Контроль доступа: что это такое и как его можно обойти?

Опубликовано: 12 Апреля, 2023


Контроль доступа


Не так давно у меня было довольно уникальное рабочее место. Временами это было похоже на серию «Напряги извилины». В нем я проходил через лачугу охраны, а затем в главное здание. Оттуда мне нужно будет получить доступ к различным дверям, контролируемым различными механизмами безопасности. Это рабочее место было безопасным и безопасным, как и должно быть. Не очень отличается от многих крупных корпораций, которые применяют такие же меры безопасности. Эти меры ограничивают доступ к определенным физическим областям. По сути, это просто контроль доступа, в данном случае контроль физического доступа. Очень похоже на значок, который я тоже должен был носить с моим изображением. Это также помогло еще больше ограничить доступ к этому зданию, поскольку не у всех был готовый доступ к такому пропуску. Хотя эти меры могут показаться не впечатляющими, на самом деле они накладываются одна на другую. Именно это делает их эффективными. Любой упомянутый выше контроль доступа можно обойти.


Подумайте, как легко было бы просто пройти через дверь, защищенную PIN-кодом. Это было бы совсем не сложно, особенно в условиях загруженного рабочего места. Тем более в большой корпоративной среде, где не все друг друга знают. В конце концов, это всего лишь вежливость — придержать дверь для того, кто собирается войти. То же самое можно сказать и о пропуске в здание. Если у вас есть минутка или около того, чтобы понаблюдать за тем, как он выглядит, будет несложно воссоздать его. При наличии высококачественного графического программного обеспечения и расходных материалов для бумаги его производство было бы относительно тривиальной задачей. Таким образом, с помощью простых мер, перечисленных выше, маловероятно, что кто-либо, кроме решительного злоумышленника, проникнет незамеченным. Пока все хорошо, эти элементы управления доступом работали так, как должны были. Хотя вы можете считать ненужным применять эти меры к вашему небольшому рабочему месту, я настоятельно рекомендую вам сделать это. Практически в каждой компьютерной сети или компании есть данные, которые они хотят сохранить в тайне. То же самое касается клининговой компании, которую вы наняли для уборки вашего офиса в нерабочее время. Было бы разумно убедиться, что эти уборщики связаны и заслуживают доверия.


Доступ запрещен и доступ получен


Теперь мы рассмотрели некоторые элементы управления физическим доступом, с которыми можно столкнуться. Как насчет некоторых внутренних элементов управления доступом, которые вы обычно видите или не видите в этом отношении. В идеале в среде компьютерной сети безопасность, применяемая к ней, должна быть прозрачна для конечного пользователя. В конце концов, работа системного администратора или сотрудника службы безопасности состоит в том, чтобы сделать жизнь конечного пользователя максимально простой и безопасной. Это ведь то, за что многим из нас платят. Мы не можем просто игнорировать безопасность как проблему конечного пользователя.


С этой целью существует множество мер, которые могут быть приняты для защиты внутренней сети, которая часто ненадежна. Некоторые из них очевидны, а некоторые не столь очевидны. Одним из наиболее часто используемых средств контроля доступа является простая комбинация имени пользователя и пароля. Этот метод имеет все хорошо известные проблемы, влияющие на него, такие как перебор и неправильные политики паролей. Гораздо лучший метод — использовать так называемую «двухфакторную аутентификацию». Это удваивает безопасность метода управления доступом, поскольку требует двух отдельных факторов. Один из физических т.е.: карта, а второй еще являющийся паролем. Хотя этот метод все еще не является надежным, он имеет преимущества перед простой комбинацией имени пользователя и пароля.


Как внешние, так и внутренние


Контроль доступа следует рассматривать не только во внутренней сети. Одним из первых мест, которые следует учитывать, является корпоративный шлюз, пограничный маршрутизатор или любой другой термин, под которым вы его знаете. Огромный объем враждебного трафика, нацеленного на вашу сеть, может быть остановлен на месте, если ACL вашего маршрутизатора правильно написаны. Для тех из вас, кто не знаком со списками контроля доступа маршрутизатора, это просто текстовые строки, вводимые на маршрутизаторе для запрета или разрешения трафика. Это можно сделать либо на основе порта, либо на основе IP-адреса. Если вы правильно используете ACL вашего маршрутизатора, вы можете установить достаточно сильный первый уровень защиты или контроля доступа.


Во-вторых, как правило, прямо за маршрутизатором в корпоративной среде находится брандмауэр. Высококачественные корпоративные брандмауэры, подобные предлагаемым Cisco, легко настраиваются. Эти брандмауэры PIX, например, могут быть настроены для трафика VPN и более того, ограничивать, какие IP-адреса получают доступ к VPN. В таких брандмауэрах корпоративного класса существует множество функциональных возможностей. При правильной настройке он будет действовать как очень мощный механизм контроля доступа. Однако вы должны помнить, что это не защитит запущенные службы, поскольку этот порт должен быть открыт. Для дальнейшего ограничения доступа вам также может потребоваться брандмауэр или устройство прикладного уровня. Это дополнительно поможет ограничить доступ, например: злоумышленник получает доступ на уровне системы к вашему серверу IIS, анализируя входящий трафик и имея дело с враждебным контентом, — вот несколько примеров.


Вернуться к внутреннему


Одной из самых больших угроз безопасности внутренней сети в настоящее время являются портативные устройства. Они могут варьироваться от USB-накопителей до живых компакт-дисков, таких как WHAX. Эти дистрибутивы live cd содержат множество хакерских инструментов. Они варьируются от взломщиков паролей, таких как John the Ripper, до продвинутых сканирующих устройств и других потенциально враждебных программ. Другими словами, это последнее, что вам нужно в сети. Итак, как вы ограничиваете доступ к этим типам угроз? Что ж, в мире win32 есть чудо — GPO. Есть много различных, которые могут быть реализованы для защиты от этой портативной угрозы. Вы также можете просто пойти по низкотехнологическому маршруту и отключить USB через настройки BIOS и убедиться, что вы защищены паролем BIOS!


Суммирование


Хотя я коснулся некоторых элементов управления доступом, которые могут существовать в типичной корпоративной сети, мой список был далеко не исчерпывающим. Что действительно требуется, так это организованный и последовательный подход к защите вашей сети. После того как вы определили границы и масштаб своей сети, вы можете принять меры для ее защиты. Вы также должны иметь в виду, что одной из наиболее часто упускаемых из виду областей контроля доступа является физическая область. Нет смысла открывать свой коммутационный шкаф для всех и каждого, чтобы играть с ним, верно? Обеспечение физического доступа к активам вашей компьютерной сети действительно является важным шагом, который необходимо обеспечить. В конце концов, как только вы предоставите физический доступ потенциальному злоумышленнику, эта система неизбежно попадет в его руки. Что ж, я надеюсь, что эта статья была вам интересна, и, как всегда, буду рада вашим отзывам. До следующего раза!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023