33642

Защита периметра компьютерных сетей

Доклад

Информатика, кибернетика и программирование

В межсетевых экранах применяются специальные характерные только для данного вида средств методы защиты. Основные из них: трансляция адресов для сокрытия структуры и адресации внутренней сети; фильтрация проходящего трафика; управление списками доступа на маршрутизаторах; дополнительная идентификация и аутентификация пользователей стандартных служб на проходе; ревизия содержимого вложений информационных пакетов выявление и нейтрализация компьютерных вирусов; виртуальные частные сети для защиты потоков данных передаваемых по...

Русский

2013-09-06

48 KB

67 чел.

6. Защита периметра компьютерных сетей

Межсетевые экраны, установленные в точках соединения с сетью Internet -обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

  •  трансляция адресов для сокрытия структуры и адресации внутренней сети;
  •  фильтрация проходящего трафика;
  •  управление списками доступа на маршрутизаторах;
  •  дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);
  •  ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;
  •  виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы, рассмотренные выше);
  •  противодействие атакам на внутренние ресурсы.

1.6. Управление механизмами защиты

Основное внимание уделяется реализации самих защитных механизмов, а не средств управления ими. Успешно преодолеть это можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно более прозрачно.

Средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующее:

  •  выборочное подключение имеющихся защитных механизмов;
  •  так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются. Этот режим позволяет выявлять некорректности настроек средств защиты;
  •  возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности:

  •  должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
  •  управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
  •  в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа;
  •  Система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:

  •  подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.);
  •  возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного периода. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.
  •  в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;
  •  желательно иметь системе средства автоматической подготовки отчетных документов установленной формы.

Универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариантах и совокупностях в конкретных методах и средствах защиты.

ЗАЩИТА ПЕРИМЕТРА КОМПЬЮТЕРНЫХ СЕТЕЙ. УПРАВЛЕНИЕ МЕХАНИЗМАМИ ЗАЩИТЫ.

Сетевая безопасность требует интегрированного подхода к защите. Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты.

Межсетевые экраны, или пограничные маршрутизаторы - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

Межсетевые экраны - основа защиты сетевого периметра. С точки зрения сетевой безопасности, периметр, или граница сети - это место, с которого для данной сети начинают применяться возможности МЭ и их правильная настройка.

Одним из самых распространенных решений является классическая схема трехуровневого межсетевого экрана. Данная схема обеспечивает надежное экранирование оперативных зон с различным уровнем доверия. В общем случае, выделяется три оперативные зоны: Зона внешних подключений, по которой проходит граница взаимодействия с провайдером. Уровень доверия к соединениям в этой зоне минимальный. Демилитаризованная зона (ДМЗ). В этой зоне располагаются серверы компании, к которым необходим доступ из внешних сетей и из локальной сети. Это может быть WEB-сервер, почтовый сервер, FTP-сервер, прокси-сервер и т.п. Уровень доверия к соединениям в данной зоне - средний. Зона подключения к локальной сети. Как правило, это интерфейс, по которому проходит соединение межсетевого экрана с локальной сетью. Уровень доверия к соединениям в данной зоне - максимальный. Сам межсетевой экран (МЭ) настраивается таким образом, что соединения возможны от локальной сети к ДМЗ и от ДМЗ к внешним сетям. Из внешних сетей возможны соединения только к известным сервисам в ДМЗ. Из ДМЗ разрешены соединения, инициированные из локальной сети. Все остальные соединения блокируются. В качестве межсетевых экранов чаще всего используются линейки продуктов компаний Cisco и CheckPoint.

Для защиты периметра сети и серверов, располагающихся в ДМЗ, от основных видов атак используются системы обнаружения вторжений. Как правило, это программно-аппаратный комплекс, с постоянно обновляющейся базой атак, который позволяет в режиме реального времени отслеживать и сообщать администратору о большинстве видов проводимых атак. Администратор системы может блокировать нежелательные соединения вручную, либо создать правило, на основе которого данный трафик будет блокироваться автоматически. Возможно использование одного и того же детектора атак для анализа внешнего трафика и трафика в ДМЗ. Для защиты непосредственно серверов устанавливается специальный детектор атак, предназначенный именно для данной операционной системы. Это позволяет учитывать нюансы различных операционных систем.

Для защиты почтовой системы от проникновения вирусов используются программные продукты ведущих мировых производителей - Symantec, TrendMicro, Dr.Web. Продукты данных производителей хорошо зарекомендовали себя в рабочих условиях. У всех продуктов этих компаний хорошая совместимость и интегрируемость с большинством ПО для передачи почтовых сообщений.

Proxy. Вообще-то главное назначение кэширование информации, но свойство так называемых анонимных прокси-серверов – скрытие IP-адреса клиента. Таким образом, от злоумышлениика скрывается внутренняя структура сети.

Должно быть: центральный контроль и управление средствами защиты.

Для настройки:

  1.  выборочное подключение имеющихся защитных механизмов.
  2.  обеспечение «мягкого» режимов защиты, т.е. при НСД пользовател. системе, они фиксируются в  системном журнале, но не пресекаются.
  3.  возможности по автоматическому изменению полномочий на основе информации накопленном в системном журнале.

Для решения проблем управления:

  1.  Централизованное и децентрализованное управление. Любые изменения в настройках защитных механизмов должны распространятся на все рабочие места.
  2.  Управление механизмами защиты на конкретной станции должно осуществляться не зависимо, оттого включена она или выключена.
  3.  В крупных ИС замена версий программ защиты требует больших трудозатрат.
  4.  В больших ИС особую важность приобретает оперативный контроль за состоянием средств защиты.

Надо разраб возможности для увеличения системного журнала:

  1.  Должна быть разработана подсистема запросов, позволяющая выбрать интересующее (по имени, дате и времени, категории).
  2.  Возможность автоматического разбиения и хранения системных журналов по месяцам и дням (декадам).
  3.  Автоматическое удаление.
  4.  В системе защиты должны быть предусмотрены механизмы семантического сжатия информации.
  5.  Необходимо иметь средство автоматической подготовки отчетных документов о нарушениях, о станциях и т. д.

Системы безопасности бывают универсальные и специализированные


 

А также другие работы, которые могут Вас заинтересовать

50372. Определение моментов инерции твёрдых тел с помощью крутильного маятника. Методические указания 218.5 KB
  Конструкция рамки 7 позволяет закреплять в ней различные тела из набора, прилагаемого к установке. тела крепятся при помощи подвижной планки, перемещающейся по вертикальным сторонам рамки. Планка фиксируется в нужном положении путем затягивания гаек на расположенных на планке зажимах втулках.
50374. Понятие и порядок применения метода по цене сделки с идентичными товарами 18.93 KB
  Для определения таможенной стоимости оцениваемых (ввозимых) товаров должна использоваться стоимость сделки с идентичными товарами, проданными на том же коммерческом уровне и по существу в том же количестве, что и оцениваемые (ввозимые) товары.
50378. Изучение физического маятника. Определение ускорения свободного падения с помощью математического маятника 96.5 KB
  Определение ускорения свободного падения с помощью математического маятника. Установив любое значение длины математического маятника l расстояние от точки подвеса до черты нанесенной на шарик в интервале 3040 см. В результате получится набор значений периодов колебаний Т соответствующих длинам маятника l1 где i – номер опыта.