Реферат: Защита информации в глобальной сети

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

РЕФЕРАТ

ПО КУРСУ: Информационные технологии

НА ТЕМУ

Защита информации вглобальной сети

Выполнил

студент группы Эн2у-31

Р.А.Мандрик

Проверил

доцент

К.Я. Глумберг

НОВОСИБИРСК,2006

Содержание

Введение.

Защитаинформации в глобальной сети.

1.

Проблема защиты информации.

2.

Информационная безопасность иинформационные технологии.

3.

Средства защиты информации.

3.1.Solstice Firewall-1.

3.1.1. Назначение экранирующих систем итребования к ним.

3.1.2. Структура системы SolsticeFirewall-1.

3.1.3. Пример реализации политикибезопасности.

3.1.4. Управление системой Firewall-1.

3.1.5. Еще один пример реализации политикибезопасности.

3.1.6. Аутентификация пользователей приработе с FTP.

3.1.7. Гибкие алгоритмы фильтрации UDP–пакетов, динамическое экранирование.

3.1.8.

Язык программирования. Прозрачность иэффективность.

3.2.

Ограничение доступа в WWWсерверах.

3.2.1. Ограничения по IP–адресам.

3.2.2. Ограничения по идентификаторуполучателя.

3.3.

Информационная безопасность в Intranet.

3.3.1. Разработка сетевых аспектов политикибезопасности.

3.3.2. Процедурные меры.

3.3.3. Управление доступом путем фильтрацииинформации.

3.3.4. Безопасность программной среды.

3.3.5. Защита Web–серверов.

3.3.6. Аутентификация в открытых сетях.

3.3.7.Простота и однородность архитектуры.

3.4.PGP.

3.5.Blowfish.

3.6.Kerberos.

4.

Виртуальные частные сети(VPN).

4.1.

Совместимость.

4.2.

Безопасность.

4.3.

Доступность.

4.4.

Управляемость.

4.5.

АрхитектураVPN.

Заключение.

ВВЕДЕНИЕ

Internet — глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеетоколо 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сетиувеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связьразличных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.

Если ранее сетьиспользовалась исключительно в качестве среды передачи файлов и сообщенийэлектронной почты, то сегодня решаются более сложные задачи распределеногодоступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающиефункции сетевого поиска и доступа к распределенным информационным ресурсам,электронным архивам.

Internet, служившая когда-то исключительно исследовательским и учебнымгруппам, чьи интересы простирались вплоть до доступа к суперкомпьютерам,становится все более популярной в деловом мире.

Компании соблазняют быстрота, дешевая глобальная связь, удобство дляпроведения совместных работ, доступные программы, уникальная база данныхсети Internet. Они рассматриваютглобальную сеть как дополнение к своим собственным локальной сетям.

Фактически Internet состоит измножества локальных и глобальных сетей, принадлежащих различным компаниям ипредприятиям, связанных между собой различными линиями связи. Internet можнопредставить себе в виде мозаики сложенной из небольших сетей разной величины,которые активно взаимодействуют одна с другой, пересылая файлы, сообщения ит.п.

При низкой стоимости услуг (часто это только фиксированная ежемесячнаяплата за используемые линии или телефон) пользователи могут получить доступ ккоммерческим и некоммерческим информационным службам США, Канады, Австралии имногих европейских стран. В архивах свободного доступа сети Internet можнонайти информацию практически по всем сферам человеческой деятельности, начинаяс новых научных открытий до прогноза погоды на завтра.

Кроме того Internet предоставляет уникальные возможности дешевой,надежной и конфиденциальной глобальной связи по всему миру. Это оказываетсяочень удобным для фирм имеющих свои филиалы по всему миру, транснациональныхкорпораций и структур управления. Обычно, использование инфраструктуры Internetдля международной связи обходится значительно дешевле прямой компьютерной связичерез спутниковый канал или через телефон.

Электронная почта — самая распространенная услуга сети Internet. Внастоящее время свой адрес по электронной почте имеют приблизительно 20миллионов человек. Посылка письма по электронной почте обходится значительнодешевле посылки обычного письма. Кроме того сообщение, посланное по электроннойпочте дойдет до адресата за несколько часов, в то время как обычное письмоможет добираться до адресата несколько дней, а то и недель.

В настоящее время Internet испытывает период подъема, во многом благодаряактивной поддержке со стороны правительств европейских стран и США. Ежегодно вСША выделяется около 1-2 миллионов долларов на создание новой сетевой инфраструктуры.Исследования в области сетевых коммуникаций финансируются также правительствамиВеликобритании, Швеции, Финляндии, Германии.

Однако, государственное финансирование — лишь небольшая часть поступающихсредств, т.к. все более заметной становится «коммерцизация» сети(80-90% средств поступает из частного сектора).

Новые границы киберпространства открывают широкие возможности дляновшеств, деловой активности и извлечения прибыли. Но есть у интерактивногомира и другая сторона — снижение степени безопасности корпораций. Сеть Internetпородила нелегальный рынок, где сбывается информация, составляющая коммерческуютайну корпораций. По оценкам правоохранительных органов, интерактивныепреступники ежегодно крадут информацию более чем на 10 млрд. долл. Однако закондо сих пор проигрывает в сражении с ними. Киберворы пользуются преимуществами,которые дает им система защиты Internet, включая свободно распространяемыеалгоритмы шифрования с открытым ключом и анонимные узлы ретрансляцииэлектронной почты. Эти средства служат укрытием для торговцев похищеннойинформацией во всем мире. Степень риска для корпораций повышается независимо оттого, работают они по Internet или нет. Угрозу представляет не тольковозможность проникновения в корпоративную сеть через брандмауэр, но и самостановление интерактивного рынка корпоративных данных, которые могут бытьукрадены и собственными сотрудниками компании.

Нелегальнаядеятельность по сети изменила лицо корпоративной службы безопасности. Раньшемог исчезнуть один ящик секретных сведений. Теперь же нетрудно скопировать иотправить по электронной почте эквивалент сотен таких ящиков. Все, что дляэтого требуется, — один хакер. В тот же вечер все сообщество хакеров будет вкурсе дела. В число нелегально продаваемой и покупаемой информации входятномера талонов на телефонные переговоры, выдаваемых компаниями междугороднойсвязи, коды подключения к службам сотовой связи, номера кредитных карточек,«вынюхивающие» алгоритмы взлома защиты и пиратские копии программногообеспечения. В некоторых случаях покупателями этой информации являютсякриминальные структуры, такие как продавцы пиратского ПО, которые покупаютукраденные номера талонов, чтобы бесплатно звонить по международному телефону.Что еще опаснее, на этом рынке распространяются коммерческие секретыорганизаций, в частности планы исследований и разработок компаний, занимающихсявысокими технологиями. Хотя наибольшим атакам подвергаются сегодня телефонныеслужбы и компании, выдающие кредитные карточки, повышение интенсивности интерактивнойкоммерции между крупными корпорациями может существенно увеличить рискэлектронных краж для всей промышленности. По мере выхода коммерции наинформационную магистраль мы все становимся мишенями. Риску подвергаютсяпрограммные агенты и другие объекты.

Распространениеэлектронной коммерции приводит к созданию все новых интерактивных каналовсвязи, и нет гарантии, что любой из промежуточных каналов не окажется уязвимымместом с точки зрения защиты. Конечно, в краже коммерческих секретов нет ничегонового. Но Internet и другие интерактивные службы открывают торговцаминформацией новые возможности для поиска и обмена данными.

Защитаинформации в глобальной сети Internet.

1.Проблемы защиты информации.

Internet и информационная безопасностьнесовместны по самой природе Internet. Она родилась как чисто корпоративнаясеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP иединого адресного пространства объединяет не только корпоративные иведомственные сети (образовательные, государственные, коммерческие, военные ит.д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовыхпользователей, которые имеют возможность получить прямой доступ в Internet сосвоих домашних компьютеров с помощью модемов и телефонной сети общегопользования.

Как известно, чем прощедоступ в Сеть, тем хуже ее информационная безопасность, поэтому с полнымоснованием можно сказать, что изначальная простота доступа в Internet — хужеворовства, так как пользователь может даже и не узнать, что у него былископированы — файлы и программы, не говоря уже о возможности их порчи икорректировки.

Что же определяет бурныйрост Internet, характеризующийся ежегодным удвоением числа пользователей? Ответпрост -“халява”, то есть дешевизна программного обеспечения (TCP/IP), которое внастоящее время включено в Windows 95, легкость и дешевизна доступа в Internet(либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировыминформационным ресурсам.

Платой за пользованиеInternet является всеобщее снижение информационной безопасности, поэтому дляпредотвращения несанкционированного доступа к своим компьютерам всекорпоративные и ведомственные сети, а также предприятия, использующиетехнологию intranet, ставят фильтры (fire-wall) между внутренней сетью иInternet, что фактически означает выход из единого адресного пространства. Ещебольшую безопасность даст отход от протокола TCP/IP и доступ в Internet черезшлюзы.

Этот переход можноосуществлять одновременно с процессом построения всемирной информационной сетиобщего пользования, на базе использования сетевых компьютеров, которые спомощью сетевой карты 10Base-T и кабельного модема обеспечиваютвысокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сетькабельного телевидения.

Для решения этих идругих вопросов при переходе к новой архитектуре Internet нужно предусмотретьследующее:

Во-первых, ликвидироватьфизическую связь между будущей Internet (которая превратится во Всемирнуюинформационную сеть общего пользования) и корпоративными и ведомственнымисетями, сохранив между ними лишь информационную связь через систему World WideWeb.

Во-вторых, заменитьмаршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола изаменив его на режим трансляции кадров Ethernet, при котором процесс коммутациисводится к простой операции сравнения MAC-адресов.

В-третьих, перейти в новоеединое адресное пространство на базе физических адресов доступа к средепередачи (MAC-уровень), привязанное к географическому расположению сети, ипозволяющее в рамках 48-бит создать адреса для более чем 64 триллионовнезависимых узлов.

Безопасность данныхявляется одной из главных проблем в Internet. Появляются все новые и новые страшные истории о том, как компьютерныевзломщики, использующие все более изощренные приемы, проникают в чужие базыданных. Разумеется, все это не способствует популярности Internet в деловыхкругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже,конкуренты, смогут получить доступ к архивам коммерческих данных, заставляетруководство корпораций отказываться от использования открытых информационныхсистем. Специалисты утверждают, что подобные опасения безосновательны, так каку компаний, имеющих доступ и к открытым, и частным сетям, практически равныешансы стать жертвами компьютерного террора.

Дилемма безопасности такова: приходится делать выбор между защищенностьювашего имущества и его доступностью для вас, а значит, и возможностью полезногоиспользования.

Это справедливо и вотношении информации. Например, база данных, содержащая конфиденциальныесведения, лишь тогда полностью защищена от посягательств, когда она находитсяна дисках, снятых с компьютера и убранных в охраняемое место. Как только выустановили эти диски в компьютер и начали использовать, появляется сразунесколько каналов, по которым злоумышленник, в принципе, имеет возможностьполучить к вашим тайнам доступ без вашего ведома. Иными словами, вашаинформация либо недоступна для всех, включая и вас, либо не защищена на стопроцентов.

В области информациидилемма безопасности формулируется следующим образом: следует выбирать междузащищенностью системы и ее открытостью. Правильнее, впрочем, говорить не овыборе, а о балансе, так как система, не обладающая свойством открытости, неможет быть использована.

В банковской сферепроблема безопасности информации осложняется двумя факторами: во-первых, почтивсе ценности, с которыми имеет дело банк (кроме наличных денег и еще кое-чего),существуют лишь в виде той или иной информации. Во-вторых, банк не можетсуществовать без связей с внешним миром: без клиентов, корреспондентов и т. п.При этом по внешним связям обязательно передается та самая информация,выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностяхи их движении, которые иногда стоят дороже самих ценностей). Извне приходятдокументы, по которым банк переводит деньги с одного счета на другой. Вовнебанк передает распоряжения о движении средств по корреспондентским счетам, такчто открытость банка задана a priori.

2. Информационная безопасность иинформационные технологии.

На раннем этапеавтоматизации внедрение банковских систем (и вообще средств автоматизациибанковской деятельности) не повышало открытость банка. Общение с внешним миром, как и прежде, шлочерез операционистов и курьеров, поэтому дополнительная угроза безопасностиинформации проистекала лишь от возможных злоупотреблений со стороны работавшихв самом банке специалистов по информационным технологиям.

Положение изменилось послетого, как на рынке финансовых услуг стали появляться продукты, самовозникновение которых было немыслимо без информационных технологий. В первуюочередь это—пластиковые карточки. Покаобслуживание по карточкам шло в режиме голосовой авторизации, открытостьинформационной системы банка повышалась незначительно, но затем появилисьбанкоматы, POS-терминалы, другие устройства самообслуживания—то есть средства,принадлежащие к информационной системе банка, но расположенные вне ее идоступные посторонним для банка лицам.

Повысившаяся открытостьсистемы потребовала специальных мер для контроля и регулирования обменаинформацией: дополнительных средств идентификации и аутентификации лиц, которыезапрашивают доступ к системе (PIN-код, информация о клиенте на магнитной полосеили в памяти микросхемы карточки, шифрование данных, контрольные числа и другиесредства защиты карточек), средств криптозащиты информации в каналах связи и т.д.

Еще больший сдвигбаланса “защищенность-открытость” в сторону последней связан стелекоммуникациями. Системы электронных расчетов между банками защититьотносительно несложно, так как субъектами электронного обмена информациейвыступают сами банки. Тем не менее, там, где защите не уделялось необходимоевнимание, результаты были вполне предсказуемы. Наиболее кричащий пример—к сожалению, наша страна. Использование крайнепримитивных средств защиты телекоммуникаций в 1992 г. привело к огромнымпотерям на фальшивых авизо.

Общая тенденция развитиятелекоммуникаций и массового распространения вычислительной техники привела вконце концов к тому, что на рынке банковских услуг во всем мире появилисьновые, чисто телекоммуникационные продукты, и в первую очередь системы HomeBanking (отечественный аналог—“клиент-банк”). Это потребовало обеспечитьклиентам круглосуточный доступ к автоматизированной банковской системе дляпроведения операций, причем полномочия на совершение банковских транзакцийполучил непосредственно клиент. Степень открытости информационной системы банкавозросла почти до предела. Соответственно, требуются особые, специальные мерыдля того, чтобы столь же значительно не упала ее защищенность.

Наконец, грянула эпоха“информационной супермагистрали”: взрывообразное развитие сети Internet исвязанных с нею услуг. Вместе с новыми возможностями эта сеть принесла и новыеопасности. Казалось бы, какая разница, каким образом клиент связывается сбанком: по коммутируемой линии, приходящей на модемный пул банковского узласвязи, или по IP-протоколу через Internet? Однако в первом случае максимальновозможное количество подключений ограничивается техническими характеристикамимодемного пула, во втором же—возможностями Internet, которые могут бытьсущественно выше. Кроме того, сетевойадрес банка, в принципе, общедоступен, тогда как телефонные номера модемногопула могут сообщаться лишь заинтересованным лицам. Соответственно, открытостьбанка, чья информационная система связана с Internet, значительно выше, чем впервом случае. Так только за пять месяцев 1995 г. компьютерную сеть Citicorpвзламывали 40 раз! (Это свидетельствует, впрочем, не столько о какой-то“опасности” Internet вообще, сколько о недостаточно квалифицированной работеадминистраторов безопасности Citicorp.)

Все это вызываетнеобходимость пересмотра подходов к обеспечению информационной безопасностибанка. Подключаясь к Internet, следует заново провести анализ риска и составитьплан защиты информационной системы, а также конкретный план ликвидациипоследствий, возникающих в случае тех или иных нарушений конфиденциальности,сохранности и доступности информации.

На первый взгляд, длянашей страны проблема информационной безопасности банка не столь остра: доInternet ли нам, если в большинстве банков стоят системы второго поколения,работающие в технологии “файл-сервер”. К сожалению, и у нас ужезарегистрированы “компьютерные кражи”. Положение осложняется двумя проблемами.Прежде всего, как показывает опыт общения с представителями банковских служббезопасности, и в руководстве, и среди персонала этих служб преобладают бывшиеоперативные сотрудники органов внутренних дел или госбезопасности. Они обладаютвысокой квалификацией в своей области, но в большинстве своем слабо знакомы синформационными технологиями. Специалистов по информационной безопасности внашей стране вообще крайне мало, потому что массовой эта профессия становитсятолько сейчас.

Вторая проблема связана с тем, что в очень многих банках безопасностьавтоматизированной банковской системы не анализируется и не обеспечиваетсявсерьез. Очень мало где имеется тот необходимый набор организационныхдокументов (анализ риска, план защиты и план ликвидации последствий), о которомговорилось выше. Более того, безопасность информации сплошь и рядом просто неможет быть обеспечена в рамках имеющейся в банке автоматизированной системы ипринятых правил работы с ней.

Что касаетсяавтоматизированных банковских систем, то наиболее распространенные системывторого-третьего поколений состоят из набора автономных программных модулей,запускаемых из командной строки DOS на рабочих станциях. Оператор имеетвозможность в любой момент выйти в DOS из такого программного модуля.Предполагается, что это необходимо для перехода в другой программный модуль, нофактически в такой системе не существует никаких способов не только исключитьзапуск оператором любых других программ (от безобидной игры до программы,модифицирующей данные банковских счетов), но и проконтролировать действияоператора. Стоит заметить, что в ряде систем этих поколений, в том числеразработанных весьма уважаемыми отечественными фирмами и продаваемых сотнями,файлы счетов не шифруются, т. е. сданными в них можно ознакомиться простейшими общедоступными средствами. Многиеразработчики ограничивают средства администрирования безопасности штатнымисредствами сетевой операционной системы: вошел в сеть — делай, что хочешь.

Тем не менее, наши банкиуделяют информационным технологиям много внимания, и достаточно быстроусваивают новое. Сеть Internet и финансовые продукты, связанные с ней, войдут вжизнь банков быстрее, чем это предполагают скептики, поэтому уже сейчаснеобходимо озаботиться вопросами информационной безопасности на другом, болеепрофессиональном уровне, чем это делалось до сих пор.

Некоторые рекомендации:

1. Необходим комплексный подход к информационной безопасности.

Информационная безопасность должна рассматриваться как составная частьобщей безопасности банка—причем как важная и неотъемлемая ее часть. Разработка концепции информационнойбезопасности должна обязательно проходить при участии управления безопасностибанка. В этой концепции следует предусматривать не только меры, связанные синформационными технологиями (криптозащиту, программные средстваадминистрирования прав пользователей, их идентификации и аутентификации,“брандмауэры” для защиты входов—выходов сети и т. п.), но и мерыадминистративного и технического характера, включая жесткие процедуры контроляфизического доступа к автоматизированной банковской системе.

2. Необходимо участие сотрудников управления безопасности на этапевыбора—приобретения—разработки автоматизированной банковской системы. Этоучастие не должно сводиться к проверке фирмы-поставщика. Управлениебезопасности должно контролировать наличие надлежащих средств разграничениядоступа к информации в приобретаемой системе.

3.Средства защиты информации.

Сейчас вряд ли кому-тонадо доказывать, что при подключении к Internet Вы подвергаете рискубезопасность Вашей локальной сети и конфиденциальность содержащейся в нейинформации. По данным CERT Coordination Center в 1995 году былозарегистрировано 2421 инцидентов — взломов локальных сетей и серверов. Порезультатам опроса, проведенного Computer Security Institute (CSI) среди 500наиболее крупных организаций, компаний и университетов с 1991 число незаконныхвторжений возросло на 48.9 %, а потери, вызванные этими атаками, оцениваются в66 млн. долларов США.

Одним из наиболеераспространенных механизмов защиты от интернетовских бандитов — “хакеров”является применение межсетевых экранов — брэндмауэров(firewalls).

Стоит отметить, чтовследствие непрофессионализма администраторов и недостатков некоторых типовбрэндмауэров порядка 30% взломов совершается после установки защитных систем.

3.1Технология работы в глобальных сетях Solstice FireWall-1 .

В настоящее времявопросам безопасности данных в распределенных компьютерных системах уделяетсяочень большое внимание. Разработано множество средств для обеспеченияинформационной безопасности, предназначенных для использования на различныхкомпьютерах с разными ОС. В качестве одного из направлений можно выделитьмежсетевые экраны (firewalls), призванные контролировать доступ к информации состороны пользователей внешних сетей.

В настоящем документерассматриваются основные понятия экранирующих систем, а также требования,предъявляемые к ним. На примере пакета Solstice FireWall-1 рассматриваетсянеcколько типичных случаев использования таких систем, особенно применительно квопросам обеспечения безопасности Internet-подключений. Рассмотрено такженесколько уникальных особенностей Solstice FireWall-1, позволяющих говорить оего лидерстве в данном классе приложений.

3.1.1. НАЗНАЧЕНИЕ ЭКРАНИРУЮЩИХ СИСТЕМ ИТРЕБОВАНИЯ К НИМ

Проблема межсетевогоэкранирования формулируется следующим образом. Пусть имеется две информационныесистемы или два множества информационных систем. Экран (firewall) — это средство разграничениядоступа клиентов из одного множества систем к информации, хранящейся насерверах в другом множестве.

Рисунок 3.1.1.1<img src="/cache/referats/21316/image004.jpg" v:shapes="_x0000_i1025">

ЭкранFireWall.

Экран выполняет своифункции, контролируя все информационные потоки между этими двумя множествамиинформационных систем, работая как некоторая “информационная мембрана”. В этомсмысле экран можно представлять себе как набор фильтров, анализирующихпроходящую через них информацию и, на основе заложенных в них алгоритмов,принимающих решение: пропустить ли эту информацию или отказать в ее пересылке.Кроме того, такая система может выполнять регистрацию событий, связанных спроцессами разграничения доступа. в частности, фиксировать все “незаконные”попытки доступа к информации и, дополнительно, сигнализировать о ситуациях,требующих немедленной реакции, то есть поднимать тревогу.

Обычно экранирующиесистемы делают несимметричными. Для экранов определяются понятия “внутри” и“снаружи”, и задача экрана состоит в защите внутренней сети от “потенциальновраждебного” окружения. Важнейшим примером потенциально враждебной внешней сетиявляется Internet.

Рассмотрим болееподробно, какие проблемы возникают при построении экранирующих систем. При этоммы будем рассматривать не только проблему безопасного подключения к Internet,но и разграничение доступа внутри корпоративной сети организации.

Первое, очевидное требование ктаким системам, это обеспечение безопасности внутренней (защищаемой) сети и полныйконтроль над внешними подключениями и сеансами связи.

Во-вторых, экранирующаясистема должна обладать мощными и гибкими средствами управления для простого иполного воплощения в жизнь политики безопасности организации и, кроме того, дляобеспечения простой реконфигурации системы при изменении структуры сети.

В-третьих, экранирующаясистема должна работать незаметно для пользователей локальной сети и незатруднять выполнение ими легальных действий.

В-четвертых, экранирующаясистема должна работать достаточно эффективно и успевать обрабатывать весьвходящий и исходящий трафик в “пиковых” режимах. Это необходимо для того, чтобы firewallнельзя было, образно говоря, “забросать” большим количеством вызовов, которые привелибы к нарушению ее работы.

Пятое. Система обеспечениябезопасности должна быть сама надежно защищена от любых несанкционированныхвоздействий, поскольку она является ключом к конфиденциальной информации ворганизации.

Шестое. В идеале, если уорганизации имеется несколько внешних подключений, в том числе и в удаленныхфилиалах, система управления экранами должна иметь возможность централизованнообеспечивать для них проведение единой политики безопасности.

Седьмое. Система Firewallдолжна иметь средства авторизации доступа пользователей через внешниеподключения. Типичной является ситуация, когда часть персонала организациидолжна выезжать, например, в командировки, и в процессе работы им, тем немение,требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютернойсети организации. Система должна уметь надежно распознавать таких пользователейи предоставлять им необходимый доступ к информации.

3.1.2. СТРУКТУРА СИСТЕМЫ SOLSTICEFIREWALL-1.

Классическим примером,на котором хотелось бы проиллюстрировать все вышеизложенные принципы, являетсяпрограммный комплекс Solstice FireWall-1 компании Sun Microsystems. Данныйпакет неоднократно отмечался наградами на выставках и конкурсах. Он обладаетмногими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.

Рассмотрим основныекомпоненты Solstice FireWall-1 и функции, которые они реализуют.

Центральным для системыFireWall-1 является модуль управления всем комплексом. С этим модулем работаетадминистратор безопасности сети. Следуетотметить, что продуманность и удобство графического интерфейса модуляуправления отмечалось во многих независимых обзорах, посвященных продуктамданного класса.

Рисунок 3.1.2.1

Основные компонентыSolstice FireWall-1 .

Администраторубезопасности сети для конфигурирования комплекса FireWall-1 необходимовыполнить следующий ряд действий:

• Определить объекты,участвующие в процессе обработки информации. Здесь имеются в виду пользователии группы пользователей, компьютеры и их группы, маршрутизаторы и различныеподсети локальной сети организации.

• Описать сетевые протоколыи сервисы, с которыми будут работать приложения. Впрочем, обычно достаточнымоказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1.

• Далее, с помощьювведенных понятий описывается политика разграничения доступа в следующихтерминах: “Группе пользователей А разрешен доступ к ресурсу Б с помощью сервисаили протокола С, но об этом необходимо сделать пометку в регистрационномжурнале”. Совокупность таких записей компилируется в исполнимую форму блокомуправления и далее передается на исполнение в модули фильтрации.

Модули фильтрации могутрасполагаться на компьютерах — шлюзах или выделенных серверах — или вмаршрутизаторах как часть конфигурационной информации. В настоящее времяподдерживаются следующие два типа маршрутизаторов: Cisco IOS 9.x, 10.x, а такжеBayNetworks (Wellfleet) OS v.8.

Модули фильтрациипросматривают все пакеты, поступающие на сетевые интерфейсы, и, в зависимостиот заданных правил, пропускают или отбрасывают эти пакеты, с соответствующейзаписью в регистрационном журнале. Следует отметить, что эти модули, работаянепосредственно с драйверами сетевых интерфейсов, обрабатывают весь потокданных, располагая полной информацией о передаваемых пакетах.

3.1.3. ПРИМЕР РЕАЛИЗАЦИИ ПОЛИТИКИБЕЗОПАСНОСТИ.

Расcмотрим процесcпрактической реализации политики безопасности организации с помощьюпрограммного пакета FireWall-1.

Рисунок.3.1.3..1

Реализация политикибезопасности FireWall.

1. Прежде всего, как уже отмечалось, разрабатываются и утверждаются науровне руководства организации правила политики безопасности.

2. После утверждения эти правила надо воплотить в жизнь. Для этого ихнужно перевести в структуру типа “откуда, куда и каким способом доступ разрешенили, наоборот, запрещен. Такие структуры, как мы уже знаем, легко переносятся вбазы правил системы FireWall-1.

3. Далее, на основе этой базы правил формируются списки доступа длямаршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценариидалее переносятся на физические компоненты сети, после чего правила политикибезопасности “вступают в силу”.

4. В процессе работы фильтры пакетов на шлюзах и серверах генерируютзаписи обо всех событиях, которые им приказали отслеживать, а, также, запускаютмеханизмы “тревоги”, требующие от администратора немедленной реакции.

5. На основе анализа записей, сделанных системой, отдел компьютернойбезопасности организации может разрабатывать предложения по изменению идальнейшему развитию политики безопасности.

Рассмотрим простой пример реализации следующих правил:

1. Из локальных сетей подразделений, возможно удаленных, разрешаетсясвязь с любой локальной сетью организации после аутентификации, например, поUNIX-паролю.

2. Всем запрещается доступ к сети финансового департамента, заисключением генерального директора и директора этого департамента.

3. Из Internet разрешается только отправлять и получать почту. Обо всехдругих попытках связи необходимо делать подробную запись.

Все эти правилаестественным образом представляются средствами графического интерфейсаРедактора Правил FireWall-1.

Рисунок 3.1.3..2<img src="/cache/referats/21316/image010.jpg" v:shapes="_x0000_i1028">

Графическийинтерфейс Редактора Правил Fir

еще рефераты

Еще работы по компьютерным сетям

Реферат по компьютерным сетям

Спам и нормы пользования сетью

29 Августа 2013

Реферат по компьютерным сетям

Максимальная скорость мобильного Интернета в сетях GPRS, Wi-Fi, CDMA

29 Августа 2013

Реферат по компьютерным сетям

Локальные вычислительные сети

29 Августа 2013

Реферат по компьютерным сетям

Протоколы ускоренной маршрутизации. Технология маршрутизации по меткам MPLS

29 Августа 2013