4.5.4. Модемы
4.5.4.1. Модемные каналы должны быть управляемы
Хотя они обеспечивают удобный доступ пользователей к узлу, они могут также предоставить удобный обход firewall'а узла. По этой причине важно поддерживать соответствующий контроль использования модемов.
Не позволяйте пользователям устанавливать модем без соответствующей авторизации. Это включает даже временную инсталляцию (например, включение модема в факсимильную или телефонную линию на ночь). Регистрируйте и отслеживайте состояние всех модемных линий. Проводите регулярные (в идеале автоматические) проверки узла на наличие неавторизованных модемов.
4.5.4.2. Дозванивающиеся пользователи должны быть аутентифицированы
Проверка имени пользователя и пароля должна завершаться до того как пользователь получит доступ к чему-либо в сети. Соображения о нормальной безопасности паролей особенно важны (смотри раздел 4.1.1).
Запомните, что телефонные линии могут быть снабжены отводами, и что достаточно легко перехватывать сообщения, посылаемые на сотовый телефон. Современные высокоскоростные модемы используют более изощренные методики модуляции, которые делают трудным их мониторирование, но разумно предположить, что хакеры знают, как прослушать ваши каналы. По этой причине, вам следует использовать одноразовые пароли.
Полезно создать один пункт коммутации (например, один большой модемный пул), так что все пользователи аутентифицируются идентичным образом.
Пользователи часто случайно ошибаются при вводе паролей. Установите малую задержку — скажем две секунды — после первой и второй неудачной авторизации, и осуществляйте разрыв соединения после третей неудачи. Это замедлит автоматизированные атаки паролей. Не сообщайте пользователю, что оказалось причиной неудачи: имя пользователя, пароль или оба эти ввода.