NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
клиенты и филиалы офисов являются более привлекательной целью, чем основная корпоративная<br />
сеть. Захват мобильных клиентов и филиалов упрощает проникновение в корпоративную сеть.<br />
При разработке VPN существует много вопросов, которые не всегда очевидны и требуют решения. К<br />
ним относятся:<br />
• Защита мобильных и домашних компьютеров;<br />
• VPN-доступ только к необходимым сервисам, так как мобильные компьютеры являются<br />
уязвимыми;<br />
• Создание DMZ для сервисов, совместно используемых другими компаниями с помощью VPN;<br />
• Настройка политик VPN-доступа для различных групп пользователей;<br />
• Создание политик распространения ключей.<br />
Обеспечение безопасности конечной точки<br />
Распространенным заблуждением является то, что с точки зрения безопасности VPN-соединения<br />
подобны внутренней сети и могут быть установлены напрямую без принятия дальнейших<br />
предупредительных мер по обеспечению защиты. Важно помнить, что хотя VPN-соединение само по<br />
себе уже является защищенным, общий уровень безопасности соответствует уровню защиты<br />
конечных точек туннеля.<br />
В настоящее время увеличивается количество пользователей, которые, находясь в частых деловых<br />
поездках, подключаются напрямую со своих ноутбуков к сети компании через VPN. Тем не менее,<br />
сам ноутбук часто не защищен. Другими словами, злоумышленник может получить доступ к<br />
защищенной сети через незащищенный ноутбук и уже открытое VPN соединение.<br />
Помещение в зону DMZ<br />
Не следует рассматривать VPN-соединение как неотъемлемую часть защищенной сети. Межсетевой<br />
экран должен быть помещен в зону DMZ или за пределами межсетевого экрана, посвященному<br />
выполнению этой задачи. Выполнив это, администратор может ограничить VPN-доступ к<br />
определенным сервисам и быть уверенным в том, что данные сервисы надежно защищены от<br />
злоумышленников.<br />
9.1.4. Распределение ключей<br />
Схемы распределения ключей лучше разработать заранее. Необходимо рассмотреть ряд следующих<br />
вопросов:<br />
• Каким образом распространять ключи? Электронная почта не является подходящим решением.<br />
Передача информации по телефону будет достаточно надежной.<br />
• Какое количество различных ключей необходимо использовать? Один ключ на пользователя?<br />
Один ключ на группу пользователей? Один ключ на соединение LAN-to-LAN? Один ключ на всех<br />
пользователей и один ключ для всех соединений LAN-to-LAN? Возможно, лучше использовать<br />
больше ключей, чем необходимо на данный момент, таким образом, будет проще настроить доступ<br />
пользователю (группе) в будущем.<br />
• Что происходит, если работник, обладающий ключом, увольняется из компании? Если<br />
несколько пользователей используют один и тот же ключ, его необходимо изменить.<br />
• Как хранить ключ, если он не установлен непосредственно в память сетевого устройства,<br />
например, межсетевого экрана с поддержкой VPN? На дискете? В виде парольной фразы, которую<br />
369