- •Основные термины и определения
- •Нормативные документы Российской Федерации по вопросам информационной безопасности
- •Основные стандарты информационной безопасности
- •Основные руководящие документы
- •Нормативные документы
- •Методические документы
- •Классификации средств защиты вычислительных систем и сетей
- •Физические средства защиты информации
- •Аппаратные (технические) средства защиты информации
- •Программные средства защиты информации
- •Криптографические средства защиты
- •Программно-аппаратные средства защиты
- •Встроенные средства защиты ос
- •Идентификация и аутентификация
- •Управление доступом
- •Протоколирование и аудит
- •Антивирусная защита
- •Организационные мероприятия
- •Методы антивирусной защиты
- •Сигнатурный анализ
- •Эвристический анализ
- •Поиск вредоносных программ, выполняющих подозрительные действия
- •Дополнительные средства
- •Модуль обновления
- •Модуль планирования
- •Модуль управления
- •Карантин
- •Виды антивирусных программ
- •Программы-детекторы
- •Программы-доктора
- •Программы-ревизоры
- •Программы-фильтры
- •Вакцины
- •Режимы проверки и обновление
- •Проверка в режиме реального времени
- •Проверка по требованию
- •Обновление антивирусных баз
- •Межсетевые экраны
- •Основные компоненты и технологии мэ
- •Сетевая политика безопасности
- •Усиленная аутентификация
- •Централизованное управление
- •Подсистема сбора статистики и предупреждения об атаке
- •Простой фильтр пакетов
- •Посредник уровня соединения
- •Посредник прикладного уровня
- •Пакетный фильтр инспекционного типа
- •Недостатки, связанные с применением мэ
Пакетный фильтр инспекционного типа
Пакетная фильтрация инспекционного типа (packet state-full inspection) -способность некоторых МЭ по блокированию (уничтожению) и изменению пакетов, проходящих через МЭ, по заданному критерию на основе данных, содержащихся в этих пакетах, данных контекстов соединений транспортного, сеансового и прикладного уровней, текущих параметров окружающей среды и статистических данных.
Технология фильтрации пакетов инспекционного (или экспертного) типа сочетает в себе элементы всех трех описанных выше технологий. Как и простая фильтрация пакетов, фильтрация инспекционного типа работает на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов и т.п. Фильтры пакетов инспекционного типа также выполняют функции посредника уровня соединения, определяя, относятся ли пакеты к соответствующему сеансу связи. И, наконец, фильтры инспекционного типа берут на себя функции многих посредников прикладного уровня (одновременно), оценивая и модифицируя содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Как и посредник прикладного уровня, фильтр пакетов инспекционного типа может быть сконфигурирован для блокирования пакетов, содержащих определенные команды, например команду «put» службы FTP. Однако, в отличие от посредников прикладного уровня, при анализе данных прикладного уровня такой фильтр не нарушает модели клиент-сервер взаимодействия в сети - фильтр инспекционного типа допускает прямые соединения между компьютером-инициатором соединения и компьютером-адресатом. Для обеспечения защиты такие фильтры перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, фильтр пакетов инспекционного типа использует специальные алгоритмы распознавания и обработки данных на уровне приложений.
Обладая всеми преимуществами трех вышерассмотренных типов фильтров и минимальным количеством недостатков, МЭ с функцией фильтрации пакетов инспекционного типа обеспечивают один из самых высоких на сегодняшний день уровней защиты локальных сетей.
Недостатки, связанные с применением мэ
Существуют угрозы, которым МЭ не может противостоять. Кроме того, применение МЭ создает определенные трудности.
Наиболее очевидным недостатком МЭ является большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, XWindow, NFS и т.д. Однако, эти недостатки присущи не только МЭ, доступ к сети может быть ограничен также и на уровне отдельных СВТ, в зависимости от методики обеспечения безопасности сети.
Некоторые объекты могут обладать топологией, не предназначенной для использования МЭ, или использовать службы (сервисы) таким образом, что его использование потребовало бы полной реорганизации локальной сети.
Далее, МЭ не защищают системы локальной сети от проникновения через «люки» (backdoors). Например, если на систему, защищенную МЭ, все же разрешается неограниченный модемный доступ, злоумышленник может с успехом обойти МЭ. Связь через протоколы PPP (Point-to-Point) и SLIP (Serial Line IP) в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.
МЭ, как правило, не обеспечивает защиту от внутренних угроз. С одной стороны, МЭ можно разработать так, чтобы предотвратить получение конфиденциальной информации злоумышленниками из внешней сети, однако, МЭ не запрещает пользователям внутренней сети копировать информацию на магнитные носители или выводить ее на печатающее устройство. Таким образом, было бы ошибкой полагать, что наличие МЭ обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование МЭ.
Кроме того, есть недостаток МЭ, связанный с низкой пропускной способностью - МЭ представляют собой потенциально узкое место, поскольку все соединения с сетью Интернет должны осуществляться через него и еще подвергаться фильтрации.
Существует также и возможность «общего риска» - в МЭ все средства безопасности сосредоточены в одном месте, а не распределены между системами сети. Компрометация МЭ ведет к нарушению безопасности для других, менее защищенных систем.
В общем, несмотря на все вышеперечисленные недостатки, использование МЭ для защиты локальной сети в большинстве случаев более чем оправдано.