В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 71
Текст из файла (страница 71)
Обо всех других попытках связи необходимо делать подробную запись. После загрузки правил Г!ге%а!1-1 для каждого пакета, передаваемого по сети, администратор последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю. При этом необходима защита системы, на которой размещен административно-конфигурационный модуль Рпетта!1-1. Рекомендуется запретить средствами Р!геЪ'а!1-1 все виды доступа к данной машине или, по крайней мере, строго ограничить список пользователей, которым это разрешено, а также принять меры по физическому ограничению доступа и защите обычными средствами ОС 1)!х11Х.
Если первоначальная конфигурация сети меняется, а вместе с ней меняется и стратегия безопасности, и если организация решила установить у себя несколько общедоступных серверов для предоставления информационных услуг, например серверы %ог!с! %Ые %е!з, РТР или другие информационные серверы, то их часто выделяют в свою собственную подсеть, имеющую выход в Интернет через шлюз (рис. 5.6). Интернет Рис. 5,6. Схема шлюза Интернет при использовании серверов: З вЂ” шлюз 3!О Поскольку в предыдущем примере локальная сеть была уже защищена, то все, что нам надо сделать, это просто разрешить соответствующий доступ в выделенную подсеть. Это делается с помощью одной дополнительной строки в редакторе правил, которая здесь показана.
Такая ситуация является типичной при изменении конфигурации Р1ге%а!1-1. Обычно для этого требуется изменение одной или небольшого числа строк в наборе правил доступа, что, несомненно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры Р!ге%а!1-1. При работе с ЕТР необходима аутентификация пользователей.
При этом Бо1з!!се Р!ге%а!1-1 позволяет администратору установить различные режимы работы с интерактивными сервисами ГТР и !е1пе! лля различных пользователей и групп пользователей. При установленном режиме аутентификации Р1ге%а11-1 заменяет стандартные ЕТР и !е1пе! демоны БХ1Х на собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по ГГР или !е1пе! !это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации.
Она задается при описании пользователей и или групп пользователей и может проводиться следующими способами: ° использование ~1Х1Х-пароля; ° применение программы Я/Кеу генерации одноразовых паролеи; ° применение карточки Бесвг!Р с аппаратной генерацией одноразовых паролей. Особую проблему для обеспечения безопасности представляют собой 1Л)Р-протоколы, входящие в состав набора ТСР/1Р. С одной стороны, на их основе создано множество приложений, а с другой стороны, все они являются протоколами «без состояния», что приводит к отсутствию различий между запросом и ответом, приходящим защищаемой сети извне. Для решения этой проблемы используются гибкие алгоритмы фильтрации !Л1Р-пакетов. Так, пакет Р!ге%а!1-1 решает эту проблему созданием контекста соединений поверх !Л)Р-сессий, запоминая параметры запросов.
Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других БОР- пакетов, поскольку их параметры хранятся в памяти Р!ге%а!1-1. Данная возможность присутствует в немногих программах экранирования, распространяемых в настоящий момент. Подобные механизмы задействуются для приложений, использующих КРС, и для Н'Р-сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые Р!ге%а!1-1 отслеживает аналогичным образом, запоминая необходимую информацию при запросах на таких сеансы и обеспечивая только законный обмен данными. 311 Данные возможности пакета Бо!зйсе Р1ге%а!1-1 резко выделяют его среди всех остальных межсетевых экранов.
Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Интернете. Система 8о1зйсе Р!ге%а!1-! имеет собственный встроенный объектно-ориентированный язык программирования, применяемый для описания поведения модулей — фильтров системы. Результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти не используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно. Р1ге%а11-! полностью прозрачен для конечных пользователей и обладает очень высокой скоростью работы.
Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации. Компания Вцп М1сгозуз1епи приводит такие данные об эффективности работы Ко!а!!се Р1ге%а!1-1.
Модули фильтрации на Интернет-шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Этернета 10 Мбайт/с„забирают на себя не более 10% вычислительной мощности процессора 8РАКСзга11оп 5,85 МГц или компьютера 486ГзХ2- 50 с операционной системой 8о!аг1з/х86. 8о!зйсе Р1ге%а!1-! — эффективное средство зашиты корпоративныхх сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами. Яо!зйсе Р1ге%а!1-1 обеспечивает высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства ТСР/1Р.
Яо!зйсе Р1ге%а!1-1 характеризуется прозрачностью для легальных пользователей и высокой эффективностью. По совокупности технических и стоимостных характеристик 8о1зйсе Р1ге%а!1-! занимает лидирующую позицию среди межсетевых экранов. Проблему безопасности в Интернете составляют технологии пользования %%%-серверами. Ограничения доступа в %%%-серверах строят в двух вариантах: ° ограничение доступа по 1Р-адресам клиентских машин; ° до идентификатора получателя с паролем для данного вида документов.
Такого рода ввод ограничений стал использоваться достаточно часто, так как многие стремятся в Интернет, чтобы использовать 312 его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саму рассылку информации, на получение которой существует договор. По первому варианту доступ к приватным документам можно разрешить либо, наоборот, запретить, используя 1Р-адреса конкретных машин или сеток, например: 123.456.78.9 123.456.79. В этом случае доступ будет разрешен (или запрещен — в зависимости от контекста) для машины с 1Р-адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
В варианте ограничения по идентификатору получателя доступ к приватным документам можно разрешить либо, наоборот, запретить, используя присвоенное конкретному пользователю имя и пароль. Причем пароль в явном виде нигде не хранится. Рассмотрим следующий пример.
Агентство печати предоставляет свою продукцию только своим подписчикам, которые заключили логовор и оплатили подписку. %%%-сервер находится в сети Интернет и обшедоступен. В этом случае пользователь использует присвоенное ему имя и пароль. Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае — получает сообщение. Информационная безопасность в Ивтравете.
Архитектура Интранет подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите процессов переработки информации. В Интранет-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится %еЬ-серверу. %еЬ-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа.
Кроме того, необходимо обеспечение новых свойств, особенно безопасности программной среды и на серверной, и на клиентской сторонах. Меры по обеспечению ИБ в Интранете можно подразделить на четыре уровня: «законодательный (законы, нормативные акты, стандарты и т.д.); ° административный (действия общего характера, предпринимаемые руководством организации); ° процедурный (конкретные меры безопасности); ° программно-технический (конкретные технические меры). В настоящее время наиболее подробным законодательным документом в области ИБ является Уголовный кодекс РФ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
