|
|
@@ -1,12 +1,12 @@
|
|
|
-Глава 9. Средства защиты сети
|
|
|
-Если локальная сеть организации или персональный компьютер пользователя имеют
|
|
|
+Глава 9. Средства защиты сети
|
|
|
+Если локальная сеть организации или персональный компьютер пользователя имеют
|
|
|
выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по
|
|
|
сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проникновения в систему извне (используя подобранный или украденный пароль, уязвимости
|
|
|
программного обеспечения и т.д.), перехват и подмена данных, передаваемых в сеть или
|
|
|
получаемых из сети — вот перечень наиболее типичных угроз.
|
|
|
Существует ряд средств, методов и технологий защиты информации, учитывающих
|
|
|
-специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений.
|
|
|
-9.1. Межсетевые экраны
|
|
|
+специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений.
|
|
|
+9.1. Межсетевые экраны
|
|
|
Межсетевой экран (брандмауэр, файрвол) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
|
|
|
Межсетевой экран, как правило, обладает несколькими интерфейсами, по одному на
|
|
|
каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
|
|
|
@@ -17,25 +17,25 @@
|
|
|
межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение, и передает пакеты уже от своего
|
|
|
имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).
|
|
|
Существует ряд классификаций межсетевых экранов по различным критериям:
|
|
|
-1. В зависимости от охвата контролируемых потоков данных.
|
|
|
+1. В зависимости от охвата контролируемых потоков данных.
|
|
|
— Традиционный межсетевой экран — программа, установленная на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Основная задача такого брандмауэра — предотвращение несанкционированного доступа во внутреннюю
|
|
|
сеть организации.
|
|
|
— Персональный межсетевой экран — программа, установленная на пользовательском
|
|
|
компьютере и предназначенная для защиты от несанкционированного доступа только
|
|
|
-этого компьютера.
|
|
|
-2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
|
|
|
+этого компьютера.
|
|
|
+2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
|
|
|
— Работающие на сетевом уровне — фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
|
|
|
-— Работающие на сеансовом уровне — отслеживаются сеансы между приложениями и
|
|
|
+— Работающие на сеансовом уровне — отслеживаются сеансы между приложениями и
|
|
|
не пропускаются пакеты, нарушающие спецификации TCP/IP (такие пакеты часто используются в злонамеренных операциях: сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т.д.).
|
|
|
— Работающие на уровне приложений — фильтрация на основании анализа данных приложения, передаваемых внутри пакета; передача потенциально опасной и нежелательной информации блокируется на основании политик и настроек.
|
|
|
-3. В зависимости от отслеживания активных соединений.
|
|
|
+3. В зависимости от отслеживания активных соединений.
|
|
|
— Stateless (простая фильтрация) — не отслеживают текущие соединения (например,
|
|
|
TCP), а фильтруют поток данных исключительно на основе статических правил;
|
|
|
— Stateful (фильтрация с учётом контекста) — отслеживают текущие соединения и
|
|
|
пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы
|
|
|
соответствующих протоколов и приложений.
|
|
|
Рассмотрим некоторые популярные брандмауэры, реализованные в виде прикладных
|
|
|
-программ.
|
|
|
+программ.
|
|
|
1. Outpost Firewall Pro. Персональный брандмауэер, обладает следующими функциональными возможностями:
|
|
|
— предотвращение несанкционированного доступа к данным;
|
|
|
— сокрытие присутствия зщищаемой системы в сети (таким образом она делается «невидимой» для взломщиков);
|
|
|
@@ -51,13 +51,13 @@ TCP), а фильтруют поток данных исключительно
|
|
|
— механизм мгновенной автоматической или ручной блокировки доступа приложений к
|
|
|
Интернет;
|
|
|
— автоматическую проверку вложений электронной почты.
|
|
|
-9.2. Виртуальные частные сети (VPN)
|
|
|
+9.2. Виртуальные частные сети (VPN)
|
|
|
Виртуальная частная сеть (VPN) — логическая сеть, создаваемая поверх другой сети, чаще всего Интернет. Все данные, передающиеся между узлами этой сети шифруются,
|
|
|
поэтому, хотя физически данные передаются по публичным сетям с использованием не-
|
|
|
безопасных протоколов, по сути, VPN представляет собой закрытые от посторонних каналы обмена информацией.
|
|
|
Канал между двумя узлами, защищенный за счет шифрования проходящего по нему
|
|
|
трафика, называется туннелем.
|
|
|
-Выделяют два основных класса VPN:
|
|
|
+Выделяют два основных класса VPN:
|
|
|
1. Защищенные. Наиболее распространённый вариант. C его помощью на основе ненадёжной сети (как правило, Интернета) создается надежная и защищенная подсеть. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP (протокол тунеллирования от
|
|
|
точки к точке).
|
|
|
2. Доверительные. Используются для создания виртуальной подсети в рамках другой, надежной и защищенной сети, т.е. задача обеспечения безопасности по сути не ставится. К доверительным VPN относятся протоколы MPLS и L2TP.
|
|
|
@@ -124,7 +124,7 @@ TCP), а фильтруют поток данных исключительно
|
|
|
шифрование данных (когда информация находится в открытом виде на сервере до ее отправки потребителю). Однако систем этого класса не способны контролировать ситуацию
|
|
|
во всей сети, так как видят только пакеты, получаемые «своим» сервером. Кроме того,
|
|
|
снижается эффективность работы сервера вследствие использования его вычислительных
|
|
|
-ресурсов.
|
|
|
+ресурсов.
|
|
|
3. СОВ на основе защиты приложений. Контролируют события, проявляющиеся в
|
|
|
пределах отдельного приложения. Знания о приложении, а также возможность анализировать его системный журнал и взаимодействовать с ним посредством API, позволяет таким
|
|
|
системам контролировать деятельность пользователей (работающих с данным приложением) с очень высокой степенью детализации.
|
