проверить состояние устройств, может использовать пароль первого уровня. Админи­страторы, имеющие разрешение на просмотр и изменение конфигурации, должны ис­пользовать пароли второго уровня.

Если разрешен модемный доступ к консольным портам межсетевых устройств, то модемы должны быть защищены таким же образом, как и модемы, используемые для удаленного доступа, а телефонные номера не должны находиться в телефонном справочнике предприятия и не должны быть связаны с главным номером организа­ции. Телефонные номера должны также заменяться в тех случаях, когда происходят изменения в составе персонала обслуживания сети.

У потребителей, имеющих большое количество маршрутизаторов и коммутато­ров, для управления большим количеством идентификаторов ID и паролей пользо­вателей маршрутизаторов и коммутаторов в централизованной базе данных может использоваться такой протокол, как система управления доступом к контроллеру терминального доступа (Terminal Access Controller Access Control System — TAC ACS). Новыми версиями протокола TACACS являются XTACACS и TACACS+. Протокол TACACS также обладает функциями аудита.

На предприятиях, где вопросы безопасности более важны, чем вопросы управ­ляемости сети, следует рассмотреть возможность ограничения использования про­стого протокола управления сетью (Simple Network Management Protocol — SNMP). Одной из основных проблем, связанных с протоколом SNMP, является использова­ние операции set, которая позволяет удаленной станции изменять данные управле­ния и конфигурацию. Протокол SNMP версии 3 (SNMPv3) поддерживает аутенти­фикацию при выполнении операции set и других операций протокола SNMP.

Так же, как и в случае Internet-соединений, во внутренних сетях должны использо­ваться наиболее безопасные версии программного обеспечения DNS, FTP и Web. Реа­лизация службы сетевой информации (Network Information Service — NIS) и других типов серверов именования и адресации также должна тщательно выбираться на осно­ве предлагаемого уровня безопасности.

Несмотря на очевидность того, что службы внутри сети (такие как файловые сер­веры) должны требовать от пользователя аутентификации и авторизации, менее оче­видным может показаться то, что сеть также должна требовать реализации этих ме­ханизмов. Перед тем, как пользователь сможет достичь точки входа на сервер, ему требуется сначала войти в сеть.