Файловый архив студентов. Файловый архив студентов.
1318 вузов, 5380 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Особливості функціонування міжмережевих екранів...docx
Скачиваний:
1
Добавлен:
01.04.2025
Размер:
125.3 Кб
Скачать
►Содержание►

Міжмережевий екран на основі екранованого шлюзу.

(Слайд 13) Міжмережевий екран на основі екранованого шлюзу поєднує фільтруючий маршрутизатор і прикладний шлюз, розташовуваний з боку внутрішньої мережі. Прикладний шлюз реалізується на хост-компьютері та має тільки один мережний інтерфейс (рис. 4).

Рис 4. Міжмережевий екран з екранованим шлюзом

Міжмережевий екран, виконаний за даною схемою, виходить більш гнучким, але менш безпечним у порівнянні з міжмережевим екраном із прикладним шлюзом на базі дводомного хост-компьютера. Основний недолік схеми міжмережевого екрана з екранованим щлюзом полягає в тому, що якщо атакуючий порушник зуміє проникнути в хост-компьютер, чере це перед ним виявляться незахищені системи внутрішньої мережі. Інший недолік пов'язаний з можливою компрометацією маршрутизатора. Якщо маршрутизатор виявиться скомпрометованим, внутрішня мережа стане доступна атакуючому порушникові.

Міжмережевий екран - екранована підмережа.

(Слайд 14) Міжмережевий екран, що складається з екранованої підмережі, представляє собою розвиток схеми міжмережевого екрана на основі екранованого шлюзу. Для створення екранованої підмережі використаються два екрануючих маршрутизатори (рис. 5.). Зовнішній маршрутизатор розташовується між мережею Internet та екрануючою підмережею, а внутрішній - між екрануючою підмережею та внутрішньою мережею, що захищається. Екранована підмережа містить прикладний шлюз, а також може включати інформаційні сервери та інші системи, що вимагають контрольованого доступу. Ця схема міжмережевого екрана забезпечує гарну безпеку завдяки організації екранованої підмережі, що ще краще ізолює внутрішню мережу, що захищається від Internet.

Рис. 5. Міжмережевий екран - екранована під мережа

Міжмережевий екран з екранованої підмережею добре підходить для захисту мереж з більшими обсягами трафіку або з високими швидкостями обміну.

Міжмережевий екран з екранованою підмережею має і недоліки:

- парі фільтруючих маршрутизаторів необхідна велика увага для забезпечення необхідного рівня безпеки, оскільки через помилки при їх конфігуруванні можуть виникнути провали в безпеці всієї мережі:

- існує принципова можливість доступу в обхід прикладного шлюзу.

3. Особливості функціонування МЕ на різних рівнях моделі OSI (Мережева модель OSI (англ. open systems interconnection basic reference model - базова еталонна модель взаємодії відкритих систем, скор. ЕМВОС; 1978 р) - мережева модель стека мережевих протоколів OSI/ISO (ISO/ІЕС 7498-1-99). У зв'язку з тривалою розробкою протоколів OSI, в даний час основним використовуваним стеком протоколів є TCP/IP, розроблений ще до прийняття моделі OSI і поза зв'язку з нею.)

Розподіл ключів

Розподіл ключів - самий відповідальний процес у керуванні ключами. До нього висуваються такі вимоги:

• оперативність і точність розподілу;

• скритність ключів, що розподіляють.

Розподіл ключів між користувачами комп'ютерної мережі реалізується двома способами:

1) використанням одного або декількох центрів розподілу ключів;

2) прямим обміном сеансовими ключами між користувачами мережі.

Недолік першого підходу полягає в тому, що центру розподілу ключів відомо, кому і які ключі розподілені, і це дозволяє читати усі повідомлення, що передані по мережі. Можливі зловживання істотно впливають на захист. При другому підході проблема полягає в тому, щоб надійно засвідчити дійсність суб'єктів мережі.

В обох випадках має бути забезпечена дійсність сеансу зв'язку. Це можна здійснити, використовуючи механізм запиту - відповіді або механізм оцінки часу.

Механізм запиту-відповіді полягає в такому. Користувач А включає в повідомлення (запит), що посилає користувачу В непередбачений елемент (наприклад, випадкове число). При відповіді користувач В має виконати деяку операцію із цим елементом (наприклад, додати одиницю), що неможливо здійснити заздалегідь, оскільки невідомо, яке випадкове число прийде в запиті. Після одержання результату дій користувача В (відповідь) користувач А може бути впевнений, що сеанс є справжнім.

Механізм оцінки часу припускає фіксацію часу для кожного повідомлення. Це дозволяє кожному суб'єктові мережі визначити, наскільки старе прийшло повідомлення, і відкинути його, якщо з'явиться сумнів у його дійсності. При використанні оцінок часу необхідно встановити припустимий часовий інтервал затримки.

В обох випадках для захисту елемента контролю використають шифрування, щоб бути впевненим, що відповідь відправлена не зловмисником і не змінений штемпель оцінки часу.

Завдання розподілу ключів зводиться до побудови протоколу розподілу ключів, що забезпечує:

• взаємне підтвердження дійсності учасників сеансу;

• підтвердження вірогідності сеансу механізмом запиту - відповіді або оцінки часу;

• використання мінімального числа повідомлень при обміні ключами;

• можливість виключення зловживань із боку центра розподілу ключів (аж до відмови від нього).

В основу рішення завдання розподілу ключів доцільно покласти принцип відділення процедури підтвердження дійсності партнерів від процедури безпосередньо розподілу ключів. Ціль такого підходу складається у створенні методу, при якому після встановлення дійсності учасники самі формують сеансовий ключ без участі центра розподілу ключів для того, щоб розподільник ключів не мав можливості виявити зміст повідомлень.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности