Шаги при создании политики сетевого доступа



4.1.1 Шаги при создании политики сетевого доступа

Брандмауэр - это реализация политики сетевого доступа, которая рассматривалась в 2.4.1. Существует ряд вариантов этой политики, которые можно реализовать, таких как запрет доступа извне, неограниченный доступ в Интернет или ограниченный входящий доступ и ограниченный выходящий доступ. Политика проектирования брандмауэра определяет во-многом политику сетевого доступа: чем строже политика проектирования брандмауэра, тем более строгой будет и политика сетевого доступа. Поэтому прежде всего нужно определиться с политикой проектирования брандмауэра.

Как уже объяснялось в главе 2.4.1, типовыми политиками проектирования брандмауэра являются запрет всех сервисов, кроме тех, что явно разрешены, или разрешение на доступ ко всем сервисам, кроме тех, что явно запрещены. Первый тип более безопасен и поэтому предпочтителен, но он также более строг, в результате чего при нем допускается работа меньшего числа сервисов. Глава 3 содержит несколько примеров брандмауэров, и в ней наглядно показано, что некоторые типы брандмауэров могут реализовывать оба вида политики управления доступом, в то время как брандмауэр на основе шлюза с двумя интерфейсами предназначен для реализации политики "все, что не разрешено - запрещено". Кроме того, эти примеры показывают, что системы, требующие обеспечения доступа к сервисам, не пропускаемым брандмауэром, могут быть размещены в изолированных подсетях отдельно от других внутренних систем. Клчевым моментом здесь является то, что в зависимости от требований обеспечения безопасности и гибкости, некоторые типы брандмауэров более предпочтительны, чем другие. Этот факт подчеркивает важность правильного выбора политики до начал создания брандмауэра; другой порядок действий нецелесообразен.

Для того, чтобы правильно разработать концептуальную политику брандмауэра, а затем систему брандмауэра, которая реализует эту политику, NIST рекмоендует, чтобы сначала был разработан самы безопасный вариант политики - то есть запретить все сервисы, кроме тех, что явно разрешены. Разработчики политики должны разбираться в следующих вопросах и задокументировать их:

  • какие сервисы в Интернете организация планирует использовать (например, TELNET, WWW, NFS)
  • каким образом эти сервисы будут исопльзоваться, то есть локально, через Интернет, по модему из дома или из удаленных организаций
  • дополнительные потребности, такие как шифрование и обеспечение работы по модему
  • какие риски связаны с предоставлением этих сервисов
  • какова стоимость средств защиты и каковы изменения в возможностях использования сети при обеспечении защиты
  • приоритеты обеспечения безопасности при использовании тех или иных сервисоы по отношению к возможности использовать их: будет ли предоставляться сервис, если он слишком рискован, или его слишком дорого защищать

Ответы на эти вопросы просты, но отвечать на них скорее всего придется несколько раз. Например, организация может хотеть использовать NFS между двумя удаленными сетями, но политика "запрещать все, что не разрешено" может запрещать доступ к NFS (как это объясняется в пункте 2.4.1). Если риск, связанный с NFS, приемлем для организации, то потребуется переработка концептуальной политики брандмауэра на менее строгую - разрешение всех сервисов, кроме тех, которые явно запрщены, и разрешение пропускать NFS через брандмауэр к внутренним системам. Или же может потребоваться приобретение брандмауэра, который может разместить системы, которым требуется NFS, в изолированной подсети, позволяя таким образом оставить политику "запрещать все, что не разрешено". Или риск использования NFS может оказаться слишком большим; и NFS будет исключен из списка сервисов, которые разрешено использовать удаленным системам.

Для того, чтобы помочь в разработке политики брандмауэра ниже описан ряд типовых проблем, которые нужно решить при создании брандмауэра.



Содержание раздела