Файловый архив студентов. Файловый архив студентов.
1282 вуза, 4891 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
Информационная безопасность
Файл:
Методы и системы защиты информации. учеб. пособие. Чопоров О.Н., Гузев Ю.Н.doc
Скачиваний:
17
Добавлен:
30.04.2022
Размер:
1.48 Mб
Скачать
►Содержание►

Схемы подключения.

Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для под­ключения к внешней сети (рис.15). Иногда используется схема, изображенная на рис.16, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная на­стройка роутеров и небольшие ошибки могут образовать серь­езные дыры в защите.

Рис.16. Брандмауэр в качестве внешнего роутера

Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса (так называемый dual-homed брандмауэр) (две сетевые кар­точки в одном компьютере) (см. рис.17).

Рис. 17.

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопас­ности и надежности защиты.

Другая схема представлена на рис. 18.

Рис.18.

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Большин­ство брандмауэров позволяет разместить эти сервера на нем самом – решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра.

Существуют решения (рис.19), которые позволяют ор­ганизовать для серверов, которые должны быть видимы сна­ружи, третью сеть; это позволяет обеспечить контроль за дос­тупом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

Рис.19.

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за дру­гом.

Администрирование.

Легкость администрирования является одним из ключе­вых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут обра­зовать дыру, через которую может быть взломана система. По­этому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора пра­вил. Наличие этих утилит позволяет также производить про­верки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позво­ляют просматривать информацию, сгруппированную по ка­ким-либо критериям, например, все что относится к конкрет­ному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Инфор­мация обо всех событиях – отказах, входящих, выходящих со­единениях, числе переданных байт, использовавшихся серви­сах, времени соединения и т.д. – накапливается в файлах ста­тистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое по­слание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или админист­ратора может помочь, если попытка оказалась успешной, и ата­кующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки стати­стики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились по­пытки несанкционированного доступа и т.д.

Основными функциями программных средств анализа защищен­ности КС (сканеров уязвимости, Vulnerability-Assessment) явля­ются:

  • проверка используемых в системе средств идентифика­ции и аутентификации, разграничения доступа, аудита и правильности их настроек с точки зрения безопасно­сти информации в КС;

  • контроль целостности системного и прикладного про­граммного обеспечения КС;

  • проверка наличия известных неустраненных уязвимо­стей в системных и прикладных программах, исполь­зуемых в КС, и др.

Средства анализа защищенности работают на основе сце­нари­ев проверки, хранящихся в специальных базах данных, и выдают результаты своей работы в виде отчетов, которые мо­гут быть кон­вертированы в различные форматы.

К недостаткам средств анализа защищенности КС отно­сятся:

  • зависимость их от конкретных систем;

  • недостаточная надежность (их применение может ино­гда вы­зывать сбои в работе анализируемых систем);

  • малый срок эффективной эксплуатации (не учитыва­ются но­вые обнаруженные уязвимости, которые и яв­ляются наиболее опасными);

  • возможность использования нарушителями в целях под­готов­ки к атаке на КС.

Программные средства обнаружения атак (Intrusion Detection Systems, IDS) применяются для решения двух основ­ных задач:

  • обнаружение признаков атак на основе анализа журна­лов бе­зопасности операционной системы, журналов МСЭ и других служб;

  • инспекция пакетов данных непосредственно в каналах связи (с использованием мультиагентных систем).

В обоих случаях средствами обнаружения атак исполь­зуются базы данных с зафиксированными сетевыми собы­тиями и шаблонами известных атак. Эти средства работают в реальном масштабе вре­мени и реагируют на попытки исполь­зования известных уязвимостей КС или несанкционирован­ного исследования защищенной части сети организации, а также ведут журнал регистрации за­фиксированных событий для последующего анализа.

К основным недостаткам средств обнаружения атак отно­сятся:

  • неспособность эффективно функционировать в высоко­скоро­стных сетях;

  • возможность пропуска неизвестных атак;

  • необходимость постоянного обновления базы данных с шаб­лонами атак;

  • сложность определения реакции этих средств на обнару­жен­ные попытки атаки.

ЗАКЛЮЧЕНИЕ

Широкое внедрение компьютеров во все виды деятельности, постоянное наращивание их вычислительной мощности, использование компьютерных сетей различного масштаба привели к тому, что угрозы потери конфиденциальной информации в системах обработки данных стали неотъемлемой частью практически любой деятельности.

В настоящее время обобщенная теория безопасности информации пока не создана. Применяемые на практике подходы и средства нередко страдают существенными недостатками и не обладают объявленной надежностью. Поэтому необходимо обладать достаточной подготовкой и квалифицированно ориентироваться во всем спектре вопросов обеспечения информационной безопасности, понимая их комплексный и взаимообусловленный характер.

Данное учебное пособие не претендует на полноту сведений об информационной безопасности, однако позволяет охватить все основные теоретические аспекты данной проблемы.

Предлагаемое учебное пособие может оказаться полезным при подготовке специалистов высшей квалификации в области информационной безопасности.

Соседние файлы в предмете Информационная безопасность
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности