Руководство по безопасности для пользователей мобильных устройств (часть 1)

Управлять безопасностью в рамках организации или предприятия довольно сложно. Черви, вирусы, спам, сканирования портов и тесты на безопасность представляют постоянную угрозу. Серверы и домашние компьютеры требуют постоянного наблюдения и обновления, а правила брандмауэров и IDS меняются каждый день. К счастью и серверы, и PC хорошо защищены в пределах вашей сети. Представьте себе, что бы произошло, если бы все пользовательские системы были расположены на вашей площади и не имели всех уровней безопасности, которые предоставляет ваша сеть.

К сожалению, вы вероятно уже имеете такую ситуацию: пользователи, использующие мобильные устройства. Будь то агент по продажам, работники, часто выезжающие за границу, или пользователь, работающий на дому, все эти люди отделены от вашей внутренней системы безопасности и находятся под влиянием окружающей их среды. Вам следует удостовериться, что безопасность информации, хранящейся на их мобильных устройствах, когда они находятся в дороге, будь такой же как и в границах вашего влияния.

Многоуровневая защита

Лучший способ обеспечить безопасность мобильного пользователя – использовать те же методы, что вы используете в обычных сетях и системах, т.е. многоуровневую защиту. Вам следует заботиться о физической, сетевой и информационной безопасности – так получилось, что все они в одном флаконе – удобно для нападающих и не очень для тех, кто следит за ними.

Первым делом следует позаботиться о физической части, т.к. ваше устройство скорее всего ноутбук или КПК. Для этого советую прочитать книгу Джоша Райдера (Josh Ryder) «Безопасность Ноутбуков» (Laptop Security). Он дает советы о том, как обезопасить ваш ноутбук о кражи, а также о таких простых вещах как пароли BIOS. Этот шаг можно сравнить с установкой замков на двери ваших зданий.

После того как вы закончили с физическим уровнем, вам следует обратить внимание на сеть, приложения/ОС и информацию.

Безопасность беспроводных сетей в мире связи

Даже когда ваши пользователи находятся в пути, они нуждаются в возможности чтения электронной почты, обмена файлами и посещения web-ресурсов. В прошлом это означало дозвон до модемного пула вашей организации или использование прямого ISDN-подключения. Безопасность была “легкой” в те дни. В наши дни фирмы считают, что гораздо экономнее давать компаниям как iPass управлять их соединениями – обычно это дозвон, широкополосное соединение и WLAN соединение – и осуществлять доступ к корпоративным сетям другими методами (SSI/VPN). Если у вас нет единого провайдера типа iPass, пользователи могут воспользоваться такими сервисами как Boingo Wireless и T-Mobile и точками доступа в отелях и ресторанах. И вот здесь начинаются проблемы: у вас имеется рабочая станция (скорее всего с ОС Windows), подключенная прямо к глобальной сети и готовая к атаке любым червем, вирусом или хакером, терроризирующим сегмент доставшейся вам сети. Ваша внутренняя сеть защищена несколькими брандмауэрами, и здесь требуется то же самое – мобильный брандмауэр.

Начиная с Windows 2000 и продолжая с Windows XP, Microsoft включила во все системы простой брандмауэр, способный делать то, что требуется то брандмауэра – фильтровать плохие пакеты. Однако существуют ограничения при использовании встроенного брандмауэра. Пользователи должны знать, чем именно они занимаются, если они хотят делать что-то больше блокировки всех входящих пакетов. Кроме того нет даже графической оболочки, чтобы настроить брандмауэр, и нет анализатора логов.

В общем случае пользователь не должен знать о существовании брандмауэра вообще. Их знания ограничиваются теми же, что и во внутренней сети: включить и работать. Администратору также будет легче, если пользователи не будут знать о брандмауэре или не смогут изменять его настройки. Существует не так уж много персональных брандмауэров. Традиционные сетевые фильтры включают разные методы ограничивать сетевой доступ, и каждый в чем-то уступает другому. Персональные брандмауэры имеют те же проблемы. Вот некоторые элементы, по которым следует выбирать:

Оперативность фильтров

Имеет ли брандмауэр возможность блокировать входящие порты и протоколы, но разрешать исходящие от мобильного компьютера соединения? Может ли он управлять проблематичными протоколами как FTP или он требует много административной работы?

Поддержка протоколов

Какие протоколы поддерживает брандмауэр: TCP, UDP, ICMP, др.? Поддерживает ли он достаточно протоколов для ваших нужд? Есть ли встроенные определения для сервисов, поддерживающих данные протоколы? Как быстро производитель выпускает обновления для новых протоколов?

Защита приложений

Может ли брандмауэр определить какие приложения могут и не могут получать доступ к сетевым ресурсам? Может ли он определять активность приложения и ограничивать ему доступ к сети, если обнаружит, что оно было изменено? Возможно ли использование брандмауэра для ограничения действий приложений, нарушающих политику безопасности вашей сети, например P2P программ (Kazaa, Morpheus и др.)?

Обнаружение/предотвращение вторжения (IDS/IPS)

Имеет ли брандмауэр модуль IDS/IPS, автоматически включающийся при обнаружении пакетов, соответствующих известным атакам? Можно ли отключить или усовершенствовать этот модуль, если он будет мешать нормальной работе системы? Как часто производитель обновляет подписи атак и можно ли написать их самому? Система оповещения/ведения журналов IDS/IPS модуля сможет интегрироваться с вашей собственной?

Правила фильтра

ч

Может ли брандмауэр четко настраивать правила фильтрования с приоритетами и определениями исходящих и входящих соединений? Могут ли эти правила изменяться в зависимости от сетевого положения мобильного устройства – прямое подключение к сети или через сеть вашей организации? Насколько легко обновить существующие правила?

Управление и наблюдение

Имеет ли брандмауэр возможность управлять тысячами мобильных устройств, разбросанных по всему миру? Имеет ли он многоуровневую систему управления – несколько локальных систем вместо одной/двух больших? Можно ли установить системы управления внутри и снаружи сети, чтобы поддерживать пользователей, находящихся в/вне вашей сети?

Имеет ли брандмауэр встроенную систему развертывания или можно использовать свою структуру установки? Могут ли обновления/установка производиться незаметно для пользователя? Является ли сам брандмауэр невидимым для пользователя или он имеет индикаторы активности и всплывающие окна? Если потребуется, можно ли оперативно отключить брандмауэр?

Можно ли настроить брандмауэр и модуль IDS/IPS, чтобы они отсылали логи системе управления? Имеет ли системы управления хорошую структуру оповещения и может ли она интегрироваться с другими системами на вашем компьютере?

Как часто производитель обновляет брандмауэр? (Это важно, т.к. это может выражаться в перезагрузках системы пользователя)

Еще одной важной деталью является возможность брандмауэра общаться с другими инструментами безопасности, а также является ли он частью набора программ по обеспечению безопасности. Выбор инструмента, который взаимодействует с другими подобными инструментами или своими братьями по пакету программ, позволяет системным администраторам более жестко контролировать безопасность в своей среде.

Наконец, следует настроить брандмауэр так, чтобы он активизировался и настраивал нужные правила до того, как установится соединение с сетью. iPass и другие провайдеры производят подобные проверки перед установлением соединения.

Независимо от вашего выбора важно иметь хорошую систему брандмауэр/IDS/IPS в качестве первого слоя вашей брони.

Вызываем эпидемиологическую службу

Если хорошо настроенный брандмауэр является первой линией обороны, регулярно обновляемый антивирус должен стать второй линией. Даже самые лучшие фильтры не смогут предотвратить вас от атаки червя или вируса. Антивирусы предоставляют вам такую защиту, но только если у них постоянно обновляются вирусные базы.

Если ваши системы подключены к Интернету круглосуточно, то ясно, что лучше держать вирусные базы обновленными. С мобильными системами немного сложнее. Ваши пользователи могут не иметь доступа к сети днями и даже неделями. Даже когда они соединятся с глобальной сетью, они могут не подключиться к вашей или внутренней сети. Также не следует полагаться на то, что они сами обновят вирусные базы.

Когда они подключатся к Интернету, распространители вирусов и червей попытаются заразить их системы с таким же усердием, с каким вы пытаетесь их обезопасить. Как же оставаться уверенным, что их вирусные базы остаются постоянно обновленными? Выбирайте антивирусный продукт по следующим соображениям:

Методы сканирования

Поддерживает ли антивирус регулярное сканирование определенных папок и файлов? Проверяет ли он задействованную память на наличие вирусной активности? Учитывает ли сканирование опыт пользователя (может ли он быть настроен, чтобы не мешать работе системы)? Использует ли антивирус эвристический метод определения неизвестных вирусов?

Обновление вирусных баз и исполняемых файлов

Насколько часто производитель обновляет сигнатуры вирусов и исполняемые файлы? Какое среднее время между выходом червя в сеть и обновлением сигнатур? Существует ли механизм обновления, когда пользователь находится в вашей сети и когда подключен непосредственно к Интернету?

Управление и наблюдение

Как и в случае с брандмауэром, есть ли у антивируса многоуровневая система управления и четкое ведение логов? Предоставляет ли он хорошие отчеты о произошедших событиях? Как он взаимодействует с пользователями, которые нечасто соединяются с вашей сетью?

Является ли антивирус частью набора программ, или он единственный продукт от производителя? Может ли пользователь видеть антивирус, или он работает скрытно? Можно ли оперативно отключить антивирус?

В заключение первой части

Брандмауэр/IDS/IPS и антивирус составляют первые два уровня защитного слоя системы. Часть вторая завершает дискуссию о безопасности мобильных устройств и концентрирует внимание на защите ценной, переносимой информации.

Ссылки.
1. Laptop Security, Parts 1 & 2, http://www.securityfocus.com/infocus/1186
2. iPass, www.ipass.com
3. Boingo Wireless, http://www.boingo.com/
4. T-Mobile, www.t-mobile.com/hotspot