- •Возможности технических средств разведки по перехвату информации в ас.
- •Особенности построения систем защиты информации от тср в ас.
- •Методы несанкционированного доступа в компьютерных сетях.
- •1.1. Неавторизованный доступ к кс
- •1.2. Несоответствующий доступ к ресурсам кс
- •1.3. Раскрытие данных
- •1.4. Неавторизованная модификация данных и программ
- •1.5. Раскрытие трафика кс
- •1.6. Подмена трафика кс
- •1.7. Разрушение функций кс
- •Методы и средства защиты от несанкционированного межсетевого доступа.
- •Анализ информационного обмена и политика безопасности
- •Межсетевые экраны
- •Средства vpn
- •Технология защищенных виртуальных сетей.
- •Построение защищенных виртуальных сетей.
- •Варианты построения vpn
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов Модель взаимодействия открытых систем
- •Функции межсетевого экранирования.
- •1. Фильтрация трафика
- •2. Выполнение функций посредничества
- •3. Особенности межсетевого экранирования на различных уровнях модели osi
- •3.1. Экранирующий маршрутизатор
- •1.3.2. Шлюз сеансового уровня
- •1.3.3. Прикладной шлюз
- •Схемы подключения межсетевых экранов.
- •Установка и конфигурирование систем мэ
- •Разработка политики межсетевого взаимодействия
- •1.2 Определение схемы подключения межсетевого экрана
- •Защита локальной сети мэ с одним сетевым интерфейсом
- •1.3. Настройка параметров функционирования мэ
- •Общие требования к межсетевым экранам.
- •Классификация межсетевых экранов по уровню защищенности информации от нсд.
- •1. Общие положения
- •2. Требования к межсетевым экранам
3.1. Экранирующий маршрутизатор
Экранирующий маршрутизатор, называемый еще пакетным фильтром, предназначен для фильтрации пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения своих отдельных функций может охватывать и транспортный уровень эталонной модели. Решение о том, пропустить или отбраковать данные, принимается для каждого пакета независимо на основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровней
В качестве анализируемых полей IP- и TCP (1ЮР)-заголовков каждого пакета выступают:
адрес отправителя;
адрес получателя;
тип пакета;
флаг фрагментации пакета;
номер порта источника;
номер порта получателя.
1.3.2. Шлюз сеансового уровня
Шлюз сеансового уровня, называемый еще экранирующим транспортом, предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Он функционирует на сеансовом уровне модели OSI, охватывая в процессе своей работы также транспортный и сетевой уровни эталонной модели. Защитные функции экранирующего транспорта относятся к функциям посредничества.
1.3.3. Прикладной шлюз
Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне модели OSI, охватывая также уровень представления, и обеспечивает наиболее надежную защиту межсетевых взаимодействий.
Защитные функции прикладного шлюза, как и экранирующего транспорта, относятся к функциям посредничества. Однако прикладной шлюз, в отличие от шлюза сеансового уровня, может выполнять существенно большее количество функций защиты, к которым относятся следующие:
идентификация и аутентификация пользователей при попытке установления соединений через МЭ;
проверка подлинности информации, передаваемой через шлюз;
разграничение доступа к ресурсам внутренней и внешней сетей;
фильтрация и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерация отчетов;
кэширование данных, запрашиваемых из внешней сети.
Схемы подключения межсетевых экранов.
Установка и конфигурирование систем мэ
Для эффективной защиты межсетевого взаимодействия система МЭ должна быть правильно установлена и сконфигурирована. Данный процесс осуществляется путем последовательного выполнения следующих этапов:
разработки политики межсетевого взаимодействия;
определения схемы подключения, а также непосредственного подключения межсетевого экрана;
настройки параметров функционирования МЭ.
Перечисленные этапы отражают системный подход к установке любого программно-аппаратного средства, предполагающий, начиная с анализа, последовательную детализацию решения стоящей задачи.
Разработка политики межсетевого взаимодействия
Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта:
политику доступа к сетевым сервисам;
политику работы межсетевого экрана.
Политика доступа к сетевым сервисом определяет правила предоставления, а также использования всех возможных сервисов защищаемой компьютерной сети. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации.
Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования МЭ. Может быть выбран один из двух таких принципов:
запрещено все, что явно не разрешено;
разрешено все, что явно не запрещено.