protecție stratificat

Istoria militară ne învață că nimeni nu trebuie să se bazeze pe o singură linie de apărare sau o metodă de apărare. De asemenea, punctul de la un sistem de încredere doar invalid plin de detectare a intruziunilor. În cazul în care filtrele nu sunt „declanșate“, este necesar să se determine de ce sa întâmplat și ce evenimente au precedat-o pe rețea. Trebuie să fie capabil să decodeze independent pachete suspecte. Acesta este doar un mic exemplu de apărare în profunzime.

Un firewall servește ca un mijloc eficient pentru eliminarea atacurilor de pachete inutile și bloc multe WLAN de admisie. În cadrul router-ul de rețea locală (sau comutatorul) poate fi configurat pentru a căuta semne de fisurare. În identificarea evenimentelor semnificative ale switch-ul poate bloca fie sesiune atacatorului cu gazda, sau de a transmite anunțul de pericol. Acest model poate fi îmbunătățită prin adăugarea de protecție la nivel de gazdă. Astfel, va fi posibil să se identifice încercări de a accesa ilegal fișiere altor persoane de utilizatori locali, care au un nume de utilizator legitim (sau a altor utilizatori). Adăugarea mai multor sisteme de detectare a intruziunilor de rețea, inclusiv câteva ascunse, vom primi arhitectura, suficientă pentru a contracara amenințările tot mai mari. Din păcate, această arhitectură nu este fezabilă în viața reală. Deci, cum este posibil în prezent și în viitorul apropiat, de a organiza o apărare în profunzime?

În timpul nostru, ar trebui să fie utilizate următoarele cinci reguli pentru a proteja organizația pe perimetrul rețelei locale. Noi nu ar trebui să credem că protecția ar trebui să fie doar pe liniile de conexiune la Internet și în altă parte. Toate cele cinci dintre aceste reguli sunt revelate în paginile capitole și anexe ale acestei cărți. Deoarece acesta este ultimul capitol, vom încerca să tragă câteva concluzii.

# 9632; Bloca toate mesajele ICMP-imposibil de găsit de ieșire. Puteți bloca, de asemenea, un alt mesaj de eroare ICMP-ieșire. Acest lucru va proteja unitatea de la efectuarea operațiunilor de informații.

# 9632; Restricționarea baze de date DNS-server de baze de date. Această regulă poate fi formulată într-un mod diferit, dar ideea este foarte simplu. Disponibil pe Internet DNS-server trebuie să aibă informații doar despre numărul de gazde pe rețeaua locală, inclusiv serverul de e-mail, Web-cepBep și așa mai departe. În caz contrar, DNS-server poate fi utilizat de către un hacker pentru a obține informații.

# 9632; Utilizați un număr maxim de proxy-sisteme. nu ar trebui să fie limitată serverele rgohu pe firewall-uri, acestea ar trebui să fie adăugate între punctul de conectare la Internet și de filtrare dispozitive pentru traficul de intrare.

Desigur, o protecție stratificat nu ar trebui să se limiteze la perimetrul rețelei. Acesta include: activitatea de administrare a calculatoarelor, utilizarea de firewall-uri personale, software-ul antivirus, scana conținutul pachetelor de intrare și ieșire, instalarea de patch-uri pentru sistemele de operare și utilizarea vulnerabilităților de software de căutare.