Kontrolowanie niebezpiecznych konfiguracji

Jak już powiedzieliśmy, czasem zaufanie do protokołu wynika z możliwości kontrolowania obu stron komunikacji. Są protokoły zupełnie bezpieczne, jeśli tylko zmierzają do określonych klientów z określoną konfiguracją, a w przeciwnym razie są bardzo groźne. Na przykład Simple Mail Transfer Protocol (SMTP) w większości sieci jest uważany za nieszkodliwy, jeśli używają go komputery z niezawodnym i dobrze skonfigurowanym serwerem. Z drugiej strony, jest niezwykle niebezpieczny, jeśli trafia do źle skonfigurowanego serwera.

Zazwyczaj, gdy chcesz używać takiego protokołu, powinieneś skorzystać z hostów bastionowych i przepuszczać go do swojej sieci tylko wtedy, kiedy zmierza do ściśle kontrolowanego i dobrze skonfigurowanego komputera, administrowanego przez zaufany personel. Czasem nie będziesz mógł jednak tak postąpić i będziesz musiał użyć protokołu w wielu komputerach albo w komputerach, które nie są bezpośrednio kontrolowane przez pracowników odpowiedzialnych za firewall. Co zrobić w takiej sytuacji?

Uświadom sobie, że nie zdołasz się wówczas zabezpieczyć przez zagrożeniami wewnętrznymi. Jeśli przepuszczasz protokół do komputerów, a ludzie kontrolujący te komputery próbują ominąć twoje zabezpieczenia, z pewnością im się uda. I tak masz niewielkie możliwości kontrolowania wrogo nastawionych użytkowników wewnętrznych, ale im więcej protokołów dopuszczasz, tym bardziej wystawiasz się na atak.

Jeśli jednak użytkownicy komputerów nie mają złych intencji, ale nie są także ekspertami od bezpieczeństwa, wówczas możesz podjąć pewne środki ostrożności, aby nieco polepszyć sytuację. Możesz na przykład zwiększyć swoją kontrolę nad komputerami do punktu, w którym użytkownicy nie będą mogli zrobić niczego złego w tym celu trzeba ich zmusić do używania systemów takich jak Windows NT lub Unix, w których da się scentralizować zarządzanie kontami i zamknąć dostęp do uprzywilejowanych kont (roota lub Administratora). Nie zawsze jest to możliwe, a jeśli nawet, to często niewiele pomaga. Dzięki temu na przykład wymusisz bezpieczną konfigurację przeglądarek WWW, ale nie zwiększysz bezpieczeństwa serwerów WWW.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>