33642

Защита периметра компьютерных сетей

Доклад

Информатика, кибернетика и программирование

В межсетевых экранах применяются специальные характерные только для данного вида средств методы защиты. Основные из них: трансляция адресов для сокрытия структуры и адресации внутренней сети; фильтрация проходящего трафика; управление списками доступа на маршрутизаторах; дополнительная идентификация и аутентификация пользователей стандартных служб на проходе; ревизия содержимого вложений информационных пакетов выявление и нейтрализация компьютерных вирусов; виртуальные частные сети для защиты потоков данных передаваемых по...

Русский

2013-09-06

48 KB

78 чел.

6. Защита периметра компьютерных сетей

Межсетевые экраны, установленные в точках соединения с сетью Internet -обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

  •  трансляция адресов для сокрытия структуры и адресации внутренней сети;
  •  фильтрация проходящего трафика;
  •  управление списками доступа на маршрутизаторах;
  •  дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);
  •  ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;
  •  виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы, рассмотренные выше);
  •  противодействие атакам на внутренние ресурсы.

1.6. Управление механизмами защиты

Основное внимание уделяется реализации самих защитных механизмов, а не средств управления ими. Успешно преодолеть это можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно более прозрачно.

Средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующее:

  •  выборочное подключение имеющихся защитных механизмов;
  •  так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются. Этот режим позволяет выявлять некорректности настроек средств защиты;
  •  возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности:

  •  должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
  •  управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
  •  в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа;
  •  Система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:

  •  подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.);
  •  возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного периода. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.
  •  в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;
  •  желательно иметь системе средства автоматической подготовки отчетных документов установленной формы.

Универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариантах и совокупностях в конкретных методах и средствах защиты.

ЗАЩИТА ПЕРИМЕТРА КОМПЬЮТЕРНЫХ СЕТЕЙ. УПРАВЛЕНИЕ МЕХАНИЗМАМИ ЗАЩИТЫ.

Сетевая безопасность требует интегрированного подхода к защите. Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты.

Межсетевые экраны, или пограничные маршрутизаторы - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

Межсетевые экраны - основа защиты сетевого периметра. С точки зрения сетевой безопасности, периметр, или граница сети - это место, с которого для данной сети начинают применяться возможности МЭ и их правильная настройка.

Одним из самых распространенных решений является классическая схема трехуровневого межсетевого экрана. Данная схема обеспечивает надежное экранирование оперативных зон с различным уровнем доверия. В общем случае, выделяется три оперативные зоны: Зона внешних подключений, по которой проходит граница взаимодействия с провайдером. Уровень доверия к соединениям в этой зоне минимальный. Демилитаризованная зона (ДМЗ). В этой зоне располагаются серверы компании, к которым необходим доступ из внешних сетей и из локальной сети. Это может быть WEB-сервер, почтовый сервер, FTP-сервер, прокси-сервер и т.п. Уровень доверия к соединениям в данной зоне - средний. Зона подключения к локальной сети. Как правило, это интерфейс, по которому проходит соединение межсетевого экрана с локальной сетью. Уровень доверия к соединениям в данной зоне - максимальный. Сам межсетевой экран (МЭ) настраивается таким образом, что соединения возможны от локальной сети к ДМЗ и от ДМЗ к внешним сетям. Из внешних сетей возможны соединения только к известным сервисам в ДМЗ. Из ДМЗ разрешены соединения, инициированные из локальной сети. Все остальные соединения блокируются. В качестве межсетевых экранов чаще всего используются линейки продуктов компаний Cisco и CheckPoint.

Для защиты периметра сети и серверов, располагающихся в ДМЗ, от основных видов атак используются системы обнаружения вторжений. Как правило, это программно-аппаратный комплекс, с постоянно обновляющейся базой атак, который позволяет в режиме реального времени отслеживать и сообщать администратору о большинстве видов проводимых атак. Администратор системы может блокировать нежелательные соединения вручную, либо создать правило, на основе которого данный трафик будет блокироваться автоматически. Возможно использование одного и того же детектора атак для анализа внешнего трафика и трафика в ДМЗ. Для защиты непосредственно серверов устанавливается специальный детектор атак, предназначенный именно для данной операционной системы. Это позволяет учитывать нюансы различных операционных систем.

Для защиты почтовой системы от проникновения вирусов используются программные продукты ведущих мировых производителей - Symantec, TrendMicro, Dr.Web. Продукты данных производителей хорошо зарекомендовали себя в рабочих условиях. У всех продуктов этих компаний хорошая совместимость и интегрируемость с большинством ПО для передачи почтовых сообщений.

Proxy. Вообще-то главное назначение кэширование информации, но свойство так называемых анонимных прокси-серверов – скрытие IP-адреса клиента. Таким образом, от злоумышлениика скрывается внутренняя структура сети.

Должно быть: центральный контроль и управление средствами защиты.

Для настройки:

  1.  выборочное подключение имеющихся защитных механизмов.
  2.  обеспечение «мягкого» режимов защиты, т.е. при НСД пользовател. системе, они фиксируются в  системном журнале, но не пресекаются.
  3.  возможности по автоматическому изменению полномочий на основе информации накопленном в системном журнале.

Для решения проблем управления:

  1.  Централизованное и децентрализованное управление. Любые изменения в настройках защитных механизмов должны распространятся на все рабочие места.
  2.  Управление механизмами защиты на конкретной станции должно осуществляться не зависимо, оттого включена она или выключена.
  3.  В крупных ИС замена версий программ защиты требует больших трудозатрат.
  4.  В больших ИС особую важность приобретает оперативный контроль за состоянием средств защиты.

Надо разраб возможности для увеличения системного журнала:

  1.  Должна быть разработана подсистема запросов, позволяющая выбрать интересующее (по имени, дате и времени, категории).
  2.  Возможность автоматического разбиения и хранения системных журналов по месяцам и дням (декадам).
  3.  Автоматическое удаление.
  4.  В системе защиты должны быть предусмотрены механизмы семантического сжатия информации.
  5.  Необходимо иметь средство автоматической подготовки отчетных документов о нарушениях, о станциях и т. д.

Системы безопасности бывают универсальные и специализированные


 

А также другие работы, которые могут Вас заинтересовать

3222. Проектирование кулисного механизма 306.5 KB
  Одной из ведущих отраслей современной техники является машиностроение. По уровню развития машиностроения судят о развитии производительных сил в целом. Прогресс машиностроения в свою очередь определяется созданием новых высокопроизвод...
3223. Теория информационных процессов и систем 393 KB
  Теория информационных процессов и систем : методические указания к лабораторным работам № 1–4 для студентов специальности 071900 «Информационные системы и технологии» сост. А. В. Левенец. – Хабаровск : Изд-во Тихоокеанского гос. ун-та, 2...
3224. Предмет физики и его связь со смежными науками 327 KB
  Предмет физики и его связь со смежными науками. Физика (природа в переводе с греческого) - одна из основных наук о природе, изучающая общие свойства и законы движения вещества физических полей. В современном виде физика включает в себя следующие осн...
3225. Генератор импульсных последовательностей 295 KB
  Техническое задание. Спроектировать генератор двух идентичных псевдослучайных последовательностей, сдвинутых во времени. Временной сдвиг может изменяться от 0 до 99999 мкс с шагом 1 мкс. Период последовательности T = 65535 мкс. Длительность импул...
3226. Выполнение аналитического исследования для получения экономической информации при принятии определенного управленческого решения 128.85 KB
  Введение Цель подготовки курсовой работы – приобретение студентами навыков самостоятельного выполнения аналитических исследований по вопросам оценки эффективности экономико-финансовой деятельности предприятия, сбора необходимой для этого эконом...
3227. Технология и оборудование машиностроительного производства. Деталь штуцер 301 KB
  Объект исследования - штуцер. Цель курсового проекта- составление технологического процесса изготовления детали, подбор и проектирование технологической оснастки для изготовления с требуемым качеством и минимальной себестоимостью.
3228. Проектирование станочного приспособления для обработки детали 100.31 KB
  ОПРЕДЕЛЕНИЕ ТИПА ПРОИЗВОДСТВА. Пользуясь табличным способом определения типа производства, данное производство является мелкосерийным. Такт выпуска деталей: где Fд - действительный годовой фонд времени работы оборудования (час). N - объем выпуска ...
3229. Кредитования малых предприятий коммерческими банками 600 KB
  Проблемы кредитования малых предприятий коммерческими банками в современных условиях 1.1 Малый бизнес и его роль в экономике страны Одним из основных факторов социально-экономического развития современного общества и характерным признаком рыночной...
3230. Расчет создания и использования холодильного оборудования в пищевой промышленности 6 MB
  Применение холода в пищевой промышленности 1.2 Краткая характеристика района строительства холодильника 1.3 Исходные данные 2. Специальная часть 2.1 Определение вместимости камер хранения 2.2 Расчет строительных площадей камер хранения холодильн...