Насколько безопасны интрасети
Благодаря упрощенному просмотру технология интрасетей становится привлекательной для распространения информации внутри предприятия, но в то же время вызывает беспокойство у администраторов сетей, отвечающих за защиту данных. Несмотря на то что Web-броузеры и Web-серверы кажутся идеальными инструментами, обеспечивающими быстрый и простой доступ к документам и данным, открытость этой технологии приводит к необходимости принимать специальные меры, предотвращающие возможность получения информации ограниченного пользования нежелательными лицами, будь то служащие компании или посторонние люди. Интрасети порождают новые проблемы защиты данных. Одно из самых серьезных опасений состоит в том, что использование доступных каждому Web-инструментов усугубит угрозу вторжений извне. Чтобы парировать ее, администраторы сетей защищают границы своих интрасетей с помощью брандмауэров.

Конфиденциальные данные Одновременно возникает необходимость ограничить доступ и внутри предприятия, чтобы исключить возможность попадания конфиденциальных данных в руки служащих, не имеющих на это полномочий. Несколько поставщиков усиленно рекламируют в этих целях установку брандмауэров в ключевых пунктах между отделениями, что, согласно их утверждению, эффективно ограничит доступ к Web-страницам и Web-приложениям, используемым в одном отделении, из другого. Некоторые фирмы, например Bay Networks, для повышения надежности защиты на предприятии предлагают применять концентраторы и маршрутизаторы со встроенными функциями брандмауэров. Многие администраторы, однако, скептически относятся к такому подходу. По мнению одного из них, дополнение внутреннего маршрутизатора брандмауэром предполагает, что физическая структура корпоративной сети совпадает с ее логической структурой, а это не всегда предусматривается при конфигурировании сети. Кроме того, он указывает, что установка брандмауэров между отделениями не учитывает типичной ситуации, когда доступ к конфиденциальной информации должен предоставляться только руководителям из особого списка, которые могут быть рассредоточены по сети. "Использовать брандмауэр для защиты интрасети - это то же самое, что колоть грецкие орехи кувалдой", - иронизирует он. Внимательное администрирование Тем не менее менеджеры считают наилучшим способом контроля за безопасностью интрасетей внимательное администрирование прав доступа пользователей. Некоторые из них полагают, что контроль посредством паролей в сочетании с такими продуктами, как Secure Sockets Layer компании Netscape Communications, позволит эффективно и гибко ограничивать доступ. Однако эксперты по защите данных выражают мнение, что риск, связанный с инструментальными средствами, исходный код которых общедоступен, сохраняется. "Трудно сделать действительно секретной любую программу, написанную на языке HTML или Java, - утверждает Питер Типпетт (Peter Tippett), президент Национальной ассоциации компьютерной безопасности (NCSA). - Они рассчитаны только на передачу по линиям связи и выполнение на компьютере".

Сценарии общего межсетевого интерфейса (Common Gateway Interface, CGI), используемые для подключения Web-серверов к внутренней базе данных или системам обработки транзакций, также стали предметом серьезного беспокойства администраторов интрасетей. Эти сценарии, написанные на интерпретируемых, а не компилируемых языках, например Practical Extraction and Reporting Language, особенно уязвимы для несанкционированного доступа, поскольку в них могут быть включены вводящие в заблуждение операторы. Передав в сценарии CGI непредусмотренные входные данные, хакеры могут добиться, чтобы сервер переслал им по электронной почте файлы паролей, установить сеансы связи по протоколу Telnet с секретными ресурсами или получить доступ к полезной информации о конфигурации. Кроме того, они могут проникать в сеть в целях установления режима так называемого отказа в услугах, когда серверу приходится выполнять некоторые занимающие ресурсы действия (например, массовый поиск), что делает систему непригодной для обычного использования.

Несмотря на то что включение Web-сервера между конечными пользователями и приложениями может обеспечить независимость от платформы и упростить представление данных, оно усложняет защиту данных. Меры защиты, присущие давно созданным приложениям, теперь недостаточны, поскольку их клиентом является Web-сервер, а не конечный пользователь. HTML-страница становится вторым важнейшим пунктом контроля защиты. Даже при наличии средств защиты приложений каждый желающий, который имеет физический доступ к сегменту локальной сети, способен перехватить сообщения, передаваемые по интрасети (если только не используется какой-либо способ шифрования). Как сказал Типпетт, сравнительно легко можно превратить ПК пользователя в устройство для перехвата информации. "Появляется все больше автоматизированных инструментов, позволяющих незаконно вторгаться в сеть, даже не помышляя об этом", - констатировал он.

Шифрование паролей Самыми важными данными, которые могут быть перехвачены, являются пароли, обычно открыто посылаемые при входе пользователей в систему. Располагающий таким паролем хакер может "подобраться" к серверу и проникнуть в области, доступ к которым разрешен конкретному пользователю. Вот почему шифрование необходимо уже в процессе начальной передачи паролей пользователей. Другие данные, передаваемые в Web-среде, например номера системы социального обеспечения, также могут требовать шифрования. Безусловно, эффективность контроля доступа в конечном итоге зависит от прилежания технического персонала, осуществляющего администрирование интрасети. Промахи в организации защиты Недочеты в администрировании систем защиты, по-видимому, происходят по нескольким причинам. Во-первых, предполагается, что внутренним пользователям могут быть предоставлены полномочия более высокого уровня, чем при доступе через Internet извне. Во-вторых, внутренние Web-узлы часто доверяются тем, кто лучше освоил язык HTML, а не служащим, глубоко знающим используемые компанией методы защиты. В-третьих, рынок средств защиты в Web-средах только формируется, поэтому в штате лишь немногих информационных служб имеются специалисты, знакомые с соответствующими инструментами и их практическим использованием.

Для многих администраторов сетей технические вопросы защиты, наряду с общим ощущением неуверенности, будут служить помехой для более широкого использования внутренних Web-узлов (помимо распространения корпоративных новостей, справочных данных о персонале и информации о льготах для служащих).

Однако некоторых администраторов явно привлекают быстрота и простота создания интрасетей. Эти потребители, чтобы не допустить ухудшения защиты, должны с большим вниманием относиться к сочетанию брандмауэров, средств аутентификации, эффективных сценариев CGI, а также методов шифрования. Как сказал директор  по специальным проектам Стив Кобб (Steve Cobb), в сфере защиты интрасетей ярко проявляются более общие проблемы защиты данных в компаниях. Здесь наглядно проявляются недостатки как самой политики защиты, так и методов ее воплощения на практике.