4.3.4.1. Міжмережеве екранування
Міжмережевий екран (МЕ) [11] виконує функції розмежування інформаційних потоків на межі автоматизованої системи, що захищається. Це дозволяє:
підвищити безпеку об'єктів внутрішнього середовища за рахунок ігнорування неавторизованих запитів із зовні;
контролювати інформаційні потоки в зовнішнє середовище;
забезпечити реєстрацію процесів інформаційного обміну.
Контроль інформаційних потоків проводиться за допомогою фільтрування інформації, тобто аналізу її по сукупності критеріїв і прийняття рішення про розповсюдження в АС або з АС.
Залежно від принципів функціонування, виділяють декілька класів міжмережевих екранів. Основною класифікаційною ознакою є рівень моделі OSI, на якому функціонує МЕ.
1. Фільтри пакетів.
Базовий клас міжмережевих екранів, що працюють на мережному і транспортному
рівнях моделі OSI. Фільтрація пакетів зазвичай здійснюється по
наступним критеріям:
- IP-адреса джерела;
- IP-адреса одержувача;
- порт джерела;
- порт одержувача;
- специфічні параметри заголовків мережних пакетів.
Фільтрація реалізується шляхом порівняння перерахованих параметрів заголовків мережевих пакетів з базою правил фільтрації.
2. Шлюзи сеансового рівня (Session layer)
Дані міжмережеві екрани працюють на сеансовому рівні моделі OSI. На відміну від фільтрів пакетів, вони можуть контролювати допустимість сеансу зв'язку, аналізуючи параметри протоколів сеансового рівня.
Шлюзи прикладного рівня (Application layer)
Мал. 4.3.4.1. Використання проксі-сервісів
Міжмережеві екрани даного класу дозволяють фільтрувати окремі види команд або набори даних в протоколах прикладного рівня. Для цього використовуються проксі-сервіси – програми спеціального призначення, що керують трафіком через міжмережевий екран для визначених високорівневих протоколів (http, ftp, telnet і т.д.).
Порядок використання проксі-сервисів наведено на мал. 4.3.4.1. Якщо без використання проксі-сервісів мережеве з'єднання встановлюється між взаємодіючими сторонами А і B напряму, то у випадку використання проксі-сервіса з'являється посередник – проксі-сервер, який самостійно взаємодіє з другим учасником інформаційного обміну. Така схема дозволяє контролювати допустимість використання окремих команд протоколів високого рівня, а також фільтрувати дані одержувані проксі-сервером ззовні. При цьому проксі-сервер на підставі встановлених політик може приймати рішення про можливість або неможливості передачі цих даних клієнту А.
4. Міжмережеві екрани експертного рівня.
Найскладнішим є міжмережеві екрани, що поєднують в собі елементи всіх трьох наведених вище категорій. Замість проксі-сервісів в таких екранах використовуються алгоритми розпізнавання і обробки даних на рівні програм.
Більшість міжмережевих екранів, що використовуються в даний час, відноситься до категорії експертних.
4.3.4.2. Системи виявлення вторгнень
Виявлення вторгнень є процесом виявлення несанкціонованого доступу (або спроб несанкціонованого доступу) до ресурсів автоматизованої системи. Система виявлення вторгнень (Intrusion Detection System, IDS) [9] в загальному випадку є програмно-апаратним комплексом, що вирішує дану задачу. Загальна структура IDS наведена на мал. 4.3.4.2.
Алгоритм функціонування системи IDS подано на мал. 4.3.4.3. Як бачимо, функціонування систем IDS багато в чому аналогічно міжмережевим екранам: сенсори одержують мережевий трафік, а ядро шляхом порівняння отриманого трафіку із записами наявної бази сигнатур атак намагається виявити сліди спроб несанкціонованого доступу. Модуль реагування представляє собою опціональну компоненту, яка може бути використана для оперативного блокування загрози: наприклад, може бути сформовано правило для міжмережевого екрану, результатом дії якого буде блокування джерела нападу.
Існують дві основних категорії систем IDS:
1. IDS рівня мережі.
В таких системах сенсор функціонує на виділеному для цієї мети окремому пристрої в сегменті мережі, що захищається. Зазвичай мережевий адаптер даного пристрою функціонує в режимі прослуховування (promiscuous mode), що дозволяє аналізувати весь мережевий трафік, що проходить до даного сегменту.