Защита информации компьютерных сетей

лом.

      Среди всего множества возможных схем подключения брандмауэров типовыми
являются следующие:

      - схема единой защиты локальной сети;

      - схема с защищаемой закрытой и не защищаемой открытой подсетями;

      - схема с раздельной зашитой закрытой и открытой подсетей.

      Схема единой зашиты локальной сети является наиболее простым решением,
при котором брандмауэр целиком экранирует  локальную  сеть  от  потенциально
враждебной  внешней  сети.  Между  маршрутизатором  и  брандмауэром  имеется
только один  путь,  по  которому  идет  весь  трафик.  Обычно  маршрутизатор
настраивается таким образом, что брандмауэр  является  единственной  видимой
снаружи машиной. Открытые серверы, входящие в локальную  сеть,  также  будут
защищены межсетевым  экраном.  Однако  объединение  серверов,  доступных  из
внешней  сети,  вместе  с  другими  ресурсами  защищаемой   локальной   сети
существенно снижает безопасность межсетевых взаимодействий.  Поэтому  данную
схему подключения брандмауэра  можно  использовать  лишь  при  отсутствии  в
локальной сети  открытых  серверов  или  когда  имеющиеся  открытые  серверы
делаются  доступными  из  внешней  сети  только  для   ограниченного   числа
пользователей, которым можно доверять.

      При наличии в составе локальной сети общедоступных  открытых  серверов
их целесообразно вынести как открытую подсеть до межсетевого экрана.  Данный
способ обладает более высокой защищенностью закрытой части  локальной  сети,
но обеспечивает пониженную безопасность открытых серверов, расположенных  до
межсетевого экрана. Некоторые брандмауэры позволяют разместить  эти  серверы
на себе. Но такое  решение  не  является  лучшим  с  точки  зрения  загрузки
компьютера и безопасности самого брандмауэра. Учитывая вышесказанное,  можно
сделать вывод, что  схему  подключения  брандмауэра  с  защищаемой  закрытой
подсетью  и  не  защищаемой   защищаемой  открытой  подсетью   целесообразно
использовать лишь при  невысоких  требованиях  по  безопасности  к  открытой
подсети.

      В случае же, когда  к  безопасности  открытых  серверов  предъявляются
повышенные  требования,  то  необходимо  использовать  схему  с   раздельной
защитой закрытой и открытой подсетей. Такая схема может  быть  построена  на
основе одного брандмауэра с тремя сетевыми интерфейсами или на  основе  двух
брандмауэров с  двумя  сетевыми  интерфейсами.  В  обоих  случаях  доступ  к
открытой  и  закрытой  подсетям  локальной  сети   возможен   только   через
межсетевой экран. При этом доступ к открыто сети  не  позволяет  осуществить
доступ к закрытой подсети.

      Из последних двух схем  большую  степень  безопасности  межсетевых  в:
действий обеспечивает схема с двумя брандмауэрами,  каждый  из  кс  образует
отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть  здесь
выступает в  качестве  экранирующей  подсети.  Обычно  экранирующая  подсеть
конфигурируется  таким  образом,  чтобы  o6ecпечить  доступ  к   компьютерам
подсети как из потенциально враждебной  внешней  сети,  так  и  из  закрытой
подсети локальной сети. Однако прямой обмен информационными  пакетами  между
внешней сетью и закрытой подсетью невозможен.

      При атаке системы с экранирующей подсетью  необходимо  преодолеть,  по
крайней мере, две независимые линии  зашиты,  что  является  весьма  сложной
задачей.  Средства  мониторинга  состояния  межсетевых  экранов  практически
неизбежно обнаружат подобную попытку, и администратор  системы  своевременно
предпримет  необходимые  действия  по  предотвращению   несанкционированного
доступа.

      Следует  обратить  внимание,  что  работа   удаленных   пользователей,
подключаемых через коммутируемые линии связи, также должна  контролироваться
в соответствии с политикой безопасности, проводимой в  организации.  Типовое
решение этой задачи — установка сервера  удаленного  доступа  1терминального
сервера),  который  обладает  необходимыми  функциональными   возможностями,
например, терминального сервера Annex компании  Bay  Networks.  Терминальный
сервер  является  системой  с  несколькими  асинхронными  портами  и   одним
интерфейсом локальной сети. Обмен информацией между асинхронными  портами  и
локальной сетью осуществляется только после  соответствующей  аутентификации
внешнего пользователя.

      Подключение терминального сервера должно осуществляться таким образом,
чтобы  его  работа  выполнялась  исключительно  через  межсетевой  эк  Это
позволит достичь  необходимой  степени  безопасности  при  работе  удаленных
пользователей с информационными  ресурсами  организации.  Такое  подключение
возможно, если терминальный сервер включить в состав or-крытой  подсети  при
использовании схем подключения брандмауэра с раздельной защитой  открытой  и
закрытой подсетей (рис- 2.20 и 2.21).

      Программное обеспечение  терминального  сервера  должно  предоставлять
возможности администрирования и контроля сеансов связи  через  коммутируемы;
каналы.  Модули   управления   современных   терминальных   серверов   имеют
достаточно продвинутые возможности обеспечения безопасности  самого  сервера
i разграничения доступа клиентов, выполняя следующие функции:

      - использование локального пароля на доступ к последовательному  порт
на  удаленный  доступ  по   протоколу   РРР,   а   также   для   доступа   к
административной консоли;

      -  использование  запроса  на  аутентификацию  с   какой-либо   машины
локальной сети;

      - использование внешних средств аутентификации;

      - установку списка контроля доступа на порты терминального сервера;

      - протоколирование сеансов связи через терминальный сервер.



      Настройка параметров функционирования брандмауэра.

      Межсетевой экран  представляет  собой  программно-аппаратный  комплекс
зашиты,  состоящий  из  компьютера,   а   также   функционирующих   на   нем
операционной системы (ОС) и специального программного  обеспечения.  Следует
отметить, что это специальное программное обеспечение часто  также  называют
брандмауэром.

      Компьютер  брандмауэра  должен  быть  достаточно  мощным  и  физически
защищенным,  например,  находиться  в  специально  отведенном  и  охраняемом
помещении. Кроме того, он должен иметь средства  защиты  от  загрузки  ОС  с
несанкционированного носителя.

      Операционная  система  брандмауэра  также  должна  удовлетворять  ряду
требований:

      - иметь средства разграничения доступа к ресурсам системы;

      - блокировать доступ к компьютерным ресурсам в обход  предоставляемого
программного интерфейса;

      - запрещать привилегированный доступ к  своим  ресурсам  из  локальной
сети;

      -  содержать  средства   мониторинга/аудита   любых   административных
действий.

      Приведенным требованиям удовлетворяют различные разновидности ОС UNIX,
а также Microsoft Windows  NT.  После  установки  на  компьютер  брандмауэра
выбранной операционной системы, ее  конфигурирования,  а  также  инсталляции
специального  программного  обеспечения   можно   приступать   к   настройке
параметров функционирования всего межсетевого экрана. Этот процесс  включает
следующие этапы:

      -  выработку  правил  работы  межсетевого  экрана  в  соответствии   с
разработанной политикой  межсетевого  взаимодействия  и  описание  правил  в
интерфейсе брандмауэра;

      - проверку заданных правил на непротиворечивость;

      - проверку соответствия параметров настройки брандмауэра разработанной
политике межсетевого взаимодействия.

      Формируемая на первом этапе  база  правил  работы  межсетевого  экрана
представляет  собой  формализованное   отражение   разработанной   политикой
межсетевого  взаимодействия.   Компонентами   правил   являются   защищаемые
объекты, пользователи и сервисы.

      В число защищаемых объектов могут входить обычные компьютеры  с  одним
сетевым   интерфейсом,   шлюзы   (компьютеры    с    несколькими    сетевыми
интерфейсами), маршрутизаторы, сети, области управления. Защищаемые  объекты
могут объединяться в группы. Каждый объект имеет набор атрибутов, таких  как
сетевой адрес, маска подсети и т. п. Часть  этих  атрибутов  следует  задать
вручную,  остальные  извлекаются  автоматически   из   информационных   баз,
например  NIS/NIS+,  SNMP   M1B,   DNS.   Следует   обратить   внимание   на
необходимость полного описания объектов, так как  убедиться  в  корректности
заданных правил экранирования можно только тогда, когда  определены  сетевые
интерфейсы шлюзов и  маршрутизаторов.  Подобную  информацию  можно  получить
автоматически от SNMP-агентов.

      При описании правил работы межсетевого экрана пользователи  наделяются
входными именами и объединяются  в  группы.  Для  пользователей  указываются
допустимые исходные  и  целевые  сетевые  адреса,  диапазон  дат  и  времени
работы, а также схемы и порядок аутентификации.

      Определение  набора  используемых  сервисов  выполняется   на   основе
встроенной в  дистрибутив  брандмауэра  базы  данных,  имеющей  значительный
набор TCP/IP сервисов. Нестандартные  сервисы  могут  задаваться  вручную  с
помощью специальных атрибутов. Прежде чем указывать сервис при задании  жид,
необходимо  определить  его  свойства.  Современные   брандмауэры   содержат
предварительно подготовленные определения всех стандартных  TCP/IP-сервисов,
разбитых на четыре категории — TCP, UDP, RPC, ICMP.

      Сервисы TCP являются  полностью  контролируемыми  сервисами,  так  как
предоставляются и используются на основе легко  диагностируемых  виртуальных
соединений.

      Сервисы  UDP  традиционно  трудны  для  фильтрации,   поскольку   фаза
установления виртуального  соединения  отсутствует,  равно  как  и  контекст
диалога между клиентом и  сервером.  Брандмауэр  может  сам  вычислять  этот
контекст, отслеживая все UDP-пакеты,  пересекающие  межсетевой  экран  обоих

1 2 3 4 5

скачать работу

Отправка СМС бесплатно