Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет экономики, статистики и информатики (МЭСИ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Межсетевые_экраны.doc
Скачиваний:
4
Добавлен:
04.08.2019
Размер:
119.3 Кб
Скачать
►Содержание►

12 Посредником на основе заданного набора правил. Здесь следует различать

... 11 ■————-»

два вида программ-посредников:

(^экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например РТР, НТТР, Тете!;

универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например агенты, ориентированные на поиск и обезвреживание компьютерных вирусов или прозрачное шифрование данных.

Программный посредник анализирует поступающие к нему пакеты данных, и если какой-либо объект не соответствует заданным критериям, то посредник либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.

ПгехуаПз с посредниками позволяют также организовывать защищенные виртуальные сети УР1Ч, например безопасно объединить несколько локальных сетей, подключенных к Мегпех, в одну виртуальную сеть. VРN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Internet возможно шифрование не только данных пользователей, но и служебной информации - конечных сетевых адресов, номеров портов и т.д.

Помимо выполнения фильтрации трафика и функций посредничества некоторые межсетевые экраны позволяют реализовать ряд других, не менее важных функций, без которых обеспечение защиты периметра внутренней сети было бы неполным.

Идентификация и аутентификация пользователей

Кроме разрешения или запрещения допуска различных приложений в

13 Сеть межсетевые экраны могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым межсетевым экраном.

Прежде чем пользователю будет предоставлено право на какой-либо сервис, необходимо убедиться, что он действительно тот, за кого себя выдает. Идентификация и аутентификация пользователей являются важными компонентами концепции межсетевых экранов. Авторизация пользователя обычно рассматривается в контексте аутентификации — как только пользователь аутентифицирован, для него определяются разрешенные сервисы.

Идентификация и аутентификация пользователя иногда осуществляются при предъявлении обычного идентификатора (имени) и пароля (рис. 3). Однако эта схема уязвима с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Internet; произошли отчасти из-за уязвимости традиционных многоразовых паролей. Злоумышленники могут наблюдать за каналами в сети 1п1ете1 и перехватывать передаваемые в них открытым текстом пароли, поэтому такая схема аутентификации считается неэффективной. Пароль следует передавать через общедоступные коммуникации в зашифрованном виде. Это позволяет предотвратить получение несанкционированного доступа путем перехвата сетевых пакетов.

Более надежным методом аутентификации является использование одноразовых паролей. Для генерации одноразовых паролей используются как программные, так и аппаратные средства - последние представляют собой устройства, вставляемые пользователем в слот компьютера. Для приведения этого устройства в действие пользователю необходимо знание некоторой секретной информации. Например, смарт-карта или токен пользователя генерируют информацию, которую хост использует вместо традиционного пароля. Поскольку смарт-карта или токен работают вместе с аппаратным и программным обеспечением хоста, генерируемый пароль уникален для

каждого установления сеанса. Результатом является одноразовый пароль, который, даже если он перехватывается, не может быть использован злоумышленником под видом пользователя для установления сеанса с хостом. Этот пароль будет бесполезен при последующей аутентификации, а вычислить следующий пароль из предыдущего является крайне трудной задачей. Широкое распространение получила технология аутентификации на основе одноразовых паролей 8есигГО, разработанная компанией 8есштгу Оупатюз и реализованная в коммуникационных серверах ряда компаний, в частности в серверах компании СЛзсо 8у81ет8 и др.

гтанцм станция

Рис 3. Схема аутентификации пользователя по предъявляемому паролю

Удобно и надежно также применение цифровых сертификатов, выдаваемых доверенными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности