33642

Защита периметра компьютерных сетей

Доклад

Информатика, кибернетика и программирование

В межсетевых экранах применяются специальные характерные только для данного вида средств методы защиты. Основные из них: трансляция адресов для сокрытия структуры и адресации внутренней сети; фильтрация проходящего трафика; управление списками доступа на маршрутизаторах; дополнительная идентификация и аутентификация пользователей стандартных служб на проходе; ревизия содержимого вложений информационных пакетов выявление и нейтрализация компьютерных вирусов; виртуальные частные сети для защиты потоков данных передаваемых по...

Русский

2013-09-06

48 KB

69 чел.

6. Защита периметра компьютерных сетей

Межсетевые экраны, установленные в точках соединения с сетью Internet -обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

  •  трансляция адресов для сокрытия структуры и адресации внутренней сети;
  •  фильтрация проходящего трафика;
  •  управление списками доступа на маршрутизаторах;
  •  дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);
  •  ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;
  •  виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы, рассмотренные выше);
  •  противодействие атакам на внутренние ресурсы.

1.6. Управление механизмами защиты

Основное внимание уделяется реализации самих защитных механизмов, а не средств управления ими. Успешно преодолеть это можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно более прозрачно.

Средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующее:

  •  выборочное подключение имеющихся защитных механизмов;
  •  так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются. Этот режим позволяет выявлять некорректности настроек средств защиты;
  •  возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности:

  •  должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
  •  управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
  •  в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа;
  •  Система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:

  •  подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.);
  •  возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного периода. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.
  •  в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;
  •  желательно иметь системе средства автоматической подготовки отчетных документов установленной формы.

Универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариантах и совокупностях в конкретных методах и средствах защиты.

ЗАЩИТА ПЕРИМЕТРА КОМПЬЮТЕРНЫХ СЕТЕЙ. УПРАВЛЕНИЕ МЕХАНИЗМАМИ ЗАЩИТЫ.

Сетевая безопасность требует интегрированного подхода к защите. Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты.

Межсетевые экраны, или пограничные маршрутизаторы - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

Межсетевые экраны - основа защиты сетевого периметра. С точки зрения сетевой безопасности, периметр, или граница сети - это место, с которого для данной сети начинают применяться возможности МЭ и их правильная настройка.

Одним из самых распространенных решений является классическая схема трехуровневого межсетевого экрана. Данная схема обеспечивает надежное экранирование оперативных зон с различным уровнем доверия. В общем случае, выделяется три оперативные зоны: Зона внешних подключений, по которой проходит граница взаимодействия с провайдером. Уровень доверия к соединениям в этой зоне минимальный. Демилитаризованная зона (ДМЗ). В этой зоне располагаются серверы компании, к которым необходим доступ из внешних сетей и из локальной сети. Это может быть WEB-сервер, почтовый сервер, FTP-сервер, прокси-сервер и т.п. Уровень доверия к соединениям в данной зоне - средний. Зона подключения к локальной сети. Как правило, это интерфейс, по которому проходит соединение межсетевого экрана с локальной сетью. Уровень доверия к соединениям в данной зоне - максимальный. Сам межсетевой экран (МЭ) настраивается таким образом, что соединения возможны от локальной сети к ДМЗ и от ДМЗ к внешним сетям. Из внешних сетей возможны соединения только к известным сервисам в ДМЗ. Из ДМЗ разрешены соединения, инициированные из локальной сети. Все остальные соединения блокируются. В качестве межсетевых экранов чаще всего используются линейки продуктов компаний Cisco и CheckPoint.

Для защиты периметра сети и серверов, располагающихся в ДМЗ, от основных видов атак используются системы обнаружения вторжений. Как правило, это программно-аппаратный комплекс, с постоянно обновляющейся базой атак, который позволяет в режиме реального времени отслеживать и сообщать администратору о большинстве видов проводимых атак. Администратор системы может блокировать нежелательные соединения вручную, либо создать правило, на основе которого данный трафик будет блокироваться автоматически. Возможно использование одного и того же детектора атак для анализа внешнего трафика и трафика в ДМЗ. Для защиты непосредственно серверов устанавливается специальный детектор атак, предназначенный именно для данной операционной системы. Это позволяет учитывать нюансы различных операционных систем.

Для защиты почтовой системы от проникновения вирусов используются программные продукты ведущих мировых производителей - Symantec, TrendMicro, Dr.Web. Продукты данных производителей хорошо зарекомендовали себя в рабочих условиях. У всех продуктов этих компаний хорошая совместимость и интегрируемость с большинством ПО для передачи почтовых сообщений.

Proxy. Вообще-то главное назначение кэширование информации, но свойство так называемых анонимных прокси-серверов – скрытие IP-адреса клиента. Таким образом, от злоумышлениика скрывается внутренняя структура сети.

Должно быть: центральный контроль и управление средствами защиты.

Для настройки:

  1.  выборочное подключение имеющихся защитных механизмов.
  2.  обеспечение «мягкого» режимов защиты, т.е. при НСД пользовател. системе, они фиксируются в  системном журнале, но не пресекаются.
  3.  возможности по автоматическому изменению полномочий на основе информации накопленном в системном журнале.

Для решения проблем управления:

  1.  Централизованное и децентрализованное управление. Любые изменения в настройках защитных механизмов должны распространятся на все рабочие места.
  2.  Управление механизмами защиты на конкретной станции должно осуществляться не зависимо, оттого включена она или выключена.
  3.  В крупных ИС замена версий программ защиты требует больших трудозатрат.
  4.  В больших ИС особую важность приобретает оперативный контроль за состоянием средств защиты.

Надо разраб возможности для увеличения системного журнала:

  1.  Должна быть разработана подсистема запросов, позволяющая выбрать интересующее (по имени, дате и времени, категории).
  2.  Возможность автоматического разбиения и хранения системных журналов по месяцам и дням (декадам).
  3.  Автоматическое удаление.
  4.  В системе защиты должны быть предусмотрены механизмы семантического сжатия информации.
  5.  Необходимо иметь средство автоматической подготовки отчетных документов о нарушениях, о станциях и т. д.

Системы безопасности бывают универсальные и специализированные


 

А также другие работы, которые могут Вас заинтересовать

61787. Твір-оповідання на самостійно обрану тему 14.18 KB
  Мета: формувати текстотворчі вміння з урахуванням специфіки художнього тексту конкретного літературного жанру; формувати вміння здобуті на уроках літератури й мови теоретичні знання застосовувати на практиці...
61788. Твір-опис “Якими фарбами я намалюю щастя” 11.82 KB
  Хто зображений на малюнку що робить як це його характеризує; які предмети речі зображено якими кольорами як вони допомагають розкрити творчий задум; уявіть що ви на місці художника як би ви зобразили цю тему що саме ви хотіли сказати своїм малюнком чи вдалося вам це зробити...
61789. Предмет астрономії. Ії розвиток та значення в житті суспільства. Методи та засоби астрономічних спостережень 304.71 KB
  Світоглядна роль усвідомлення людьми положення Землі у Всесвіті пізнання законів за якими рухаються та розвиваються космічні об’єкти. Збагачує важливими даними інші науки фізику хімію проводить дослідження речовин у станах яких неможливо досягти на Землі.
61790. Країни, національності та мови 18.44 KB
  Today we’ll imagine we are going to travel to different countries. Just imagine because in your age you can’t travel without your parents, but on the English lesson we can do it.
61791. Travelling around Кiev (екскурсія по києву) 23.81 KB
  What is your name? How old are you? Where do you live? What street do you live in? How many lessons do you have today? What is your favorite subject? Do you like to go to school? Why?
61792. Конспект уроку з гімнастики 30.14 KB
  1. Шикування 2. Повідомлення завдань уроку і техніки безпеки 3. Перешикування для виконання вправ 4. Різновиди ходьби: на на зовнішній стороні стопи на пальцях...
61793. Рухливі ігри 38.62 KB
  Основна стійка на раздва: руки дугами назовні підняти вгору. Піднятися на носки і підтягнутися вдихнути; на тричотири: руки дугами назовні опустити видихнути. стійка ноги нарізно руки на поясі на раз...
61794. Гімнастика (акробатика) 27.06 KB
  Розмикання на витягнуті руки. Стійка ноги нарізно руки за голову 12 підняти руки в гору підвестись на носки вдих; 34 опустити руки у в. стійка ноги нарізно руки на поясі 1 поворот тулуба праворуч руки в сторони долонями вгору...