33642

Защита периметра компьютерных сетей

Доклад

Информатика, кибернетика и программирование

В межсетевых экранах применяются специальные характерные только для данного вида средств методы защиты. Основные из них: трансляция адресов для сокрытия структуры и адресации внутренней сети; фильтрация проходящего трафика; управление списками доступа на маршрутизаторах; дополнительная идентификация и аутентификация пользователей стандартных служб на проходе; ревизия содержимого вложений информационных пакетов выявление и нейтрализация компьютерных вирусов; виртуальные частные сети для защиты потоков данных передаваемых по...

Русский

2013-09-06

48 KB

73 чел.

6. Защита периметра компьютерных сетей

Межсетевые экраны, установленные в точках соединения с сетью Internet -обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

  •  трансляция адресов для сокрытия структуры и адресации внутренней сети;
  •  фильтрация проходящего трафика;
  •  управление списками доступа на маршрутизаторах;
  •  дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);
  •  ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;
  •  виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы, рассмотренные выше);
  •  противодействие атакам на внутренние ресурсы.

1.6. Управление механизмами защиты

Основное внимание уделяется реализации самих защитных механизмов, а не средств управления ими. Успешно преодолеть это можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно более прозрачно.

Средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующее:

  •  выборочное подключение имеющихся защитных механизмов;
  •  так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются. Этот режим позволяет выявлять некорректности настроек средств защиты;
  •  возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности:

  •  должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
  •  управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
  •  в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа;
  •  Система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:

  •  подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.);
  •  возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного периода. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.
  •  в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;
  •  желательно иметь системе средства автоматической подготовки отчетных документов установленной формы.

Универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариантах и совокупностях в конкретных методах и средствах защиты.

ЗАЩИТА ПЕРИМЕТРА КОМПЬЮТЕРНЫХ СЕТЕЙ. УПРАВЛЕНИЕ МЕХАНИЗМАМИ ЗАЩИТЫ.

Сетевая безопасность требует интегрированного подхода к защите. Сегодня в области сетевой безопасности наблюдается тенденция предложения не отдельных продуктов, а комплексных решений. На основе межсетевых экранов (МЭ) разрабатываются целые комплексы средств сетевой безопасности, обеспечивающие защиту сетевого периметра. Современные МЭ могут легко интегрироваться с другими решениями в области информационной безопасности, в частности, с антивирусными средствами и системами обнаружения и предотвращения вторжений, что позволяет строить эффективную, гибкую и прозрачную систему защиты.

Межсетевые экраны, или пограничные маршрутизаторы - программные или аппаратные устройства, предназначенные в первую очередь для контроля и разграничения потоков информации между внутренними и внешними сетями. С этой целью используются задаваемые на основе политики безопасности правила, определяющие, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

Межсетевые экраны - основа защиты сетевого периметра. С точки зрения сетевой безопасности, периметр, или граница сети - это место, с которого для данной сети начинают применяться возможности МЭ и их правильная настройка.

Одним из самых распространенных решений является классическая схема трехуровневого межсетевого экрана. Данная схема обеспечивает надежное экранирование оперативных зон с различным уровнем доверия. В общем случае, выделяется три оперативные зоны: Зона внешних подключений, по которой проходит граница взаимодействия с провайдером. Уровень доверия к соединениям в этой зоне минимальный. Демилитаризованная зона (ДМЗ). В этой зоне располагаются серверы компании, к которым необходим доступ из внешних сетей и из локальной сети. Это может быть WEB-сервер, почтовый сервер, FTP-сервер, прокси-сервер и т.п. Уровень доверия к соединениям в данной зоне - средний. Зона подключения к локальной сети. Как правило, это интерфейс, по которому проходит соединение межсетевого экрана с локальной сетью. Уровень доверия к соединениям в данной зоне - максимальный. Сам межсетевой экран (МЭ) настраивается таким образом, что соединения возможны от локальной сети к ДМЗ и от ДМЗ к внешним сетям. Из внешних сетей возможны соединения только к известным сервисам в ДМЗ. Из ДМЗ разрешены соединения, инициированные из локальной сети. Все остальные соединения блокируются. В качестве межсетевых экранов чаще всего используются линейки продуктов компаний Cisco и CheckPoint.

Для защиты периметра сети и серверов, располагающихся в ДМЗ, от основных видов атак используются системы обнаружения вторжений. Как правило, это программно-аппаратный комплекс, с постоянно обновляющейся базой атак, который позволяет в режиме реального времени отслеживать и сообщать администратору о большинстве видов проводимых атак. Администратор системы может блокировать нежелательные соединения вручную, либо создать правило, на основе которого данный трафик будет блокироваться автоматически. Возможно использование одного и того же детектора атак для анализа внешнего трафика и трафика в ДМЗ. Для защиты непосредственно серверов устанавливается специальный детектор атак, предназначенный именно для данной операционной системы. Это позволяет учитывать нюансы различных операционных систем.

Для защиты почтовой системы от проникновения вирусов используются программные продукты ведущих мировых производителей - Symantec, TrendMicro, Dr.Web. Продукты данных производителей хорошо зарекомендовали себя в рабочих условиях. У всех продуктов этих компаний хорошая совместимость и интегрируемость с большинством ПО для передачи почтовых сообщений.

Proxy. Вообще-то главное назначение кэширование информации, но свойство так называемых анонимных прокси-серверов – скрытие IP-адреса клиента. Таким образом, от злоумышлениика скрывается внутренняя структура сети.

Должно быть: центральный контроль и управление средствами защиты.

Для настройки:

  1.  выборочное подключение имеющихся защитных механизмов.
  2.  обеспечение «мягкого» режимов защиты, т.е. при НСД пользовател. системе, они фиксируются в  системном журнале, но не пресекаются.
  3.  возможности по автоматическому изменению полномочий на основе информации накопленном в системном журнале.

Для решения проблем управления:

  1.  Централизованное и децентрализованное управление. Любые изменения в настройках защитных механизмов должны распространятся на все рабочие места.
  2.  Управление механизмами защиты на конкретной станции должно осуществляться не зависимо, оттого включена она или выключена.
  3.  В крупных ИС замена версий программ защиты требует больших трудозатрат.
  4.  В больших ИС особую важность приобретает оперативный контроль за состоянием средств защиты.

Надо разраб возможности для увеличения системного журнала:

  1.  Должна быть разработана подсистема запросов, позволяющая выбрать интересующее (по имени, дате и времени, категории).
  2.  Возможность автоматического разбиения и хранения системных журналов по месяцам и дням (декадам).
  3.  Автоматическое удаление.
  4.  В системе защиты должны быть предусмотрены механизмы семантического сжатия информации.
  5.  Необходимо иметь средство автоматической подготовки отчетных документов о нарушениях, о станциях и т. д.

Системы безопасности бывают универсальные и специализированные


 

А также другие работы, которые могут Вас заинтересовать

54572. Спрос. Закон спроса. Факторы, влияющие на спрос 30.7 KB
  Спрос (D – от англ. demand) – это намерение потребителей, обеспеченное платежными средствами, приобрести данный товар. Наличие спроса на какой-либо товар означает согласие покупателя уплатить за него указанную цену.
54573. Моя Україна – моя Батьківщина. Незалежність України 52.5 KB
  Незалежність України Виховна година для учнів випускників Мета: формувати громадянську позицію в учнів розуміння особистої причетності до всіх подій які відбуваються в Україні шанобливе ставлення до нетлінних духовних скарбниць народу повагу до національних символів традицій оберегів; виховувати в учнів почуття патріотизму національної свідомості любові до рідного краю. Що таке Україна для кожного з вас учні наводять свої думки асоціації аргументують власне сприйняття України як держави наводять приклади з власного...
54574. Ніхто не має права ображати людину 49 KB
  Наш дзвінок вже дав сигнал Працювати час настав Ось і ти часу не гай Працювати починай Доброго дня діти Сідайте. Діти мене звати Вікторія Ігорівна і урок Я і Україна сьогодні проведу у вас я. Діти згадайте будьласка тему минулого вашого уроку. Молодці діти згадали ми з вами минулу тему.
54576. Німецькомовні країни. Розвиток монологічного мовлення 48 KB
  Über Deutschland, Österreich und die Schweiz haben wir vieles erfahren. Und noch gibt es zwei kleine Staaten, wo man deutsch spricht. Hört kleine Information über diese Staaten zu!
54577. ПРОГРАМА ДИСТАНЦІЙНОГО НАВЧАННЯ З НІМЕЦЬКОЇ МОВИ 96.5 KB
  Звісно відпочинок це також необхідна сторона нашого життя але головне завдання вчителя це компетентний учень і робота в режимі дистанційного навчання є чудовим інструментом для його виховання. Робота з текстом: Виписати та вивчити нові слова; Прочитати текст; Перекласти усно; Дати письмові відповіді на питання до тексту та переслати їх на електронну адресу вчителя. Робота з текстом: Виписати та вивчити нові слова; Прочитати текст; Перекласти усно; Виконати тестове завдання до тексту та переслати отримані відповіді на...
54578. Значення нітрогену та його сполук в природі та господарській діяльності людини 57.5 KB
  Сьогодні ми проведемо узагальнюючий урок з теми Підгрупа нітрогену. Щоб виконати завдання редакції необхідно заповнити таблицю Позитивна та негативна роль нітрогену та його сполук. Роль нітрогену та його сполук Позитивна Негативна ІІІ.
54579. НАВЧАЛЬНО-МЕТОДИЧНА КАРТКА (ПЛАН) ЗАНЯТТЯ 174 KB
  Мета завдання: Навчальна: зясувати соціальноекономічну сутність заробітної плати; визначити сфери державного регулювання оплати праці в умовах ринкових відносин; проаналізувати особливості організацій оплати праці на підприємстві; зясувати що лежить в основі побудови системи оплати праці на підприємстві в сучасних умовах; виявити переваги та недоліки різних систем...
54580. З Новим роком! 103.5 KB
  Принц Рік новий вже так близенько Кілька днів всього пройде. Принц Рік новий не за горами Крок за кроком і прийде. Але поки разом з нами Рік старий.