Существует ряд основных правил, универсальных для защиты любой операционной системы от несанкционированного доступа. Если помнить их и постоянно им следовать, можно значительно снизить риск взлома системы или появления других нежелательных проблем.
1...Использование сложных паролей. Одним из самых простых способов защиты является использование непростых трудноподбираемых паролей. Такой метод хорошо защищает от так называемых «грубых» атак, суть которых заключается в применении злоумышленниками программ по автоподбору паролей. Пароли, состоящие из специальных символов, прочерков и пробелов, содержащих прописные буквы наряду со строчными буквами и цифрами, гораздо труднее угадать, чем имя матери или дату рождения пользователя. Также следует помнить, что при увеличении длины пароля всего на один символ, увеличивается и степень числа возможных комбинаций для подбора. В целом, пароль длинной менее 8 символом объективно считается легким для подбора. 10, 12 или 16 символов – уже гораздо лучше. Однако не стоит придумывать такие пароли, которые трудно будет запомнить или набрать.
2...Внешняя защита. Не следует целиком полагаться только на возможности системы. Даже в случае наличия всего лишь одного компьютера неплохо иметь и внешний брандмауэр/маршрутизатор. В крайнем случае, можно приобрести обычный широко распространенный роутер, например Linksys, D-Link или Netgear (есть в продаже в магазинах Best Buy, Circuit City и CompUSA). Если этого покажется мало, то стоит установить коммутаторы и маршрутизаторы «промышленного» типа от таких производителей, как Cisco, Vyatta и Foundry Networks. Как вариант, можно использовать брандмауэры, спроектированные собственноручно с нуля или предустановленные, например m0n0wall и IPCop. Помимо этого, надежной внешней защите способствуют прокси-сервера, антивирусные и антиспамовые шлюзы. Также нужно учесть, что коммутаторы в плане защиты лучше хабов, маршрутизаторы с трансляцией сетевых адресов (NAT) лучше коммутаторов, а брандмауэры и вовсе суть средство первой необходимости.
3...Обновление программного обеспечения. Для того чтобы проверка приложений на вирусы перед их установкой проходила наиболее эффективно, следует постоянно обновлять программы защиты. Долгое игнорирование появляющихся обновлений может привести к тому, что система станет легкой добычей для хакеров. Это же касается любых систем обнаружения злоупотреблений, сканирующих трафик с целью поиска вредоносного участка кода - сигнатуры, например, антивирусных программ, которые не теряют свою эффективность, только в случае своевременного пополнения базы данных кодов, соответствующих той или иной атаке.
4...Отключение неиспользуемых служб. Зачастую пользователи не знают, какие системные сетевые службы работают у них на компьютере. К примеру, Telnet и FTP часто весьма уязвимы для сетевых атак и должны быть отключены в случае, если они не используются. Следует узнать, для чего нужна та или иная служба и удостовериться, что каждая работающая действительно имеет причины для того, чтобы работать. Возможно, потребуется тщательное исследование некоторых служб на предмет соответствия тем или иным интересам пользователя, например, не будет большой ошибкой отключение службы RPC на компьютере с операционной системой Microsoft Windows, или отмена входа в систему с паролем. В любом случае, отключение неиспользуемых служб – полезная вещь. Подробнее читайте в статье: Десять служб MS Windows XP, которые стоит отключить.
5...Шифрование информации. Этот метод подходит для опытных продвинутых пользователей или системных администраторов. Степень шифрования данных в каждом случае определяется индивидуально в зависимости от конкретных целей и обстоятельств. Зашифровываются как отдельные файлы, так и целые диски. Системный раздел жесткого диска при этом обычно не затрагивается, поскольку тогда потребуется специальное аппаратное устройство декодировки, однако если требуется безопасность подобного уровня, и имеются соответствующие средства, то можно произвести и такое полносистемное шифрование. Если же в кодировании системного раздела нужды нет, имеется множество решений для каждого уровня шифрования, работающих как с коммерческими системами, так и с платформами на основе открытого исходного кода.
6...Резервное копирование информации. Это одно из самых важных правил защиты. Резервное копирование может быть простым и примитивным как перенесение информации на компакт-диски, так и комплексным, в виде регулярного автоматического сохранения данных на отдельном сервере. На системах, требующих перманентной беспрерывной работы, целесообразно установить матрицы RAID (тип дисковой памяти с резервированием и дублированием данных), способные автоматически восстанавливать утерянную информацию. Существуют бесплатные приложения rsync и Bacula, где в произвольной последовательности объединены схемы автоматического резервного копирования. Автоматизированные системы управления версиями программных средств (version control), например Subversion, предоставляют такую гибкую систему контроля данных, что становится возможным не только хранить резервную копию информации на другом компьютере, но также легко управлять несколькими компьютерами с одними и теми же данными без особых проблем. Использование такой системы однажды спасло автора данного очерка во время поломки основного рабочего ноутбука.
7...Кодирование сообщений. Криптографические программы для защиты сообщений от посторонних глаз распространены достаточно широко: это приложения, поддерживающие протокол OpenPGP для электронной почты, плагины Off The Record для IM-клиентов, специальное программное обеспечение для продолжительного обмена сообщениями переписки, использующее протоколы SSH и SSL, и многие другие виды приложений, служащие для того, чтобы отсылаемая информация не подверглась риску при передаче. Иногда бывает сложно убедить партнера по переписке в необходимости использования подобных программ, однако в некоторых случаях без них нельзя обойтись.
8...Осторожное отношение к чужим сетям. Это особенно важно при работе с открытыми беспроводными сетями, расположенных в кафе, аэропортах, развлекательных центрах и т.п. При достаточной осторожности и осведомленности в вопросах безопасности информации нет причин, по которым нельзя использовать сети в вышеобозначенных местах, в противном случае не стоит доверять системе безопасности этих сетей. В случае подключения к беспроводной сети следует зашифровать частную переписку, и принять меры предосторожности при вводе данных и паролей в формы веб-сайтов. Также следует убедиться в том, что неиспользуемые и уязвимые для атак сетевые службы отключены. Это относится и к сетевым файловым системам типа NFS или Microsoft CIFS, SSH-серверам, службам Active Directory и многим другим. Не помешает полная проверка системы изнутри и снаружи на предмет возможностей, которые могут использовать злоумышленники с целью ее взлома. Каждый пользователь определяет самостоятельно, какие службы следует отключать и какие сообщение при переписке считать необходимыми для шифрования. Защита данных от вредоносных атак при работе с чужой незнакомой сетью может потребовать фактически полного изменения настроек безопасности системы.
9...Источник бесперебойного питания. ИБП не только помогает сохранить информацию в случае отключения электричества, но и обеспечивает управление параметрами электропитания и предотвращает нарушение работы файловой системы. Стабилизатора напряжения недостаточно для защиты системы от сильных скачков. ИБП защищает как аппаратную, так и информационную часть.
10...Системы мониторинга нарушений и попыток атаки. После проведения всех мер по защите системы не стоит терять бдительность и полагать, что теперь информация находится в полной безопасности. Следует постоянно выявлять подозрительные события на предмет взлома системы и хакерских атак. При этом отслеживания трафика только на сетевом мониторе недостаточно, важно наряду с прочими действиями по увеличению уровня защиты проводить полную проверку входящей информации на каждой машине.
Остальные профилактические меры зависят от типа используемой операционной системы. Некоторые из них, вследствие особенностей структуры системы, требуют проведения отдельных процедур по безопасности, другие – хорошей осведомленности в методах защиты только этих платформ, не подходящих для какой-либо других. Все это нужно учитывать как при защите коммерческих операционных систем (Microsoft Windows или Apple Mac OS X), так и при защите систем на основе открытого исходного кода (Linux, FreeBSD, NetBSD или даже OpenBSD).
В самых редких случаях бывает достаточно лишь настроек операционной системы по умолчанию без предприятия дальнейших шагов по ее защите. Следуя приведенным выше советам и действуя согласно специфическим особенностям конкретной ОС, у пользователей значительно больше шансов сохранить систему в целостности, чем в случае полного доверия сохранности этой целостности в руки судьбы.