т чего не может защитить сетевой экран?
т чего может защитить сетевой экран?
Некоторые СЭ пропускают через себя только разрешенный почтовый трафик, защищая, таким образом, корпоративную сеть от любых атак, за исключением атак, которые направлены на электронную почтовую службу. Другие СЭ обеспечивают более низкий уровень защищенности и блокируют сообщения тех служб (протоколов), о которых заранее известно, что они могут быть причиной многих проблем.
В целом, СЭ настраиваются для защиты от несанкционированного доступа (НСД) со стороны “внешнего мира”. СЭ больше, чем какое-либо другое средство, помогает защититься от “вандалов”, пытающихся “прорваться” в корпоративную сеть. Более сложные СЭ блокируют трафик, поступающий в корпоративную сеть из внешней сети, но разрешают корпоративным пользователям свободно соединяться с внешними сетевыми объектами. СЭ может защитить персональный компьютер от любых сетевых атак, если он соединен с сетью только через СЭ.
Очень часто они предоставляют администратору данные о типах и количестве трафика переданного через них, а также о числе попыток НСД с целью взлома системы защиты, а также другую информацию.
Исходя из вышесказанного, все записи СЭ являются важными критическими данными. Они могут быть использованы в качестве доказательства в судебных инстанциях во многих странах мира. Поэтому необходимо охранять, анализировать и защищать данные СЭ надлежащим образом.
т чего не может защитить сетевой экран?
СЭ не могут противостоять атакам, которые проводятся в обход СЭ. Многие корпоративные сети, которые подключены к Internet-сети, очень озабочены проблемой утечки корпоративной информации по таким каналам. К сожалению, это относиться и к различным электронным носителям информации: кассетные накопители, компакт-диски, DVD-диски и USB/flash-накопители, — которые могут эффективно использоваться для переноса корпоративных данных. Многие компании, которые ужаснулись от проблем утечки информации, когда подключили свои корпоративные сети к Internet-сети, просто-напросто не имели вразумительной стратегии безопасности доступа, касающейся защиты входящих коммутируемых (“dial-up”) соединений через модемы.
Это весьма странно (а может быть и глупо), когда живешь в деревянном доме и устанавливаешь входную металлическую дверь огромной толщины, однако, существует много компаний, которые покупают весьма дорогие СЭ и не обращают внимание на наличие многочисленных “задних дверей” в их корпоративных сетях. Для того чтобы СЭ работал, он должен быть частью согласованной и всеобъемлющей архитектуры безопасности корпоративной ИТС организации. Например, если корпоративная сеть обрабатывает секретные или закрытые данные, то тогда нет необходимости устанавливать СЭ повсюду: такие данные просто не должны размещаться в том сегменте корпоративной сети, который ближе всего расположен к Internet-сети, или системы, которые действительно обрабатывают секретные данные, должны быть изолированы от остальных сегментов корпоративной сети.
Другая проблема, СЭ не может защитить корпоративную сеть от “дураков” и нарушителей, расположенных внутри такой сети. Пользователи, которые выдают секретную информацию, являются хорошими мишенями для “социальной инженерии”. Нарушитель может взломать корпоративную сеть за счет выявления обходного маршрута, который не проходит через корпоративный СЭ, если конечно нарушитель найдет “полезного” сотрудника компании, которого можно обмануть с целью получения доступа на модемный пул. Прежде чем принять решение, что в той или иной корпоративной сети такой проблемы не существует, необходимо задаться вопросом, а как много нарушений сделал тот или иной сотрудник компании (работающий по контракту), имеющий зарегистрированный доступ в корпоративную ИТС, или как много проблем возникает тогда, когда пользователь сети, который забыл свой пароль, имеет доступ в систему для смены пароля.
И последнее, СЭ не могут защитить корпоративные системы от вредоносных продуктов, трансляция которых через СЭ разрешена. Например, многие “троянские кони” используют IRC-протокол (Internet Relay Chat — интерактивная диалоговая Internet-служба), что позволяет нарушителю контролировать скомпрометированный внутренний IP-узел с помощью IRC-сервера общего пользования. Если разрешить любой корпоративной подсистеме устанавливать соединение с любой внешней системой, то тогда корпоративный СЭ не обеспечит защиту сети от атак по такому соединению.
СЭ не могут надежно защитить корпоративные сети от проникновения в них программных продуктов типа вирусы и “вредоносные” программные закладки. Существует слишком много способов кодирования двоичных файлов для их последующей передачи по сетям, а также существует слишком много различных архитектур и вирусов, которые пытаются отыскать такие файлы. Другими словами, СЭ не может заставить некоторых своих пользователей сознательно использовать ту или иную систему обеспечения ИБ.
Организации, которые серьезно озабочены проблемой вирусов, должны повсеместно внедрять средства обнаружения и нейтрализации вирусов. Прежде чем пытаться выводить на экран монитора вирусы, выявленные СЭ, необходимо убедиться, что каждый уязвимый компьютер имеет в своем программном обеспечении специализированный программный обнаружитель вирусов, который начинает функционировать с момента перезагрузки компьютера. Если программный обнаружитель вирусов охватывает всю корпоративную сеть, то тогда он обеспечит защиту от вирусов, которые проникли в сеть через гибкие магнитные диски, CD-диски, модемы и Internet-сеть. Если блокировать вирусы только с помощью СЭ, то тогда сеть будет защищена только от вирусов, которые могут проникнуть в нее из Internet-сети. Применение обнаружителя вирусов в составе СЭ или почтового шлюза позволит защитить корпоративную сеть от большого числа возможных “инфекций”.
В настоящее время, все больше и больше компаний-продавцов (vendor) предлагают СЭ только с функциями обнаружения и нейтрализации вирусов.