33642

Защита периметра компьютерных сетей

Доклад

Информатика, кибернетика и программирование

В межсетевых экранах применяются специальные характерные только для данного вида средств методы защиты. Основные из них: трансляция адресов для сокрытия структуры и адресации внутренней сети; фильтрация проходящего трафика; управление списками доступа на маршрутизаторах; дополнительная идентификация и аутентификация пользователей стандартных служб на проходе; ревизия содержимого вложений информационных пакетов выявление и нейтрализация компьютерных вирусов; виртуальные частные сети для защиты потоков данных передаваемых по...

Русский

2013-09-06

48 KB

59 чел.

6. Защита периметра компьютерных сетей

Межсетевые экраны, установленные в точках соединения с сетью Internet -обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

  •  трансляция адресов для сокрытия структуры и адресации внутренней сети;
  •  фильтрация проходящего трафика;
  •  управление списками доступа на маршрутизаторах;
  •  дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);
  •  ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;
  •  виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы, рассмотренные выше);
  •  противодействие атакам на внутренние ресурсы.

1.6. Управление механизмами защиты

Основное внимание уделяется реализации самих защитных механизмов, а не средств управления ими. Успешно преодолеть это можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно более прозрачно.

Средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующее:

  •  выборочное подключение имеющихся защитных механизмов;
  •  так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются. Этот режим позволяет выявлять некорректности настроек средств защиты;
  •  возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности:

  •  должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
  •  управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
  •  в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа;
  •  Система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:

  •  подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.);
  •  возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного периода. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.
  •  в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;
  •  желательно иметь системе средства автоматической подготовки отчетных документов установленной формы.

Универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариантах и совокупностях в конкретных методах и средствах защиты.

ЗАЩИТА ПЕРИМЕТРА КОМПЬЮТЕРНЫХ СЕТЕЙ. УПРАВЛЕНИЕ МЕХАНИЗМАМИ ЗАЩИТЫ.

Сетевая безопасность требует интегрированного подхода к защите. Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты.

Межсетевые экраны, или пограничные маршрутизаторы - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

Межсетевые экраны - основа защиты сетевого периметра. С точки зрения сетевой безопасности, периметр, или граница сети - это место, с которого для данной сети начинают применяться возможности МЭ и их правильная настройка.

Одним из самых распространенных решений является классическая схема трехуровневого межсетевого экрана. Данная схема обеспечивает надежное экранирование оперативных зон с различным уровнем доверия. В общем случае, выделяется три оперативные зоны: Зона внешних подключений, по которой проходит граница взаимодействия с провайдером. Уровень доверия к соединениям в этой зоне минимальный. Демилитаризованная зона (ДМЗ). В этой зоне располагаются серверы компании, к которым необходим доступ из внешних сетей и из локальной сети. Это может быть WEB-сервер, почтовый сервер, FTP-сервер, прокси-сервер и т.п. Уровень доверия к соединениям в данной зоне - средний. Зона подключения к локальной сети. Как правило, это интерфейс, по которому проходит соединение межсетевого экрана с локальной сетью. Уровень доверия к соединениям в данной зоне - максимальный. Сам межсетевой экран (МЭ) настраивается таким образом, что соединения возможны от локальной сети к ДМЗ и от ДМЗ к внешним сетям. Из внешних сетей возможны соединения только к известным сервисам в ДМЗ. Из ДМЗ разрешены соединения, инициированные из локальной сети. Все остальные соединения блокируются. В качестве межсетевых экранов чаще всего используются линейки продуктов компаний Cisco и CheckPoint.

Для защиты периметра сети и серверов, располагающихся в ДМЗ, от основных видов атак используются системы обнаружения вторжений. Как правило, это программно-аппаратный комплекс, с постоянно обновляющейся базой атак, который позволяет в режиме реального времени отслеживать и сообщать администратору о большинстве видов проводимых атак. Администратор системы может блокировать нежелательные соединения вручную, либо создать правило, на основе которого данный трафик будет блокироваться автоматически. Возможно использование одного и того же детектора атак для анализа внешнего трафика и трафика в ДМЗ. Для защиты непосредственно серверов устанавливается специальный детектор атак, предназначенный именно для данной операционной системы. Это позволяет учитывать нюансы различных операционных систем.

Для защиты почтовой системы от проникновения вирусов используются программные продукты ведущих мировых производителей - Symantec, TrendMicro, Dr.Web. Продукты данных производителей хорошо зарекомендовали себя в рабочих условиях. У всех продуктов этих компаний хорошая совместимость и интегрируемость с большинством ПО для передачи почтовых сообщений.

Proxy. Вообще-то главное назначение кэширование информации, но свойство так называемых анонимных прокси-серверов – скрытие IP-адреса клиента. Таким образом, от злоумышлениика скрывается внутренняя структура сети.

Должно быть: центральный контроль и управление средствами защиты.

Для настройки:

  1.  выборочное подключение имеющихся защитных механизмов.
  2.  обеспечение «мягкого» режимов защиты, т.е. при НСД пользовател. системе, они фиксируются в  системном журнале, но не пресекаются.
  3.  возможности по автоматическому изменению полномочий на основе информации накопленном в системном журнале.

Для решения проблем управления:

  1.  Централизованное и децентрализованное управление. Любые изменения в настройках защитных механизмов должны распространятся на все рабочие места.
  2.  Управление механизмами защиты на конкретной станции должно осуществляться не зависимо, оттого включена она или выключена.
  3.  В крупных ИС замена версий программ защиты требует больших трудозатрат.
  4.  В больших ИС особую важность приобретает оперативный контроль за состоянием средств защиты.

Надо разраб возможности для увеличения системного журнала:

  1.  Должна быть разработана подсистема запросов, позволяющая выбрать интересующее (по имени, дате и времени, категории).
  2.  Возможность автоматического разбиения и хранения системных журналов по месяцам и дням (декадам).
  3.  Автоматическое удаление.
  4.  В системе защиты должны быть предусмотрены механизмы семантического сжатия информации.
  5.  Необходимо иметь средство автоматической подготовки отчетных документов о нарушениях, о станциях и т. д.

Системы безопасности бывают универсальные и специализированные


 

А также другие работы, которые могут Вас заинтересовать

20520. Эксплуатация и ремонт металлургических машин 1.54 MB
  Поэтому перед выполнением лабораторной работы необ ходимо ознакомиться с ее содержанием теоретической частью и методикой выполнения. Выполняться могут не все лабораторные работы но студен ты должны знать теоретический материал по всем лабораторным работам. Лабораторные работы выполняются самостоятельно студен тами в составе подгруппы в строгом соответствии с инструкциями в отведенные по расписанию часы занятий. Выполнение и оформление лабораторных работ Перед выполнением работы необходимо повторить учебный материал и накануне подробно...
20522. Схемы соединение гальванических элементов. Схема включения реостата. Схема включения потенциометра 24.5 KB
  Схемы соединение гальванических элементов. Теоретическое обоснование: Последовательное соединение элементов показано на стенде а ЭДС батареи Ебат составленной из последовательно соединенных элементов будет больше ЭДС одного элемента Е в n раз Ебат=Е Последовательное соединение элементов применяется в тех случаях когда требуется напряжение больше чем напряжение одного элемента. Но при любом количестве соединяемых последовательно элементов номинальный ток батареи остается равным номинальному току одного элемента. План работы: Начертить...
20523. Определение потерь напряжения и мощности в проводах линии и электропередачи 69.5 KB
  Определение потерь напряжения и мощности в проводах линии и электропередачи. Выяснить какое влияние оказывает нагрузка линии и сопротивление её проводов на напряжение приемника. Определить мощность потерь в проводах и КПД линии электропередачи. Уменьшение напряжения в линии по мере удаления от источника вызвано потерями напряжения в проводах линии Ui=U1U2 и численно равно падению напряжения.
20524. Исследование электрической цепи переменного тока при последовательном соединении 98.5 KB
  Исследование электрической цепи переменного тока при последовательном соединении. Проверить практически и уяснить какие физические явления происходят в цепи переменного тока. Теоретическое обоснование: При подведении к зажимам последовательно соединённых активного сопротивления R индуктивности L и ёмкости C синусоидального напряжения U=UMsinWt и тока I=IMsinWtU. Действующее значение тока в цепи можно найти по закону Ома: где полное сопротивление цепи.
20525. Исследование полупроводникового диода 28.5 KB
  Исследование полупроводникового диода. Цель работы: Изучение свойств плоскостного диода путём практического снятия и исследования его вольтамперной характеристики. UПР В I A Uобр В I A 06 10 25 10 065 15 5 14 07 20 7 20 075 25 9 26 08 80 11 32 Обработка результатов опытов: По данным таблицы 1 2 в декартовой системе координат построить вольтамперную характеристику диода. Это показывает вольтамперная характеристика диода.
20526. Расчёт полупроводникового выпрямителя 20.5 KB
  Расчёт полупроводникового выпрямителя. Цель работы: Научится элементарному расчету выпрямителя. Наиболее широкое распространение получила схема мостового выпрямителя схема состоит из 4 диодов Д1 Д4. Вторичные обмотки трёхфазного выпрямителя соединены Звездой .
20527. Изучение соединения резисторов 70 KB
  Цель работы: Изучить на практике признаки параллельного и последовательного и смешанного соединение резисторов. Общее сопротивление цепи из нескольких последовательных соединение резисторов равно сумме сопротивлений этих резисторов. Параллельным называется такое соединение проводников при котором соединение между собой как усл. Смешанным или последовательно параллельным называется такое соединение при котором на одних участках электрические цепи они соединены параллельно а на других последовательно.
20528. Проверка закона Ома для участка цепи и всей цепи. Проверка закона Кирхгофа 37.5 KB
  Проверка закона Ома для участка цепи и всей цепи. Цель работы: Практически убедится в физических сущности закона Ома для участка цепи. Как показывают опыты ток на участке цепи прямо пропорционально напряжении на этом участке цепи и обратно пропорционально сопротивлении того же участка это закон Ома Рассмотрим полную цепь: ток в этой цепи определяется по формуле закон Ома для полной цепи.цепи с одной ЭДС прямо пропорционален этой ЭДС и обратно пропорционален сумме сопротивлении внешней и внутренней участков цепи.