Главная страница
Навигация по странице:

  • Источники угроз.

  • Предпосылки появления угроз.

  • Доступность

  • Инженерно-технические методы

  • Правовые и организационные методы

  • Теоретические методы

  • Сети КР. Уральский федеральный университет имени первого Президента России Б. Н. Ельцина


    Скачать 53.31 Kb.
    НазваниеУральский федеральный университет имени первого Президента России Б. Н. Ельцина
    АнкорСети КР
    Дата16.09.2020
    Размер53.31 Kb.
    Формат файлаdocx
    Имя файлаСети КР.docx
    ТипДокументы
    #138203

    Министерство науки и высшего образования Российской Федерации

    Федеральное государственное автономное образовательное учреждение

    высшего образования

    «Уральский федеральный университет имени первого Президента России Б.Н.Ельцина»

    Институт экономики и управления

    Школа управления и междисциплинарных исследований

    К О Н Т Р О Л Ь Н А Я Р А Б О Т А

    по дисциплине «Вычислительные системы, сети, телекоммуникации»

    Вариант № 10

    Выполнил:

    студент Лешуков Д.Ю.

    курс 1, группа 193402у

    Проверил:

    Чернильцев А.Г.

    Екатеринбург

    2020

    Оглавление


    Безопасность серверов и компьютерных сетей. Межсетевые экраны. 2

    Практический раздел 17


    Безопасность серверов и компьютерных сетей. Межсетевые экраны.



    Угрозы безопасности информации в современных системах её обработки определяются умышленными (преднамеренные угрозы) и естественными (непреднамеренные угрозы), разрушающими и искажающими воздействия внешней среды, надёжностью функционирования средств обработки информации, а также преднамеренных корыстным воздействием несанкционированных пользователей, целями которых являются хищение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации. При этом под умышленными, или преднамеренными, понимаются такие угрозы, которые обусловливаются злоумышленными действиями людей.

    Случайными, или естественными, являются угрозы, не зависящие от воли людей. В настоящее время принята следующая классификация угроз сохранности (целостности) информации.

    Источники угроз. Под источником угроз понимается непосредственный исполнитель угрозы с точки зрения её негативного воздействия на информацию. Источники можно разделить на следующие группы:

    -- люди;

    -- технические устройства;

    -- модели, алгоритмы, программы;

    -- технологические схемы обработки;

    -- внешняя среда.

    Предпосылки появления угроз. Существуют следующие предпосылки, или причины появления угроз:

    -- объективные (количественная или качественная недостаточность элементов системы) - не связанные непосредственно с деятельностью людей и вызывающие случайные по характеру происхождения угрозы;

    -- субъективные - непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.

    Угрозы информационным ресурсам проявляются в овладении конфиденциальной информацией, её модификации в интересах злоумышленника или её разрушении с целью нанесения материального ущерба.

    Осуществление угроз информационной безопасности может быть произведено:

    · через агентурные источники в органах коммерческих структур, государственного управления, имеющих возможность получения конфиденциальной информации;

    · путём подкупа лиц, работающих на предприятии или в структурах, непосредственно связанных с его деятельностью;

    · путём перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических средств разведки и программно-математических воздействий на неё в процессе обработки и хранения;

    · путём подслушивания переговоров, ведущихся в служебных помещениях, автотранспорте, в квартирах и на дачах;

    · через переговорные процессы с зарубежными или отечественными фирмами, используя неосторожное обращение с информацией.

    · через «инициативников» из числа сотрудников, которые хотят улучшить своё благосостояние с помощью «заработка» денег или проявляют инициативу по другим материальным или моральным причинам.

    3. Способы и методы защиты информационных ресурсов

    Вместе с развитием способов и методов преобразования и передачи информации постоянно развиваются и методы обеспечения её безопасности. Современный этап развития этой проблемы характеризуется переходом от традиционного её представления как проблемы защиты информации к более широкому пониманию - проблеме информационной безопасности, заключающейся в комплексном её решении по двум основным направлениям.

    К первому можно отнести защиту государственной тайны и конфиденциальных сведений, обеспечивающую главным образом невозможность несанкционированного доступа к ним. При этом под конфиденциальными сведениями понимаются сведения ограниченного доступа общественного характера (коммерческая тайна, партийная тайна и т. д.).

    Ко второму направлению относится защита от информации, которая в последнее время приобретает международный масштаб и стратегический характер. При этом выделяют три основных направления защиты от так называемого информационного оружия (воздействия):

    · на технические системы и средства;

    · общество;

    · психику человека.

    В соответствии с этим подходом уточнены и дополнены множества угроз информации, функции и классы задач по защите информации.1

    Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.2

    Обеспечение безопасности информации требует сохранения следующих её свойств:

    · целостности;

    · доступности;

    · конфиденциальности.

    Целостность информации заключается в её существовании в неискажённом виде, т. е. неизменном по отношению к её исходному состоянию. Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения.

    Доступность - свойство, характеризующее способность информации обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.

    Конфиденциальность - свойство, указывающее на необходимость введения ограничений на доступ к ней определённого круга пользователей, а также статус, предоставленный данным и определяющий требуемую степень их защиты.1

    Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.

    Методы обеспечения информационной безопасности весьма разнообразны.

    Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях. Инженерно-технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам - например, за счёт перехвата электромагнитного излучения или речевой информации. Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности. Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них - это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе - а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача - строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.

    Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёхстадийная разработка таких мер.

    I стадия - выработка требований - включает:

    · определение состава средств информационной системы

    · анализ уязвимых элементов информационной системы

    · оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов)

    · анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы)

    II стадия - определение способов защиты - включает ответы на следующие вопросы:

    · какие угрозы должны быть устранены и в какой мере?

    · какие ресурсы системы должны быть защищаемы и в какой степени?

    · с помощью каких средств должна быть реализована защита?

    · какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учётом потенциальных угроз?

    III стадия - определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.

    Первоочередными мероприятиями по реализации политики обеспечения информационной безопасности государства являются:

    · разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности;

    · разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

    · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, повышение правовой культуры и компьютерной грамотности общества, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения;

    · развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности.

    Реализация вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации в организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах.

    4. Управление безопасностью корпоративных сетей

    В настоящее время в большинстве небольших коммерческих фирм обязанности по администрированию сети и обязанности по обеспечению информационной безопасности возложены на плечи одного человека: как правило, это администратор сети. Связано это с объективными причинами - экономическими. Недостаток этого подхода очевиден, достаточно посмотреть на занятость администратора сети в течение дня - большая часть рабочего времени уходит на обеспечение бесперебойного функционирования того оборудования и программного обеспечения, за которое он отвечает. На отслеживание НСД и проверку прав пользователей не хватает времени, в такой ситуации администратор сети полагается на русский «авось» или выполняет обязанности по обеспечению безопасности в свободное от основных обязанностей время.

    Однако в больших организациях все по-другому. Когда речь заходит о безопасности информации, в дело вступает отдел Управления безопасности и защиты информации (УБиЗИ) - так обычно они называются в банках (в других коммерческих и государственных структурах по-другому, но возлагаемые на них функции те же). Связано это с тем, что крупная организация обязана больше заботиться о безопасности корпоративных ресурсов: больше сведений в сети, которые могут навредить имиджу компании; информация, содержащая сведения ограниченного распространения, может быть очень интересна конкурентам.

    Поэтому обязанности разделяются:

    · за конфигурацию сети отвечает отдел информационных технологий (а также за работоспособность оборудования, СУБД и др.);

    · за безопасность информации - Управление безопасности и защиты информации.

    В УБиЗИ, как правило, выделяется человек (или несколько человек - в зависимости от размера организации), который и будет отвечать за информационную безопасность, его должность обычно называется «администратор информационной безопасности». Естественно, что ему, для выполнения возложенных на него задач, необходимо сотрудничать с сетевым администратором.

    Рассмотрим, что необходимо администратору безопасности для выполнения этих задач:

    · Для контроля защищенных сетевых ресурсов и назначения прав и полномочий пользователей на эти ресурсы - средства ОС (обычно Win-dows NTили XP, реже Unix, NetWare).

    · Для проверки прав пользователей в базах данных - средства СУБД.

    · Для проверки фактов и попыток несанкционированных действий пользователей - журналы регистрации ОС, СУБД, межсетевых экранов.

    На этом поприще администратор безопасности столкнется с интересами администратора сети, которому, естественно, не понравится, что кто-то будет контролировать, даже частично, то, за что администратор сети отвечает головой. компьютерный информационный сеть

    Поэтому можно смело сделать самый простой и очевидный вывод: администратору безопасности крупной организации крайне необходимо средство, позволяющее выполнять свои служебные обязанности, и не вмешиваться (или как можно меньше вмешиваться) в зону ответственности администратора сети.

    Инструмент

    Каким должен быть инструмент?

    Представим, что система защиты реализована следующим образом - на рабочие станции, сервера сети и сервера баз данных расставлены своеобразные «агенты», которые будут:

    «Понимать», что происходит на подотчетном для них месте, и передавать данные о работе «своего участка» на некий единый центр (автоматизированное рабочее место администратора безопасности).

    По требованию администратора безопасности приостанавливать или блокировать работу рабочей станции сети или сервера, в случае выполнения пользователем несанкционированных действий.

    Данная схема позволит помочь администратору безопасности, не вмешиваясь в работу администратора сети, следить за исполнением политики безопасности организации. При этом система не вмешивается в работу межсетевых экранов, серверов сети, СУБД и других средств, подотчетных администратору сети, за исключением критических ситуаций - попыток совершения несанкционированных действий.

    Контроль контролирующего

    Еще один целесообразный подход к обеспечению безопасности - разделение управления на роли. Пусть, к примеру, доступ к управлению будут иметь несколько человек:

    Администратор безопасности. Имеет доступ ко всем средствам управления безопасностью.

    Аудитор системы защиты информации. Имеет доступ к журналам регистрации, фиксирующим, в том числе, и действия администратора безопасности.

    Системы защиты информации обычно предусматривают для главного пользователя практически неограниченные полномочия, а в лице аудитора системы защиты мы получим человека, способного контролировать действия самого администратора безопасности.

    В такой ситуации, администратор безопасности, возможно, и будет иметь технические возможности выполнять какие-либо действия, запрещенные ему организационно, но он будет знать, что действия его контролируются и не безнаказанны.

    Добавим новых участников в процесс управления, основываясь на положениях разработки НИП «Информзащита» технологии управления безопасностью «Беркут». Согласно данной технологии, к управлению безопасностью могут быть привлечены подразделения организации, которые совершенно не имеют никакого отношения к безопасности. Такая возможность появилась благодаря подходу к управлению на уровне сотрудников и возложенных на них служебных обязанностей. Вот некоторые положения «Беркута»:

    · Каждому сотруднику сопоставим пользователя сети (давно выдвигаемое требование к системам управления безопасностью, и рядом систем с успехом выполняющееся, например, системой Secret Net).

    · Должности сотрудника сопоставим права на те или иные ресурсы. Аналог - группа пользователей в Windows NT. В реализации такого механизма нет ничего сложного.

    И, наконец, требование невмешательства в действия администратора сети. Пусть администратор сети добавляет и удаляет пользователей, но ничего не делает с их правами, а на администратора безопасности возложим обязанности по управлению полномочиями пользователей на использование того или иного защищаемого ресурса.

    Приведем самый простой и очевидный пример, связанный с отделом кадров: любой отдел кадров ведет, как правило, свою базу данных, в которой учитываются сведения о сотрудниках, занимаемые ими должности, свободные клетки в штатной структуре и другие сведения, интересные в первую очередь, самому отделу кадров. Если такую базу данных связать с системой управления безопасностью организации, то получится интересный эффект, при котором повысится оперативность управления, прозрачность процесса, что, собственно, и преследуется. Рассмотрим подробнее как это происходит.

    Выделим некоторые операции, происходящие в БД отдела кадров, которые будут интересны: увольнение сотрудника, отметка об уходе сотрудника в отпуск, назначение на другую должность.

    Увольнение сотрудника

    Уход в отпуск

    Аналогичный эффект достигается при уходе сотрудника в отпуск: ставится отметка - и все электронные идентификаторы и права пользователя временно блокируются, и никто не сможет войти в систему под его именем.

    Назначение на другую должность

    При назначении сотрудника на другую должность, служащий отдела кадров изменяет в базе данных один параметр - должность сотрудника. Система управления безопасностью каждой должности сотрудника сопоставляет права и полномочия пользователя в информационной системе, и, при изменении должности, автоматически меняет его права на использование тех или иных корпоративных ресурсов. При изменении уровня допуска к конфиденциальной информации (для систем с полномочным управлением доступа), в базе данных отдела кадров сотруднику автоматически становятся доступны ресурсы с соответствующей меткой конфиденциальности.

    Еще один вариант

    Отдел кадров - это только первоначальный этап. Если внимательно присмотреться, то в рамках своих служебных обязанностей каждый сотрудник выполняет какую-то определенную задачу. Например: в коммерческом отделе ряд сотрудников имеют должность «менеджер по продажам», но каждый конкретный менеджер может специализироваться на определенном направлении продаж (на конкретном продукте или клиенте), или на какой-либо другой задаче, связанной со сбытом.

    Определим данную задачу сотрудника в рамках своей должности термином «задача», и возложим распределение этих задач на руководителя отдела. Это не значит, что руководителю отдела придется тратить дополнительное время (обычно очень дорогое) на какие-то лишние телодвижения. Предоставим ему маленькую программку - электронную записную книжку, в которой указывается - какой сотрудник какую работу делает и когда он ее должен сдать. Таким образом, перекладываем с администратора безопасности еще ряд рутинных функций.

    Затронутая в данной работе технология «Беркут» выдвигает подход, в котором роль администратора безопасности заключается в контроле соблюдения политики безопасности сотрудниками организации, в проверке прав и полномочий пользователей, и в оперативном реагировании на факты и попытки НСД, для чего, собственно, и назначается администратор безопасности.

    Отбрасываются необходимость собирать и обобщать данные о состоянии различных подсистем, конфигурировать права и полномочия пользователей информационной системы, так как делать это будет система управления, что избавляет администратора безопасности от потребности вмешиваться в работу администраторов сети.

    Далеко не все преимущества данного подхода рассмотрены в статье. В настоящее время большинство ОС и СУБД имеют собственные, достаточно продвинутые, средства защиты. Поэтому разработчики систем защиты информации должны ориентироваться на что-то новое, а не на дублирование встроенных средств защиты ОС.

    Глупо было бы отвергать достояние истории - разделение труда, которое ведет к специализации, повышению качества выполняемой работы и росту производительности.

    Межсетевые экраны как один из основных способов защиты сетей

    Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

    Для устранения проблем, связанных с безопасностью было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

    Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

    На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

    Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.

    Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.

    Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма «посредников» (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких «посредников» достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.

    Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

    Некоторые корпоративные сети используют топологию, которая трудно «уживается» с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

    Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.

    Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.

    Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

    Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от «мобильного» кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.

    Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного «мобильного» кода.

    Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту «на нет». Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

    В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.

    Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета («proxy»), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

    В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

    Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).

    Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, - сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: «разрешено все и всем».

    В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа «отказ в обслуживании»), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа «подбор пароля», позволяющие обнаружить «слабые» пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).

    Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети Internet или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения информационной безопасности.

    В заключение хочу отметить, что не стоить обходить внимание персональные межсетевые экраны. Пусть и они и не делают всего того, что присуще корпоративным МСЭ (таким как Check Point Firewall-1), но все же они обеспечивают некоторый уровень защищенности от внешних посягательств. Вы можете быть уверенными, что ваш компьютер не станет легкой добычей для злоумышленников, а правильно настроенный персональный МСЭ станет непреодолимой преградой для многих из них.

    Практический раздел


    Адресация IPv4. Организация подсетей на основе адреса класса C Имеется исходная сеть с адресом класса C. Требуется разделить исходную сеть на N подсетей (см. таблицу вариантов). При этом в каждой подсети необходимо подключить указанное количество узлов (хостов).

    № Варианта

    Адрес сети

    Количество подсетей

    Количество узлов

    10

    192.168.110.0

    18

    5

    Адрес сети 192.168.110.0

    Префикс /2

    Маска 192.0.0.0
    Минимальный IP узла 192.168.110.0
    Максимальный IP узла 192.168.115.17
    Широковещательный адрес 192.168.110.255


    написать администратору сайта