Резюме
Тепер багато читачів можуть поставити під сумнів надійність загальної концепції систем видаленого доступу, заснованих як на технології віртуальних приватних мереж, так і на використанні старих добрих телефонних ліній. І це правильно. Розширення меж організацій до розмірів тисяч (або мільйонів) за визначенням надійних кінцевих користувачів — надзвичайно ризикована справа, і автори це довели. Вони пропонують виходити з припущення про те, що видалені користувачі працюють в якнайгірших з погляду безпеки умовах (звичайно це досить близько до дійсності). Ось деякі раді із забезпечення безпеки видаленого доступу.
- Політика призначення паролів,
реабілітовуюча зарплату адміністратора по питаннях безпеки, набуває ще
важливішого значення, якщо мова йде про виділенні паролів для видаленого
доступу до внутрішніх мереж. Видалені користувачі повинні
використовувати складні паролі, надійність яких необхідно періодично
контролювати. Розглянете можливість реалізації механізму дворівневої
аутентифікації на основі інтелектуальних плат або апаратних ключів.
З'ясуєте у виробників, чи сумісні пропоновані ними продукти з поточною
інфраструктурою системи видаленого доступу. Багато компаній пропонують
прості надбудови, що дозволяють легко реалізувати схему аутентифікації
на основі апаратних ключів для популярних серверів видаленого доступу
типу Shiva Lanrover. Таким чином, досягти необхідного рівня безпеки
почне значно легше.
- Забезпечуючи безпечне з'єднання з
Internet, не випускайте з уваги звичайні видалені з'єднання. Розробіть
політику контролю видалених з'єднань усередині організації і регулярно
перевіряйте дотримання прийнятих норм з використанням програм
автопрозвона.
- Знайдіть і забороните несанкціоноване
використання програмного забезпечення видаленого доступу у всій
організації (докладніша інформація про це міститься в розділі 13).
- Пам'ятаєте, що через телефонні лінії
хакери можуть дістати доступ не тільки до модемів організації. Під їх
"обстрілом" можуть опинитися офісні телефонні станції, факс-сервери,
системи голосової пошти.
- Навчите обслуговуючий персонал і кінцевих
користувачів гранично уважному поводженню з інформацією про облікові
записи для видаленого доступу, щоб запобігти можливості загрози витоку
інформації через канали соціальної інженерії. Використовуйте додаткові
форми ідентифікації для отримання інформації по питаннях видаленого
доступу через дошку оголошень, наприклад, введіть систему персональних
номерів.
- При всіх своїх достоїнствах віртуальні приватні мережі можуть піддаватися таким же атакам, як і інші "захищені" технології. Не вірте на слово запевненням розробників з приводу абсолютної захищеності VPN (пригадаєте статтю Шнєєра і Маджа, присвячену протоколу РРТР), розробіть строгу політику їх використання і періодично контролюйте її виконання як і для видалених з'єднань через звичайні телефонні лінії.
|