Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более ниже перечисленных задач:
Итак, чтобы обеспечить информационную безопасность ЛВС следует учесть следующие угрозы:
• анализ сетевого трафика с целью получения доступа к конфиденциальной информации, например к передаваемым в открытом виде по сети пользовательским паролям;
• нарушение целостности передаваемой информации. При этом может модифицироваться как пользовательская, так и служебная информация, например подмена идентификатора группы, к которой принадлежит пользователь;
• получение несанкционированного доступа к информационным ресурсам, например с использованием подмены одной из сторон обмена данными с целью получения доступа к файл-серверу от имени другого пользователя;
• попытка совершения ряда действий от имени зарегистрированного пользователя в системе, например злоумышленник, скомпрометировав пароль администратора, может начать общаться с ЛВС от его имени.
Причинами возникновения данных угроз в общем случае могут оказаться:
• наличие уязвимостей в базовых версиях сетевых протоколов. Так, при использовании стека протоколов TCP/IP нарушитель может внедрить в ЛВС ложный ARP-сервер (см. пример, приведенный далее);
• уязвимости специализированных защитных механизмов. Например, причиной возникновения подмены стороны информационного обмена может служить уязвимость процедур аутентификации клиентов при доступе к серверу;
• некорректное назначение уровня доступа;
• использование в качестве каналов передачи данных общедоступной среды, например применение топологии построения ЛВС с общей шиной. В данном случае злоумышленник может использовать ПО (например, Network Monitor или LanAnalyzer), позволяющее просматривать все передаваемые в сети пакеты;
• некорректное администрирование ОС, например задание не до конца продуманных разрешений на удаленное редактирование системного реестра (в ОС Windows NT);
• ошибки в реализации ОС;
• ошибки персонала.
Обеспечение защиты в соответствии с заданной политикой безопасности в ЛВС является комплексной задачей и осуществляется при помощи:
• корректного администрирования сетевых настроек ОС (в том числе и настроек, отвечающих в данной ОС за сетевую безопасность, которые являются штатными средствами большинства современных ОС);
• дополнительных защитных механизмов: шифрования, ЭЦП, аутентификации сторон и др.;
• организационных методов защиты и контроля за их неукоснительным соблюдением, например с использованием системы аудита.
В данном курсовом проекте предлагаю реализовать политику безопасности ЛВС с помощью комплекса программ, в частности использования межсетевого экрана.
2. Теоретическая часть
2.1. Понятие "межсетевой экран"
Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении еще окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как Firewall.
Термин firewall (в отечественной литературе ему соответствует термин межсетевой экран, или брандмауэр, эти термины употребляются как взаимозаменяемые) впервые появился в описаниях организации сетей около семи лет назад. Прежде чем он был принят экспертами по сетевой безопасности для определения способа предотвращения попыток несанкционированного доступа к сети, подключенной к сети большого масштаба, его как профессиональный термин употребляли строители. Брандмауэром называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предотвращает его распространение в другие блоки - в сущности, позволяет локализовать проблему.
Межсетевой экран работает примерно так же: он помогает избежать риска повреждения систем или данных в локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной. Кроме того, межсетевой экран устроен намного сложнее.
Термин «межсетевой экран» был принят для обозначения совокупности компонентов, которые находятся между локальной сетью и внешним миром и образуют защитный барьер.
Руководящий документ Гостехкомиссии России по межсетевому экранированию
Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) определяют межсетевой экран (МЭ) как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в Автоматизированную систему (АС) и/или выходящей из АС, и обеспечивающее защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. (АС - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.)
Защита информации при межсетевом взаимодействии определяется следующим образом:
2.2. Классы защищенности МЭ
Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
Перечень показателей по классам защищенности МЭ приведен в таблице 1.
Обозначения:
« - » - нет требований к данному классу;
« + » - новые или дополнительные требования,