- •Возможности технических средств разведки по перехвату информации в ас.
- •Особенности построения систем защиты информации от тср в ас.
- •Методы несанкционированного доступа в компьютерных сетях.
- •1.1. Неавторизованный доступ к кс
- •1.2. Несоответствующий доступ к ресурсам кс
- •1.3. Раскрытие данных
- •1.4. Неавторизованная модификация данных и программ
- •1.5. Раскрытие трафика кс
- •1.6. Подмена трафика кс
- •1.7. Разрушение функций кс
- •Методы и средства защиты от несанкционированного межсетевого доступа.
- •Анализ информационного обмена и политика безопасности
- •Межсетевые экраны
- •Средства vpn
- •Технология защищенных виртуальных сетей.
- •Построение защищенных виртуальных сетей.
- •Варианты построения vpn
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов Модель взаимодействия открытых систем
- •Функции межсетевого экранирования.
- •1. Фильтрация трафика
- •2. Выполнение функций посредничества
- •3. Особенности межсетевого экранирования на различных уровнях модели osi
- •3.1. Экранирующий маршрутизатор
- •1.3.2. Шлюз сеансового уровня
- •1.3.3. Прикладной шлюз
- •Схемы подключения межсетевых экранов.
- •Установка и конфигурирование систем мэ
- •Разработка политики межсетевого взаимодействия
- •1.2 Определение схемы подключения межсетевого экрана
- •Защита локальной сети мэ с одним сетевым интерфейсом
- •1.3. Настройка параметров функционирования мэ
- •Общие требования к межсетевым экранам.
- •Классификация межсетевых экранов по уровню защищенности информации от нсд.
- •1. Общие положения
- •2. Требования к межсетевым экранам
Построение защищенных виртуальных сетей.
Существует несколько вариантов построения VPN. Основным критерием выбора того или иного решения является производительность средств построения VPN и, конечно, их стоимость. Для создания виртуальной частной сети могут использоваться аппаратные, программные средства или их комбинация.
Обычно аппаратные средства являются более производительными, но и более дорогостоящими. Аппаратные методы шифрования обеспечивают более высокий уровень безопасности, чем программные, поскольку могут поддерживать ключи большей разрядности без увеличения задержки при передаче данных. Кроме того, аппаратные средства обеспечивают лучшую масштабируемость.
Однако программные средства также имеют ряд преимуществ, главное из которых - меньшая стоимость
Варианты построения vpn
VPN на базе МЭ
VPN на базе маршрутизаторов
VPN на базе программного обеспечения
VPN на базе сетевой ОС
VPN на базе аппаратных средств
Способы создания защищенных виртуальных каналов
Любой из двух узлов виртуальной сети, между которыми формируется защищенный туннель, может принадлежать конечной или промежуточной точке защищаемого потока сообщений. Соответственно возможны различные способы образования защищенного виртуального канала
Вариант, когда конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений, является с точки зрения безопасности лучшим. В этом случае обеспечивается полная защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. Требуется установка средств создания защищенных туннелей на каждый клиентский компьютер локальной сети, что усложняет централизованное управление доступом к компьютерным ресурсам и экономически не всегда оправдано. В большой сети отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой
Распространен также вариант, характеризующийся более низкой безопасностью, но более высоким удобством применения. Согласно данному варианту рабочие станции и серверы локальной сети, а также удаленные компьютеры не участвуют в создании защищенного туннеля, который прокладывается только внутри публичной сети с коммутацией пакетов, например, внутри Internet. В качестве конечных точек такого туннеля чаще всего выступают провайдеры Internet и/или пограничные маршрутизаторы (МЭ) локальной сети.
При удаленном доступе к локальной сети туннель создается между сервером удаленного доступа провайдера Internet, a также пограничным провайдером Internet или маршрутизатором (МЭ) локальной сети.
При объединении локальных сетей туннель формируется только между пограничными провайдерами Internet и/или маршрутизаторами (МЭ) локальной сети.
Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля.
Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Internet.
Терминатор туннеля выполняет процесс, обратный инкапсуляции — он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю VPN. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов.
Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, т. е. зашифрования, а целостность и подлинность — путем формирования цифровой подписи.
Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Чтобы туннели VPN создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.