Безопасность Internet

енки    их
потребности в  этих  службах,  а  также  степени  риска.
Подобный подход непосредственно осложняет  пользователям
жизнь,  в  результате  чего  многие   из   них   считают
брандмауэры помехой в работе.
   Во втором  случае  эту  же  реакционную  роль  играет
системный   администратор,    который    обязан    уметь
предвидеть,  какие   действия,   сетевых   пользователей
способные ослабить  надежность  брандмауэра,  и  принять
соответствующие меры для предотвращения таких попыток. В
результате    данного     подхода     конфликт     между
администратором брандмауэра и пользователями развивается
по нарастающей и может  стать  действительно  серьезным.
Если   пользователи    не    осознают    важности    мер
предосторожности в плане обеспечения безопасности сети и
не выполняют их, они зачастую способны подвергнуть риску
всю сеть. Если пользователи при входе в систему  (login)
будут получать неограниченный доступ  к  брандмауэру,  в
системе  безопасности  сети  может  возникнуть   большая
брешь. Вообще говоря, наличие пользовательских входов  в
брандмауэрную систему  имеет  тенденцию  в  значительной
мере увеличивать проблему сохранности системы.

   Вторая  важнейшая  формулировка  в  области  политики
безопасности гласит: "Что не было специально  запрещено,
то разрешено" Такой  подход  наиболее  надежен,  ибо  он
освобождает системного администратора  от  необходимости
принимать решения, какие TCP—порты безопасны  или  какие
еще бреши оставили  в  системе  производители  ядра  или
программ.  (TCP   —   протокол   транспортного   уровня,
применяемый  в   Internet   для   организации   надежной
двусторонней  доставки  данных,   используемый   многими
прикладными  программами  TCP/IP).  Поскольку   продавцы
вовсе не спешат обнародовать изъяны своего  программного
обеспечения, данный  подход  более  эффективен,  ибо,  в
сущности, в основе его лежит утверждение, что  абсолютно
все, чего вы не знаете, может нанести вам вред.


                       Уровень опасности

      Существует несколько  путей  свести  на  нет  либо
подвергнуть риску брандмауэрную защиту. И хотя  они  все
плохи, о некоторых можно с уверенностью говорить  как  о
самых неприятных. Исходя из того, что  основной    целью
установки большинства брандмауэров является блокирование
доступа, очевидно, что обнаружение    кем-либо  лазейки,
позволяющей проникнуть в систему, ведет к полному  краху
всей защиты данной системы. Если же несанкционированному
пользователю   удалось   проникнуть   в   брандмауэр   и
переконфигурировать  его,  ситуация  может  принять  еще
более  угрожающий  характер.   В   целях   разграничения
терминологии примем, что в первом случае мы  имеем  дело
со взломом брандмауэрной защиты, а во втором — с  полным
ее разрушением. Степень ущерба, который может повлечь за
собой  разрушение   брандмауэрной   защиты,   определить
невероятно сложно. Наиболее полные сведения о надежности
такой защиты может дать только информация о предпринятой
попытке  взлома,  собранная  этим  брандмауэром.   Самое
плохое происходит с системой защиты именно тогда,  когда
при  полном  разрушении  брандмауэра  не   остается   ни
малейших следов, указывающих на то, как это происходило.
В лучшем  же  случае  брандмауэр  сам  выявляет  попытку
взлома и вежливо  информирует  об  этом  администратора.
Попытка при этом обречена на провал.
      Один  из  способов  определить  результат  попытки
взлома брандмауэрной защиты — проверить состояние  вещей
в так называемых зонах риска. Если сеть  подсоединена  к
Internet без брандмауэра, объектом нападения станет  вся
сеть. Такая ситуация сама по себе не  предполагает,  что
сеть становится  уязвимой  для  каждой  попытки  взлома.
Однако если  она  подсоединяется  к  общей  небезопасной
сети, администратору придется обеспечивать  безопасность
каждого узла отдельно.  В  случае  образования  бреши  в
брандмауэре зона  риска  расширяется  и  охватывает  всю
защищенную сеть. Взломщик, получивший доступ к  входу  в
брандмауэр, может прибегнуть к методу "захвата островов"
и,  пользуясь  брандмауэром  как  базой,  охватить   всю
локальную сеть. Подобная ситуация  все  же  даст  слабую
надежду,  ибо  нарушитель   может   оставить   следы   в
брандмауэре, и его  можно  будет  разоблачить.  Если  же
брандмауэр полностью выведен из  строя,  локальная  сеть
становится  открытой  для  нападения  из  любой  внешней
системы,  и  определение   характера   этого   нападения
становится практически невозможным.
      В общем, вполне возможно рассматривать  брандмауэр
как  средство  сужения  зоны  риска   до   одной   точки
повреждения. В определенном смысле это может  показаться
совсем не такой уж  удачной  идеей,  ведь  такой  подход
напоминает  складывание  яиц  в  одну  корзину.   Однако
практикой подтверждено, что любая довольно крупная  сеть
включает, по меньшей мере, несколько узлов, уязвимых при
попытке взлома даже не очень сведущим нарушителем,  если
у него достаточного для этого  времени.  Многие  крупные
компании имеют на  вооружении  организационную  политику
обеспечения безопасности узлов, разработанную  с  учетом
этих недостатков. Однако было  бы  не  слишком  разумным
целиком полагаться исключительно на  правила.  Именно  с
помощью брандмауэра  можно  повысить  надежность  узлов,
направляя  нарушителя  в  такой   узкий   тоннель,   что
появляется реальный шанс выявить  и  выследить  его,  до
того  как   он   наделает   бед.   Подобно   тому,   как
средневековые  замки  обносили  несколькими  стенами,  в
нашем случае создается взаимоблокирующая защита.


                                 Почему брандмауэр?
     Через Internet нарушитель может:
 . вторгнуться во внутреннюю сеть предприятия и получить
   несанкционированный   доступ    к    конфиденциальной
   информации;
 . незаконно скопировать важную и ценную для предприятия
   информацию;
 . получить пароли,  адреса  серверов,  а  подчас  и  их
   содержимое;
 . входить  в  информационную  систему  предприятия  под
   именем зарегистрированного пользователя и т.д.
      С помощью  полученной  злоумышленником  информации
может  быть  серьезно  подорвана   конкурентоспособность
предприятия и доверие его клиентов.
       Существует много видов защиты в сети, но наиболее
  эффективный  способ  зашиты  объекта   от   нападения,
одновременно позволяющий  пользователям иметь  некоторый
доступ к  службам  Internet,  заключается  в  построении
брандмауэра.    Чтобы    брандмауэр    был    достаточно
эффективным,   необходимо   тщательно     выбрать    его
конфигурацию, установить и поддерживать.
        Брандмауэры  представляют  собой   аппаратно   -
программный подход, который ограничивает доступ за  счет
принудительного прокладывания всех коммуникаций,  идущих
из внутренней сети в Internet, из Internet во внутреннюю
сеть, через это средство защиты.  Брандмауэры  позволяют
также защищать часть вашей внутренней сети от  остальных
её  элементов.   Аппаратные   средства   и   программное
обеспечение,  образующие  брандмауэр,   фильтруют   весь
трафик и принимают решение:  можно  ли  пропустить  этот
трафик  –  электронную   почту,   файлы,   дистанционную
регистрацию     и    другие    операции.     Организации
устанавливают    конфигурацию    брандмауэров    разными
способами. На некоторых объектах  брандмауэры  полностью
блокируют доступ в  Internet  и  из  неё,  а  на  других
ограничивают  доступ  таким  образом,  что  только  одна
машина или пользователь может соединяться через Internet
   с  машинами  за  пределами  внутренней  сети.  Иногда
реализуются  более  сложные  правила,  которые  включают
проверку каждого сообщения, направленного  из  внутренне
сети   во  внешнюю,  чтобы   убедится   в   соответствии
конкретным    требованиям     стратегии      обеспечения
безопасности    на   данном   объекте.    Несмотря    на
эффективность  в  целом,  брандмауэр   не   обеспечивает
защиту от собственного персонала или от  злоумышленника,
уже преодолевшего это средство сетевой защиты.


                Межсетевой экран как средство от вторжения из
                                  Internet
      Ряд задач по отражению  наиболее  вероятных  угроз
для внутренних сетей способны решать межсетевые  экраны,
В  отечественной  литературе   до   последнего   времени
использовались  вместо  этого  термина  другие   термины
иностранного происхождения: брандмауэр и  firewall.  Вне
компьютерной сферы брандмауэром (или firewall)  называют
стену,   сделанную    из    негорючих    материалов    и
препятствующую   распространению   пожара.    В    сфере
компьютерных сетей межсетевой экран  представляет  собой
барьер, защищающий  от  фигурального  пожара  -  попыток
злоумышленников вторгнуться во внутреннюю сеть для того,
чтобы скопировать, изменить или стереть информацию  либо
воспользоваться  памятью  или  вычислительной  мощностью
работающих в этой  сети  компьютеров.  Межсетевой  экран
призван обеспечить безопасный доступ к  внешней  сети  и
ограничить доступ  внешних  пользователей  к  внутренней
сети.
      Межсетевой экран (МЭ)  -  это  система  межсетевой
защиты. позволяющая разделить общую сеть  на  две  части
или  более  и  реализовать  набор  правил,  определяющих
условия прохождения пакетов с данными через  границу  из
одной части  общей  сети  в  другую.  Как  правило,  эта
граница проводится между корпоративной (локальной) сетью
предприятия и глобальной сетью Internet, хотя  ее  можно
провести и внутри  корпоративной  сети  предприятия.  МЭ
пропускает через себя весь трафик, принимая для  каждого
проходящего  пакета  решение  -   пропускать   его   или
отбросить. Для того чтобы МЭ  мог  осуществить  это  ему
необходимо определить набор правил фильтрации.
      Обычно межсетевые экраны защищают внутреннюю  сеть
предприятия от "вторжений" из г

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно