Реферат: Защита информации компьютерных сетей

Защита информации

компьютерных сетей

Содержание:

1.<span Times New Roman"">               

Межсетевые экраны

-    Дополнительные требования к межсетевымэкранам первого класса защищенности.

-    Дополнительные требования к межсетевымэкранам второго класса защищенности.

-    Требования к межсетевым экранам пятогокласса защищенности.

-    Разработка политики межсетевоговзаимодействия.

-    Определение схемы подключения межсетевогоэкрана.

-    Настройкапараметров функционирования брандмауэра.

2.<span Times New Roman"">               

Криптография

1.Межсетевые экраны

Общиетребования.

Предъявляемые требования к любому средству зашитыинформации в компьютерной сети можно разбить на следующие категории:

— функциональные — решение требуемой совокупностизадач зашиты;

— требования по надежности — способности своевременно,правильно и корректно выполнять все предусмотренные функции зашиты;

— требования по адаптируемости— способности к целенаправленной адаптации при изменении структуры,технологических схем и условий функционирования компьютерной сети;

— эргономические — требования по удобству администрирования,эксплуатации и минимизации помех пользователям;

— экономические — минимизация финансовых и ресурсныхзатрат.

Межсетевые экраны должны удовлетворять следующимгруппам более детальных требований. По целевым качествам — обеспечиватьбезопасность защищаемой внутренней сети и полный контроль над внешними подключениямии сеансами связи. Межсетевой экран должен иметь средства авторизации доступапользователей через внешние подключения. Типичной является ситуация, кагда часть персонала организации должна выезжать,например, в командировку, и в процессе работы им требуется доступ к некоторымресурсам внутренней компьютерной сети организации. Брандмауэр должен надежно распознаватьтаких пользователей и предоставлять им необходимые виды доступа.

По управляемости и гибкости — обладать мощными игибкими средствам управления для полного воплощения в жизнь политикибезопасности организации. Брандмауэр должен обеспечивать простую реконфигурациюсистемы при изменении структуры сети. Если у организации имеется нескольковнешних подключений, в том числе и в удаленных филиалах, система управленияэкранами должна иметь возможность централизованно обеспечивать для нихпроведение единой политики межсетевых взаимодействий.

По производительности и прозрачности — работатьдостаточно эффективно и успевать обрабатывать весь входящий и исходящий трафикпри максимальной нагрузке. Это необходимо для того, чтобы брандмауэр нельзя былоперегрузить большим количеством вызовов, которые привели бы к нарушению егоработы. Межсетевой экран должен работать незаметно для пользователей локальнойсети и не затруднять выполнение ими легальных действий. В противном случаепользователи будут пытаться любыми способами обойти установленные уровнизащиты.

По самозащищенности —обладать свойством самозащиты от любых несанкционированных воздействий.Поскольку межсетевой экран является и ключом и дверью к конфиденциальнойинформации в организации, он должен блокировать любые попытки несанкционированногоизменения его параметров настройки, а также включать развитые средствасамоконтроля своего состояния и сигнализации. Средства сигнализации должныобеспечивать своевременное уведомление службы безопасности при обнаружениилюбы* несанкционированных действий, а также нарушении работоспособности межсетевогоэкрана.

В настоящее время общеупотребительным подходом кпостроению критериев оценки средств информационно-компьютерной безопасности являетсяиспользование совокупности определенным образом упорядоченных качественныхтребований к подсистемам защиты, их эффективности и эффективности реализации.Подобный подход выдержан и в руководящем документе ГостехкомиссииРоссии, где устанавливается классификация межсетевых экранов по уровнюзащищенности от несанкционированного доступа к информации. Данная классификацияпостроена на базе перечня показателей защищенности и совокупности описывающихих требований.

Показатели защищенности применяются к брандмауэрам дляопределения уровня защищенности, который они обеспечивают при межсетевомвзаимодействии. Конкретные перечни показателей определяют классы межсетевыхэкранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэровна соответствующие классы по уровням контроля межсетевых информационных потоковнеобходимо в целях разработки и принятия обоснованных и экономическиоправданных мер по достижению требуемой степени защиты информации примежсетевых взаимодействиях.

Устанавливается пять классов межсетевых экранов попоказателям защищенности. Самый низкий класс защищенности — пятый, применяемыйдля безопасного взаимодействия автоматизированных систем класса 1Д с внешнейсредой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — первый,применяемый для безопасного взаимодействия автоматизированных систем класса 1Ас внешней средой. При включении брандмауэра в автоматизированную систему (АС)определенного класса защищенности, класс защищенности совокупной системы,полученной из исходной путем добавления в нее межсетевого экрана, не долженпонижаться. Для АС класса ЗБ, 2Б должны применяться брандмауэры не ниже 5-гокласса. Для АС класса ЗА, 2А в зависимости от важности обрабатываемойинформации должны применяться брандмауэры следующих классов:

— при обработке информации с грифом«секретно» — не ниже 3-го класса;

— при обработке информации с грифом «совершенносекретно» — не ниже 2-го класса;

— при обработке информации с грифом «особойважности». — не ниже 1-го класса.

Вспомним, что в соответствии с руководящим документом Гостехкомиссии России, устанавливается девять классовзащищенности АС от несанкционированного доступа к информации. Каждый классхарактеризуется определенной минимальной совокупностью требований по защите.Классы подразделяются на три группы, отличающиеся особенностями обработкиинформации в АС. В пределах каждой группы соблюдается иерархия требований позащите в зависимости от ценности (конфиденциальности) информации и,следовательно, иерархия классов защищенности АС. Класс, соответствующий высшейстепени защищенности для данной группы, обозначается индексом NA, где N— номер группыот 1 до 3. Следующий класс обозначается NБ и т. д.

Третья группа включает АС, в которых работает одинпользователь, допущенный ко всей информации АС, размещенной на носителях одногоуровня конфиденциальности. Данная группа содержит два класса ЗБ и ЗА. Втораягруппа включает АС, в которых пользователи имеют одинаковые права доступа(полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителяхразличного уровня конфиденциальности. Эта группа содержит два класса 2Б и 2А.Первая группа включает многопользовательские АС, в которых одновременнообрабатывается и/или хранится информация разных уровней конфиденциальности и невсе пользователи имеют право доступа ко всей информации АС. Данная группасодержит пять классов 1Д, 1Г. 1В, 1Б и 1А.

Дополнительныетребования к межсетевым экранам первого класса защищенности.

Идентификация а аутентификация. Дополнительномежсетевой экран должен обеспечивать идентификацию и аутентификацию всехсубъектов прикладного уровня. Администрирование; идентификация и аутентификация.Межсетевой экран должен обеспечивать идентификацию и аутентификациюадминистратора при его запросах на доступ. Межсетевой экран обязанпредоставлять возможность для идентификации и аутентификации по биометрическимхарактеристикам или специальным устройствам (жетонам, картам, электроннымключам) и паролю временного действия. Межсетевой экран должен препятствоватьдоступу неидентифицированного субъекта или субъекта,подлинность идентификации которого при аутентификации не подтвердилась. Приудаленных запросах на доступ администратора идентификация и аутентификациядолжны обеспечиваться методами, устойчивыми к пассивному и активному перехватуинформации.

Администрирование: простота использования.Многокомпонентный межсетевой экран должен обеспечивать возможностьцентрализованного управления своими компонентами, в том числе, конфигурированияфильтров, проверки взаимной согласованности всех фильтров, анализа регистрационнойинформации. Должен быть предусмотрен графический интерфейс для управлениямежсетевым экраном.

Целостность. Межсетевой экран должен содержатьсредства контроля за целостностью своей программной и информационной части поконтрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.Тестирование. В межсетевом экране дополнительно должна обеспечиватьсявозможность регламентного тестирования процесса централизованного управлениякомпонентами брандмауэра и графического интерфейса для управления межсетевымэкраном. Тестовая документация. Должна содержать описание тестов и испытаний,которым подвергался межсетевой экран, и результаты тестирования.

Конструкторская (проектная) документация.Дополнительно документация должна содержать описание графического интерфейсадля управления межсетевым экраном.

Дополнительныетребования к межсетевым экранам второго класса защищенности.

Дополнительные требования к межсетевым экранам второгокласса защищенности Управление доступом. Межсетевой экран дополнительно долженобеспечивать:

— возможность сокрытия субъектов (объектов) и/илиприкладных функций защищаемой сети;

— возможность трансляции сетевых адресов.

Регистрация. Дополнительно межсетевой экран долженобеспечивать:

— дистанционную сигнализацию попыток нарушения правилфильтрации;

— регистрацию и учет запрашиваемых сервисовприкладного уровня;

— программируемую реакцию на события в межсетевомэкране.

Администрирование: идентификация и аутентификация.Межсетевой экран должен предоставлять возможность идя идентификации и аутентификациипо идентификатору (коду) и паролю временного действия. Брандмауэр долженпрепятствовать доступу ^идентифицированного субъекта или субъекта, подлинностьидентификации которою при аутентификации не подтвердилась. При удаленныхзапросах на доступ администратора идентификация и аутентификация должныобеспечиваться методами, устойчивыми к пассив-нону и активному перехватуинформации.

Целостность. Межсетевой экран должен содержатьсредства контроля за целостностью своей программной и информационной части поконтрольным суммам как в процессе загрузки, так и динамически. восстановление.Межсетевой экран должен предусматривать процедуру восстановления после сбоев иотказов оборудования, которые должны обеспечивать оперативное восстановлениесвойств брандмауэра. Тестирование. В межсетевом экране должна обеспечиватьсявозможность регламентного тестирования:

— реализации правил фильтрации;

— процесса регистрации;

— процесса идентификации и аутентификации запросов;

— процесса идентификации и аутентификацииадминистратора;

— процесса регистрации действий администратора;

— процесса контроля за целостностью программной иинформационной части межсетевого экрана;

— процедуры восстановления.

Тестовая документация. Должна содержать описаниетестов и испытаний которым подвергался межсетевой экран, и результатытестирования.

Требования кмежсетевым экранам пятого класса защищенности.

Управление доступом. Межсетевой экран долженобеспечивать фильтрацию на сетевом уровне. Решение по фильтрации можетприниматься для каждого сетевого пакета независимо на основе, по крайней мере,сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов,

Администрирование: идентификация и аутентификация.Межсетевой экран должен обеспечивать идентификацию и аутентификацию администраторапри его локальных запросах на доступ. Брандмауэр должен предоставлятьвозможность для идентификации и аутентификации по идентификатору (коду) ипаролю условно-постоянного действия.

Администрирование: регистрация. Межсетевой экрандолжен обеспечивать регистрацию входа/выхода администратора в систему (изсистемы), а также события загрузки и инициализации системы и ее программногоостанова. Регистрация выхода из системы не проводится в моменты аппаратурногоотключения брандмауэра. В параметрах регистрации должны указываться:

— дата, время и код регистрируемого события;

— результат попытки осуществления регистрируемогособытия — успешная или неуспешная;

— идентификатор администратора МЭ, предъявленный припопытке осуществления регистрируемого события.

Целостность. Межсетевой экран должен содержатьсредства контроля за целостностью своей программной и информационной части.Восстановление. Межсетевой экран должен предусматривать процедурувосстановления после сбоев и отказов оборудования, которые должны обеспечиватьвосстановление свойств МЭ. Тестирование. В межсетевом экране должна обеспечиватьсявозможность регламентного тестирования:

— реализации правил фильтрации;

— процесса идентификации и аутентификацииадминистратора;

— процесса регистрации действий администратора;

— процесса контроля за целостностью программной иинформационной части межсетевого экрана;

— процедуры восстановления.

Руководство администратора межсетевого экрана.Документ должен содержать:

— описание контролируемых функций брандмауэра;

— руководство по настройке и конфигурированиюмежсетевого экрана;

— описание старта брандмауэра и процедур проверкиправильности старта;

— руководство по процедуре восстановления.

Тестовая документация. Должна содержать описаниетестов и испытаний, которым подвергался межсетевой экран, и результатытестирования. Конструкторская (проектная) документация. Должна содержать:

— общую схему межсетевого экрана;

— общее описание принципов работы брандмауэра;

— описание правил фильтрации;

— описание средств и процесса идентификации иаутентификации;

— описание средств и процесса регистрации;

— описание средств и процесса контроля за целостностьюпрограммной и информационной части межсетевого экрана;

— описание процедуры восстановления свойств брандмауэра.

Разработкаполитики межсетевого взаимодействия.

Политика межсетевого взаимодействия является тойчастью политики безопасности в организации, которая определяет требования кбезопасности информационного обмена с внешним миром. Данные требования обязательнодолжны отражать два аспекта:

— политику доступа к сетевым сервисам;

— политику работы межсетевого экрана.

Политика доступа к сетевым сервисам определяет правилапредоставления а также использования всех возможных сервисов защищаемой компьютернойсети. Соответственно в рамках данной политики должны быть заданы все сервисы,предоставляемые через сетевой экран, и допустимые адрес; клиентов для каждогосервиса. Кроме того, должны быть указаны правша для пользователей, описывающие,когда и какие пользователи каким сервисом и на каком компьютере могутвоспользоваться. Отдельно определяют правила аутентификации пользователей икомпьютеров, а также условии работы пользователей вне локальной сетиорганизации.

Политика работы межсетевого экрана задает базовыйпринцип управления межсетевым взаимодействием, положенный в основу функционирований  брандмауэра. Может быть выбран один из двухтаких принципов:

— запрещено все, что явно не разрешено;

— разрешено все, что явно не запрещено.

В зависимости от выбора, решение может быть принятокак в пользу безопасности в ущерб удобству использования сетевых сервисов, таки наоборот В первом случае межсетевой экран должен быть сконфигурирован такимобразом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия.Учитывая, что такой подход позволяет адекватно реализовать принцип минимизациипривилегий, он, с точки зрения безопасности, является лучшим. Здесьадминистратор не сможет по забывчивости оставить разрешенными какие-либополномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисымогут быть использованы во вред безопасности, что особенно характерно длязакрытого и сложного программного обеспечения, в котором могут быть различныеошибки и некорректности. Принцип «запрещено все, что явно неразрешено», в сущности является признанием факта, что незнание можетпричинить вред.

При выборе принципа «разрешено все, что явно незапрещено» межсетевой экран настраивается таким образом, чтобы блокироватьтолько явно запрещенные межсетевые взаимодействия. В этом случае повышается удобствоиспользования сетевых сервисов со стороны пользователей, но снижаетебезопасность межсетевого взаимодействия. Администратор может учесть и вседействия, которые запрещены пользователям. Ему приходится работать режимереагирования, предсказывая и запрещая те межсетевые взаимодействия, которыеотрицательно воздействуют на безопасность сети.

Определениесхемы подключения межсетевого экрана.

Для подключения межсетевых экранов могутиспользоваться различные схемы, которые зависят от условий функционирования, атакже количества сетевых интерфейсов брандмауэра.

Брандмауэры с одним сетевым интерфейсом не достаточноэффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования.Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно немогут обеспечивать надежную защиту межсетевых взаимодействий. Настройка такихмежсетевых экранов, а также связанных с ними маршрутизаторовпредставляет собой довольно сложную задачу, иена решения которой превышаетстоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумяили тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключениямежсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемуюлокальную сеть будем рассматривать как совокупность закрытой и открытойподсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой состороны потенциально враждебной внешней сети может быть полностью или частичнооткрыт. В открытую подсеть могут, например, входить общедоступные WWW-. FTP — и SMTP-серверы, а также терминальный сервер с модемнымпулом.

Среди всего множества возможных схем подключениябрандмауэров типовыми являются следующие:

— схема единой защиты локальной сети;

— схема с защищаемой закрытой и не защищаемой открытойподсетями;

— схема с раздельной зашитой закрытой и открытойподсетей.

Схема единой зашиты локальной сети является наиболеепростым решением, при котором брандмауэр целиком экранирует локальную сеть от потенциальновраждебной внешней сети. Между маршрутизатором и брандмауэромимеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэрявляется единственной видимой снаружи машиной. Открытые серверы, входящие в локальнуюсеть, также будут защищены межсетевым экраном. Однако объединение серверов,доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сетисущественно снижает безопасность межсетевых взаимодействий. Поэтому данную схемуподключения брандмауэра можно использовать лишь при отсутствии в локальной сетиоткрытых серверов или когда имеющиеся открытые серверы делаются доступными извнешней сети только для ограниченного числа пользователей, которым можнодоверять.

При наличии в составе локальной сети общедоступныхоткрытых серверов их целесообразно вынести как открытую подсеть до межсетевогоэкрана. Данный способ обладает более высокой защищенностью закрытой частилокальной сети, но обеспечивает пониженную безопасность открытых серверов,расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместитьэти серверы на себе. Но такое решение не является лучшим с точки зрениязагрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное,можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытойподсетью и не защищаемой  защищаемой открытой подсетью целесообразно использоватьлишь при невысоких требованиях по безопасности к открытой подсети.

В случае же, когда к безопасности открытых серверов предъявляютсяповышенные требования, то необходимо использовать схему с раздельной защитойзакрытой и открытой подсетей. Такая схема может быть построена на основе одногобрандмауэра с тремя сетевыми интерфейсами или на основе двух брандмауэров сдвумя сетевыми интерфейсами. В обоих случаях доступ к открытой и закрытойподсетям локальной сети возможен только через межсетевой экран. При этом доступк открыто сети не позволяет осуществить доступ к закрытой подсети.

Из последних двух схем большую степень безопасностимежсетевых в: действий обеспечивает схема с двумя брандмауэрами, каждый из ксобразует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсетьздесь выступает в качестве экранирующей подсети. Обычно экранирующая подсетьконфигурируется таким образом, чтобы o6ecпечитьдоступ к компьютерам подсети как из потенциально враждебной внешней сети, так ииз закрытой подсети локальной сети. Однако прямой обмен информационнымипакетами между внешней сетью и закрытой подсетью невозможен.

При атаке системы с экранирующей подсетью необходимопреодолеть, по крайней мере, две независимые линии зашиты, что является весьмасложной задачей. Средства мониторинга состояния межсетевых экранов практическинеизбежно обнаружат подобную попытку, и администратор системы своевременнопредпримет необходимые действия по предотвращению несанкционированного доступа.

Следует обратить внимание, что работа удаленныхпользователей, подключаемых через коммутируемые линии связи, также должнаконтролироваться в соответствии с политикой безопасности, проводимой ворганизации. Типовое решение этой задачи — установка сервера удаленного доступа1терминального сервера), который обладает необходимыми функциональнымивозможностями, например, терминального сервера Annexкомпании BayNetworks. Терминальный серверявляется системой с несколькими асинхронными портами и одним интерфейсомлокальной сети. Обмен информацией между асинхронными портами и локальной сетьюосуществляется только после соответствующей аутентификации внешнего пользователя.

Подключение терминального сервера должноосуществляться таким образом, чтобы его работа выполнялась исключительно черезмежсетевой эк Это позволит достичь необходимойстепени безопасности при работе удаленных пользователей с информационными ресурсамиорганизации. Такое подключение возможно, если терминальный сервер включить всостав or-крытой подсети при использовании схем подключениябрандмауэра с раздельной защитой открытой и закрытой подсетей (рис- 2.20 и2.21).

Программное обеспечение терминального сервера должнопредоставлять возможности администрирования и контроля сеансов связи через коммутируемы;каналы. Модули управления современных терминальных серверов имеют достаточнопродвинутые возможности обеспечения безопасности самого сервера iразграничениядоступа клиентов, выполняя следующие функции:

— использование локального пароля на доступ кпоследовательному порт на удаленный доступ попротоколу РРР, а также для доступа к административной консоли;

— использование запроса на аутентификацию с какой-либомашины локальной сети;

— использование внешних средств аутентификации;

— установку списка контроля доступа на портытерминального сервера;

— протоколирование сеансов связи через терминальныйсервер.

Настройкапараметров функционирования брандмауэра.

Межсетевой экран представляет собойпрограммно-аппаратный комплекс зашиты, состоящий из компьютера, а такжефункционирующих на нем операционной системы (ОС) и специального программногообеспечения. Следует отметить, что это специальное программное обеспечениечасто также называют брандмауэром.

Компьютер брандмауэра должен быть достаточно мощным ифизически защищенным, например, находиться в специально отведенном и охраняемомпомещении. Кроме того, он должен иметь средства защиты от загрузки ОС снесанкционированного носителя.

Операционная система брандмауэра также должнаудовлетворять ряду требований:

— иметь средства разграничения доступа к ресурсамсистемы;

— блокировать доступ к компьютерным ресурсам в обходпредоставляемого программного интерфейса;

— запрещать привилегированный доступ к своим ресурсамиз локальной сети;

— содержать средства мониторинга/аудита любыхадминистративных действий.

Приведенным требованиям удовлетворяют различныеразновидности ОС UNIX, а также Microsoft Windows NT. После установки на компьютер брандмауэравыбранной операционной системы, ее конфигурирования, а также инсталляцииспециального программного обеспечения можно приступать к настройке параметровфункционирования всего межсетевого экрана. Этот процесс включает следующиеэтапы:

— выработку правил работы межсетевого экрана всоответствии с разработанной политикой межсетевого взаимодействия и описаниеправил в интерфейсе брандмауэра;

— проверку заданных правил на непротиворечивость;

— проверку соответствия параметров настройкибрандмауэра разработанной политике межсетевого взаимодействия.

Формируемая на первом этапе база правил работымежсетевого экрана представляет собой формализованное отражение разработаннойполитикой межсетевого взаимодействия. Компонентами правил являются защищаемыеобъекты, пользователи и сервисы.

В число защищаемых объектов могут входить обычныекомпьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькимисетевыми интерфейсами), маршрутизаторы, сети, областиуправления. Защищаемые объекты могут объединяться в группы. Каждый объект имеетнабор атрибутов, таких как сетевой адрес, маска подсети и т. п. Часть этихатрибутов следует задать вручную, остальные извлекаются автоматически изинформационных баз, например NIS/NIS+, SNMP M1B, DNS. Следует обратить вниманиена необходимость полного описания объектов, так как убедиться в корректности заданныхправил экранирования можно только тогда, когда определены сетевые интерфейсышлюзов и маршрутизаторов. Подобную информацию можнополучить автоматически от SNMP-агентов.

При описании правил работы межсетевого экранапользователи наделяются входными именами и объединяются в группы. Дляпользователей указываются допустимые исходные и целевые сетевые адреса,диапазон дат и времени работы, а также схемы и порядок аутентификации.

Определение набора используемых сервисов выполняетсяна основе встроенной в дистрибутив брандмауэра базы данных, имеющей значительныйнабор TCP/IP сервисов. Нестандартные сервисы могут задаваться вручную с помощьюспециальных атрибутов. Прежде чем указывать сервис при задании жид, необходимоопределить его свойства. Современные брандмауэры содержат предварительноподготовленные определения всех стандартных TCP/IP-сервисов, разбитых на четырекатегории — TCP, UDP, RPC, ICMP.

Сервисы TCP являются полностью контролируемымисервисами, так как предоставляются и используются на основе легкодиагностируемых виртуальных соединений.

Сервисы UDP традиционно трудны для фильтрации,поскольку фаза установления виртуального соединения отсутствует, равно как иконтекст диалога между клиентом и сервером. Брандмауэр может сам вычислять этотконтекст, отслеживая все UDP-пакеты, пересекающие межсетевой экран обоихнаправлениях, и ассоциируя запросы с ответами на них. В результат получаетсяаналог виртуального соединения для дейтаграммногопротокола, а все попытки нелегального установлении подобного соединения, равнокак и дейтаграммы, следующие вне установленных соединений, обрабатывают™ в соответствиис установленной политикой межсетевого взаимодействия.

RPC-сервисы сложны для фильтрации из-за переменныхномеров используемых портов. Брандмауэры отслеживают RPC-трафик, выявляя запросык функции PORTMAPPER и извлекая из ответов выделенные номера портов

Протокол ICMP используется самим IP-протоколом дляотправки контрольных сообщений, информации об ошибках, а также для тестированияцелостности сети. Для ICMP протокола не используется концепция портов. В немиспользуются числа от 0 до 255 для указания типа сервиса, которые вместе:адресами и учитываются при контроле межсетевого взаимодействия.

После того как база правил сформирована, онапроверяется на непротиворечивость. Это очень важный момент, особенно дляразвитых, многокомпонентных сетевых конфигураций со сложной политикой межсетевоговзаимодействия. Без подобной возможности администрирование межсетевого экрана снеизбежностью привело бы к многочисленным ошибкам и созданию слабостей.Проверка сформированных правил на непротиворечивость выполняется автоматически.Обнаруженные неоднозначности должны быть устранены путем редактированияпротиворечивых правил. После окончательного определения правил и устраненияошибок от администратора могут потребоваться дополнительные действия покомпиляции и установке фильтров и посредников. Большинство брандмауэров послеформирования базы правил выполняют процесс окончательной настройкиавтоматически.

Проверка соответствия параметров настройки брандмауэраразработанной политике межсетевого взаимодействия может выполняться на основеанализа протоколов работы межсетевого экрана. Однако наибольшая результативностьтакой проверки будет достигнута при использовании специализированных системанализа защищенности сети. Наиболее ярким представителем таких систем являетсяпакет программ Internet ScannerSAFEsuite компании InternetSecurity Systems.

Входящая в состав данного пакета подсистема FireWall Scanner обеспечиваетпоиск слабых мест в конфигурации межсетевых экранов и предоставляетрекомендации по их коррекции. Поиск слабых мест осуществляется на основепроверки реакции межсетевых экранов на различные типы попыток нарушениябезопасности. При этом выполняется сканирование всех сетевых сервисов, доступ ккоторым осуществляется через межсетевой экран. Для постоянного полдержаниявысокой степени безопасности сети FireWall Scanner рекомендуется сделать частью установки межсетевогоэкрана.

При настройке межсетевого экрана следует помнить, чтои как любое другое средство, он не может защитить от некомпетентностиадминистраторов и пользователей. Несанкционированные проникновения в защищенныесети могут произойти, например, по причине выбора легко угадываемого пароля.Экранирующая система не защищает также от нападения по не контролируемым еюканалам связи. Если между потенциально враждебной внешней сетью и защищаемойвнутренней сетью имеется неконтролируемый канал, то брандмауэр не сможетзащитить от атаки через него. Это же относится и к телефонным каналам передачиданных. Если модем позволяет подключиться внутрь защищаемой сети в обходмежсетевого экрана, то защита будет разрушена. Здесь следует вспомнить основнойпринцип защиты — система безопасна настолько, насколько безопасно ее самоенезащищенное звено. Поэтому необходимо, чтобы экранирующая системаконтролировала все каналы передачи информации между внутренней и внешней сетью.

2.Криптография

         Про­бле­маза­щи­ты ин­фор­ма­ции пу­тем ее пре­об­ра­зо­ва­ния, исключающего ее про­чте­ниепо­сто­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский ум с дав­них вре­мен.История криптографии — ровесница истории человеческого языка. Более того,первоначально письменность сама по себе была криптографической системой, таккак в древних обществах ею владели только избранные. Священные книги Древ­негоЕгип­та, Древ­ней Индии тому примеры.

Сшироким распространением письменности криптография стала формироваться каксамостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры.Так, Цезарь в своей переписке использовал уже более менее систематический шифр,получивший его имя.

Бурноераз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­ройми­ро­вых войн. Начиная с послевоенного времени и по нынешний день появлениевычислительных средств ускорило разработку и сов

еще рефераты
Еще работы по компьютерным сетям