Узлы, подключенные к сети - в особенности к всемирной сети Интернет, - сталкиваются с большим числом проблем, связанных с безопасностью, нежели прочие. Система безопасности сети сокращает риск несанкционированного подключения.
Но по своей природе доступ к сети и компьютерная безопасность имеют прямо противоположные цели. Сеть - это скоростное шоссе, служащее для транспортировки данных и организации доступа к ним компьютерных систем, тогда как смысл безопасности заключен в управлении доступом к этим системам. Обеспечение сетевой безопасности - это процесс поиска равновесия между открытым доступом и безопасным доступом.
Аналогия со скоростным шоссе очень уместна. Подобно шоссе, сеть обеспечивает всех равным доступом - как желанных, так и незваных гостей. Находясь у себя дома, вы обеспечиваете безопасность собственности, запирая дверь, а не баррикадируя улицы. Точно так же сетевая безопасность требует принятия адекватных мер на уровне отдельных узлов. Недостаточно просто закрыть сеть брандмауэром.
В очень маленьких городках, где все люди знают друг друга, двери часто оставляют незапертыми. Однако в больших городах двери оборудуют замками и цепочками. Сеть Интернет из небольшого городка в несколько тысяч пользователей выросла в мегаполис с миллионами жителей. Как анонимность большого города превращает соседей в незнакомцев, так рост сети Интернет сократил уровень доверия между соседями по сети. И постоянно растущая потребность в компьютерной безопасности - неприятный побочный эффект такой ситуации. Рост, тем не менее, имеет и преимущества. Большой город дает больше свобод и предоставляет больше услуг, а растущая сеть - больше служб. Для большинства из нас мысли о безопасности - приемлемая цена за доступ к сети.
Взломы сетей с ходом времени учащаются и становятся обезличенными, но масштабы таких нарушений очень легко преувеличить. Помешательство на угрозе взлома может помешать использованию потенциала сети в полном объеме. Лекарство не должно быть хуже болезни. Лучший совет в разговоре о сетевой безопасности - используйте здравый смысл. Документ RFC 1244, на смену которому пришел RFC 2196, излагает данный принцип очень четко:
Здравый смысл - наиболее подходящий инструмент для определения политики безопасности. Детально проработанные механизмы и программы обеспечения безопасности производят впечатление и, разумеется, находят применение, однако нет особого смысла вкладывать деньги и тратить время на сложные схемы, если забываются простейшие методы управления.
В данной главе акцент сделан на простые методы, которые позволяют совершенствовать безопасность сети. В смысле реальных финансовых расходов и производительности наиболее эффективен подход к безопасности, основанный на потребностях конкретной системы.