- •Возможности технических средств разведки по перехвату информации в ас.
- •Особенности построения систем защиты информации от тср в ас.
- •Методы несанкционированного доступа в компьютерных сетях.
- •1.1. Неавторизованный доступ к кс
- •1.2. Несоответствующий доступ к ресурсам кс
- •1.3. Раскрытие данных
- •1.4. Неавторизованная модификация данных и программ
- •1.5. Раскрытие трафика кс
- •1.6. Подмена трафика кс
- •1.7. Разрушение функций кс
- •Методы и средства защиты от несанкционированного межсетевого доступа.
- •Анализ информационного обмена и политика безопасности
- •Межсетевые экраны
- •Средства vpn
- •Технология защищенных виртуальных сетей.
- •Построение защищенных виртуальных сетей.
- •Варианты построения vpn
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов Модель взаимодействия открытых систем
- •Функции межсетевого экранирования.
- •1. Фильтрация трафика
- •2. Выполнение функций посредничества
- •3. Особенности межсетевого экранирования на различных уровнях модели osi
- •3.1. Экранирующий маршрутизатор
- •1.3.2. Шлюз сеансового уровня
- •1.3.3. Прикладной шлюз
- •Схемы подключения межсетевых экранов.
- •Установка и конфигурирование систем мэ
- •Разработка политики межсетевого взаимодействия
- •1.2 Определение схемы подключения межсетевого экрана
- •Защита локальной сети мэ с одним сетевым интерфейсом
- •1.3. Настройка параметров функционирования мэ
- •Общие требования к межсетевым экранам.
- •Классификация межсетевых экранов по уровню защищенности информации от нсд.
- •1. Общие положения
- •2. Требования к межсетевым экранам
Межсетевые экраны
Основными критериями выбора межсетевого экрана являются три: глубина анализа трафика, собственная защищенность экрана и соответствие требованиям производительности.
Глубина анализа определяется степенью осмысленной обработки передаваемой информации. В простейшем случае это фильтрация данных на сетевом уровне, в более сложных — фильтрация на уровне виртуального соединения; самый детальный анализ проводят МЭ, работающие на прикладном уровне. Именно последние обеспечивают максимальную защищенность узлов КС и могут быть рекомендованы для установки почти во всех случаях. Экраны с меньшими возможностями анализа информации оказываются эффективными при установке у провайдера информационных услуг, который не может в полной мере определять политику безопасности своих клиентов, но должен гарантировать получение ими информационных сервисов.
Собственная защищенность означает принципиальную невозможность перехода системы в открытое состояние. Полностью исключить такую ситуацию можно опять-таки только с помощью шлюзов приложений, где пакеты всякий раз переформировываются заново. Это, кстати, исключает и попадание во внутренние узлы КС пакетов, содержащих некорректные поля или опасные опции.
Важным моментом является соответствие МЭ требованиям к производительности. Поскольку не существует общепризнанной методики измерения производительности межсетевых экранов, стоит провести испытания в условиях реальной среды информационного обмена. Нужно обратить внимание на устойчивость к пиковым нагрузкам, которая традиционно высока для систем на Unix-платформе.
Средства vpn
Средства VPN обеспечивают защиту информации, передаваемой по общедоступным сетям передачи данных
Одна из ключевых характеристик средств VPN — реализованный в них протокол защищенного информационного обмена.
Второй определяющий фактор при выборе средств VPN — метод организации работы с ключевой информацией.
Вопросы производительности представляют собой достаточно деликатную область оценки VPN-решения. Пользователю не стоит забывать, что целью внедрения VPN является обеспечение определенного качества сервисов.
Технология защищенных виртуальных сетей.
Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например через сеть Internet, требует качественного решения двух базовых задач:
защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
защиты информации в процессе передачи по открытым каналам связи
Решение первой задачи основано на использовании межсетевых экранов (МЭ), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Для защиты локальных сетей МЭ располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливается на этом же компьютере, а сам межсетевой экран в данном случае называют персональным
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:
аутентификации взаимодействующих сторон;
криптографическом закрытии передаваемых данных;
подтверждении подлинности и целостности доставленной информации;
защите от повтора, задержки и удаления сообщений;
защите от отрицания фактов отправления и приема сообщений
Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями или туннелями VPN. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети.
Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, используются встроенные возможности стека протоколов TCP/IP. Для защиты от повтора, удаления и задержек на уровне отдельных сообщений в состав каждого сообщения подсистемой защиты прикладного уровня должна добавляться дополнительная информация. В качестве такой дополнительной информации могут использоваться номера, случайные числа, а также отметки времени.
Главное преимущество защищенных виртуальных сетей - невысокая стоимость их создания и эксплуатации.
Структура виртуальной сети состоит из каналов глобальной сети, защищенных протоколов и маршрутизатороов.
Для объединения удаленных ЛВС в виртуальную сеть используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе пакеты немаршрутизируемых протоколов) в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. Естественно, при подобной передачи требуется решать проблему конфиденциальности и целостности данных, что не обеспечивается простым туннелированием. Конфиденциальность передаваемой корпоративной информации достигается шифрованием.
Основная проблема сетей VPN - отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией
Возможность построения VPN на оборудовании и ПО различных производителей достигается внедрением некоторого стандартного механизма. Таким механизмом выступает протокол Internet Protocol Security (IPSec), он описывает все стандартные методы VPN. Этот протокол определяет методы идентификации при инициализации туннеля, методы шифрования в конечных точках туннеля и механизмы обмена и управления ключами шифрования между этими точками.
Для решения задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами используется протокол IKE (Internet Key Exchange). Протокол IKE, основанный на алгоритме шифрования открытым ключом, автоматизирует обмен ключами и устанавливает безопасное соединение. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.
В числе других механизмов построения VPN можно назвать:
протокол PPTP (Point-to-Point Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com,
протокол L2F (Layer-2 Forwarding) компании Cisco Systems
протокол L2TP (Layer-2 Tunneling Protocol), объединивший оба вышеназванных протокола.
Однако эти протоколы, в отличии от IPSec, нельзя назвать полнофункциональными (например PPTP не определяет метод шифрования).