- •Лекція 1 Введение
- •Термины и определения в области информационной безопасности
- •Общая классификация угроз информационной безопасности
- •Вредоносное программное обеспечение
- •Угрозы безопасности сетевых информационных систем Удаленные воздействия на сетевые информационные системы, их классификация
- •Типовые удалённые атаки
- •Формирование системы информационной безопасности
- •Мероприятия системы защиты информации технического характера
- •Лекція 2 Механизмы защиты информации
- •Антивирусные средства защиты информации
- •Криптографические методы защиты информации
- •Способы предотвращения удаленных атак на информационные системы
- •Программно-аппаратные средства обеспечения безопасности информационных сетей
- •Межсетевой экран
- •Типы межсетевых экранов
- •Сравнение аппаратных и программных межсетевых экранов
- •Прокси-сервер
- •Интернет-маршрутизатор
- •Лекція 3 Технологии безопасности беспроводных сетей
- •Унифицированные решения
- •Лекція 4
- •Протоколы и функции, обеспечивающие работу сети
- •Маршрутизация
- •Протокол ospf
- •Сервисы dhcp
- •Сервисы dns
- •Резервирование маршрутов (Route Failover)
- •Балансировка нагрузки сети
- •Лекція 5
- •Igmp для iptv
- •Поддержка uPnP
- •Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)
- •Технология SharePort
- •Уведомление о нештатных событиях по электронной почте
- •Лекція 6 Фильтрация трафика
- •Виртуальные локальные сети vlan
- •Виртуальные частные сети (vpn)
- •IpSec в межсетевых экранах d-Link
- •Лекція 7 Технология преобразования сетевых адресов (nat)
- •Механизмы pat и nat
- •Virtual Servers
- •Прозрачный режим (Transparent mode)
- •Лекція 8 Функции idp, wcf, av
- •Idp-поиск соответствия с образцом (idp Pattern Matching)
- •Технология ZoneDefense
- •Лекція 9 Обзор маршрутизаторов d-Link
- •Интернет-маршрутизаторы для малых офисов и рабочих групп
- •Интернет-маршрутизаторы серии Unified Services
- •Маршрутизаторы adsl
- •Обзор межсетевых экранов NetDefend d-Link
- •Архитектура NetDefendOs
- •Прохождение пакета через межсетевой экран d-Link
- •Лекція 10 Управление межсетевыми экранами d-Link NetDefend
- •Управление межсетевыми экранами NetDefend через интерфейс командной строки (cli)
- •Управление межсетевыми экранами NetDefend через Web-интерфейс
- •Додаток а Знакомство с Web-интерфейсом Интернет-маршрутизаторов d-Link на примере dir-857
- •Додаток в. Знакомство с Web-интерфейсом межсетевых экранов NetDefend d-Link на примере dfl-860e
- •Додаток с Сравнительная таблица межсетевых экранов d-Link серии NetDefend
- •Примечания
Сравнение аппаратных и программных межсетевых экранов
Для сравнения межсетевых экранов разделим их на два типа: 1-й – аппаратные и программно-аппаратные и 2-й – программные.
К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.
Основные направления, присущие и первому, и второму типам:
обеспечение безопасности входящего и исходящего трафика;
значительное увеличение безопасности сети и уменьшение риска для хостов подсети при фильтрации заведомо незащищенных служб;
возможность контроля доступа к системам сети;
уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);
обеспечение недорогого, простого в реализации и управлении решения безопасности.
Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:
препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;
регистрировать попытки доступа и предоставлять необходимую статистику об использовании Интернет;
предоставлять средства регламентирования порядка доступа к сети;
обеспечивать централизованное управление трафиком.
Программные межсетевые экраны, кроме основных направлений, позволяют:
контролировать запуск приложений на том хосте, где установлены;
защищать объект от проникновения через "люки" (back doors);
обеспечивать защиту от внутренних угроз.
Межсетевой экран не является симметричным устройством. Он различает понятия: "снаружи" и "внутри". Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.
Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.
Прокси-сервер
Прокси-сервер (proxy – представитель, уполномоченный) – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (cache) (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.
Proxy являются попыткой реализовать межсетевой экран на уровне приложения. Их основное преимущество – поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении и имеют возможность обработки и действий над информацией.
Однако имеются очевидные трудности в использовании proxy на уровне приложения в качестве межсетевого экрана:
Ограничения на соединения – каждый сервис требует наличия своего собственного прокси, поэтому число доступных сервисов и их масштабируемость ограничены.
Ограничения технологии – шлюз прикладного уровня (ALG) не может обеспечить прокси для протокола UDP.
Производительность – реализация на уровне приложения имеет значительные потери в производительности.
В добавление, proxy беззащитны к ошибкам в приложениях и OC, неверной информации в нижних уровнях протоколов и в случае традиционных прокси-серверы очень редко являются прозрачными.
Исторически proxy уровня приложений удовлетворяли общему их применению и нуждам сети Интернет. Однако, по мере превращения Интернета в постоянно меняющуюся динамичную среду, предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодействий в сети Интернет или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.