- •Понятие локальной вычислительной сети
- •Основы информационной безопасности локальных вычислительных сетей
- •Угрозы безопасности в локальных вычислительных сетях
- •Способы и средства защиты информации в локальных вычислительных сетях
- •Примером таких программ является Система «Zlogin» - аутентификация с использованием электронных ключей
- •Ключевые возможности сзи Secret Net:
- •Апкш «Континент». Аппаратно-программный комплекс, сочетающий в себе межсетевой экран, средство построения vpn-сетей и маршрутизатор.
- •Виды прокси-серверов:
- •Предотвращение угроз
- •Восстановление системы и данных
- •Защита конфиденциальных данных
- •Базовая защита
- •Предотвращение угроз
- •Восстановление системы и данных
Ключевые возможности сзи Secret Net:
Разграничение доступа - усиленная аутентификация пользователей, полномочное управление доступом на основе категорий конфиденциальности ресурсов и прав допуска пользователей, разграничение доступа к устройствам компьютера. В качестве персональных идентификаторов могут быть использованы: iButton, eToken, Rutoken.
Доверенная информационная среда - защита компьютера от загрузки с внешних носителей либо программным, либо аппаратным способом; замкнутая программная среда; контроль целостности программ и данных.
Контроль каналов распространения конфиденциальной информации - регистрация событий безопасности, контроль печати и отчуждения конфиденциальной информации, гарантированное уничтожение данных.
Контроль устройств - контроль неизменности аппаратной конфигурации компьютера и доступа пользователей к устройствам компьютеров, централизованные политики использования отчуждаемых носителей в организации.
Централизованное управление, мониторинг и аудит (сетевой вариант) – удаленное управление и оперативный мониторинг в режиме реального времени, централизованные политики безопасности, аудит событий информационной безопасности. Возможность развертывания серверов безопасности с подчинением в филиалах организации.
Защита терминальных сессий - защита инфраструктуры основанной на терминальных сессиях для платформ Citrix и Microsoft.
Масштабируемая система защиты - Secret Net поставляется как в автономном варианте, предназначенном для защиты отдельных компьютеров, так и в сетевом, обеспечивающем средства централизованного управления, мониторинга и аудита безопасности.
3.) Программы шифрования информации.
Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них и, в то же время, последним защитным рубежом.
Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные методы симметричного шифрования. Имеется и стандарт на подобные методы - ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".
Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.
В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой - секретный, применяется для расшифровки и известен только получателю. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (100-значными) простыми числами и их произведениями.
Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения.
Криптографические методы позволяют надежно контролировать целостность информации. В отличие от традиционных методов контрольного суммирования, способных противостоять только случайным ошибкам, криптографическая контрольная сумма (имитовставка), вычисленная с применением секретного ключа, практически исключает все возможности незаметного изменения данных.
Примером является программа для шифрования данных «True Crypt».
True Type предлагает мощнейшую защиту зашифрованных данных: система двойных паролей, стирание следов шифрования, включая следы работы с мышью и нажатий кнопок клавиатуры, и, наконец, обеспечение двух уровней правдоподобного отрицания наличия зашифрованных данных. То есть, во-первых, с помощью "Мастера создания томов TrueCrypt" после обычного зашифрованного тома вы можете создать так называемый скрытый том (стеганография), который создается внутри обычного. Доступ к такому тому может получить только тот, кто знает о его существовании. То есть, даже если злоумышленники узнают пароль к вашему обычному тому, то все равно они не смогут получить доступ к данным в скрытом томе. Во-вторых, ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt как с программой, его создавшей).
Основные возможности программы
Создание виртуального зашифрованного логического диска, хранящегося в виде файла.
Шифрование целых разделов жесткого диска.
Шифрование других носителей: flash-карт, дискет, usb-флэшек и других съемных устройств хранения данных.
Функция обманного ввода пароля.
Основные алгоритмы шифрования: AES (256-бит ключ), Serpent, Twofish.
Основана на алгоритме Encryption for the Masses (E4M) 2.02a.
Имеется русская локализация программы (только для Windows.
4.)Другие программные средства защиты информации
4.1. Межсетевые экраны (также называемые брандмауэрами или файрволами - от нем. Brandmauer, англ. firewall -- «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
Схема. 4. Структура межсетевого экрана
Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем:
1) анализа информации по заданным в интерпретируемых правилах критериям, например по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих решений:
•не пропустить данные;
•обработать данные от имени получателя и возвратить результат отправителю; •передать данные на следующий фильтр для продолжения анализа; •пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым осуществляется:
•разрешение или запрещение дальнейшей передачи данных; • выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут использоваться следующие параметры:
• служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные; • непосредственное содержимое пакетов сообщений, проверяемое, например, на
наличие компьютерных вирусов;
• внешние характеристики потока информации, например, временные,
частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
Межсетевые экраны бывают:
|
|
|
Бесплатные |
Ashampoo FireWall Free * Comodo * Core Force (англ.) * Online Armor * PC Tools * PeerGuardian (англ.) * Sygate (англ.) |
|
Проприетарные |
Ashampoo FireWall Pro * AVG Internet Security * CA Personal Firewall * Jetico (англ.) * Kaspersky * Microsoft ISA Server * Norton * Outpost * Trend Micro (англ.) * Windows Firewall * Sunbelt (англ.) * WinRoute (англ.) * ZoneAlarm |
|
Аппаратные |
Fortinet * Cisco * Juniper * Check Point*D-link |
|
FreeBSD |
Ipfw * IPFilter * PF |
|
Mac OS |
NetBarrier X4 (англ.) |
|
Linux |
Netfilter (Iptables * Firestarter * Iplist * NuFW * Shorewall) * Uncomplicated Firewall |
|
|
|
|
Для примера рассмотрим межсетевой экран компании D-link DFL-860E межсетевой экран для малого бизнеса.[7]
Рис. 1. Межсетевой экран D-link DFL-860E
Характеристики:
Интерфейсы • Ethernet: + 2 порта 10/100/1000 Ethernet WAN + 1 порт 10/100/1000 Ethernet DMZ (настраиваемый) + 8 портов 10/100/1000 Ethernet LAN • USB: 2 USB порта (зарезервировано) • Console: RJ-45 Производительность системы • Производительность межсетевого экрана2: 200 Мбит/с • Производительность VPN3: 60 Мбит/с • Производительность IPS4: 80 Мбит/с • Производительность антивируса4: 50 Мбит/с • Количество параллельных сессий: 40,0005 • Количество новых сессий (в секунду): 4,000 • Политики: 1000 Межсетевой экран • Прозрачный режим • NAT, PAT • Протокол динамической маршрутизации: OSFP • H.323 NAT Traversal • Политики по расписанию • Application Layer Gateway • Активная сетевая безопасность Сетевые функции • DHCP сервер/клиент • DHCP Relay • Маршрутизация на основе политик • IEEE 802.1q VLAN: 16 • VLAN на основе портов • IP Multicast: IGMP v3 Виртуальные частные сети (VPN) • Шифрование (DES) • Выделенные VPN-туннели: 3005 • Сервер PPTP/L2TP • Hub and Spoke • IPSec NAT Travesal • SSL VPN: Функция будет доступна в будущем Балансировка нагрузки • Балансировка исходящего трафика • Балансировка нагрузки сервера • Алгоритм балансировки нагрузки серверов: Round-robin, Weight-based Round-robin, Destination-based, Spill-over • Перенаправление трафика при обрыве канала (fail-over) Управление полосой пропускания • Traffic Shaping на основе политик • Гарантированная полоса пропускания • Максимальная полоса пропускания • Полоса пропускания на основе приоритета • Динамическое распределение полосы пропускания High Availability (HA) Резервирование канала WAN Intrusion Detection & Prevention System (IDP/IPS) • Автоматическое обновление шаблонов • Защита от атак DoS, DDoS • Предупреждение об атаках по электронной почте • Расширенная подписка IDP/IPS (приобретается отдельно) • Черный список по IP (пороговая величина или IDP/IPS) Фильтрация содержимого • Тип HTTP: Белый / черный список URL • Тип скриптов: Java Cookie, ActiveX, VB • Тип e-mail: Белый / черный список e-mail • Внешняя база данных фильтрации содержимого Антивирусная защита • Антивирусное сканирование в реальном времени • Неограниченный размер файла • Сканирование VPN-туннелей • Поддержка сжатых файлов • Поставщик сигнатур: Kaspersky • Количество антивирусных сигнатур: 4000* • Автоматическое обновление шаблонов