Безопасность Internet

   хост-компьютером,   имя   которого
   должно быть известно внешним системам.
 . Надежная аутентификация и регистрация. Прикладной
   трафик может быть аутентифицирован, прежде чем он
   достигнет внутренних  хост-компьютеров,  и  может
   быть  зарегистрирован  более  эффективно,  чем  с
   помощью стандартной .регистрации.
 .   Оптимальное   соотношение   между    ценой    и
   эффективностью.   Дополнительные  или  аппаратные
   средства для аутентификации или регистрации нужно
   устанавливать только на шлюзе прикладного уровня.

 .   Простые   правила   фильтрации.   Правила    на
   фильтрующем  маршрутизаторе   оказываются   менее
   сложными, чем они были бы, если бы  маршрутизатор
   сам фильтровал прикладной трафик и отправлял  его
   большому числу внутренних  систем.  Mapшрутизатор
   должен     пропускать     прикладной      трафик,
   предназначенный  только  для   шлюза  прикладного
   уровня, и блокировать весь остальной трафик.
 .  Возможность организации большого числа проверок.
   Защита    на    уровне    приложений    позволяет
   осуществлять  большое  количество  дополнительных
   проверок,  что  снижает  вероятность   взлома   с
   использованием "дыр" в программном обеспечении.
                   К недостаткам шлюзов прикладного уровня
                                 относятся:
 . более низкая производительность  по  сравнению  с
   фильтрующими маршрутизаторами; в  частности,  при
   использовании клиент-серверных протоколов,  таких
   как TELNET, требуется двухшаговая  процедура  для
   входных и выходных соединений;
 .  Более   высокая   стоимость   по   сравнению   с
   фильтрующим маршрутизатором
  Помимо TELNET  и  FTP  шлюзы  прикладного  уровня
обычно используются для электронной почты, Х Windows
и некоторых других служб.

                          Усиленная аутентификация
      Одним    из   важных   компонентов   концепции
межсетевых экранов является аутентификация (проверка
подлинности пользователя). Прежде  чем  пользователю
будет предоставлено право воспользоваться,  тем  или
иным  сервисом,   необходимо   убедиться,   что   он
действительно тот, за кого себя выдает.
  Одним   из   способов   аутентификации   является
использование стандартных UNIX-паролей.  Однако  эта
схема наиболее уязвимо с точки зрения безопасности -
пароль может быть перехвачен  и  использован  другим
лицом. Многие инциденты в  сети  Internet  произошли
отчасти  из-за  уязвимости   традиционных   паролей.
Злоумышленники могут наблюдать за  каналами  в  сети
Internet и перехватывать передающиеся в них открытым
текстом  пароли,  поэтому  схему  аутентификации   с
традиционными паролями следует признать устаревшей.
  Для преодоления этого недостатка  разработан  ряд
средств   усиленной   аутентификации;   смарт-карты,
персональные жетоны, биометрические механизмы и т.п.
Хотя   в   них   задействованы   разные    механизмы
аутентификации,  общим  для  них  является  то,  что
пароли, генерируемые этими  устройствами,  не  могут
быть повторно использованы нарушителем,  наблюдающим
за  установлением  связи.   Поскольку   проблема   с
паролями  в  сети  Internet   является   постоянной,
межсетевой  экран  для  соединения  с  Internet,  не
располагающий  средствами  усиленной  аутентификации
или не использующий их, теряет всякий смысл .
  Ряд   наиболее   популярных   средств   усиленной
аутентификации,  применяемых  в   настоящее   время,
называются  системами   с   одноразовыми   паролями.
Например,  смарт–карты  или  жетоны   аутентификации
генерируют   информацию,   которую    хост-компьютер
использует вместо традиционного  пароля  Результатом
является одноразовый пароль, который, даже  если  он
будет  перехвачен,   не   может   быть   использован
злоумышленником   под   видом    пользователя    для
установления сеанса с хост- компьютером.
  Так как межсетевые  экраны  могут  централизовать
управление доступом в сети, они являются  подходящим
местом  для   установки   программ   или   устройств
усиленной аутентификации.  Хотя  средства  усиленной
аутентификации     могут      использоваться      на
каждом   хост-компьютере,   более    практично    их
размещение на межсетевом экране. На  рис.  показано,
что в сети  без  межсетевого  экрана,  использующего
меры усиленной аутентификации, неаутентифицированный
трафик таких приложений, как TELNET или FTP,   может
  напрямую   проходить    к    системам    в   сети.
Если   хост-компьютеры не  применяют  мер  усиленной
аутентификации,   злоумышленник   может   попытаться
взломать пароли или  перехватить  сетевой  трафик  с
целью найти в нем сеансы, в ходе которых  передаются
пароли.

                              Неаутентифицированный
         Аутентифицированный
  Трафик      TELNET      и      FTP
                     трафик TELNET и
FTP



Межсетевой экран
                                                  с
усиленной

аутентификацией



      На рисунке показана также  сеть  с  межсетевым
экраном, использующим  усиленную  аутентификацию.  В
этом случае сеансы TELNET или  FTP,  устанавливаемые
со стороны сети Internet с  системами  сети,  должны
проходить  проверку  с  помощью  средств   усиленной
аутентификации,  прежде  чем  они  будут  разрешены,
Системы  сети  могут  запрашивать   для   разрешения
доступа и статические пароли, но  эти  пароли,  даже
если они будут перехвачены  злоумышленником,  нельзя
будет использовать  ,  так  как  средства  усиленной
аутентификации  и  другие   компоненты   межсетевого
экрана  предотвращают  проникновение  злоумышленника
или обход ими межсетевого экрана.

              Основные схемы сетевой защиты на базе межсетевых
                                   экранов

  При подключении корпоративной или локальной  сети
к    глобальным    сетям    администратор    сетевой
безопасности должен решать следующие задачи:
 .  защита  корпоративной  или  локальной  сети   от
   несанкционированного    доступа    со     стороны
   глобальной сети;
 .  скрытие  информации  о  структуре  сети   и   ее
   компонентов от пользователей глобальной сети,
 .  разграничение  доступа  в  защищаемую  сеть   из
   глобальной сети и из защищаемой сети в глобальную
   сеть.
Необходимость  работы  с  удаленными  пользователями
требует  установки  жестких  ограничений  доступа  к
информационным ресурсам защищаемой  сети.  При  этом
часто возникает потребность в организации в  составе
корпорационной  сети нескольких сегментов с  разными
уровнями защищенности
 . свободно доступные сегменты (например,  рекламный
   WWW-сервер),
 . сегмент с ограниченным  доступом  (например,  для
   доступа  сотрудникам  организации   с   удаленных
   узлов),
 . закрытые сегменты (например, локальная финансовая
   сеть организации) .
Для  защиты   корпоративной   или   локальной   сети
применяются  следующие  основные  схемы  организации
межсетевых экранов:
 . межсетевой экран -  фильтрующий маршрутизатор;
 . межсетевой экран на основе двупортового шлюза;
 . межсетевой экран на основе экранированного шлюза;
 . межсетевой экран – экранированная подсеть.



                Межсетевой экран – фильтрующий маршрутизатор
  Межсетевой  экран,   основанный   на   фильтрации
пакетов, является самым распространенным и  наиболее
простым в реализации.  Он  состоит  из  фильтрующего
маршрутизатора,  расположенного   между   защищаемой
сетью  и  сетью  Internet  (рис.  8.6).  Фильтрующий
маршрутизатор сконфигурирован для  блокирования  или
фильтрации входящих и исходящих  пакетов  на  основе
анализа их адресов и портов. Компьютеры, находящиеся
в  защищаемой  сети,  имеют  прямой  доступ  в  сеть
Internet, в то время как большая часть доступа к ним
из Internet  блокируется.  Часто  блокируются  такие
опасные службы, как Х Windows, NIS и NFS. В принципе
фильтрующий маршрутизатор может реализовать любую из
политик безопасности, описанных ранее.  Однако  если
маршрутизатор не фильтрует пакеты по порту источника
и номеру входного и выходного порта,  то  реализация
политики "запрещено все, что не  разрешено  в  явной
форме" может быть затруднена.


Локальная сеть



  Межсетевые  экраны,  основанные   на   фильтрации
пакетов,  имеют   такие   же   недостатка,   что   и
фильтрующие маршрутизаторы,  причем  эти  недостатки
становятся   более   ощутимыми    при    ужесточении
требований к безопасности защищаемой  сети.  Отметим
некоторые из них:
 . сложность правил фильтрации, в некоторых  случаях
   совокупность    этих    правил    может     стать
   неуправляемой;
 .   невозможность   полного   тестирования   правил
   фильтрации; это приводит к незащищенности сети от
   не протестированных атак;
в  результате  администратору   трудно   определить,
подвергался     ли     маршрутизатор     атаке     и
скомпрометирован ли он;
 .  каждый   хост-компьютер,   связанный   с   сетью
   Internet, нуждается в своих  средствах  усиленной
   аутентификации.


                    Межсетевой   экран    на    базе
двупортового шлюза
  Межсетевой экран на базе двупортового прикладного
шлюза  включает  двудомный  хост-компьютер  с  двумя
сетевыми интерфейсами. При передаче информации между
этими   интерфейсами   и   осуществляется   основная
фильтрация. Для  обеспечения  дополнительной  защиты
между прикладным  шлюзом  и  сетью  Internet  обычно
размещают  фильтрующий  маршрутизатор  (рисунок).  В
результате между прикладным шлюзом и маршрутизатором
образуется внутренняя  экранированная  подсеть.  Эту
подсеть можно использовать для размещения  доступных
извне информационных серверов .
  Фильтрующий
  маршрутизатор



  В  отличие  от   схемы   межсетевого   экрана   с
фильтрующим    маршрутизатором    прикладной    шлюз
полностью блокирует трафик IР между сетью internet и
защищаемой  сетью.  Только  полномочные  сервера   -
посредники, распол

Пред. 6 7 8

скачать работу

Отправка СМС бесплатно