Защита сайтов Ровно
18.10.2019После того как мы рассмотрели возможности атакующих по перехвату любого вида полезной информации в сети при помощи инструментальных средств прослушивания, встает вопрос: как же защитить сайты Ровно от этих атак? Во-первых, шифруйте данные, которые передаются через сеть. Используйте защищенные протоколы, подобные HTTPS для Internet-трафика, SSH для шифрования сеансов доступа к системе и передачи файлов по FTP, S/MIME или PGP для шифрования электронной почты и IPSec для кодирования сетевого уровня. У пользователей должны быть соответствующие техника и знания, чтобы они могли задействовать эти инструментальные средства в целях защиты конфиденциальной информации.
Представляется особенно важным, чтобы системные администраторы, менеджеры сетей и персонал службы безопасности понимали и использовали защищенные протоколы при выполнении своих служебных обязанностей. Сайты Ровного не должны применять telnet для доступа к брандмауэру, маршрутизаторам, серверам с особенно ценной информацией или системам инфраструктуры открытого ключа! Так атакующий без труда перехватит ваш пароль. Обращайте внимание на предупреждающие сообщения вашего браузера и клиента SSH. Не высылайте критически важной информации через сайты Ровно в ходе SSL-сеанса, связанного с сомнительным сертификатом. Если клиент SSH предупреждает, что открытый ключ сервера загадочно изменился, вы должны разобраться в причине этого.
Кроме того, подумайте, нельзя ли избавиться от концентраторов, слишком упрощающих пассивное прослушивание. Коммутаторы, хотя несколько дороже, не только усиливают защиту, но также повышают производительность. Если полный переход на коммутируемую сеть невозможен, то, по крайней мере, рассмотрите применение коммутируемого Ethernet для критических сегментов вашей сети, особенно для демилитаризованной зоны (DMZ).
И наконец, для сайтов Ровно, содержащих очень важные системы и данные, включите защиту на уровне портов на ваших коммутаторах, настроив каждый порт коммутатора на определенный МАС-адрес машины, пользующейся этим портом, для предотвращения проблем с МАС-переполнением и обманом протокола ARP. Кроме того, для чрезвычайно важных сетей типа DMZ Internet применяйте статические таблицы ARP на конечных машинах, в которых должны быть указаны МАС- адреса для всех систем в ЛВС. Защитой портов на коммутаторах и статических таблицах ARP очень трудно управлять, потому что перестановка компонентов или просто Ethernet-карт потребует обновления МАС-адресов, хранящихся в нескольких системах. Однако для значимых сетей типа Internet DMZ подобный уровень защиты необходим и должен быть реализован.