В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 70
Текст из файла (страница 70)
США. Одним из наиболее распространенных механизмов защиты от интернетовских бандитов (хакеров) является применение межсетевых экранов — брандмауэров (бгетга11з). Но вследствие непрофессионализма администраторов и недостатков некоторых типов брэндмауэров порядка 30% взломов совершается после установки защитных систем. Несмотря на кажущийся правовой хаос в рассматриваемой области любая деятельность по разработке, продаже и использованию средств защиты процессов переработки информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Гостехкомиссией России. Технология работы в глобальных сетях Во!нйсе Р!ге%а!1-1. Вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание.
Разработано множество средств для обеспечения ИБ, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (Йгева!!з), призванные контролировать доступ к информации со стороны пользователей внешних сетей 305 В данной книге рассматриваются основные понятия экранирующих систем, а также требования, предъявляемые к ним. На примере пакета Яо!а!!се Р!ге%а!1-1 разбираются несколько типичных случаев использования таких систем, особенно вопросы обеспечения безопасности Интернет-подключений и использование разграничений доступа внутри корпоративной сети организации. Межсетевое экранирование в Интернет двух информационных систем или двух множеств информационных систем осуществляют путем постановки экрана между ними.
Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая информационная мембрана. В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и на основе заложенных в них алгоритмов принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа, в частности, фиксировать все незаконные попытки доступа к информации, и дополнительно сигнализировать о ситуациях, требующих немедленной реакции, т.е.
поднимать тревогу. Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия «внутри» и «снаружи», и задача экрана заключается в защите внутренней сети от потенциально враждебного окружения. Важнейшим примером потенциально враждебной внешней сети является Интернет. При рассмотрении проблемы безопасного подключения к Интернету и разграничения доступа внутри корпоративной сети организации необходимо соблюсти следующие условия.
!. Очевидное требование к таким системам — это обеспечение безопасности внутренней !защищаемой) сети и полный контроль над внешними подключениями и сеансами связи. 2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, лля обеспечения простой реконфигурации системы при изменении структуры сети. 3. Экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий. 4. Экран ируюшая система должна работать' достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в пиковых режимах.
Это необходимо для того, чтобы систему Е!гева1! нельзя было «забросать» большим количеством вызовов, которые привели бы к нарушению ее работы. 306 5. Система обеспечения безопасности должна быть надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации. б.
В идеале, сели у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах„система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой стратегии безопасности. 7. Система спев а!! должна иметь средства авторизации доступа пользователей через внешние подключения.
Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации. Примером реализации ИБ в Интернете является программный комплекс Яо!зйсе Г)ге%а!1-1 компании Яип М!сгозузгетя.
Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения. Функциональная схема и основные компоненты Яо)з1!се Г)ге%а!1-1 представлены на рис. 5.4.
Центральным лля системы Ягела!1-1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных пролуктам данного класса. Администратору безопасности сети для конфигурирования комплекса Рте%а!1-1 необходимо выполнить следующие действия: ° определить объекты, участвующие в процессе обработки информации (имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации); ° описать сетевые протоколы и сервисы, с которыми будут работать приложения (обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой Р!ге%аП-1); ° с помощью введенных понятий описать технологию разграничения доступа в следующих терминах: Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале».
Совокупность таких записей компилируется в исполнимую форму блоком управления и затем передается на исполнение в модули фильтрации. 307 Модули фильтрации могут располагаться на компьютерах— шлюзах или выделенных серверах — или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются два типа маршрутизаторов; С!всо 108 9.х, 10.х; Вау!х!егтуог1гв (%е110еег) ОБ у.8. Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и в зависимости от заданных правил пропускают или отбрасывают эти пакеты с соответствующей записью в регистрационном журнале. Эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.
Технологический процесс практической реализации стратегии безопасности организации с помощью программного пакета Г!ге%а!1-1 представлен на рис. 5.5. Рис. 5.4. функциональная схема и основные компоненты $о1аг!се Р1ге ьта11-!: 1 — шлюз; 2 — журнал регистрапии событий; 3 — компьютер; 4 — спутник;о— модуль фильтрации потоков; с::и — лист доступа маршрутизатора 308 Расширение мер компьютерной 10 безопасности Принятие политики компьютерной безопасности Формулировка правил доступа 2 Анализ событий, создание отчетов 9 и предложений Генерация сценариев фильтрации Генерация листов ЗМ доступа ХХО О Емю Компиляция 4 сценариев Распределение листов доступа маршру- тизаторов Средства анализа событий Распределение исполнимых 5 колов 4М «Дх й х„о О ~~й~ йх Фильтрация на маршру- 5М тнзаторах Фильтрация на шлюзах 6 и серверах Регистрация 7 Рис.
5.5. Технологический процесс практической реализации стратегии безопасности организации с помошью программного пакета Р1ге%аИ-1 309 На уровне руководства разрабатываются и утверждаются правила стратегии безопасности организации. После утверждения эти правила переводят на уровень подотдела компьютерной безопасности, который формирует структуру типа «откуда, куда и каким способом доступ разрешен или, наоборот, запрещен». Такие структуры легко переносятся в базы правил системы Г)ге%а11-1. Затем на основе этой базы правил на уровне управления в г)ге%а!1-1 формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии затем переносятся на физические компоненты сети, после чего правила стратегии безопасности вступают в силу.
В процессе работы по уровню фильтрации пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а также запускают механизмы тревоги, требующие от администратора немедленной реакции (см. рис. 5.5, этап 7). На основе анализа записей и событий, сделанных системой, подотдел компьютерной безопасности организации на этапах 8, 9 и 1О может разрабатывать прелложения по изменению и дальнейшему развитию стратегии безопасности. При этом реализуются следующие правила: 1) из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например по 13)х!1Х-паролю; 2) всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента; 3) из Интернета разрешается только отправлять и получать почту.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
