Воспользуйтесь поиском к примеру Реферат        Грубый поиск Точный поиск
Вхід в абонемент


Интернет реклама УБС






МЕТОДЫ ЗАЩИТЫ ЛОКАЛЬНЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ ОТ несанкционированного доступа СНАРУЖИ

3.1 Программно - аппаратные методы защиты по сети INTERNET

К программно-аппаратных средств обеспечения информационной безопасности средств связи в вычислительных сетях относятся:

  1. аппаратные шифраторы сетевого графика
  2. методика Firewall, реализуемая на базе программно-аппаратных средств
  3. защищенные сетевые криптопротоколов
  4. программно-аппаратные анализаторы сетевого графика
  5. защищенные сетевые системы.

Опишем данные средства защиты, применяемые в сети Internet. Во-первых, обратим внимание на ошибочную точку зрения относительно мысли о "абсолютную защиту", якобы обеспечивают системы Firewall, во-вторых, сравним существующие версии криптопротоколов, применяемых в Internet, и дадим оценку, критическом положению в этой области, и, по В-третьих, ознакомимся с возможностью защиты с помощью сетевого монитора безопасности, предназначенного для осуществления динамического контроля за возникающими ситуациями в сегменте IP-сети, защищаемого свидетельствующие об осуществлении на данный сегмент одной из удаленных атак.

3.2 Основная методика программно-аппаратного средства безопасности в выделенном сегменте сети-INTERNET

В общем случае методика Firewall реализует следующие основные три функции:

1 Многоуровневая фильтрация сетевого трафика.

Фильтрация обычно осуществляется на трех уровнях OSI:

*

сетевом (IP) *

транспортном (TCP, UDP) *

прикладном (FTP, TELNET, HTTP, SMTP и т.д.).

Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующему службам хостов или к хостам, находящихся в сегменте, защищаемой, так и доступ пользователей из внутренней сети к соответствующему ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объект объектов в соответствии с заданным администратором правами доступа. Те же соображения применимы к Firewall-фильтрации: как субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а как объекты, доступ к которым необходимо разграничить, - IP-адреск хостов, используемые транспортные протоколы и службы предоставления удаленного доступа. < /p>

2 Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall - хосте.

Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания частных сетей с виртуальными IP-адресами. Содержание proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. Полномочный) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.

3. Создание частных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation).

В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания частной сети (PVN-сеть). Хостам в PVN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, или применение специальных систем роутинга (маршрутизации), только через который и возможна внешняя адресация. Это происходит из-за того, что используемая во внутренней PVN-сети виртуальная IP-адрес, видимо, не пригодна для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами PVN-сети). Том или proxy-сервер средство роутинга должен осуществлять связь с абонентами из внешней сети со своей истинной IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одной выделенной IP -адрес proxy-сервера).

Любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает использовать в качестве Firewall - хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы, сделанные на базе ЭВМ или мичи-ЭВМ, обычно реализуют все функции Firewall-методики и есть полно функциональными системами Firewall. На следующем рисунке изображен сегмент сети, отделенный от внешней сети полно функциональным Firewall - хостом.

Однако администраторам IP-сетей, поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот счет, что Firewall это гарантия абсолютной защиты от удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности, сколько возможность централизованно осуществлять сетевую политику разграничения удаленного доступа к доступным ресурсам вашей сети Так, в том случае, если, например, к данному хосту запрещен удаленный TELNET-доступ, то Firewall однозначно предотвратит возможность данного доступа. Но дело в том, что большинство удаленных атак имеют совершенно другие цели (бессмысленно пытаться получить определенный вид доступа, если он запрещен системой Firewall). Действительно, зададим себе вопрос, а какие удаленных атак может предотвратить Firewall? Анализ сетевого трафика? Ложный ARP-сервер? Ложный DNS-сервер? Нет, к сожалению, Firewall вам тут не помощник. Навязывание ложного маршрута при помощи протокола ИСМР? Так, эту атаку путем фильтрации ИСМР-сообщений Firewall легко отразит (хотя достаточно будет фильтрующего маршрутизатора, например Cisco). Подмена одного из субъектов TCP-соединение? Ответ отрицательный; Firewall тут абсолютно не при чем. Нарушение работоспособности хоста путем создания направленного шторма ложных запросов или переполнения очереди запросов? В этом случае применение Firewall только ухудшит все дело. Атакующему для того, чтобы вывести из строя (отрезать от внешнего мира) все хосты внутри защищенного Firewall-системой сегмента, достаточно атаковать только один Firewall, а не несколько хостов (это легко объясняется тем, что связь внутренних хостов с внешним миром возможен только через Firewall).

Из всего вышесказанного отнюдь не следует, что использование систем Firewall абсолютно бессмысленно. Нет, на данный момент этой методике нет альтернативы. Однако надо четко понимать и помнить ее основное назначение. Нам представляется, что применение методики Firewall для обеспечения сетевой безопасности является необходимым, но отнюдь не достаточным условием, и не нужно считать, что, поставив Firewall, вы вместе решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных атак из сети

Internet. Прогнила с точки зрения безопасности сеть Internet никаким отдельно взятым Firewall'oM не защитишь!

3.3 Программные методы защиты, в сети INTERNET

К программных методов защиты в сети Internet можно отнести прежде защищены криптопротоколов, с использованием которых появляется возможность надежной защиты


Страницы: 1 2 3 4