|
Еще один способ
расширить доступ к своим сетям заключается в использовании модемов.
Некоторые организации эксплуатируют модемные накопители, управляемые
отдельными серверами, которые защищают и поддерживают соединения
с внешними пользователями. Другие устанавливают модемы на специальных
серверах, которые предоставляют доступ минимальному количеству
пользователей. Независимо от применяемого метода, общим является
то, что администраторы контролируют модемный доступ централизовано.
Профессионалы
в области безопасности считают, что централизованное управление
модемами является ключевым моментом в управлении устройствами,
обеспечивающими временный доступ. Таким образом, они могут контролировать
и управлять процессом, не прерывая предоставление услуг. Чего
они не желают позволить, так это установки модемов в разных
местах сети. Модем, установленный в системе пользователя, которая
сконфигурирована для ответов на входящие звонки, является потенциальной
точкой доступа для тех. кто хочет взломать сеть.
Пользователи
часто подмечают, что они могут установить модемы в своих системах,
в которых работают программы, которые могут обеспечить удаленный
доступ к их файлам. Эти программы представляют хорошо известные
проблемы для информационной защиты, позволяющие любому, кто
подключается к модему, получить доступ в систему и к сети, к
которой эта система подключена. Более того, поскольку эти модемы
не контролируются, администраторы никогда не смогут остановить
взломщика до нанесения ущерба.
Помимо атак
на отказы в обслуживании (denial of service attacks) существует
проблема, которая может вынудить администраторов не спать по
ночам - это модем, установленный в сети, которая неправильно
сконфигурирована. Если требуется пользователям разрешение для
подключения к сети, то администраторы предпочтут иметь правила,
позволяющие им управлять доступом. Они потребуют внести в правила
запрет на установку модемов без их разрешения. В таком случае
в правила можно включить следующее предложение.
Пользователи не
должны устанавливать модемы в своих системах или в любом месте
сети без соответствующих санкций.
Отметим, что
эта формулировка допускает исключения, но они должны быть санкционированы.
В данных правилах не уточняется, что представляют собой "соответствующие
санкции". Остается руководствоваться принятыми в организации
инструкциями по проведению контроля (см. главу 3 "Обязанности
в области информационной безопасности").
Не каждой организации
нужен модемный доступ к сети. Некоторые организации могут установить
всего несколько модемов и разработать правила, обеспечивающие
требуемую конфигурацию и соответствие стандартам безопасности.
Другие организации поддерживают большое количество модемов,
позволяющих пользователям наборный доступ, соединение с сервером
и аутентификацию непосредственно в сети. Независимо от требований
организации правила безопасности должны поддерживать роль администраторов
в контролировании и обслуживании вспомогательных систем.
Если в организации
используется модемный накопитель, подключенный к централизованно
управляемому серверу, который обеспечивает строгую аутентификацию,
формулировка правил может быть следующей.
Системы коммутации
должны устанавливаться и управляться системными администраторами.
Пользователи, желающие получитъ доступ в сеть посредством модема,
должны при подключении проходить аутентификацию. В эту аутентификацию
необходимо включитъ компонент безотказности.
В формулировке
не указывается, насколько строгим должен быть подход к аутентификации.
Вводя лишь "компонент безотказности", вы не связываете
внедрение аутентификации только с одним ее типом. Это предполагает,
что будет использован некий строгий алгоритм привязки процесса
к определенному пользователю. Он может быть каким угодно, начиная
с алгоритма PKI и заканчивая аутентификацией с использованием
устройств идентификации. Гибкость заключается также в том, что
когда биометрия станет доступным средством, то может быть использована
технология на ее основе, и не будет необходимости изменять правила.
|
