Ugniasienės (Firewalls)

Visų pirma užkardą reikėtų labai atidžiai rinktis pagal saugumo, kurį užkarda užtikrina, lygį. Prieš priimant sprendimą, iš pradžių reikia kruopščiai išnagrinėti, ar užkarda garantuoja aukštą apsauginių mechanizmų lygį ir gali apsaugoti jūsų bendrovę nuo pažangiausių pakenkimo kompiuteriams būdų, o taip pat patenkina pagrindinius jūsų poreikius.
Rinkoje savo gaminius siūlo daug užkardų pardavėjų ir būtina įsitikinti, kad organizacijai išsirinksite geriausiai tinkančią užkardą. Kadangi grėsmės saugumui patobulėjo, tinklų sietuvų apsaugos gaminių pardavėjai privalėjo žengti į priekį ir neatsilikti nuo naujų grėsmių.
Siekiant sustabdyti kenkėjiškas atakas, užkardos visada atlikdavo visą patikrų rinkinį, tačiau šiandieninių užkardų rinkiniai jau nebegali užtikrinti apsaugos lygio, kuris leistų išvengti kenkėjiškų atakų. Tai viena iš priežasčių, kodėl pardavėjai pristatė UTM koncepciją ir sukūrė tokias priemones kaip IPS, DLP, antivirusinio veikimo ir kitas apsaugos užtikrinimo funkcijas.
Toliau pateikiama informacija padės suprasti, kokius aspektus reikia apsvarstyti ieškant sau tinkamiausios užkardos.

Kokių užkardos / tinklų sietuvo prietaiso / UTM savybių pageidaujate?
Prieš tęsdami užkardos pirkimą, iš pradžių nuspręskite, kokių konkrečių užkardo savybių ieškote ir kokias konkrečias užduotis ji turės atlikti. Pavyzdžiui, gal jau turite interneto svetainių filtravimo sprendimą ir jau turite įdiegtą programą, kuri apsaugo nuo brukalų. Tokiu atveju greičiausiai ieškosi užkardos, kuriai liks atlikti tik SSL VPN, IPS ir programų kontrolę.
Galite išnagrinėti net ir jūsų bendrovės IT srities apsaugos politiką. Joje galite rasti atsakymus į įvairius klausimus. Pavyzdžiui, galite rasti tokias sąlygas: „Naudotojams draudžiama siųstis muziką“, „Įsiskverbimo į tinklą bandymų įrašus reikia saugoti mažiausiai 90 dienų“ ir t. t. Tai padės jums sukurti ir jums rūpimus klausimus. Taip pat galbūt norėsite sužinoti, ar užkarda galės prisiregistruoti prie „Syslog“ serverio, ar galėsite nustatyti duomenų kiekio apribojimus ir t. t.
Gali būti, kad reikės laikytis konkrečių sąlygų ar standartų, pavyzdžiui, PCI DSS arba „Code of Conduct“ (liet. elgesio kodekso) (COCO). Juose bus nurodyti užkardos kriterijų reikalavimai. Galiausiai, galėsite remtis ir realia patirtimi, kai koledžo studentai galėjo naršyti bet kurioje interneto svetainėje naudodami debesų technologijos įgaliotąją programą, arba kai Bobas galėjo atsisiųsti daugybę failų naudodamas „Kazaa“ programą, taigi galėsite susiaurinti savo paiešką ir aiškiau apibrėžti, kokius reikalavimus taikote.
Visų pirma, tai akivaizdžiai yra svarbu, jeigu norite, kad užkarda atliktų užduotis, kurias jai esate numatę. Ir antra, ne visos užkardos atlieka visas reikiamas funkcijas. Visi pardavėjai siūlo gaminius, turinčius savo privalumų ir trūkumų. Vieno pardavėjo užkardos gali jums labiau patikti todėl, kad pasižymi puikiomis ir detaliomis apsaugos nuo brukalų savybėmis, o tuo tarpu kito pardavėjo užkardos turės tik pagrindines apsaugos nuo brukalų funkcijas, tačiau labai gerą ir efektyvų interneto svetainių filtrą. Gali būti, kad abiejų pardavėjų užkardos neturi jokios SSL VPN funkcijos, o tuo tarpu trečio pardavėjo siūlomas gaminys turi SSL VPN, apsaugos nuo brukalų ir interneto svetainių filtravimo funkcijas, tačiau visos jos yra gana ribotos. Galiausiai, pardavėjas gali siūlyti užkardas, kurios turi visas reikiamas savybes, tačiau jų kainos yra žymiai didesnės nei kitų užkardų, ir todėl smarkiai viršija jūsų šiam pirkiniui numatytą biudžetą.

Užkardos saugumas naudojant pripažintus šaltinius
Užkardos užtikrina mūsų tinklo pirmąjį apsauginį sluoksnį, todėl mes privalome įsitikinti, kad pardavėjas atliko visus reikiamus žingsnius, kad apsaugotų užkardą ir išvengtų bet kokių grėsmėms pralaidžių taškų / trūkumų. Laimei, jums patiems nereikia išbandyti, kiek patikima yra užkardos operacinė sistema, nes yra šios pramonės srities standartai, o kitos organizacijos atlieka technologijų apsaugos funkcijų testavimą. Jos nurodys, kiek efektyviai užkardai pavyko apsaugoti sistemą, kai buvo naudojami jų galingi testavimo mechanizmai.
Toliau aprašomi geriausiai žinomi trečios šalies šaltiniai iš viso pasaulio:
„Common Criteria“ („Bendrieji kriterijai“) – tai yra tarptautiniu mastu pripažintas standartas, kuris testuoja ir vertina sprendimų užtikrinamą saugumo lygį. Iš esmės, tai nurodo minimalų užkardos užtikrinamą apsaugos lygį.
„Gartner“ – pateikia pardavėjo gaminio funkcijų, klientų bazės, ateities kelių žemėlapių ir t. t. apžvalgą. Tada „Gartner“ perkelia pardavėją į savo magišką kvadratą, kuris atspindi, koks vertinimas suteikiamas užkardos pardavėjui.
„FIPS 140-2“ – šis standartas numato užkardos kriptografinių modulių testavimą ir sertifikavimą.
„Virus Bulletin“ – šis standartas vertina, kiek efektyviai antivirusinis gaminys apaugo nuo virusinių programų. „Virus Bulletin“ taip pat testuoja brukalų filtravimo technologiją.

UTM (unifikuoto grėsmių valdymo) saugumo savybės
UTM užkardos pasižymi papildomomis apsauginėmis funkcijomis. Kai kurios apsauginės savybės ar moduliai apima tinklų sietuvo apaugą nuo virusinių programų, apsaugos nuo brukalų funkciją, interneto svetainių filtravimą, IDS/IPS, DLP ir programų valdymą. UTM prietaisai užtikrina visapusišką apsaugos rinkinį, tai vienas sprendimas, apimantis daug savybių. Šie sprendimai idealiai tinka mažoms ir vidutinėms įmonėms. Toliau apžvelgsime savybes, kurių reikėtų ieškoti prieš įsigyjant UTM gaminį, kai norite papildomų apsaugos savybių.

Kitos kartos užkardos
Kitos kartos užkardos užtikrina griežtą programų, o ne vien įprastų jungčių ir paslaugų apsaugą. Kitos kartus užkardos leidžia jums kurti taisykles priklausomai nuo naudotojų bei programų, o taip pat atlieka detalaus ataskaitų pateikimo funkciją.

Interneto tinklo saugumas
Interneto svetainių filtravimo funkcija naudojama tada, kai saugumą reikia užtikrinti naršant interneto tinkle. Ar jūsų naudotojams ši funkcija yra reikalinga? Interneto svetainių filtravimo moduliai, esantys užkardose, buvo ištobulinti per paskutinius kelis metus. Šie moduliai sugeba apsaugoti naudotojų, kurie naršo kenkėjiškuose puslapiuose ar net interneto svetainėje, pavyzdžiui, jeigu administratorius nenori, kad naudotojai naršyti socialiniuose tinklalapiuose. Galimos ir kitos individualiai pritaikomos savybės, pavyzdžiui, galimybė leisti ar uždrausti tam tikriems naudotojams prisijungti prie tinklo konkrečiu dienos metu. Jūs galite užblokuoti „sporto“ interneto svetainių kategoriją, tačiau kaip išimtį palikti URL sporto kategorijoje. Toliau aptariami tam tikri aspektai.
Ar šio tipo saugumas užtikrina detalius ir lanksčius nustatymus? Ar galite perskirstyti interneto svetainės pagal skirtingas kategorijas? Ieškokite tokių savybių, kaip galimybė užblokuoti konkrečios kategorijos interneto svetaines, pavyzdžiui, socialinius tinklalapius, bei užblokavimo funkciją taikyti konkrečiu laiku, tam tikriems interneto tinklo naudotojams.
Taip pat reikėtų patikrinti, ar pardavėjas nuomojasi savo UTM savybių paslaugas, pavyzdžiui, interneto svetainių filtravimo funkciją. Kai kurie užkardų pardavėjai neturi savo interneto svetainių filtravimo priežiūros komandos. Jie teikia naudotojams sąsajas, tačiau kategorijas ir atnaujinimus nuomoja iš trečios šalies bendrovės. Trečios šalies bendrovė kiekvieną dieną patikrins ir atnaujins milijonus interneto svetainių, perskirstys interneto svetaines į kitas kategorijas, pridės naujų interneto svetainių, ieškos žalingų interneto svetainių ir t. t., tokiu būdu atkleis visą interneto svetainių filtravimo funkcijos galią. Užkardų pardavėjai paprastai šias paslaugas teikia kaip papildomą priedą ir bendradarbiauja su trečios šalies pardavėjai, kurie teikia milijonų į kategorijas suskirstytų interneto svetainių duomenų bazę. Tačiau visa tai būtų užkardos sąsajos dalis ir šios savybės būtų visiškai integruotos į užkardos nustatymus ir politikos taisykles. „Websense“ ir „Commtouch Global View“ yra vieni populiariausių interneto svetainių apsaugos sprendimų pardavėjų ir teikia šio tipo paslaugas kai kuriems užkardos pardavėjams.
Ataskaitų pateikimo savybė yra labai svarbi, jeigu norite žinoti, kokiose interneto svetainėse buvo dažniausiai lankomasi, kokiuose tinklalapiuose naršė konkretūs naudotojai, ir naudodami šias analizes galėsite priimti tolesnius sprendimus, kokias interneto svetaines reikėtų užblokuoti, o kokiomis leisti naudotis toliau. Jūsų ataskaitos turėtų būti detalios, kad, pavyzdžiui, galėtumėte peržiūrėti ataskaitas pasirinkus konkrečius naudotojus, konkretų mėnesio ir dienos laiką, į ataskaitą neįtraukti google.com ir yahoo.com interneto svetainių ir pan. Į ką panaši ataskaitų pateikimo funkcija? Ar galite sužinoti, kurie naudotojai prisijungė prie nelegalių interneto svetainių? O kaip dėl 10 interneto tinklalapių, kuriuose per mėnesį naudotojai lankėsi dažniausiai?

VOIP apsauga
Kokius VOIP protokolus naudojate savo organizacijoje ir kokius protokolus VOIP apsaugos užtikrinimui palaiko techninės įrangos užkardos? Įprasti pavyzdžiai yra „Cisco SIP“ ir „H.323“ protokolai, skirti „NetMeeting“, ir visa tai priklauso nuo protokolų, kurie yra naudojami jūsų bendrovėje. Vėl gi, viskas susiję su jūsų bendrovė taikomais reikalavimais.
Toliau pateikiamos kai kurios VOIP apsaugos savybės ir protokolai:
ANT, skirta visiems VOIP protokolams;
DOS apsauga, skirta VOIP;
SCCP;
MGCP;
SIP;
H.323.

IPS / IDS sistemos
Ar jums yra reikalinga kokia nors IPS ar IDS apsauga (apsaugos nuo įsibrovimo sistemos / įsibrovimo aptikimo sistemos)? Apsaugos nuo įsibrovimo ir įsibrovimo aptikimo sistemos yra labai sumanus būdas aptikti atakas. Šios sistemos stebi duomenų srautus ir tikrina konkrečias komandas pagal parašų duomenų bazę. Šio sistemos gali priimti galutinį sprendimą ir užblokuoti arba leisti vykti duomenų rautams. Ieškokite tokių operacinių sistemų, programų ir protokolų tipų, kuriuos palaiko IPS sistema. Taip pat įsitikinkite, kad pati IPS sistema yra pakankamai detali.
Ar techninės įrangos užkarda palaiko bet kokią DOS (paslaugų blokavimo dėl atakų) ir DDOS (dinaminio paslaugų apribojimo) apsaugos funkciją? Tai atakų, kuriomis siekiama pakenkti serveriams, tipai. Šio tipo atakos siekia pakenkti jūsų serveriams tokiais būdais, lyg serveriai būtų veikiami didžiulio užklausų antplūdžio, ir todėl reikšmingai paveikiamas jų veikimas arba serveriai nebegali teikti paslaugų (dėl per didelės apkrovos).
Toliau išvardintos bendros DOS ir DDOS prevencinių funkcijų savybės, kurių reikėtų ieškoti:
Sukčiavimo (apsimetant kitais asmenimis) atakų sustabdymas.
UDP apkraunančių atakų sustabdymas;
ICMP apkraunančių atakų sustabdymas;
SYN apkraunančių atakų sustabdymas;
IKE apkraunančių atakų sustabdymas;
Jungčių skenavimo atakų sustabdymas
Greičio valdymas.

Antivirusinės tinklų sietuvo programos
Kadangi virusai jau nebėra grėsmė, kuri perduodama tik elektroniniu paštu, reikia tikrinti ir blokuoti socialinius tinklalapius, pranešimų programas bei interneto tinklą apskritai, tokiu būdu užblokuojant  žinomas ir nežinomas kenkėjiškas programas.
Ar užkarda tinklų sietuve turi patikimą ir efektyvią nuo virusų apsaugančią funkciją? Ar paketas turi apsaugines funkcijas, skirtas apsaugoti nuo sukčiavimo, brukalų, reklamos programų, „Trojos arklių“ virusų ir kitų virusų bei galimai nepageidaujamų programų?
Jūs galite patikrinti ir sužinoti, ar pardavėjas turi savo komandą, kuri atlieka tikrinimo darbus, siekiant išvengti kenkėjiškų programų, ar šias paslaugas nuomojasi. Kai sužinote, kokį antivirusinį gaminį jie naudoja, galite naudotis trečios šalies organizacijų, pavyzdžiui, „Virus Bulletin“ paslaugomis ir sužinoti, kaip ši organizacija vertina gaminio efektyvumą apaugant nuo kenkėjiškų programų.

Nuo brukalų apsaugantys sprendimai
Ar užkarda turi apsaugos nuo brukalų funkciją? Brukalai yra viena rimčiausių ir gilėjančių problemų, ir jau viršijo visas įsivaizduojamas ribas.
Populiariausia bendravimo forma yra elektroniniai laiškai, todėl labai svarbu užtikrinti elektroninio pašto apsaugą. Kalbant apie brukalus, kaip ir interneto svetainių filtravimo atveju, turite atidžiai išnagrinėti savybių rinkinį ir užtikrinti, kad galėsite lanksčiai ir detaliai nustatyti nuo brukalų apsaugančių programų pasirinktis. Nuo brukalų apsaugančių programų lankstumą reikėtų nagrinėti dviejose pagrindinėse srityse. Pirmoji sritis yra galimybė nustatyti ir suderinti jūsų burkalų filtrą. Tokiu būdu galėsite detaliai kontroliuoti programą ir nustatyti, kas jūsų bendrovė yra laikoma brukalais ir kas nėra priskiriama brukalams. Tai gali būti savybė, skirta ne tik konkrečiai sričiai, bet ir naudotojų lygmenyje. Pavyzdžiui, Bobas tam tikros rūšies elektroninius laišku gali priskirti brukalams, o tuo tarpu Sali tų pačių elektroninių laiškų nelaiko brukalais.
Antroji sritis yra turinio valdymas. Pavyzdžiui, galbūt jums reikia, kad užkardos turinio apsaugos nuo brukalų funkcija blokuotų visus užšifruotus susijusius elektroninius laišku, išskyrus tam tikrą naudotojų grupę (kai elektroniniai laiškai siunčiami iš konkrečios išorinių naudotojų grupės).
Svarbiausia turite išnagrinėti, kiek sprendimas yra efektyvus praktikoje. Ar jis iš tiesų sustabdys nurodytą brukalų kiekį? Ar pasirinktas užkardos sprendimas klaidingai brukalams nepriskiria duomenų ar failų, kurie nėra brukalai (ir atvirkščiai)? Vertindami gaminį ir siekdami realiai įvertinti, kiek gaminys yra efektyvus, galite naudoti tokius šaltinius kaip „Virus Bulletin“ arba išbandyti sprendimą praktikoje.
Kita vertus, jūs galite nuspręsti, kad jūsų UTM sprendime apsaugos nuo brukalų funkcija jums nėra reikalinga. Konkrečiai šiam tikslui skirtas, nuo brukalų apaugantis sprendimas (kaip ir kiti konkretūs sprendimai) suteikia daugiau lankstumo. Elektroninis paštas yra kasdien naudojama programa, be to, ji naudojama intensyviai ir šiandien yra populiariausia bendravimo forma. Dauguma bendrovių pageidauja, kad elektroninio pašto nustatymai būtų labai detalų. Pavyzdžiui, visoje bendrovėje turėtų būti blokuojami priedai su vykdomosiomis programomis, tačiau mp3 formato ir kiti garso bei vaizdo failai turėtų būti blokuojami visiems darbuotojams, išskyrus vadovus ir direktorius. Vėl gi, ir šiuo atveju reikia užtikrinti, kad tiksliai žinote, ko norite iš elektroninio pašto ir apsaugos nuo brukalų funkcijos. Tik tada galėsite suprasti, ar UTM, ar konkretus sprendimas yra tinkamas pasirinkimas. Tai taip pat galioja ir IPS bei interneto svetainių apsaugos sprendimams.

Programų kontrolė
Užkardos su programų kontrolės funkcija gali identifikuoti programas pagal kontekste, o taip pat blokuoti, leisti veikti šioms funkcijoms arba pritaikyti duomenų srauto formavimo funkciją.
Programas be konkrečių programų parašų užblokuoti nėra taip paprasta. Taip yra todėl, kad daug programų transformavosi į programas, kurios veikia interneto tinklo pagrindu. Visos šios programos naudoja HTTP protokolą, o HTTP protokolo užblokuoti negalite, nes drauge neteksite galimybės naršyti visose interneto svetainėse. Šio tipo programos dar yra vadinamos 8 sluoksnio programomis. Todėl užkardų pardavėjai pristatė specializuotus parašus, skirtus dažniausiai naudojamoms programoms. Pavyzdžiui, daug pardavėjų palaiko programų parašus, skirtus „Facebook“ programėlėms. Taigi galite sukurti taisyklę, kuri nurodo, kad visi darbuotojai gali naršyti „Facebook“ svetainėje per pietus, tačiau negali naudotis „Facebook“ programėlėmis (juk yra žinoma, kad „Facebook“ programėlėse yra kenkėjiškų grėsmių).
Kai kurie pardavėjai programoms gali pritaikyti duomenų srautų formavimą. Įsivaizduokite taisykles, kurių pagalba galite konfigūruoti nustatymus ir leisti peržiūrėti „Youtube“ tinklalapio vaizdus, tačiau drauge užtikrinti, kad šiam tinklalapiui nebus naudojama daugiau nei 10 % visos dažnių juostos.

DLP kontrolė
Tikriausiai jūs, kaip ir daugelis šiandieninių organizacijų, turite duomenų nutekėjimo politiką. Taigi jums gali būti svarbios užkardos, galinčios kontroliuoti ir filtruoti konfidencialius duomenis naudojant HTTP, SMTP, FTP ir kitus kanalus. Šiuo atveju sakydami „konfidencialūs duomenys“ turime omenyje, kad užkardos pardavėjas jau pasirūpino algoritmų integravimu užkardoje, todėl ji galės nustatyti pagrindinius jautrių duomenų tipus (pavyzdžiui, kreditinės kortelės informaciją ir socialinio draudimo numerį ir pan.). Šio tipo užkardos taip pat turėtų leisti jums nustatyti paprastas ir pažangias DLP taisykles.

Saugus nuotolinis ryšys
Ar užkarda palaiko „IPSec“ (interneto protokolo saugos) ir SSL VPN (virtualaus privataus tinklo) funkcijas, skirtas nuotoliniu būdu prisijungusiems naudotojams?
„IPSec“ ir SSL yra naudojami nuotoliniams naudotojų prijungimui. Tai reiškia, kad darbuotojas gali prisijungti prie bendro tinklo iš namų ar bet kokios kitos vietos, žinoma, jeigu yra prieinamas interneto ryšys. Visos užkardos palaiko „IPSec“ naudojimą ir dabar beveik visos užkardos palaiko ir SSL naudojimą. SSL protokolas labai tinka nuotolinio naudotojo VPN prieigai, nes jį naudoti labai paprasta ir nėra reikalinga kliento programinė įranga.
Tačiau SSL VPN protokolų funkcijų skaičius taip pat auga, taigi naudotojai gali naudotis naudotojų portalais ir skirtingais įrankiais bei funkcijomis, pavyzdžiui, adresyno įrašais bei programų įgaliotaisiais serveriais. Naudotojai turi galimybę rengti susitikimus internetu, dalintis darbalaukiais ir t. t. Todėl svarbu išnagrinėti SSL VPN modulį.
„IPSec“ atveju greičiausiai norėsi, kad jūsų užkarda palaikytų naujausius šifravimo ir autentifikavimo algoritmus, tokius kaip AES ir RSA. Šių algoritmų dėka gali atlikti šifravimą ir gauti skaitmeninius autentifikavimo sertifikatus. Tačiau drauge norėsite, kad būtų palaikomi ir senieji algoritmai, bei kad VPN nustatymo metu būtų pašalinti bet kokie nesuderinamumo su kitomis užkardomis aspektai.

Užkardos operacinė sistema
Ar OS (operacinė sistema) yra individualiai pritaikyta ir sustiprinta? Greičiausiai norėsite užkardos su tikslingai integruota, individualiai pritaikyta ir sustiprinta operacine sistema. Tokiu būdu pašalinsite apsaugos trūkumus, kurie būdingi įprastoms operacinėms sistemoms. Geriausias būdas patikrinti šią savybę – naudoti „Common Criteria“ standartą arba įsitikinti, kad pardavėjas buvo įvertintas ir jam priskirtas EAL žymėjimas.

Prieigos kontrolė tapatumo pagrindu
Kokio tipo prieigos kontrolę ir vartotojų autentifikavimą palaiko užkarda?
Paprasčiausia forma yra vartotojo vardas ir slaptažodis. Tai tinka labai mažam tinklui, tačiau kitais atvejais šis sprendimas nėra tinkamas. Dauguma organizacijų naudoja „Window“ „Active Directory“ (aktyvios direktorijos) sprendimą ar kokią nors kitą LDAP rūšį. Užtikrinkite, kad užkarda palaiko direktorijos, prie kurios norėsite prisijungti nustatant tapatybę, tipą. Tai gali būti naudinga integruojant užkardas į interneto svetainių programinę įrangą – tokiu būdu galėsite naršydami interneto tinkle identifikuoti, kas yra kas. Taip pat tai naudinga VPN (virtualiojo privataus tinklo) vartotojams, kai jie nori nuotoliniu būdu prisijungti prie tinklo, arba taip galima nustatyti politikos taisykles įprastiems prisijungimams, suteikiant privilegiją jomis naudotis tik tam tikrai vartotojų grupei. Kiti įprastai naudojami autentifikavimo protokolai yra: „Radius“, „Cisco“ TACACS ir RSA „Secure ID“ dviejų veiksnių autentifikavimas. Jeigu šiuo metu jūsų bendrovė naudoja vieną iš šių autentifikavimo būdų, tada būtina įsitikinti, kad jie yra suderinami su užkarda. Toliau aprašomi keli kiti autentifikavimo būdai, kurių reikėtų nepamiršti.
Ar užkarda palaiko vieno prisijungimo („single sign on“) modelį?
Jeigu naudodami užkardą apribosite vartotojų prisijungimą prie interneto tinklo ar bet kokių kitų šaltinių, tada gali būti, kad vartotojas turės jungtis du kartus. Pirmą kartą vartotojai turės prisijungti prie „Windows“ operacinės sistemos, o tada, jeigu norės naršyti interneto tinkle, jie turės vėl nurodyti savo vartotojo vardą ir slaptažodį, ir tai gali erzinti. Vieno prisijungimo modelis pašalina šią problemą. Po konfigūracijos užkarda „žinos“, ar vartotojas pateikė duomenis prisijungdamas prie „Windows“ operacinės sistemos. Dauguma užkardų turi savo vieno prisijungimo funkcijas – tam naudojami nuotoliniu būdu veikiantys agentai. „Kerberos“ yra trečios šalies vieno prisijungimo autentifikavimo protokolo, kurį galite naudoti nemokamai, pavyzdys.  Dar viena sritis, kurioje reikėtų vieno prisijungimo protokolo, yra VPN portalas. Būtų labai nepatogu jungtis prie portalo ir tada vėl jungtis prie RDP sesijos arba interneto sesijos.

Užkardų potinklio kūrimas – DMZ atskyrimas nuo LAN
Kiek reikia LAN, DMZ ir VAN jungčių? Paprastai organizacijai reikia mažiausiai trijų fizinių eterneto jungčių. Pirmoji jungtis bus naudojama vidiniam tinklui, o kita – perimetro / DMZ tinklui, skirtam viešiesiems serveriams, pavyzdžiui, interneto tinklo ir SMTP serveriams. Paskutinė jungtis reikalinga prisijungimui prie išorinio pasaulio. Tačiau jūsų bendrovei gali prireikti ir daugiau LAN jungčių, pavyzdžiui, jeigu norėsite atskirti skyrius į atskirus LAN segmentus, pavyzdžiui, žmogiškųjų išteklių, finansų, procedūrų ir t. t. Skaidant tinklo segmentus gali būti aptinkamos atakos, taigi grėsmės neišlis iš vieno tinklo į kitą. Šie skyriai negali komunikuoti tarpusavyje, nebent užkardoje yra sukurta konkreti taisyklė, todėl, pavyzdžiui, žmogiškųjų išteklių skyriaus duomenys gali būti izoliuoti nuo visų kitų duomenų. Taip pat galima naudoti VLANS – tai yra loginės sąsajos. Šis sprendimas tinka, jeigu jau naudojate šias sąsajas savo infrastruktūroje.

Join the discussion

El. pašto adresas nebus skelbiamas.