1 - Dr.Web

реклама
Структура локальной сети клиента
1. Структура задач компании и связь задач компании со структурой локальной сети
Как правило, в ходе работы сотрудники типичной компании:

получают и отправляют почтовые сообщения — как внутри самой компании, так и
внешним адресатам;

получают, отправляют, дают возможность получить извне те или иные данные —
обычно в виде файлов;

помещают в файловое хранилище компании или скачивают из него хранящуюся там
информацию — в том числе в виде файлов.
Найти компании и организации, в которых не выполняются эти задачи, достаточно сложно.
Поэтому в подавляющем большинстве случаев вопрос состоит не в том, выполняются или
нет эти задачи, а в том, какой процент сотрудников компании их выполняет.
В связи с вышеизложенным для выполнения задач компании в состав ее локальной сети
должны входить:

рабочие станции и/или терминальные клиенты — собственно места, на которых
работают сотрудники компании или ее посетители;

файловые серверы — для хранения информации и ее обмена между сотрудниками
компании, в том числе файлов и документов;

почтовые серверы — для обработки внутренней и внешней почты;

интернет-шлюзы — для организации выхода из внутренней сети компании во внешнюю
сеть (обычно, но не всегда в сеть Интернет);

серверы баз данных, серверы приложений (например, сервер 1С), серверы
DNS/DHCP/Active Directory — для выполнения повседневной работы, бизнес-процедур,
организации связи отдельных компьютеров в единую сеть.
Естественно, не все эти компоненты присутствуют всегда, но в подавляющем большинстве
случаев в любой организации есть рабочие станции и как минимум один почтовый сервер и
один интернет-шлюз. Исключений совсем немного:

Ситуация, когда все сотрудники или их часть выходят в Интернет по своему каналу
связи. В этом случае и сервер, и интернет-шлюз отсутствуют. Данный вариант
достаточно затратен для компании и поэтому редок. Может встречаться либо в малых
компаниях, либо в случае использования в компании большого количества внешних
сотрудников — в этом случае внешние сотрудники для обмена информацией
используют общедоступные сервисы.

Компания использует внешние серверы. Как правило, арендуются почтовые адреса или
почтовые домены на внешнем сервере (например, на qmail.com). Для средних и
больших организаций это в том числе неудобно из-за задержек в получении почты.
Таким образом, вопрос о том, есть ли в компании серверы, практически никогда не стоит.
Стоит вопрос о том, сколько в компании серверов и насколько совмещены их роли.
В связи с этим всегда и для любой компании можно предлагать защиту рабочих станций,
почтовых серверов и интернет-шлюза — но нужно учесть, что любое такое предложение
должно быть обосновано ссылками на положения законодательства или факты,
указывающие на недостаточность частичной защиты.
2. Общая структура локальных сетей
Теоретически (в полном соответствии с руководящими документами) варианты структуры
локальной сети могут выглядеть следующим образом:

Отдельно стоящие компьютеры, не связанные между собой и не имеющие выхода в
Интернет. Данный вариант обычно встречается, когда в числе других задач
организации необходимо выполнять какие-либо работы повышенной секретности. В
этом случае из сети выделяются отдельные компьютеры или серверы, а перенос данных
между этими компьютерами и остальной сетью осуществляется на специальных
(зачастую учтенных) носителях. В частности, выделение компьютеров может быть
оправданно в случае необходимости снижения уровня общей защиты сети согласно
Федеральному закону № 152-ФЗ «О персональных данных».

Отдельно стоящие компьютеры, не связанные между собой, но имеющие выход в
Интернет. Достаточно редко встречающийся случай. Наиболее частая его версия —
работа отдельных сотрудников из дома или работа аутсорсеров. В этом случае каждый
из таких сотрудников самостоятельно подключается к сети Интернет и обмен данными
ведется также через нее.

Связанные в локальную сеть компьютеры, не имеющие выхода в Интернет. Данный
вариант обычно используется в сетях, требующих повышенного уровня безопасности.
Обычно в таких организациях есть обычная сеть или компьютер, подключенные к сети
Интернет, и изолированная от Интернета внутренняя сеть. Перенос данных между
внутренней и внешней сетями осуществляется на специальных (зачастую учтенных)
носителях.

Связанные в локальную сеть компьютеры, имеющие выход в Интернет. Наиболее часто
встречающийся в практике случай, не требующий комментариев.
Кроме топологии самой сети, необходимо учитывать и тип доступа к компьютерам сети. В
данном случае имеются два варианта — однопользовательский и многопользовательский. В
первом случае на компьютере может работать только один пользователь, во втором — более
одного. Как правило, на компьютер имеет доступ кроме пользователя еще и администратор
сети, поэтому все сети по умолчанию можно считать многопользовательскими.
На данный момент многопользовательские сети строятся либо на основе рабочих групп,
либо на доменной основе. Возможность столкнуться с другими вариантами (одноранговыми
сетями, сетями на основе Novell Netware) достаточно мала. Разница между рабочими
группами и доменами, по большому счету, заключается в том, что в последнем случае в сети
имеется сервер домена (как минимум один или два — основной и резервный), на котором в
структуре Active Directory хранится информация обо всех пользователях и компьютерах
сети, групповых политиках данной сети, паролях и т. д. Информация о том, на какой основе
строится сеть, достаточно важна — в случае отсутствия доменной структуры нет гарантии
того, что на всех компьютерах имеется один и тот же пароль администратора, что
существенно усложняет процедуру развертывания антивирусной защиты — за счет
увеличения времени подготовки сети к развертыванию.
2.1. Элементы сети
2.2. Совмещение ролей серверов
Как уже упоминалось, в составе сети с большой степенью вероятности должны быть:

файловые серверы;

почтовые серверы;

интернет-шлюзы;

серверы баз данных, серверы приложений, серверы DNS / DHCP / Active Directory.
Функции этих серверов могут быть как совмещены на одном сервере, так и разнесены по
отдельным серверам. То есть зачастую один и тот же сервер может выполнять функции
почтового сервера, интернет-шлюза и файлового сервера. Поэтому в случае совмещения на
одном сервере функций нескольких (если речь не идет о виртуализации серверов — см.
ниже) говорят о ролях сервера — роли почтового сервера, роли шлюза и т. д.
Наиболее часто совмещают роли интернет-шлюза и почтового сервера, а также роли сервера
DNS / DHCP / Active Directory и файлового сервера.
Совмещение ролей позволяет компании уменьшить количество серверов, но одновременно
понижает общий уровень безопасности — взлом одного сервера дает доступ ко всем
сервисам сети компании.
В том случае, если совмещение ролей нежелательно (в связи с требованиями безопасности,
несовместимостью программ и пр.), на одном физическом сервере могут быть развернуты
несколько виртуальных, каждый из которых обеспечивает какой-либо сетевой сервис: DNS,
DHCP, AD, файловый сервер и т. д.
2.3. Резервирование нагрузки и ее распределение
Для увеличения общей надежности сервисов, в первую очередь почтового сервиса и сервиса
доступа в сеть Интернет, используются средства резервирования — как на уровне одного
сервера (использование отказоустойчивых компонентов, райд-массивов и т. д.), так и на
уровне самого сервиса — используется больше серверов, чем это необходимо для
обеспечения бесперебойной работы компании, и отказ одного сервера не приводит к отказу
всего сервиса. Наиболее часто реализуются две схемы:

Нагрузка (почтовые сообщения) равномерно распределяется с помощью программного
или аппаратного балансировщика между всеми серверами. В случае отказа одного из
серверов на него просто перестает поступать нагрузка.

Работает только часть серверов, остальные находятся в ожидании. В случае отказа
работающего сервера нагрузка с него перебрасывается на автоматически вводимый в
действие сервер.
У каждого из способов есть свои преимущества и недостатки, которые в настоящем
документе не обсуждаются.
Число серверов, отвечающих за тот или иной сервис, может быть больше одного, когда один
сервер заведомо не может справляться с заданной нагрузкой. Наиболее часто в случае
недостаточной мощности одного сервера используется либо распределение нагрузки с
помощью балансировщика, либо организация серверов в единый кластер. В последнем
случае сервер является одним из узлов кластера.
Примерный список вопросов клиенту (задается после вопросов по каждому из сервисов —
к моменту появления этих вопросов должна быть полная ясность по списку используемых
клиентом сервисов, и нижеприведенные вопросы только уточняют количество серверов для
того или иного сервиса):

Используется ли у вас для серверов какое-либо средство резервирования или
распределения нагрузки?
Если да:

С помощью чего вы распределяете нагрузку? Используется программное или
аппаратное средство?
2.4. Краткая характеристика различных элементов сети
Дадим краткую характеристику различным элементам сети и принципам их защиты.
2.4.1. Файловые серверы (они же серверы баз данных и серверы приложений)
Назначение и типы файловых серверов
Файловый сервер — это, в сущности, просто место, где размещаются те или иные файлы,
доступные для пользователей. Важно понимать различие между файловыми серверами,
создаваемыми на платформах Windows и Unix. Функция файлового сервера встроена в
операционную систему Windows, и пользователям могут быть открыты для доступа
(расшарены) любые папки (директории). Файловый сервер — это одна из ролей сервера,
такая же, как и сервер DNS/DHCP, AD, сервер БД, терминальный сервис, почтовый сервер,
шлюз в Интернет и т. д. Но файловый сервер не обязан быть сервером баз данных или
предоставлять терминальный сервис — ни одна роль не может быть основной или
дополнительной для другой. Функции файлового сервера для операционных систем Unix в
большинстве случаев реализуются через дополнительно устанавливаемую подсистему
Samba, эмулирующую соответствующие сервисы Windows. Поэтому антивирусные
продукты для операционных систем Windows представляет собой файловый антивирус,
проверяющий файлы всей файловой системы, а не только файлы, доступные для
пользователей. Для операционных систем Unix файловый антивирус проверяет только
открытые для пользователей области, все остальные файлы не проверяются. Это связано с
тем, что файловый антивирус для операционных систем Unix представляет собой плагин
(дополнительный модуль) для подсистемы Samba.
Основные и дополнительные роли файловых серверов
Достаточно часто один сервер совмещает в себе несколько функций (ролей). Так, файловый
сервер, помимо выполнения своей основной функции (хранения файлов и обеспечения
доступа к ним), может использоваться и для организации других сервисов, обслуживающих
сеть. Например:

серверы DNS/DHCP, предназначенные для раздачи пользователям компании адресов
локальной сети;

серверы Active Directory, предназначенные для хранения данных о пользователях сети;

серверы баз данных и серверы приложений (например, сервер 1С);

терминальный сервер;

почтовый сервер;

шлюз сети Интернет.
С точки зрения безопасности и надежности сети не рекомендуется на шлюзе в Интернет
поднимать другие сервисы, кроме брандмауэра. Контроллер AD также рекомендуется
устанавливать на выделенном сервере.
Количество файловых серверов компании
Можно считать, что в каждой компании есть как минимум один сервер Active Directory или
DNS/DHCP. А то и два — основной и резервный, так как работа данного сервиса критична
для компании. Случаи, когда адреса прописываются вручную, можно не учитывать — это
удобно только для очень маленьких компаний.
Также можно считать, чти в каждой более-менее крупной компании есть сервер 1С —
случаи, когда используется другая бухгалтерская программа или когда используется
несерверная версия, также относительно редки.
Принципы защиты файловых серверов
Подходы к обеспечению безопасности данных сервисов различаются для операционных
систем Windows и Unix. Для операционных систем Windows использование файлового
антивируса подразумевает защиту серверов приложений и терминальных серверов, а для
операционных систем Unix для защиты каждого сервиса необходимо использовать
собственные решения.
Важно знать, какие дополнительные сервисы работают на файловом сервере. Вопросы
защиты этих сервисов можно обговаривать отдельно — клиент должен понимать, к чему
приведет использование совместно нескольких сервисов на одном защищаемом сервисе и
насколько защищен будет тот или иной сервис. Так, например, использование на
защищенном файловом сервере сервера баз данных не подразумевает лечения содержимого
баз данных — для этого нужно использовать специальные решения.
Достаточно часто сотрудники компании используют не только собственный файловый
сервис, но и внешние хранилища. При использовании таких хранилищ нет гарантии того, что
пользователь получит файлы, чистые от вирусов — методы, которые используют
злоумышленники, достаточно разнообразны, и многие из них позволяют перехватывать
канал связи с Интернетом и подменять передаваемую информацию. В связи с этим наряду с
защитой файлового сервера компании и всех общедоступных ресурсов сети (например,
расшаренных пользователями папок) в компании должен использоваться антивирусный
шлюз, который не позволит получить внутрь компании или передать наружу зараженный
файл.
Примерный список вопросов клиенту:

Какое количество файловых серверов вы используете?

На какой платформе работает ваш почтовый сервис (Windows, Unix)?

Ваш файловый сервер располагается внутри помещений компании или вы арендуете
внешний сервер?

Кроме файлового сервера, имеются ли в компании общедоступные ресурсы?

Ваши сотрудники используют для хранения файлов внешние, не принадлежащие
компании файловые серверы?
2.4.2. Серверы печати
Достаточно часто файловые серверы используются в качестве серверов печати — то есть они
имеют сервисы, позволяющие принимать и отправлять по специальному протоколу на печать
документы. Такие серверы также подлежат защите, так как:

имеется достаточное число вредоносных программ, заражающих серверы печати;

согласно нормативным документам, серверы печати подлежат обязательной защите,
так как злоумышленник может либо перехватывать информацию, отправляемую на
печать, либо отправлять на печать документы, запрещенные к распространению за
пределы компании.
Важно знать, что в том случае, если в качестве платформы для сервера печати используется
Unix, рекомендуется защищать не только функции файлового сервиса данного сервера
(сервис Samba), но и сам сервер. То есть нужно использовать два продукта, а не один, как
для операционной системы Windows.
Примерный список вопросов клиенту:

Используете ли вы какие-либо компьютеры в качестве серверов печати?

На какой платформе работает ваш почтовый сервис (Windows, Unix)?
2.4.3. Почтовые серверы
Назначение
Почтовые серверы предназначены для обработки почты до ее поступления клиенту, а также
перед отправкой. Кроме этого, почтовые серверы могут служить основой для систем
массовой рассылки, обмена данными между сотрудниками компании, а также для
построения систем документооборота.
Виды почтовых сервисов и почтовых серверов
В повседневной работе большинство пользователей компаний используют для отправки и
получения или почтовый сервер компании, или удаленные почтовые сервисы — такие как
gmail.com, mail.ru. Другие варианты существуют, но они достаточно редки.
Наиболее распространены почтовые серверы Microsoft Exchange, Sendmail, Postfix, Kerio
MailServer, Lotus Domino, Exim, Communigate Pro. Из вышеперечисленных Microsoft
Exchange, Kerio MailServer, Lotus Domino и Communigate Pro являются коммерческими
решениями, остальные, хотя и могут иметь коммерческие варианты поставки, как правило,
используются только в бесплатном варианте реализации. Необходимо также упомянуть, что
Microsoft Exchange может использоваться только на платформе Windows (и, как правило, в
доменной структуре), Kerio MailServer, Lotus Domino и Communigate Pro могут
использоваться как на Windows-, так и на Unix-платформах.
С исследованиями рынка почтовых серверов можно ознакомиться в следующих
публикациях:

http://www.securitylab.ru/analytics/309889.php

http://www.nextmail.ru/hist/chserver.phtml?t=2
Количество почтовых серверов компании
Можно считать, что в каждой компании присутствует как минимум один почтовый сервер.
Поэтому можно не спрашивать, «есть ли у вас почтовый сервер», а сразу интересоваться
«какой почтовый сервер вы используете». Случаи, когда компании использую внешние
почтовые серверы, не принадлежащие компании, достаточно редки.
В зависимости от организации компании в ней может быть больше одного почтового
сервера. Например, в многофилиальной сети может быть по почтовому серверу на филиал,
почтовый сервер может быть вынесен за пределы внутренней сети компании (в
демилитаризованную зону) и т. д.
С точки зрения безопасности выставлять почтовый сервер в Интернет или внутреннюю сеть
компании небезопасно. Поэтому возможен вариант размещения на границе сети или в
специально организованной демилитаризованной зоне (DMZ) транзитных (или Frontend)
почтовых серверов, основной функцией которых является прием и передача почты на
размещенный внутри сети основной почтовый сервер компании, которые располагаются в
зоне или во внешней сети, принимают почту и переправляют ее на основной почтовый
сервер внутри сети организации. Одной из задач таких серверов как раз является фильтрация
спама и вирусов. Управляться такие серверы могут как специалистами самой компании, так
и сторонней компанией.
Важно помнить, что почтовый сервер — это, по сути, просто сервис, размещающийся на
обычном файловом сервере. Поэтому, если используемой файловой системой является
Windows, кроме защиты почтового сервиса необходимо предлагать и защиту самого сервера,
то есть не один, а два продукта Dr.Web (Dr.Web Server Security Suite и Dr.Web Mail Security
Suite).
Принципы защиты почтовых сервисов и почтовых серверов

Необходимо защищать как внешнюю (входящую и исходящую), так и внутреннюю
почту компании. В случае заражения сети компании именно почта может стать
источником вирусов и путем проникновения их на все машины сети, так как на
зараженной машине вредоносные программы имеют доступ к адресной книге
сотрудника.

Должны быть защищены все пути приема и отправки почты — зачастую недостаточно
защитить только почтовый сервер, так как пользователи, как уже говорилось, могут
пользоваться внешними сервисами. Здесь важно знать, что для получения и отправки
почты пользователями используются протоколы POP3 и IMAP4, либо их защищенные
версии POP3S и IMAP3S. Почтовые серверы общаются между собой по протоколу
SMTP. В связи с этим необходимо либо ставить защиту на почтовый сервер (для
обработки и фильтрации корпоративной почты) и дополнительно обрабатывать
протоколы POP3 и IMAP4 на шлюзе сети Интернет, либо фильтровать всю внешнюю
почту (протоколы POP3 и IMAP4, SMTP) на шлюзе, а на почтовом сервере
сосредоточить только обработку внутренней почты. Последний вариант
предпочтительнее, так как в этом случае:
o
нагрузка на почтовый сервер значительно снижается (количество спама в
почтовом трафике составляет до 98%, и, естественно, его отсутствие благоприятно
сказывается на работе почтового сервера);
o
отсутствие прямого доступа к почтовому серверу из сети Интернет не позволяет
хакерам воспользоваться уязвимостями (ранее известными и уязвимостями
нулевого дня), в том числе за счет специально сформированных писем.
Проверка почтового трафика на шлюзе также рекомендуется в том случае, если
почтовый сервер находится вне охраняемой территории компании (например, во
внешнем дата-центре) или компания арендует почтовые адреса на специальном сервисе.
В данном случае отсутствует гарантия поступления в компанию только проверенного
(легитимного) трафика — даже в том случае, если защита почтового сервера
осуществляется системными администраторами компании, злоумышленник имеет
гораздо большие возможности по доступу к серверу или подмене трафика, в то числе и
за счет аппаратных закладок.

Достаточно часто почтовые серверы хранят почту пользователей — либо постоянно
(пользователи хранят всю почту на сервере компании и получают к ней доступ по
протоколу IMAP4), либо временно (до момента выхода сотрудника на работу). В связи
с тем, что всегда имеется вероятность того, что вирус попадет в почту до того, как он
попадет на исследование в антивирусную лабораторию, рекомендуется либо
периодически проверять почтовые ящики пользователей на присутствие ранее не
обнаруженных вирусов, либо проверять почту при ее отправке сотруднику.

В том случае, если помещения компании или организации не сосредоточены внутри
одного охраняемого периметра, а размещаются в нескольких местах и для связи между
ними не используется выделенный канал, то прием и передача почтовых сообщений
между этим частями компании должны осуществляться через шлюз — даже если
помещения расположены в одном здании, всегда есть вероятность перехвата или
подмены трафика.

Отфильтрованная почта должна помещаться в карантин и/или архивироваться на
случай возникновения претензий по неверной фильтрации (например, в случае
завышения уровня детекта выше рекомендуемого).
Примерный список вопросов клиенту:

Сколько почтовых серверов вы используете?

Имеются ли в вашей компании филиалы?

Все помещения вашей компании размещены внутри одного охраняемого периметра?
Если имеются филиалы или помещения разнесены:

Используется ли для организации передачи данных выделенный канал,
поддерживающий шифрование?

Какие используются почтовые серверы (Exchange, Sendmail…)?
Если клиент использует Kerio MailServer, Lotus Domino, Communigate Pro:

На какой платформе работает ваш почтовый сервис (Windows, Unix)?
Если клиент использует платформу Windows:

Планируете ли защищать сам сервер?

Ваш почтовый сервер доступен непосредственно из сети Интернет или отделен от нее
почтовым шлюзом?

Ваши сотрудники используют доступ к внешним почтовым сервисам?

Защищается ли доступ ваших сотрудников к внутренним серверам?

Ваш почтовый сервер располагается внутри помещений компании или вы арендуете
внешний сервер?
2.4.4. Почтовые шлюзы
Назначение и краткое описание принципов работы
Отличие почтового шлюза от почтового сервера заключается в том, что почтовый шлюз не
хранит почту — он обрабатывает ее на лету и передает по назначению. Почтовые шлюзы
могут использоваться в следующих случаях:

На стороне провайдера сети Интернет, обрабатывающего почту клиентов с целью
защиты их от вирусов и спама.

В компании — как для снижения нагрузки на почтовый сервер компании, так и для
изоляции его от сети Интернет. Использование почтового шлюза компанией имеет ряд
преимуществ. Так, изоляция почтового сервера от Интернета не дает
злоумышленникам воспользоваться его известными уязвимостями. А обработка почты
на шлюзе позволяет не допустить попадания спама на почтовый сервер, что повышает
его производительность и доступность для пользователей.
Как правило, почтовые шлюзы строятся на основе операционных систем Unix. При этом
могут встречаться два варианта: использование обычного почтового сервера (зачастую
бесплатного, типа Postfix или Sendmail) в роли транзитного сервера или использование
специального антивирусного решения, имеющего модуль транзитной передачи почтовых
сообщений.
Примерный список вопросов клиенту:
Рекомендуется задавать вопросы о почтовом шлюзе, а не почтовом сервере провайдерам сети
Интернет, а также компаниям, профиль работы которых связан с обработкой или передачей
данных — например, в компаниях, имеющих филиалы, или компаниях, офис которых не
сосредоточен в одном или нескольких обособленных помещениях.

Используете ли вы почтовый шлюз для обеспечения безопасности передачи данных
или увеличения лояльности клиентов?

Какие используются почтовые серверы (Exchange, Sendmail…)?

На какой платформе работает ваш почтовый сервис (Windows, Unix)?
Если клиент использует платформу Windows:

Планируете ли защищать сам сервер?

Ваши сотрудники используют доступ к внешним почтовым сервисам?
2.4.5. Шлюзы сети Интернет
Назначение и краткое описание принципов работы
Так как пользователей сети Интернет много, а кабель, ведущий наружу, чаще всего один, то
необходим сервер, через который осуществляется выход пользователей наружу.
Шлюз сети Интернет есть в каждой компании, имеющей выход в Интернет. Для
многофилиальной компании количество шлюзов как минимум равно количеству
филиалов/подразделений.
Принципы защиты
Как и почтовый сервер, шлюз — это просто сервис, размещающийся на обычном сервере.
Поэтому, если используемой файловой системой является Windows, кроме защиты почтового
сервиса надо предлагать и защиту самого сервера, то есть два продукта.
Наличие защиты шлюза необходимо, если серверы компании размещаются вне ее
охраняемой территории, компания имеет филиалы или помещения компании разнесены по
нескольким адресам или отдельным помещениям.
Примерный список вопросов клиенту:

На какой платформе работает ваш шлюз сети Интернет (Windows, Unix)?
Если клиент использует платформу Windows:

Планируете ли защищать сам сервер?
2.4.6. Терминальные серверы
Назначение и краткое описание принципов работы
При наличии терминального сервера пользователи работают не на рабочих станциях, а
непосредственно на сервере, как будто клавиатура, мышь и монитор подсоединяются к
самому серверу.
Существуют два варианта подключения к терминальному серверу:

Со специального устройства — тонкого клиента, не имеющего жесткого диска,
единственной функцией которого является подключение к терминальному клиенту.

С помощью специальной программы из обычной операционной системы.
Терминальные серверы могут быть созданы как на основе операционной системы Windows,
так и на основе Unix.
Принципы защиты терминальных серверов
Защита терминальных серверов осуществляется продуктами, предназначенными для защиты
файловых систем компьютеров, так как единственное отличие между файловыми и
терминальными серверами с точки зрения обеспечения защиты — это необходимость
проверки терминальных сессий клиентов — их открытия и закрытия. В том случае, если
вход на терминальные серверы осуществляется с тонких клиентов, защита тонких клиентов
не требуется; в случае входа с рабочих станций — наоборот. При этом система защиты
рабочих станций при использовании входа на терминальный сервер и без его использования
не отличается. Единственное, что нужно учитывать в данном случае, — при использовании
рабочих станций их количество не учитывается в количестве лицензий на подключения к
терминальному серверу.
Примерный список вопросов клиенту:

Используете ли вы терминальные серверы?

Вход на терминальный сервер осуществляется с обычных рабочих станций или вы
используете специальные тонкие клиенты?

На какой платформе работает ваш терминальный сервер (Windows, Unix)?
2.4.7. Виртуальные серверы и рабочие станции
Назначение и краткое описание принципов работы
В связи с ростом мощности серверов один и тот же сервер выгодно использовать для
организации работы нескольких сервисов. Однако совмещение сервисов зачастую или
невозможно, или вызывает вопросы с точки зрения безопасности. В связи с этим
используются виртуальные серверы — серверы, единственным сервисом которых является
так называемый гипервизор — сервис, обслуживающий запускаемые в виртуальном
окружении операционные системы. При этом операционные системы и приложения, на них
запускаемые, не подозревают, что они работают не на физическом сервере, а в его эмуляции.
Обзор существующих виртуальных машин:
http://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD
%D0%B8%D0%B5_%D0%B2%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8
C%D0%BD%D1%8B%D1%85_%D0%BC%D0%B0%D1%88%D0%B8%D0%BD
Принципы защиты виртуальных серверов и рабочих станций
Принципы защиты виртуальных компьютеров не отличаются от принципов защиты обычных
невиртуальных машин.
В том случае, если компания арендует виртуальный сервер у провайдеров данной услуги и
при этом не использует защищенный канал связи для доступа к нему, необходимо
использовать шлюз сети Интернет и почтовый шлюз для обеспечения безопасной работы с
ним.
Вопрос клиенту:

Используете ли вы собственные серверы или арендуете их, например используете
виртуальные серверы?
2.5. Особенности локальных сетей провайдеров услуг
Особенностью сетей провайдеров услуг (и в первую очередь провайдеров услуг Интернет)
является то, что эти компании имеют как бы две независимые локальные сети. Первая — это
внутренняя сеть компании со своим почтовым сервером, шлюзом сети Интернет и рабочими
станциями сотрудников компании. И вторая — обслуживающая клиентов компании. Таким
образом, для провайдера сети Интернет общая сеть может содержать:

Шлюз доступа клиентов компании в сеть Интернет. Через шлюз пользователи имеют
доступ к сайтам сети Интернет, внешним почтовым серверам, удаленным рабочим
местам и т. д.

Почтовый сервер, на котором клиенты компании могут создавать свои почтовые ящики
или арендовать домены.

Внутреннюю сеть провайдера, в которой клиенты компании могут размещать свои
сайты, файлы, документы и т. д. Обычно трафик внутренней сети бесплатен для
клиентов.

Виртуальные серверы, на которых клиенты компании могут создавать свои серверы.

Рабочие станции и/или терминальные клиенты сотрудников самого провайдера.

Внутренний почтовый сервер провайдера, возможно (но не обязательно), совмещенный
с сервером, услуги которого предлагаются клиентам.
Необходимо помнить, что у крупных провайдеров количество серверов может быть
достаточно значительным. То есть, например, число почтовых серверов может быть более
одного. Это делается как для распределения (балансировки) нагрузки в часы пик, так и для
резервирования на случай отказа одного или нескольких серверов.
Наличие или отсутствие каких-либо компонентов и количество серверов зависит от размера
провайдера и списка услуг, предоставляемых им клиентам.
Провайдеры сети Интернет могут осуществлять защиту пользователей от поступления
вирусов и спама:

путем установки на компьютеры клиентов агентов антивирусной и антиспам-защиты;

путем проверки почтового и интернет-трафика клиентов.
Рекомендуется совместное применение этих двух методов, так как этот подход имеет
большее количество преимуществ по сравнению с применением только одного метода:

За счет проверки трафика на уровне провайдера снижается нагрузка на компьютер
пользователя — нет необходимости обрабатывать большое количества спама.

Использование антивирусной защиты на уровне пользователя позволяет перекрыть
поступление вирусов через флеш-устройства.
Примерный список вопросов клиенту:

Используете ли вы какое-либо решение для защиты доступа пользователей к ресурсам
сети Интернет, в том числе сайтам?

Используете ли вы какое-либо решение для защиты доступа пользователей к внешним
почтовым серверам? Используете ли вы для увеличения лояльности пользователей
какое-либо средство защиты от спама?
В случае отрицательного ответа на первые два вопроса нужно узнать почему и рассказать о
преимуществах проверки на стороне провайдера.

На какой платформе работают ваши сервисы (Windows, Unix)?
Если клиент использует платформу Windows:

Планируете ли защищать сами серверы?

Имеется ли защита от вирусов и спама у самих сотрудников вашей компании?

Предоставляете ли вы возможность создания виртуальных или реальных серверов в
своей внутренней сети своим клиентам?

Предоставляете ли вы возможность аренды почтовых адресов или доменов своим
клиентам?
2.6. Вопросы для самопроверки

Составьте список серверов, обычно присутствующих в локальной сети компании.

Составьте список серверов, обычно присутствующих в локальной сети компании —
интернет-провайдера.

Каково минимальное количество серверов в сети компании малого бизнеса?

Каковы функции почтового сервера?

Можно ли оценить количество защищаемых почтовых адресов, исходя из знаний об
области деятельности компании? Приведите примеры зависимости количества
защищаемых адресов от рода деятельности компании.

Каковы функции файлового сервера?

Каковы функции шлюза сети Интернет?

Можно ли оценить количество защищаемых пользователей, исходя из знаний об
области деятельности компании? Может ли отличаться число защищаемых адресов от
числа защищаемых пользователей? Приведите примеры зависимости количества
защищаемых пользователей от рода деятельности компании.

Каковы особенности работы антивируса при защите виртуальных систем?
Скачать