Несколько лет назад я писала статью на этом сайте под названием Защита вашего ПКП. С тех пор мобильная безопасность шагнула далеко вперед, и ныне существующая операционная система Windows Mobile 6.1, новые версии серверов Windows и программное обеспечение сторонних производителей позволяют гораздо проще чем когда-либо обеспечить пользователей удобством современных смартфонов и подключением к сети компании с помощью мобильных устройств без риска взлома локальной сети. Однако все же остается множество трудностей с безопасностью по мере того, как мобильные устройства так стремительно распространяются. В этой статье мы сконцентрируемся на том, как защитить устройства Windows Mobile 6.1, а также рассмотрим некоторые проблемы, возникающие при использовании мобильных устройств не-Windows (таких как iPhone) в сети Windows.
Смартфоны, ПКП и прочие портативные устройства могут упрощать нашу жизнь, позволяя нам оставаться на связи с офисом, семьей и коллегами независимо от того, где мы находимся. Благодаря скоростным сетям 3G и возможностям wi-fi мы можем сохранять подключение и проверять почту, получать доступ к веб содержимому и т.д. без необходимости носить с собой ноутбуки. На самом деле, сегодняшние портативные устройства обладают такими же возможностями, какими настольные компьютеры обладали пару лет назад. Мой Samsung i760 Windows Mobile представляет собой полноценный Windows компьютер. Он оснащен 400 MГц процессором, 64 MB RAM и 128 MB ROM, 4 ГБ места на мини SDHC карте. Эти параметры превосходят параметры настольного компьютера, купленного мной в 1995 году за 3000 долларов.
Благодаря всей этой компьютерной мощи (буквально говоря) в наших ладонях, многие из нас проводят время, особенно те, кто путешествует, работая со своих телефонов. Мы можем использовать их для создания, редактирования и хранения документов Word и таблиц, читать файлы в формате PDF и получать доступ к другим файлам компании. Но это влечет за собой гораздо большую степень риска для безопасности, чем когда-либо. Мы можем не только обмениваться электронной почтой, содержащей уязвимую информацию, но мы также можем хранить конфиденциальные данные на своих устройствах, пароли для входа в сеть компании или на веб сайты.
Некоторые, присущие мобильным устройствам, угрозы безопасности включают:
Как и в случае с ноутбуками, мобильные устройства могут таить в себе особые угрозы безопасности, особенно когда сотрудникам разрешено подключаться со своих личных устройств к корпоративной сети. Июльские исследования 2008 года показали, что 89% респондентов используют свои собственные смартфоны или смартфоны компании для доступа к корпоративной почте или другой информации компании, и больше половины опрошенных сказали, что компании, которые не выдают сотрудникам рабочие смартфоны, должны позволять им получать доступ и хранить информацию компании на собственных смартфонах. (Smartphones opening up enterprise risks)
Это может обернуться катастрофой для ИТ персонала, если необходимо применять меры безопасности для множества различных типов оборудования и ПО. Если не использовать никаких ограничений, то можно оказаться в ситуации, когда вы пытаетесь обеспечить безопасный доступ различным версиям Windows Mobile, RIM Blackberries, Apple iPhones, Symbian устройствам, устройствам Palm и устройствам на базе Linux, таким как Google Android телефоны, выпуск которых ожидается в ближайшем будущем (выпуск HTC Dream намечен на осень).
Первым шагом должна стать разработка грамотной политики безопасности для управления использованием мобильных устройств в вашей сети. В вашей организации должны быть специальные политики для мобильных устройств; не пытайтесь применить простые общие политики безопасности. Также очень важно просвещать своих пользователей мобильных устройств в области проблем безопасности, включая физическую безопасность. Некоторые политики безопасности можно внедрять с помощью технологий, а другие зависят исключительно от грамотности пользователя.
Политики использования мобильных устройств должны затрагивать следующие области:
Нуждается ли мобильное устройство в брандмауэре и программах против вредоносного ПО? Стив Райли из компании Microsoft говорит «нет» для брандмауэров и «практически нет» для программ против вредоносного ПО. Он говорит о том, что задачей брандмауэра является блокирование слушающего сокета, а поскольку устройства Windows Mobile не имеют такового ‘ входящим является только тот трафик, который содержит ответы на ранее посланные запросы ‘ то использование брандмауэра будет бессмысленным. В настоящее время угрозы вредоносного ПО для мобильных устройств не очень велики, но он признает, что ситуация может кардинально измениться в будущем. Смотрите его интервью о безопасности Windows Mobile 6 в подробностях. Вам нужно будет зарегистрироваться на Windows Live, чтобы посмотреть видео.
Заметка: В этом же интервью, Стив также говорит, что сложные PIN коды опасны, поскольку существует вероятность того, что пользователи могут отвлекаться, когда будут разблокировать свои устройства во время вождения авто. Я не согласна с этим тезисом, так как для того чтобы ответить на звонок не нужно разблокировать телефон, а если вы собираетесь позвонить, то вам следует свернуть на обочину или воспользоваться системой hands-free.
Если мобильное устройство в вашей сети использует Windows Mobile 6.x, то оно защищено с помощью интегрированных механизмов защиты, которые включают следующее:
Диспетчер Microsoft’s System Center Mobile Device Manager может упростить управление большим количеством устройств Windows Mobile 6.1. Он интегрирован для работы с Active Directory/Group Policy и может обеспечивать безопасный, постоянно включенный VPN доступ с мобильного устройства. Администраторы контролируют устройства и могут отключать Bluetooth, инфракрасный передатчик, WLAN, POP/IMAP почту и встроенные камеры в целях повышения безопасности. Вы также можете включить полное шифрование файла, отслеживание данных для всех устройств, и выполнить немедленное удаленное шифрование в случае потери или кражи устройства (без необходимости ожидания того, чтобы устройство синхронизировалось с сервером).
Windows Mobile устройства построены, в своей основе, для сочетания с инфраструктурой сетей Microsoft и работают с Exchange, Office Communications Server, SharePoint, etc. в безопасном режиме. Однако неизбежна ситуация, в которой пользователи захотят подключить свои любимые устройства, такие как Apple iPhone, и ожидаемые в продаже Google Android, к корпоративной сети. В компаниях, где сотрудникам приходится покупать собственные телефоны (и эти затраты не оплачиваются компанией), многие будут выбирать себе устройство по внешнему виду или недорогие модели, использующие бесплатные ОС. Также существуют модели Symbian, Palm Treos использующие операционную систему Palm и Blackberries в сочетании. Поддержка такого количества различных платформ может обернуться кошмаром для безопасности.
В августе, был продемонстрирован основной недостаток в защите паролей устройства iPhone, благодаря которому можно с легкостью получать доступ к частной информации в почте, SMS-сообщениях, и контактах устройства, которое, как предполагается, заблокировано. Запрет компании Apple на загрузку ПО сторонних производителей, которое не выпускается самой компанией, может снизить возможность заражения вредоносным программным продуктом, но именно подключение к Web дает хакерам возможности осуществления атак, а популярность мобильных устройств может сделать их привлекательной целью для атак. Очень важно обновлять ПО устройства. Сентябрьское обновление прошивки (v2.1) исправляет различные уязвимости в безопасности, включая заражение DNS кэша, спуфинг TCP и удаленное выполнение случайного кода.
Устройства Android работают несколько иначе, и их можно использовать таким образом, чтобы на самом устройстве хранилось очень мало конфиденциальной информации или таковая не хранилась на нем вообще; вместо этого устройство получает доступ к приложениям предприятия через обозреватель. Это означает, что безопасность обозревателя является задачей первостепенной важности.
Распространение мобильных устройств в сегодняшних корпоративных средах делает жизнь более удобной для пользователей, но более сложной для ИТ администраторов, пытающихся защитить свои сети от угроз, которые могут представлять собой неуправляемые устройства пользователей, подключенных к этой сети. При помощи создания и внедрения политик безопасного использования мобильных устройств и четкого учета того, какие типы устройств разрешены, а также с помощью использования встроенных в устройства Windows Mobile 6.x технологий безопасности и функций, интегрированных в Microsoft Exchange Server 2007 и диспетчера System Center Mobile Device Manager, вы можете обеспечить доступ без риска для безопасности.
Источник www.windowsecurity.com
Tags: dns, Exchange, imap, linux, vpn