46789 (588444), страница 6
Текст из файла (страница 6)
Межсетевой экран должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
Требования к третьему классу:
Данные требования включают аналогичные требования четвертого класса.
Дополнительно межсетевой экран должен обеспечивать:
-
регистрацию и учет запросов на установление виртуальных соединений;
-
локальную сигнализацию попыток нарушения правил фильтрации.
-
Администрирование: идентификация и аутентификация
Требования к пятому классу:
Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ. Межсетевой экран должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования включают аналогичные требования пятого класса. Дополнительно межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах администратора межсетевого экрана на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
-
Администрирование: регистрация
Требования к пятому классу:
Межсетевой экран должен обеспечивать регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузка и инициализация системы и ее программный останов. Регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана;
В параметрах регистрации указываются:
-
дата, время и код регистрируемого события;
-
результат попытки осуществления регистрируемого события - успешная или неуспешная;
-
идентификатор администратора межсетевого экрана, предъявленный при попытке осуществления регистрируемого события.
Требования к четвертому классу:
Данные требования включают аналогичные требования пятого класса.
Дополнительно межсетевой экран должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
Требования к третьему классу:
Данные требования полностью включают аналогичные требования четвертого класса.
Дополнительно межсетевой экран должен обеспечивать регистрацию действия администратора межсетевого экрана по изменению правил фильтрации.
-
Администрирование: простота использования
Нет требований к четвертому и пятому классу. Требования к третьему классу:
Многокомпонентный межсетевой экран должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
-
Целостность
Требования к пятому классу:
Межсетевой экран должен содержать средства контроля над целостностью своей программной и информационной части.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования пятого класса.
Дополнительно должен обеспечиваться контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
-
Восстановление
Требования к пятому классу:
Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств межсетевого экрана.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
-
Тестирование
Требования к пятому классу:
В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
-
реализации правил фильтрации;
-
процесса идентификации и аутентификации администратора;
-
процесса регистрации действий администратора межсетевого экрана;
-
процесса контроля за целостностью программной и информационной части межсетевого экрана;
-
процедуры восстановления.
Требования к четвертому классу:
В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
-
реализации правил фильтрации;
-
процесса регистрации;
-
процесса идентификации и аутентификации администратора межсетевого экрана;
-
процесса регистрации действий администратора межсетевого экрана;
-
процесса контроля за целостностью программной и информационной части межсетевого экрана;
-
процедуры восстановления.
Требования к третьему классу:
В межсетевом экранированием должна обеспечиваться возможность регламентного тестирования
-
реализации правил фильтрации;
-
процесса регистрации;
-
процесса идентификации и аутентификации запросов;
-
процесса идентификации и аутентификации администратора межсетевого экрана;
-
процесса регистрации действий администратора межсетевого экрана;
-
процесса контроля за целостностью программной и информационной части межсетевого экрана;
-
процедуры восстановления.
-
Руководство администратора защиты
Требования к пятому классу:
Документ содержит:
-
описание контролируемых функций межсетевого экрана;
-
руководство по настройке и конфигурированию межсетевого экрана;
-
описание старта межсетевого экрана и процедур проверки правильности старта;
-
руководство по процедуре восстановления.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
-
Тестовая документация
Требования к пятому классу:
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Требования к четвертому классу:
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Требования к третьему классу:
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
-
Конструкторская документация
Требования к пятому классу:
Должна содержать:
-
общую схему межсетевого экрана;
-
общее описание принципов работы межсетевого экрана;
-
описание правил фильтрации;
-
описание средств и процесса идентификации и аутентификации;
-
описание средств и процесса регистрации;
-
описание средств и процесса контроля над целостностью программной и информационной части межсетевого экрана;
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса по составу документации.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования пятого класса по составу документации.
Дополнительно документация должна содержать:
-
описание средств и процесса централизованного управления компонентами межсетевого экрана.
2.5 Виртуальные частные сети (VPN)
В связи с широким распространением Интернет, интранет, экстранет при разработке и применении распределенных информационных сетей и систем одной из самых актуальных задач является решение проблем информационной безопасности.
В последнее десятилетие в связи с бурным развитием Интернет и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные каналы связи. Стремясь к экономии средств, предприятия используют такие каналы для передачи критичной коммерческой информации. Однако принципы построения Интернет открывают злоумышленникам возможности кражи или преднамеренного искажения информации. Не обеспечена достаточно надежная защита от проникновения нарушителей в корпоративные и ведомственные сети.
Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN. (Virtual Private Networks).
Концепция построения защищенных виртуальных частных сетей VPN
В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.
Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств.
Функции и компоненты сети VPN
Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:
-
несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;
-
несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате не санкционированного входа в эту сеть.
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:
-
аутентификации взаимодействующих сторон;
-
криптографическом закрытии (шифровании) передаваемых данных;
-
проверке подлинности и целостности доставленной информации.
Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.
Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным.
Туннелирование
Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крипто защищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографический защищенные пакеты сообщений.
Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность – путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию.
Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.
VPN на основе межсетевых экранов
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
