- •Міністерство освіти і науки, молоді та спорту україни Запорізький національний технічний університет
- •Лекция 2 Основные компоненты архитектуры межсетевых экранов
- •Классификация межсетевых экранов
- •Технология vlan
- •Фильтры пакетов
- •Межсетевые экраны прикладного уровня
- •Межсетевые экраны динамической фильтрации пакетов
- •Посредники сеансового уровня
- •Шлюзы сеансового уровня (инспекторы состояния)
- •Межсетевые экраны экспертного уровня
- •Схемы подключения мэ
- •Технологии мэ
- •Особенности использования nat
- •Трансляция портов (pat)
- •Технология антивирусной защиты
- •Аутентификация
- •Протоколы и схемы аутентификации
- •Технология vpn
- •Протоколы vpn
- •Стек протоколов ipSec
- •Протокол рртр
- •Прокол l2tp
- •Протокол аутентификации l2f
- •Протоколы аутентификации, шифрования и контроля целостности.
- •Протоколы управления ключами
- •Управление сетями
- •Управление списками доступа маршрутизатора
- •Посредники сеансового уровня socks
Протоколы и схемы аутентификации
Межсетевые экраны могут использовать встроенные и внешние схемы и протоколы аутентификации. Выбор схемы аутентификации зависит от требования надежности и возможности интеграции с существующим программным обеспечением.
Firewall Password, OS Password.
S\key – программная схема аутентификации, использующая одноразове пароли. Клиент на основе секретного ключа известного и клиенту и серверу для каждого соединения генерирует одноразовый пароль.
Kerberos – стандартный протокол безопасности в интернете использующий трехуровневую архитектуру:
Клиент, аутентичность которого необходимо доказать
Сервер, услугами которого хочет воспользоваться клиент
Сервер проверки подлинности (третья сторона)
Secure ID – технология аутентификации, использующая генерацию одноразовых паролей (ОТР).
CryptoCard – технология, в основе которой заложены принципы двухфакторной аутентификации. В отличии от Secure ID используется более защищенные методы управления и лицензирования токенов.
Tacacs/Radius – данные системы разработаны для централизованного контроля доступа к сети. Серверы Tacacs/Radius выступают в качестве посредников между серверами удаленного доступа и сетевыми сервисами межсетевого экрана, являющимися клиентами.
Обнаружение вторжений и аномальной активности
Под аномальной активностью понимаются такие сетевые события, которые нельзя классифицировать как атаку, но в тоже время их поведение отличается от нормального. К аномальной активности можно отнести возрастание объема сетевых подключений, трафика, сообщений протокола ISMP. Существует класс программного обеспечения решающих задачу обнаружения вторжений и аномальной активности – IDS.
Управление бюджетами пользователей
В большой организации может стать проблемой, как для сетевых администраторов, так и для пользователей сети. Доступ к таким корпоративным ресурсам как web-сервер, почтовый сервер и т.д. требуют процедуру аутентификации, а это значит, что для каждого пользователя всех информационных ресурсов должны существовать его учётные записи или бюджеты. Помимо этого проблема усугубляется тем что:
Прикладные службы установлены физически на разных хостах
Наличие в сети нескольких серверных платформ
Разделение обязанностей между администраторами
Бюджет пользователя на межсетевом экране может быть сформирован одним из следующих образов:
Создан непосредственно на межсетевом экране
В этом случае администратор межсетевого экрана вводит самостоятельно всю необходимую учётную информацию, в том числе и пароль. Это применяется только в небольшой организации.
Импорт бюджетов пользователей
Большинство межсетевых экранов под управление ОС Windows позволяет импортировать и даже синхронизировать бюджеты пользователей с доменов Windows
Импорт централизованной базы данных или сервера аутентификации,
Для этого используется технология LDAP
Контроль времени действия правил политики безопасности
Политика безопасности может быть значительно усилена за счёт использования временных ограничений правил действия межсетевого экрана.
Преимущества:
Позволяет сосредоточить анализ аудита безопасности в строго определённое время
Повысить организацию дисциплины рабочего времени
Предотвратить несанкционированное использование рабочих станций в целях НСД к сетевым ресурсам в нерабочее время
Выполнять в установленное время технологические мероприятия на сервера сети без потери рабочего времени сотрудников