Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Аппаратные и программные средства защиты информации

Принципы построения и функционирования межсетевых экранов в сетях передачи данных

При организации сетей передачи данных используются ряд устройств:

  • - концентраторы - необходимы для объединения нескольких ПК в локальную сеть;
  • - маршрутизаторы - для распределения потоков данных в сети с целью повышения ее производительности;
  • - шлюзы - для объединения нескольких сетей и организации доступа в глобальную сеть;
  • - прокси-серверы - для обеспечения трансляции сетевых адресов. При прохождении пакета через него меняет в этом пакете 1Р-адрес и номер порта (а при получении ответного пакета производит те же операции в обратном направлении);
  • - межсетевые экраны - для контроля информации, между вычислительными сетями.

В РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-

распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и /или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации (как минимум на сетевом уровне), то есть ее анализа по совокупности критериев и принятия решения о ее распространении на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачи данных (пакетов) на следующий фильтр или уровень протокола.

Принцип работы МЭ определяет наличие или отсутствие доступа к службам. Обычно он реализует одну из двух основных политик:

  • - разрешено все, что не запрещено;
  • - запрещено все, что не разрешено.

С точки зрения безопасности первая политика менее предпочтительна, так при ее реализации возникает больше путей обхода, например за счет новых служб, не запрещенных в настоящий момент, или за счет реализации запрещенных служб в нестандартных портах.

Вторая политика безопаснее, но сложнее реализуется.

Основными компонентами МЭ являются:

  • - сетевая политика безопасности;
  • - усиленные средства аутентификации;
  • - фильтрация пакетов;
  • - прикладные шлюзы.

Классификация МЭ представлена на рис. 5.1.

Основные группы МЭ

Рис. 5.1. Основные группы МЭ

Сетевая политика безопасности является наиболее значимой и определяет политику доступа к службам различных средств.

Типичными выступают три политики безопасности:

  • - запрещается доступ к объекту из Интернет и разрешается доступ объекту к Интернет;
  • - разрешается доступ из Интернет определенных систем, например, Электронной почты;
  • - разрешается доступ некоторым пользователям из Интернет к выбранным внутренним хостам в сочетании с усиленной аутентификацией.

Усиленная аутентификация подразумевает под собой применение различных аппаратных средств (жетоны, ключи, смарт-карты), на основе которых генерируются одноразовые пароли. При его перехвате повторное использование все равно невозможно.

Фильтрация пакетов обычно производится маршрутизатором в соответствии с содержимым полей:

  • - адрес источника 1Р;
  • - адрес приемника1Р;
  • - порт источника ТСР/1ЮР;
  • - порт приемника ТСР/1ЮР.

Основным является фильтрация по адресу источника и приемника 1Р. Использование для фильтрации адресов портов позволяет добавить гибкости системе фильтрации.

К недостаткам фильтрации пакетов относится их жесткая политика безопасности, которую возможно обойти путем использования нестандартных портов, особенно, если их назначает система случайно.

Прикладные шлюзы предназначены для обеспечения дополнительной фильтрации сообщений служб TELNET и FTP. Они представляют собой Хост со специальным программным обеспечением, объединенный с фильтрующим маршрутизатором. Причем маршрутизатор допускает прохождение пакетов служб только с прикладным шлюзом.

При поступлении запроса шлюз проверяет адрес источника и принимает или отвергает его, при этом может потребоваться усиленная аутентификация. При положительном решении устанавливается соединение между шлюзом и внутренним хостом. Весь сеанс передача информации ведется через шлюз.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >
 

Популярные страницы