Смекни!
smekni.com
Информатика

Реализация политики безопасности локальной сети организации ОК БОР с помощью программного пак (стр. 5 из 11)

Таким образом, за счет многократного шифрования и много численных проверок исключается перехват защищенной информации. Однако следует принимать во внимание тот факт, что все программные компоненты должны включать в себя программы из Kerberos-библиотеки, т.е. telnet, ftp и т.п. должны быть отредактированы с Kerberos-библиотекой. Таких серверов не так много, что серьезно ограничивает применение Kerberos на практике.

Эта система имеет ряд недостатков. Во-первых, подразумеватся четкое разделение компьютеров на рабочие станции и серверы. В случае, если пользователь пожелает, зайдя на сервер, с помощью telnet зайти на другой компьютер, идентификация не сработает, так как пользователь имеет разрешение на работу только на той рабочей станции, где он вводил пароль. Иными словами, в Kerberos версии 4 полномочия пользователя не передаются на другие ПК. Кроме того, требуется выделенный компьютер под сервер Kerberos, причем работающий в максимально секретных условиях, поскольку на нем имеется база данных, где содержатся все пароли пользователей. Kerberos версии 4 очень ограниченно применима в сети, где возможны ситуации, когда в силу ряда обстоятельств сервер Kerberos недоступен по сети (непредвиденные сбои в маршрутизации, ухудшение или обрыв связи и т.д.). Часть недостатков, перечисленных выше, ликвидирована в версии 5, но эта реа лизация запрещена к экспорту из США.

По описаному алгоритму работают также системы Sphinx от DEC и NIS+ от Sun. Отличаются они применением различных алгоритмов шифрования, другого протокола передачи (RPC вместо UDP) и способов объединения административных доменов в иерархию.

Прежде чем приниматься за разработку стратегии безопасности брандмауэра, следует подумать, что и как следует защищать. Если компания достаточно велика, она должна иметь собственную политику безопасности. Стоит принять ее в качестве отправной точки. Обсудив этот вопрос с пользователями или менеджерами, можно сделать вывод, каким службам будет разрешено работать через межсетевой экран.

2.5. Основные функции МЭ

Приведем основные функции, которые имеются в современных брандмауэрах:

- кэширование (caching). Это свойство особенно характерно для сетей, содержащих web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;

- трансляция адреса (addresstranslation). Настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP- адреса. При этом снаружи виден только адрес брандмауэра;

- фильтрация контента (contentrestriction). Все большее число продуктов обеспечивает ограничение информации, получаемой пользователями из internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данных;

- переадресация (addressvectoring). Эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IP - адресом, а с другим. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер.

Все эти функциональные возможности дают определенные преимущества в плане гарантий безопасности, но в основном предназначены для увеличения производительности. Например, в результате переадресации и трансляции адреса удается скрыть внутренние IP-адреса от хакеров, что безусловно повышает безопасность. Чем меньшей информацией располагает потенциальный нарушитель, тем более сложной будет его работа. Но эти же возможности служат администратору при распределении нагрузки среди нескольких компьютеров. Благодаря трансляции адреса не понадобится запрашивать большой диапазон адресов IP для всех серверов и рабочих станций в сети.

Межсетевой экран не гарантирует абсолютную защиту сети, и его нельзя рас сматривать в качестве единственного средства обеспечения безопасности. Необходимо понимать, как именно выполняет брандмауэр свои функции по защите сети. В равной степени важно знать, от чего он не может обезопасить.

В общем случае правильно сконструированный межсетевой экран способен:

  • защищать сеть от небезопасных протоколов и служб;
  • защищать информацию о пользователях, системах, сетевых адресах и выполняемых в сети приложениях от внешнего наблюдения;
  • обеспечить ведение журнала (в виде набора log-файлов), содержащего статистические данные и записи о доступе к защищенным ресурсам. Это позволяет убедиться в том, что сеть работает эффективно и надежно. Хороший межсетевой экран также имеет в настройках опцию предупреждения администратора о возникновении критических событий, таких как попытка несанкционированного доступа;
  • гарантировать централизованное управление безопасностью сети по отношению к остальному миру. Межсетевой экран - это шлюз между Internet и сетью. В большой сети может существовать несколько соединений с внешними сетями и, следовательно, несколько брандмауэров. В этом случае следует особенно тщательно подойти к выбору брандмауэра. Многие новые продукты пре доставляют возможность администрировать с одной консоли управления сразу несколько брандмауэров.

Межсетевой экран не в состоянии уберечь от взлома изнутри. Это означает, что для защиты от возможных разрушительных действий пользователей внутри сети следует прибегать к обычным средствам безопасности. При применении брандмауэра важно не забывать о том, что он не снимает все существующие проблемы безопасности в сети. Межсетевой экран не берет на себя повседневных функций по администрированию систем и обеспечению безопасности. Он просто создает еще один уровень безопасности.

Брандмауэр не может защитить от:

  • вирусов. Хотя некоторые брандмауэры и способны распознавать вирусы в проходящем через них трафике, существует множество способов спрятать вирусы в программе;
  • «троянских коней». Как и в случае с вирусами, блокировать проникновение в сеть «троянских коней» (Trojan horses) достаточно сложно. Пользователь нередко поддается искушению загрузить программу из Internet или открыть прикрепленный к сообщению электронной почты файл, проложив тем самым путь в систему вредоносной программе;
  • «социальной инженерии». Термин «social engineering» возник недавно и при меняется для описания методов получения хакерами информации от доверчивых пользователей;
  • некомпетентности. Плохо подготовленные сотрудники или небрежное руководство приводят к ошибкам в настройках локальной сети и межсетевого экрана. Если сотрудники не понимают, как работает брандмауэр и как правильно его настраивать, не исключено, что это будет способствовать возникновению проблем;
  • атаки изнутри. Межсетевой экран не может предотвратить злонамеренные действия внутри сети. Это одна из причин, по которой безопасность компьютеров в сети остается важной проблемой и после установки брандмауэра.

Выбор доступных пользователям служб

С чего лучше начать планирование политики безопасности для сети? Во-первых, определить, какие службы должны быть доступны пользователям. Причиной подключения компании к Internet становится желание располагать некоторыми из типичных возможностей, такими как:

· электронная почта - для обмена корреспонденцией с поставщиками и клиентами;

· удаленный доступ - для обращения к ресурсам локальной сети компании извне;

· поддержка исследований - обеспечение взаимодействия технического персонала с коллегами в других компаниях и учреждениях;

· поддержка клиентов - возможность просмотра клиентами документации к продукту и другой литературы, что уменьшает нагрузку на службу поддержки;

· техническая поддержка - получение доступа (в качестве клиента) к документации, размещенной производителем в Internet;

· торговля и маркетинг - организация электронной торговли и маркетинга продукции компании в Internet.

Для удовлетворения потребностей пользователей применяют различные комбинации следующих служб:

§ FTP. С помощью протокола передачи файлов (File transfer protocol) исследовательская группа обменивается файлами с другими сайтами. Доступ клиентов к файлам или документации обеспечивает анонимный (anonymous) FTP;

§ Telnet. Эта служба может быть использована сотрудниками группы поддержки пользователей для удаленного входа на компьютер пользователя с целью диагностики проблемы. Применяется также при удаленном администрировании сети;

§ №4717. Сервер WWW обеспечивает присутствие компании в Internet. Сообщение клиентам на корпоративном Web-сайте о выходе новых продуктов или появлении новых служб, а также размещение на сервере документации и осуществление поддержки продуктов;

§ электронная почта. При помощи простого протокола пересылки почты (Simple Mail Transfer Protocol, SMTP) можно посылать электронную почту со своего компьютера почти в любую точку мира. Это прекрасный спо соб быстрого общения с клиентами и сотрудниками.

Это список лишь основных служб, доступных в Internet.

Предположим, например, что политика безопасности разрешает пользователям получать доступ к внешним компьютерам с помощью Telnet, но запрещает любые входящие подключения по данному протоколу. Это позволяет пользователям выполнять удаленное подключение к системам клиентов, но блокирует проникновение в сеть извне. Примерно так же можно определять политику безопасности для других важных сетевых служб, таких как FTP и SMTP, в зависимости от конкретных нужд. Но иногда, как и в любой другой политике, придется делать исключения.

 
назад
читать дальше
1
2
3
4
5
6
7
8
9
10
11
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.