Брандмауер повинен бути вибраний відповідальним за мережеві сервіси, він же відповідає за його супровід. Решта всіх форм доступу до Інтернету (такі як модеми) з мережі організації, або мереж, підключених до мережі організації, повинні бути заборонені.
Всі користувачі, яким потрібний доступ до Інтернету, повинні робити це за допомогою схвалених організацією програм і через шлюзи з Інтернетом.
Співробітник відділу автоматизації
Всі брандмауери при аварійному завершенні повинні робити неможливим
доступ ні до яких сервісів, і вимагати прибуття адміністратора брандмауера для відновлення доступу до Інтернету. Маршрутизація джерела повинна бути заборонена на всіх брандмауерах і зовнішніх маршрутизаторах.Брандмауер повинен відкидати трафік із зовнішніх інтерфейсів, який має такий вигляд, ніби він прибув з внутрішньої мережі. Брандмауер повинен вести детальні системні журнали всіх сеансів, щоб їх можна було проглянути на предмет виявлення нештатних ситуацій в роботі. Для зберігання журналів повинні використовуватися такий носій і місце зберігання, щоб доступ до них обмежувався тільки довіреним персоналом. Брандмауери повинні тестуватися перед початком роботи і перевірятися на предмет правильності конфігурації. Брандмауер повинен бути конфігурований так, щоб він був прозорий для з'єднань, що виходять. Всі вхідні з'єднання повинні перехоплюватися і пропускатися через брандмауер, якщо тільки осоружне рішення явно не ухвалене відповідальним за мережеві сервіси.
Повинна постійно вестися докладна документація на брандмауер і зберігатися в безпечному місці. Така документація повинна включати як мінімум схему мережі організації з IP-адресами всіх мережевих пристроїв, IP-адреса машин у провайдера Інтернету, таких як зовнішні сервера новин, маршрутизатори, DNS-сервера і так далі, і інші параметри конфігурації, такі як правила фільтрації пакетів і так далі Така документація повинна оновлюватися при зміні конфігурації брандмауера.
Середній ризик
Користувач
Для видаленого доступу до внутрішніх систем організації потрібна посилена аутентифікація за допомогою одноразових паролів і смарт-карт.
Начальник відділу
Адміністратори брандмауера і інші керівники, відповідальні за комп'ютерну
безпеку, повинні регулярно переглядати політику мережевої безпеки (не рідше ніж раз на три місяці). При зміні вимог до роботи в мережі і мережевих сервісів політика безпеки повинна бути оновлена і затверджена наново. При необхідності внесення змін адміністратора брандмауера відповідає за реалізацію змін на брандмауері і модифікацію політики.
Структура і параметри внутрішньої мережі організації не повинні бути видимі із-за брандмауера.
Співробітник відділу автоматизації
Брандмауер повинен бути конфігурований так, щоб за умовчанням всі сервіси, які не дозволені, були заборонені. Повинен проводитися регулярний аудит його журналів на предмет виявлення спроб проникнення або невірного використання Інтернету. Брандмауер винен практично відразу повідомляти системного адміністратора при виникненні ситуації, що вимагає його негайного втручання, такий як проникнення в мережу, відсутність місця на диску і так далі
Брандмауер повинен працювати на спеціальному комп'ютері - всі програми, що не відносяться до брандмауера, такі як компілятори, редактори, комунікаційні програми і так далі, повинні бути видалені або доступ до них повинен бути заблокований.
Високий ризик
Користувач
Використання Інтернету в особистих цілях з систем організації заборонене. Весь доступ до Інтернету протоколюється. Співробітники, що порушують дану політику, будуть покарані. Ваш браузер був конфігурований так, що доступ до ряду сайтів заборонений. Про всі спроби дістати доступ до цих сайтів доповість вашому начальникові.
Начальник відділу
Використання Інтернету в особистих цілях з систем організації заборонене. Весь доступ до Інтернету протоколюється.
Співробітники, що порушують дану політику, будуть покарані.
6.20. Приклади специфічних політик для окремих сервісів
З'єднання з Інтернетом робить доступними для внутрішніх користувачів різноманітні сервіси, а для зовнішніх користувачів - велике число машин в організації. Повинна бути написана політика (на основі аналізу і обліку виду діяльності організації і завдань, що стоять перед нею), яка чітко і ясно визначає, які сервіси дозволено використовувати, а які - заборонено, як для внутрішніх, так і для зовнішніх користувачів.
Є велике число Інтернетівських сервісів. У 4 розділі описувалися найпопулярніші сервіси, такі як FTP, telnet, HTTP і так далі Інші популярні сервіси стисло описані тут.r-команды BSD Unix, такі як rsh, rlogin, rcp і так далі, призначені для виконання команд користувачами Unix-систем на видалених ситсемах. Більшість їх реалізацій не підтримують аутентифікації або шифрування і є дуже небезпечними при їх використанні через інтернет.
Протокол поштового відділення (POP) - це протокол клієнт-сервер для отримання електронної пошти з сервера. POP використовує TCP і підтримує одноразові паролі для аутентифікації (APOP). POP не підтримує шифрування - читані листи можна перехопити.Протокол читання мережевих новин (NNTP) використовує TCP і є протоколом з багатоетапною передачею інформації. Хоча NNTP відносно простий, недавно мали місце ряд атак на поширені програми NNTP. NNTP-сервера не повинні працювати на тій же машині, що і брандмауер. Замість цього треба використовувати наявні стандартні проксі-сервіси для NNTP.
Finger і whois виконують схожі функції. Finger використовується для отримання інформації про користувачів системи. Часто він дає більше інформації, чим це необхідно - в більшості організацій finger повинен бути відключений або його використання повинне бути обмежене за допомогою брандмауера. Whois дуже схожий на нього і повинен бути також відключений або обмежений.
Протоколи видаленого друку в Unix lp і lpr дозволяють хостам друкувати, використовуючи принтери, приєднані до інших хостам. Lpr - це протокол з використанням черги запитів на друк, а lp використовує rsh для цього. Зазвичай їх обох варто відключити за допомогою брандмауера, якщо тільки його виробник не зробив проксі-сервера для них.
Мережева файлова система (NFS) дозволяє робити дискові накопичувачі доступними для користувачів і систем в мережі. NFS використовує дуже слабку форму аутентифікації і вважається небезпечним при використанні його