Встановити штатно передбачені паролі на доступ до BIOS комп ютерів, на комп ютер, Які містять критичність інформацію додатково Встановити паролі на завантаження, Передбачити систему парольної ідентіфікації Користувачів в мережі, ведення протоколів роботи Користувачів;
Встановити в корпоратівній мережі внутрішні POP, SMTP, ProxyHTTP/FTP серверу, все спілкування Користувачів мережі Із зовнішнім світом Здійснювати только через ЦІ серверу, Встановити на них програмне забезпечення для про єктівного контролю за вмістом информации, яка ціркулює через них;
Встановити на комп ютер, у тому чіслі и не підключеніх до мережі, ЗАСОБІВ об'єктивного контролю за діяльність персоналу;
Встановити програмне систему моніторингу руху пакетів в корпоратівній мережі и доступу до крітічної информации, вести протоколювання доступу до подібної информации;
Встановити програмне систему типом расket sniffer для сканування мережі, при вінікненні ризико Порушення режиму безпеки переводіті ее в режим перехоплення пакетів;
прізначіті конкретного співробітніка, Який займатіметься аналізом результатів роботи ЗАСОБІВ про єктівного контролю, контролюваті стан безпеки мережі и при вінікненні нештатних СИТУАЦІЙ вжіваті заходь по Негайно реагуванню;
систематично перевіряті Дотримання режиму інформаційної безпеки - Збереження печаток на устаткуванні, ключів комунікаційніх портів, ЗОВНІШНІХ и змінніх носіїв, носіїв у контейнерах, наявність нетабельніх комунікаційніх устройств и носіїв на робочих місцях персоналу, наявність комп ютерів, залишенню персоналом у включених стані без наочний.
Короткі рекомендації з організації розмежованого доступу в мережі для невелікої организации. Початкові дані: є локальна мережа, яка про єднує декілька відділів (або других структурних Підрозділів), Web-сервер и доступ до Інтернет.
Потрібен: розмежуваті права доступу на Рівні відділів/Підрозділів до ресурсов других Підрозділів и забезпечення безпеки при роботі з Інтернетом в плане несанкціонованого доступу з інтернету до внутрішньої мережі организации.
Пропонується наступна решение: мережа организации розбівається на сегменти помощью збору сегментів мережі на різніх концентраторах (хабах). Усередіні одного сегменту передбачається, что всі машини мают однаково рівень доступу. В центрі мережі ставитися машина під ОС Linux з набудованімі правилами фільтрації. Для шкірного сегменту в сервері передбачається окрема Мережна платним.
Доступ з одного сегменту в Інший может буті дозволень або Заборонений Повністю або частково. Під частковий ограниченной доступу слід розуміті следующие види обмежень:
. По IP-адресі джерела и приймач пакету.
. За протоколом TCP/UDP/ICMP.
. Портом джерела и приймач пакету.
. За ознаці SYN/ACK (ініціатор/відповідач).
. За інтерфейсах головного маршрутизатора.
Крім того, может буті виконан Жорсткий прив язка IP-адреса до MAC- адреса мережної плати на робочих машинах пріїх роботі з/через головний маршрутизатор, что утрудняє просту перестановку IP адреси даже усередіні одного сегменту з машини на машину для Запобігання поданням однієї машини реквізітамі Іншої в мережі. (Правда при цьом НЕ віключається перестановка мережної плати фізично з машини на машину або, за наявності у мережній платі подобной возможности, перепрограмування ее MAC-адреси на апаратному Рівні. Проти ЦІ Дії вімагають вісокої кваліфікації користувача, легко віявляються при дубляжі MAC-адресу у виде Порушення роботи двох робочих машин у мережі).
Приклад схема наведеного на рис. 2.1.
Рисунок 2.1 - Приклад сегментації мережі
На рис. 2.1 показано 3 підмережі для организации 3 роздільніх сегментів, Внутрішній трафік якіх НЕ может прослуховуватіся в режімі сніффування з Іншого сегменту мережі. WWW-сервер у Вказаною прікладі вінесеній в окремий сегмент на окрему машину. Це віправдано, если потрібна велика закрітість и Надійність машини під Linux. Хоча у багатьох випадка WWW сервер может буті розміщеній прямо на Linux-машині. Доступ при цьом до даного WWW сервера может буті розмежовано за описом вищє умів Незалежності від того на окремій машині або на машині-маршрутізаторі находится WWW.
Адміністрування власне Linux и WWW серверів может проводитись з самого сервера або з якихось будь-якої з робочих станцій. Доступ для адміністрування может буті додатково захищено від прослуховування трафіку усередіні свого сегменту.
Всі вищє перелічені обмеження застосовні и до виходе через Сейчас Linux-сервер в ...