Павел Закляков

Лирическое отступление

Если на обычном, пользовательском компьютере у вас стоит два модема, то это, наверное, уже много, а вот если говорить о серверах, то модемов много не бывает. Простой пример: распределённая сеть узлов, единый центр. Узлы связываются с центром и/или центр с узлами. На центральный узел осуществляется DDoS-атака. Как в этом случае связываться и передавать данные? Хорошо, если это происходит в Москве или другом крупном городе, где пальцем ткни, попадёшь в какого-нибудь провайдера. Несколько тысяч долларов, и у вас будет несколько резервных каналов связи на такой случай. Усугубим проблему, а если узлы находятся в других городах? Вот и получается, что самое оптимальное и по цене, и по реализации решение, если нет необходимости в создании видеоконференций, – создание резервной модемной сети связи. По моему мнению, даже в простой маленькой сетке должен быть на сервере модем, например, на случай передачи срочной почты, если упадёт основной канал подключения к Интернету.

Замечание: в недавние времена в столице, когда подключиться по выделенной линии было дорого, многие создавали домашние локальные сети, скидывались на один общий телефон и безлимитный dial-up-интернет. Получалось медленно, но всё же лучше, чем ничего, для почты и ICQ вполне хватало на несколько человек.

Во многих корпоративных сетях, если пропускная способность подключения к Интернету мала и не предвидится её увеличения, многие пользователи на своих рабочих местах имеют модемы, предпочитая соединяться по dial-up, когда общий интернет-доступ совсем не работает [5, стр. 208-209]. Если в организации имеется централизованная политика безопасности, контролируются все подключения к Интернету, то такого быть не должно. Злоумышленники и так постоянно пытаются обойти средства защиты, а тут появляется удобная лазейка для них. Зачем пытаться взломать МЭ снаружи, когда можно с большой лёгкостью взломать внутреннего модемного пользователя, установить у него cниффер и получить пароли для доступа к МЭ. Конечно, есть пользователи, которые могут настроить свой персональный МЭ для модема не хуже общего, но согласитесь, что это скорее исключение.

Случаев неконтролируемого применения модемов довольно много, многие из них описаны в литературе, в частности А.Лукацкий [5] пишет: «В процессе проведения аудита безопасности в одном из московских банков было обнаружено несколько компьютеров, к которым были подключены модемы. В процессе разбирательств выяснилось, что только на одном из компьютеров применение модема было «узаконено» (для доступа к обновлениям баз данных юридической консультационной системы). Другие модемы были установлены сотрудниками, которые использовали их для доступа в Интернет в обход МЭ локальной сети банка. В одном случае на компьютере с подключённым модемом была найдена программа pcAnywhere, которая позволяла сотруднику работать с конфиденциальными данными из собственного дома».

Всё это говорит о том, что если системный администратор или администраторы не успевают за новыми и старыми техническими решениями, то за них это делают пользователи. В конкретном примере выше это «отставание» было в вопросах организации резервной сети связи, выделения более широкого канала доступа к Интернету и организации безопасного удалённого доступа. Нередко администраторы вообще не знают о том, что определённые виды трафика разумнее делать более приоритетными по сравнению с другими. (Например, с помощью битов поля TOS в заголовках IP-пакетов.)

Чтобы такого не происходило и администратор был всегда «на высоте», рассмотрим несколько вопросов, связанных с использованием модемов.