ошенню до забезпечення безпеки своїх систем, потрібно серйозно подумати, перш ніж зупинити вибір на продуктах даної фірми. Останній приклад: в Internet з'явилася програма, що надає атакуючому несанкціонований віддалений доступ до файлової системи ОС Windows NT 4.0!). Вибір клієнтської операційної системи багато в чому вирішує проблеми безпеки для даного користувача (не можна отримати доступ до ресурсу, якого просто немає!). Однак у цьому випадку погіршується функціональність системи. Тут своєчасно сформулювати, на наш погляд, основну аксіому безпеки:
Аксіома безпеки. Принципи доступності, зручності, швидкодії і функціональності обчислювальної системи антагоністичні принципам її безпеки.
Дана аксіома, в принципі, очевидна: чим більш доступна, зручна, швидка і багатофункціональна НД, тим вона менш безпечна. Прикладів можна навести масу. Наприклад, служба DNS: зручно, але небезпечно.
Повернемося до вибору користувачем клієнтської мережевої ОС. Це, до речі, один із дуже слушних кроків, що ведуть до мережевої політиці ізоляціонізму. Дана мережева політика безпеки полягає у здійсненні як можна більш повної ізоляції своєї обчислювальної системи від зовнішнього світу. Також одним із кроків до забезпечення цієї політики є, наприклад, використання систем Firewall, що дозволяють створити виділений захищений сегмент (наприклад, приватну мережу), відокремлений від глобальної мережі. Звичайно, ніщо не заважає довести цю політику мережевого ізоляціонізму до абсурду - просто висмикнути мережевий кабель (повна ізоляція від зовнішнього світу!). Не забувайте, це теж "рішення" всіх проблем з віддаленими атаками і мережевою безпекою (у зв'язку c повною відсутністю оних).
Отже, нехай користувач мережі Internet вирішив використовувати для доступу в мережу тільки клієнтську мережну ОС і здійснювати за допомогою неї тільки неавторизований доступ. Проблеми з безпекою вирішені? Нітрохи! Все було б добре, якби не було так погано. Для атаки "Відмова в обслуговуванні" абсолютно не має значення ні вид доступу, застосовуваний користувачем, ні тип мережевої ОС (хоча клієнтська ОС з точки зору захисту від атаки кілька переважно). Ця атака, використовуючи фундаментальні прогалини в безпеці протоколів та інфраструктури мережі Internet, вражає мережну ОС на хості користувача з однією єдиною метою - порушити його працездатність. ля атаки, пов'язаної з нав'язуванням хибного маршруту за допомогою протоколу ICMP, метою якої є відмова в обслуговуванні, ОС Windows '95 або Windows NT - найбільш ласа мета. Користувачеві в такому випадку залишається сподіватися на те, що його скромний хост не представляє ніякого інтересу для атакуючого, що може порушити його працездатність хіба що з бажання просто напаскудити.
В
5.4 Адміністративні методи захисту...