- •План лекції 17:
- •Intranet дозволяє створювати Web-сайти відділів, груп фахівців і окремих спеціалістів для інтелектуального корпоративного спілкування.
- •2. Компоненти корпоративної мережі Intranet
- •3. Захист корпоративної мережі Intranet
- •3.1. Організація керування каналом доступу
- •3.2. Організація захисного екрану
3. Захист корпоративної мережі Intranet
3.1. Організація керування каналом доступу
На сьогоднішній день багатьом компаніям потрібні послуги по захисту інформації, подібні до тих, що надає всесвітня комп'ютерна мережа Internet. Однак їх керівників лякає пряме підключення до глобальної мережі, оскільки в цьому захисті існують непередбачені ризики.
Мережа Internet об'єднує велику кількість комп’ютерів, телекомуніка-ційних каналів і людей. Фактично це – не просто комп'ютерна мережа, а сус-пільство, що називають кіберпростором. В Internet зустрічаються комп'ютерні хулігани, так звані хакери. Часто буває важко встановити особу користувача, який намагається отримати віддалений доступ до комп'ютера.
Різноманітні протоколи, що використовуються в сегментах Internet, можуть бути погано захищені від підробки, і тому недоброзичливець може нелегально використовувати ресурси глобальної мережі. При підключенні до Internet дуже важливим є організація керування каналом доступу.
Здійснювати контроль над каналом доступу можна різним чином: 1) пе-ретинати межу мережі можуть тільки небезпечні дії користувачів; 2) підклю-читися до мережі можна тільки через захисну систему. Це дуже важливий вибір, від якого залежить майбутня безпека усієї корпоративної мережі.
При використанні так званого захисного екрану контролюється канал доступу до зовнішнього світу. При цьому з'являється можливість встанов-лювати лише потрібні для внутрішньої мережі зв'язки, а інші – блокувати. Такий захист дозволяє запобігати нападу на корпоративну мережу ще на підготовчому етапі. Інколи буває достатньо встановити захист тільки на канал доступу.
Багато компаній та обчислюваних центрів дотримуються означених принципів та правил безпеки. Захисний екран – найбільш поширений інстру-мент для їх втілення. Його використовують для захисту від зовнішнього нападу, і якщо корпоративна мережа може бути атакована через модем, то екран у змозі ефективно контролювати телефонні зв'язки.
Більш складною є екрануюча система, котра блокує доступ зовнішніх користувачів у корпоративну мережу, але дозволяє вільний доступ до Internet для внутрішніх користувачів. В загальному випадку захисний екран можна налаштувати на захист від будь-якого нападу, однак для цього необхідно правильно його запрограмувати, тобто скласти для нього політику безпеки.
3.2. Організація захисного екрану
Система захисного екрану має два механізми: дозволяючої та забороня-ючої дії. Дозволяюча частина екрана забезпечує зв'язок між корпоративною та відкритими мережами, а забороняюча блокує небезпечні та незаконні дії користувачів.
Дозволяючий механізм складається з програм, що підтримують сервіси Internet. Такі програми, котрі називаються сервісними агентами, працюють так, щоб виконувати лише визначені, безпечні команди. Можна побудувати екрануючу систему, цілком складену з сервісних агентів. Принцип побудови такого екрану, який називається екрануючим шлюзом, можна сформулювати наступним чином: "заборонено все, крім необхідного".
Забороняючий механізм захищає корпоративну мережу від небезпечних дій користувачів. Для блокування зв'язку використовуються різноманітні критерії фільтрації. Найбільш відомі з них:
• адреса і маска підмережі відправника;
• адреса і маска підмережі одержувача;
• порт відправника;
• порт одержувача;
• сервіс;
• час використання сервісу.
Фільтрація за адресою та масцем підмережі відправника необхідна у тому випадку, коли необхідно блокувати зв'язок з означеним комп'ютером або мережею, а за адресою одержувача – якщо потрібно закрити доступ зовнішньому користувачу у деяку заборонену область.
Якщо користувач не повинен працювати з деяким конкретним сервісом, то екран може блокувати пакети, які використовуються цим сервісом і належать даному користувачу. Іноді фільтрують пакети інформації на основі часу їх відправлення. Це необхідно, наприклад, для тимчасового допуску клієнтів у корпоративну мережу. Скомбінувавши основні критерії, можна означити достатньо точні правила.
Як правило, захисний екран складається з набору агентів для кількох сервісів (дозволяючий механізм), правил доступу зовнішніх користувачів до цих агентів і механізму блокування всіх інших дій. Окрім цих компонентів, екрануюча система може мати додаткові блоки, наприклад, для аналізу дій користувачів та вияву можливих нападів або створення віртуальної корпора-тивної мережі.
Захисний екран – це послідовність фільтрів, які виконують означені дії з потоком інформації. Фільтри мають різноманітні відомості про дані, що пе-редаються через них, і тому можуть по різному обробляти потоки інформації. Загальними для всіх фільтрів є наступні дії: пропустити потік інформації через фільтр, блокувати його, подати сигнал тривоги або записати означене повідомлення в системний журнал.
Найчастіше використовуються такі три основні типи фільтрів:
• пакетний фільтр, або екрануючий маршрути'затор, який фільтрує інформаційні пакети;
• транспортний фільтр, який керує сеансами зв'язку;
• екрануючий шлюз, який керує окремими сервісами.
З цих трьох фільтрів можна побудувати мережевий екран довільної конфігурації. Фільтри найкраще встановлювати послідовно, причому чим більше вони відрізняються, тим надійніший їх загальний захист.
Задача екрануючого маршрутизатора – створити зону умовної стати-стичної маршрутизації, тобто екрануючий маршрутизатор передає пакети інформації за адресою, встановленою системним адміністратором, а не по вказаній в пакеті. Наприклад, якщо в корпоративній мережі є безпечний поштовий сервер, то екрануючий маршрутизатор весь потік електронної пошти передає на цей сервер. Існують захисні екрани, які цілком складаються з екрануючих маршрутизаторів, однак важко побудувати необхідний "лабіринт" статистичної маршрутизації.
Екрануючі маршрутизатори є прозорими для користувачів і мають високу швидкодію. Екран, який складається з маршрутизаторів, не затримує передачі інформації. Недолік цього екрана в тому, що маршрутизатор не враховує кількість інформації, що передається, контекст пакетів та інші аналогічні критерії. Крім того, якщо хакер зламав такий фільтр, то визначити це важко.
Транспортний фільтр керує сеансами зв'язку. Фільтр цього типу під час відкриття інформаційного каналу може записувати контрольну інформа-цію в системний журнал, контролювати кількість інформації, що передається, і виконувати інші дії транспортного рівня. Такий фільтр збирає інформацію, котра може попередити можливі напади або знайти помилки керування. Він відслідковує підробку адрес та перевіряє ім'я комп'ютерів, блокує у випадку небезпеки виклик відповідної служби.
Екрануючий шлюз забезпечує безпечне обслуговування мережевих служб. Він проводить аунтентифікацію користувачів і тільки після цього дозволяє або заперечує їм зв'язок з внутрішньою мережею. Шлюз відкриває два різних сеанси зв'язку з користувачами різних мереж, тому зовнішнім користувачам здається, що вони встановили зв'язок з самим шлюзом. Такий фільтр фактично є представником корпоративної мережі в Internet.
Шлюз має справу з користувачами, а не з пакетами. Тому він містить більш повні дані і реалізує захисні механізми, недоступні для інших фільтрів, наприклад, перевіряє істинність кожного користувача, приховує адреси внутрішніх комп'ютерів та виконує інші аналогічні дії. Системний журнал, який ведеться цим фільтром, найбільш місткий та корисний. Екрануючий шлюз – самий надійний захисний механізм корпоративної системи.
Недоліки цього фільтра: його складність, вузька спеціалізація та невелика швидкість передачі інформації. Необхідність установки нових агентів для кожного нового сервіса зменшує гнучкість системи.
Зазначені фільтри складають основу сучасної технології екрануючих систем. Однак існують змішані екрани, які об'єднують всі види типів в одній системі. Змішані екрани мають повну інформацію про встановлений зв'язок, на підставі якої вони більш точніше можуть визначати можливий напад.