МИСЗКИ книга (1085503), страница 37
Текст из файла (страница 37)
У вке МСЭ нельзя забыва ~~~ною доступа в локаль змоясностн альможет этого птоволоконный нсполь:юван рез коммутируемые или выделенные линии. Налич ного по не альтернатив- подключения делает сеть предприятия бо лее устойчивой к различным негативным воадействиям, но толь если аль нативны" , но только в том случае, Если подключение происходит в обход МСЭ, им один из комль ов л ход, например модем, то осн ютер окальнои сети использует п сонал работа основного МСЭ может быть сведена н ьныи Так же как нет с сведена на нег. без мысла ставить мощную бронированную установки решеток на окна первого этажа.
дверь В качестве дополнительных мер в этой ситуации возможны установка персонального МСЭ на данньсй компьютер включение модема в сеть только на аботы компьютер и время р (приема илн 219 ° и й мо"с"о с дополнится м определенигрупп и ряда лист доступа (аигл. ассезз сопсго1 йяс — АС1.). отправки корреспонденции с дополнительной ее проверкой).
Но в любом случае, этот вариант является выпадением из общей политики безопасности со всеми вытекающими последствиями. Если таких альтернативных подключений в организации существует несколько, возможно, следует задуматься о приобретении второго МСЭ для создания единого портала, например, коммутируемых подключений. Средство третье — технология УРХ (УРХ вЂ” Мгой рг1та$е пеМог)г — виртуальная частная сеть). Современные технологии УРХ ориентируются на использование стандартных протоколов безопасности (?Рбес, РРТР, Ь2ТР, 1.2Р), но конкретные производители могут предоставлять и схемы защнгы собственной разработки. Сама технология заключается в применении криптографических методов для обеспечения конфиденциальности н целостности данных, пересылаемых между клиентом и сервером. Два основополагающих признака технологии УРХ.
— Средой передачи данных обычно служат сети общеп пользования, такие как Интернет, городская телефонная сеть в корпоративная сечь без дополнительных механизмов защит»~ (например, аппаратных). — Криптографические механизмы накладываются па третьем (сетевом) уровне модели 081 или между третьим и вто рым уровнем. Это создает у пользователя иллюзию изолировал ности от подавляющего большинства узлов сети общего пользе ванна и создания «внутри нее» внртуалъной сети нз несколько компьютеров, которые владеют одинаковыми УРХ-средствами одинаковыми криптографическими ключами. Технология УРХ может реализовываться как исключи тельно программными средствами, так и программа~ аппаратными — например, маршрутизаторами с функцией УРН Технология УРХ обычно применяется в следующих двч' схемах: — Схема «сеть-сеть», когда протоколы безопасности про меняются только к пакетам, выходящим из локальной сети, 220 цак"г свое дсйствн кальн .-., ' ' 'Нс при входе Ую ссп (сслн обмен пакета в Удаленную лоДвух локальных сетях е "ду двуъгя компьвгге ОРганизации) В .
'" ях. Например, в двух филиал ло - том слу ~ае необходимо одной ~альных сетей пакеты уучи™вать, что внугр лени " ~ь» — обычно ис енной Работе согру используется типовой варнав сегью организации. прн предполагается м как бильного компь.— „.. ---ра по модемной 'гго клиент (например, , с мо- веру Удаленно линии) подключа ть до=упа, связь м к сер ванна. компьютерную сеть об, Средство чет то %п„а! Ь, вертов — техноло,ия УЬАХ Агеа Хе$вогй иная на базе сутцеств псевдосегь органн Ующей локальной скоп локальной сети во возможно г сети.
На одной фнзор аннзовать ~~~олыю не етн (компьютерам —, при этом субъе вирту, полъзователям) не б субь ктам данной внртуаль альнои других виртуальных сете не удут видны участники иб и, как если бы ыла единственной сеть ю, т.е. собственно данная виртуальная сеть Средством, позволяю щим со о локальной сетью. здавать ~~. ~~~ комающнй соответствующи~ ~ока~измы.
В заРеаюгзованы следующие типы ви т р уаль сете вых сегментов. В этом портов ко надя этом случае на комм ески, сетеежность того или ин ого порта к данно утаторе указывается пр- иразом, устройсгва, присос ему УЬАХ. Таким обгут взаимодействовать нсоединенные к по к рту коммутатора, смотол~~о с устройств~ тем портам, которые объе виртуаль тем, ые едннены в данную виртуаль виртуальнуго — На основе МАС- ройств. . На коммутаторе указывщотся -адресов нлн п сетевых интерфейсов (МАС- п ер в -адреса), н ком устройствам, чьн МАС-адр пи -адреса они -адр пр писаны для данного УЬАХ.
221 — На основе сетевого протокола или групп логических устройств. При этом на коммутаторе указываются адреса нлн номера подсетей (для хостов — 1Р подсеть) и коммутатор, в данном случае, работает, практически, как маршрутизатор. — На основе типов протоколов. Коммутатору указываются инструкции, в каких полях кадров искать указания на протоколы и Объединять данные т).АХ по принципу принадлежности к протоколам (например, т'1.АХ для ОССХет и 'Я.АХ для ХстВ1ОБ). — На основе комбинации критериев илн на основе правил. В этом случае для создания т).АХ могут быть использованы комбинации перечисленных вариатпов, например, совмещением МАС-адреса, адреса подсетей и типа протоколов. — На Основе тегов нли 1БЕЕ 802,10, К ЕФетпет-кадру добавляется идентификатор принадлежности к тому или иному 'т'1.АХ, а коммутатор производит сортировку кадров на основе анализа этих идентификаторов.
— На основе аутентификации пользователей. В этом случае коммутаторы будут работать как межсетевые экраны, требуя у пользователей аутентнфитсптионных данных (нмя/пароль) н производя фактически группировку пользователей и ресурсов, а не устройств. Средство пятое — сканеры уязвимостей Данные средства позволяют определить, насколько уязвима исследуемая сеть.
Сканеры уязвимостей используют как сотрудники службы информационной безопасности, так и злоумышленники. И те, и другие применяют их для диагностики и определения степени запщщенности сети. Только первые ищут недостатки в системе для их устранения, а вторые — для организации атаки. Следует помнить, что сканер не может дать рекомендаций по построению защищенной сети, его основная задача найти и сообщить о найденных уязвимостях, степени их опасности. Ска неры также позволяют оценить эффективность предпринятых мер защиты.
1 Технология пения с ализируется наличие в пакете не ((~~, р«~тп) ил пакстОВ предназначенных 0 дел сто, определенному сервису ( определ порту), та- анализа. Соответств енно, пакеты, ЛОНОВ ДЛЯ ы, предназттйчснттыс нсстйндарт" ным и нспредОпределенных протоко зу и пропускатьс колов, могут прото ла 1Рт4 транспортн чен порту 2222 и сод ого протодсржит Раъ~~~ дл«, читаегся атакой. указывать порты дельные флаги Это "—— , безусловно, ТОЛЯ И От- ОСТЙВляст его несколько и оложительные стороны: — наиболее простой метод об о увязать образец с атакой; С (.
"Ое — Системы Обн Срсдс'тво шест Обпар ен обствспно полно наружсння атщс ~~ТОМЙТИЗНРОвщщого гатт именно В ВОЗМож ся одно из основ противодействия атакам 0 Р р,юсредс си м.по р , основанц мн ' нсн~по, Ре. Днако мы будем продолнать исполь на человеческом ф факто- званце — система обн льювать усгоявщеес т)а й„,, "Ру " а (СОА), 1 инццп Работы СОА зйкл (В Режиме ь заключается В П Реального времени) а оспппнчом анализе ИН Рмационной еноте ме, и прн Обн ~, происходящеи формационного потока аружснтти подозрителык дотвратценнто, Редттриниьтать действия И Ннфор», ия по его системы.
-"г анню упОлнОЫОчс ПРее"ных субъектов СОА исполь Пи Рттведсм классцф, ттптю ~изьты В своей раб Различные ме ~узтешз, 1пс. "гнй СОА по аци С1зсо 222 ушение об атак~ досговер" ц верно оппеделен); — прим еиим для всех протоколов. ('угрицкгельные СТОРОны: бщ, то Вероятен вы — если образец определен слишком ше, абатываинй; — если атака нестаида на; возможно, придется создавать не— для одной атаки, возмо сколько образцов; м о ого пакета и, как следст— метод ограничен анализом одного вития атаки вие, не улавливает тенденции н раз 2. Технология соответств ИЯ СОСТОЯНИЯ взаимодейсгвие, в том числе е и атака, —- Поскольку сетевое взаимод " ый пакет, то данный метод ~ж Производится про потоком данных, а не с отдельным пакето .
в из каждого текущего соед инения, прежде чем отсутств атаки принимается решение о наличии или Если проводить р с авиение с нре «г о1» направляется атаим, когда строка о» можно привести пример, к , как «Го» и «ог». . В этом случае первый метод прону пропустит атаку, а метод контроля и ее — в применении метод лишь ненамно Образе об — сообщение об атаке достоверно (если разец в род елен); всех отоколов; — бол ( сравнению с меп — уклонение от атаки бол более сложно по ср дом сравнения с образцами).
— сслп ззпка нестандартная, то она может быть пропущена; — для одной а1аки, возможно, придется создавать несколько образцов, 3. Анализ с асши вкой и кола В этом случае метод предполагает анализ атак применительно к отдельным протоколам с учетом их специфики. После того, как вид протокола определен, применяются правила существующих стандартов для протокола с учетом обнаружения несоответствия этим правилам, таких, например, как значений специфических полей протокола, длины полей, числа аргументов и т.п. Если, рассматривая наш пример, предположить, что поверх протокола ТСР будет работать протокол, в котором есть поле переменной длины, а следом за ним поле, одним из значений которого может быть параметр «гооь, то при использовании методов сравнения с образцами и соответствия состояния мы получим вариант ложного срабатывания, причем, учитывая переменную длину первого поля, затруднительно будет настроить правило, которое пропускало бы такие пакеты без срабатывания.