Порты хостов, коммутаторов и беспроводные устройства

Во многих компаниях и организациях запрещено подключение физических носителей памяти к портам корпоративных систем. Проводя аудит, проверьте, так ли это. Убедившись, что так, осмотрите рабочие станции и серверы на предмет подсоединенных устройств. Одновременно убедитесь, что подобного рода устройства не валяются на столах у сотрудников и т. д. По чеховской схеме, если на стене висит ружье, то оно рано или поздно стреляет. Точно так же если на столе или еще где лежит флэшка или Zip диск, то рано или поздно его подключат, а скорее всего уже подключали — не для красоты он там лежит. Медиаплейеры и цифровые фотоаппараты должны также внушать подозрения — в конечном итоге это те же физические носители памяти, которые можно использовать для чего угодно, помимо музыки и фотографий. Осмотрите порты на предмет наличия подключенных неизвестных устройств, к примеру физических кейлоггеров типа PS/2-to-PS/2.

С помощью таких бесхитростных устройств с памятью в 64 Кбайта, установленных внутренними мошенниками в лондонских офисах, всемирно известный японский банк «Сумитомо» чуть было не потерял 400 млн. долл. Деньги удалось вернуть, но репутация банка оказалась подмоченной. В то же время существуют централизованные коммерческие решения, позволяющие полностью блокировать (а если надо, и открывать) USB- и даже COM-порты защищаемых систем от подсоединения любых устройств.

Особое внимание уделяйте обнаружению несанкционированных беспроводных устройств любого типа — от точек доступа до миниатюрных клиентских USB-устройств, как для 802.11, так и для Bluetooth. Такие устройства открывают прямую возможность наружного доступа к вовлеченным системам и внутренним сетям компании, минуя все меры защиты периметра этих сетей. Ни одна здравомыслящая компания не должна разрешать сотрудникам приносить и подключать любые беспроводные устройства на ее территории, как бы им не было удобно их использовать.

А если мобильные компьютеры сотрудников компании поддерживают беспроводную связь (а это относится ко всем современным ноутбукам и наладонникам), но при этом беспроводной сети в компании нет, то системные администраторы обязаны позаботиться о том, чтобы драйверы для клиентских беспроводных устройств этих компьютеров были удалены и работать они никак не могли.

Eсли пользователь собственноручно установит драйверы и включит устройство, то это безусловное нарушение корпоративной политики безопасности, которое должно наказываться как минимум изъятием мобильного компьютера и выговором. При наличии же беспроводной сети системные администраторы должны озаботиться не только стандартными (согласно 802.11i стандарту) методами их защиты, но и регулярной чисткой Windows-профилей, содержащих информацию о подключаемых беспроводных сетях, а также регулярными обновлениями драйверов беспроводных устройств во избежание атак. И аудиторы должны тщательно все эти вещи проверить и в плане политики безопасности и наличия всей документации, и в плане соблюдения вышеуказанных мер на практике.

В заключение стоит упомянуть порты корпоративных коммутаторов. Все неиспользуемые порты коммутаторов должны быть отключены напрочь. При этом не мешает поместить их на отдельную виртуальную локальную сеть (VLAN), не имеющую никаких маршрутов. Что же касается портов, к которым подключены рабочие станции пользователей, то они все должны быть настроены как порты доступа без возможности манипуляции для превращения их в стволовые. На коммутаторах Cisco простая команда switchport mode access на каждом из таких портов может спасти компанию от крупных неприятностей. Kроме того, необходимо защитить эти порты от несанкционированной инъекции STP-фреймов (сочетание функций portfast и portguard в случае с коммутаторами Cisco и т. д.). Впрочем, это уже тема отдельного разговора...

Нередко встречаются ситуации, когда при наличии самых современных, корректно и тщательно отлаженных средств защиты систем и сетей, таких как распределенные проводные и беспроводные системы предотвращения несанкционированного доступа, достаточно заурядными мерами обеспечения информационной безопасности просто пренебрегают. Часто это происходит из-за смещения баланса между безопасностью и удобством применения в сторону последнего, особенно под давлением пользователей среди руководящего состава. И неприятные инциденты, произошедшие в таких условиях, вдвойне обидны. Поэтому построение системы информационной безопасности компании или организации и проверку ее функциональности и полноценности всегда следует начинать именно с обыденных и внешне неприглядных вещей.