>
Перейдем теперь к….
FireWall, Brandmauer, межсетевой экран.
При этих словах любой безопасник млеет и пускает слюну потирает руки: «сейчас я тут понастраиваю!!!». Увы, совсем не каждый умеет это делать. А неправильно настроенный файрволл это распахнутые врата в Вашу систему. Впрочем, это касается не только сетевых экранов. По статистике до 95% всех внешних проникновений в системы являются следствием неправильных настроек систем безопасности. И лишь 5% это различные уязвимости, не устраненные на момент взлома и прочие факторы. Вернемся тем временем к файрволлам: они должны быть настроены. Есть файрволлы, которые достаточно правильно настроены по-умолчанию, то есть допускают все (или только от соответствующих приложений) соединения наружу и никаких — внутрь. Здорово, если бы можно было оставить их в таком состоянии, но… мы ставим программы, которые нуждаются в сетевом доступе и мы работаем под администратором, позволяя установиться различным вредоносам… А зараженный компьютер не спасти экраном. Так же как не защитит нас и firewall, больше похожий на маасдам, чем на китайскую неприступную стену.
Кстати, а Ваш файрволл защищает от атак уровня приложений? А то ведь просто позакрывать порты – не выход. А разные умные вещи типа stateful inspection он умеет? А это реально честный inspection или он просто придуривается, отслеживая соединение только по паре сокетов? А IDS у Вас есть, или Вы узнаете, что Вас атакуют только по звонкам пользователей, у которых «интернет кончился»? В общем, сам по себе сетевой экран не панацея.
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
>Думаю, что в случае упоминания функционала IDS уровня хоста в контексте персонального брандмауэра, стоит говорить о системе IPS уровня хоста. Потому как наличие IDS и персонального брандмауэра уровня, не имеющих никакого общего канала обмена информацией о результатах инспектирования сетевых пакетов, для обычного пользователя ничего не даст. Не думаю, что большинство пользователей может понять, что данная сетевая активность является аномальной и написать на коленке сигнатуру для Snort, да ещё и включить запуск скрипта, перестраивающего политику ipfw по факту обнаружения такой атаки =)
НравитсяНравится
>А почему персонального? Я вроде это нигде не обозначил. Это общие положения, как мне кажется. В принципе, этим всем должны заниматься системы а-ля Stirling тот же самый. И ставить надо как хостовые IDS, так и сетевые. И файрволлы — так же. Это если для корпоративного пользователя. А для домашнего оно да, для домашнего все ограничивается обычно в плане IDS только фактом: Вас задосили. =) Кстати, те, кто выпускают IDS уровня хоста очень часто их как раз, на моей памяти и интегрируют с различными другими системами. И с файрволлами и с антивирусами…
НравитсяНравится
>Так я и пытаюсь с Вами спорить, Александр. Если можно так выразиться, я предложить детализировать сказанное Вами в котексте выбора средств защиты конечным пользователем, не искушенным в вопросах обеспечения информационной безопасности.Что же касается комплексных средств защиты — это давняя тенденция интеграции всего в обном флаконе. Взять тот же Snort, бывший в свое время стандартом в секторе IDS уровня сети. Вырос до комплесного решения Sourcefire 3D System. Эту же тенденцию мы наблюдаем у компании Microsoft, следя за разработкой Forefront Stirling.
НравитсяНравится
>Пардон, обшибся слегка:Так я и НЕ пытаюсь с Вами спорить, Александр :)
НравитсяНравится
>Давно я Snort не видел, видимо… =)Надо посмотреть. Чтобы детализировать этим подробности надо отдельную статью писать. Пока, если честно, не лежит душа к этой теме. Но я занесу это в wishlist и обдумаю. Обещаю. =)P.S. Я сам любитель поговорить на «Вы», но это быстро проходит… =)
НравитсяНравится
>>>Так я и НЕ пытаюсь с Вами споритьТеперь стало понятнее =)
НравитсяНравится
>Насчет поговорить на «Вы»: я не привык к незнакомым ЛИЧНО людям обращаться на «ты». Если всё таки доберусь до Платформы, надеюсь, будет шанс это исправить ;)
НравитсяНравится
>Эээ… Ну тогда терпи пока — я буду хамить. Ок? =)
НравитсяНравится