понедельник, 30 января 2017 г.

16. Практическая безопасность сетей


1.4 Парольная политика

Мы уже частично затронули эту тему в предыдущих главах, теперь мы рассмотрим данный вопрос более детально. В современном мире, практически любой человек понимает важность пароля, а точнее важность его секретности. Используете ли вы соц. сети, электронную почту или онлайн банкинг, везде необходим секретный пароль. Тоже самое касается и корпоративных сетей. Пароль должен исключать возможность несанкционированного доступа к сетевому оборудованию. Это касается как доступа из внешней сети (Интернет), так и из внутренней.

Ранее мы уже обсудили, что пароли в конфигурации нужно шифровать, а сами пароли не должны быть элементарными (вроде cisco или password). Однако и этого недостаточно. Многие пользователи довольно часто используют корпоративные пароли для личных целей, например при регистрации в соц. сетях, torrent - трекерах, различных развлекательных порталах. Признаюсь, я и сам делал подобные вещи несколько раз. Уверен, что каждый слышал о периодических взломах популярных сайтов, в результате чего в сеть “утекали” огромные базы учетных записей. Среди этих записей может быть и ваш корпоративный пароль. И неважно насколько он сложный, т.к. он полностью скомпрометирован. Необходима смена пароля.
Пароли необходимо периодически менять вне зависимости от их сложности.
В данном случае, единственный способ обеспечить должный уровень безопасности это соблюдать парольную политику.

1.4.1 Основные положения

Для начала рассмотрим парольную политику в ее классическом виде и опишем основные моменты. Как правило, парольная политика содержит следующие требования:
1) Минимальная длина пароля. На данный момент рекомендуемая длина - не менее 8 символов. Это ограничение связано с временем, которое необходимо для подбора пароля при “брутфорсе” (атака по словарю). Думаю не стоит объяснять, что чем длиннее пароль, тем дольше придется его разгадывать.
2) Используемые символы в пароле. Практически все стандарты требуют наличия в пароле букв верхнего и нижнего регистра, цифр и специальных символов (такие знаки как !, @, -, _ и т.д.). Это существенно усложняет процесс атаки по словарю, т.к. возможных комбинаций становится гораздо больше.
3) Запрет на распространение паролей. Личный пароль не может быть сообщен кому-либо или записан на бумагу. Многие пользователи любят записывать пароли на стикеры и приклеивать к мониторам. Это недопустимо. В таком случае можно считать, что пароль скомпрометирован.
4) Плановая смена паролей. Здесь уже каждая компания сама выбирает временные интервалы. Как правило это либо раз в полгода, либо раз в квартал.
5) Внеплановая смена паролей. Обычно производится при увольнении сотрудника, либо при обнаружении факта компрометирования пароля. Ни в коем случае нельзя оставлять учетные записи пользователей, которые уже не работают в организации.

Большинство организаций ограничиваются данными пунктами. Однако этого недостаточно. Есть один фактор, который мешает соблюдению описанных пунктов - это память человека. Чем сложнее пароль, тем труднее его запомнить. Люди могут идти на различные ухищрения, чтобы выбрать легкий для запоминания пароль, но при этом формально соблюдая парольную политику. Приведем пример. Возьмем первые два пункта: пароль должен содержать минимум 8 символов, включать буквы верхнего/нижнего регистра, цифры и специальные символы. Данные требования легко соблюсти выбрав следующие пароли: Password1!, P@ssw0rd, Pa$$w0rd и т.д. Формально парольная политика применена, но данные пароли подбираются за считанные минуты. В сети Интернет есть целые словари с подобными и самыми распространенными паролями. Более того, если будет выполнятся “брутфорс”, то в первую очередь будут подбираться именно такие, типовые варианты.
Приведем еще один пример, касающийся плановой смены паролей. Предположим, что подошло время смены. Пользователь, дабы не усложнять себе жизнь, меняет старый пароль Password1! на новый - Password2!. Опять же, формально все соблюдено, но эффективность этой процедуры весьма сомнительна.
Еще один момент. Пункт 3) гласит, что пароль нельзя записывать ни на физический, ни на электронный носитель. Но что делать если пароль забыт, либо что-то случилось с тем, кто его знает? А если это пароль от коммутатора ядра в крупном интернет провайдере? ААА-сервера частично решают эту проблему, но как быть с локальными паролями на устройствах? Без них все равно не обойтись.
Описанные выше проблемы дали повод к появлению еще нескольких пунктов в парольной политике:
6) Пароль не должен содержать легко предугадываемые сочетания символов. Пример: pass, adm, qwert, asdf, 1234, user, либо фразы имеющие отношение к имени/фамилии пользователя.
7) При смене пароля, новый пароль должен отличаться от старого не менее чем на 4 символа.
8) Пароли от особо важных узлов должны быть записаны на какой либо носитель (лист бумаги, флешка) и сохранены в безопасном месте (сейф).
Соблюдайте парольную политику! Если ее нет - разработайте.

0 коммент.:

Отправить комментарий

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers