218

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 201-250

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

218 Глава 3. Обеспечение безопасности карточного бизнеса и это не зависит от того, к чему применяется данное утверждение. Если есть техническая возможность поменять в конфигурационных файлах порты — сделайте это (например, на продакшн-серверах SSH перемеща¬ ется с 22-го порта на 2002, если он не занят), если сотрудники поддерж¬ ки могут дойти до компьютера пользователя, например, работают в од¬ ном офисе — на компьютере пользователя можно как минимум вклю¬ чить встроенный файрвол на блокировку всех входящих соединений без исключения. Почему без исключений? Да просто потому, что техниче ская возможность ICMP-туннеля на компьютер жертвы, т. е. сотрудни¬ ка, также есть, поэтому, не закрыв пресловутый пинг из-за возможно¬ сти мониторить, включен ли компьютер (или еще хуже — сервер), может обернуться открытым шеллом с возможностью полного управления с компьютера злоумышленника. Что уж говорить про другие незакрытые возможности удаленного воздействия. Можно также использовать уже проверенные временем и постоянно дорабатываемые международные Best practice, которые всегда можно найти на сайте CIS (www.cisecurity.org), причем не только для Windows всех мастей, но и сетевого оборудования, веб-серверов, UNIX, Apple, Check-Point, Oracle и многое другое, даже для прикладного ПО, например Firefox или Opera. Поскольку все приведен¬ ные на сайте рекомендации достаточно хорошо и полно описаны, дума¬ ется, нет смысла их дублировать. 1 2 3 Подытоживая, основные принципы можно описать следующим об¬ разом: • сегментация — все компьютеры сотрудников процессинга в отдель ной подсети (еще лучше, если за отдельным файрволом); GPO — отдельные, более жесткие настройки ПК, контролируемые через групповые политики, особенно это касается политики паро¬ лей к учетным записям; • ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно echo request, echo reply). ICMP-туннель используется для обхода запретов на передачу информа¬ ции на межсетевых экранах. Ping — утилита для проверки соединений в сетях на основе TCP/IP. Shell — интерпретатор команд операционной системы.