Обзор штатных средств защиты информации при передаче по каналам связи

При подключении локальных сетей и отдельных ПК к глобальным сетям необходимо обеспечить безопасность их функционирования. За это отвечают помимо программного обеспечения отдельные аппаратные устройства. Рассмотрим данный вопрос подробнее.

Одна из самых распространенных на данный момент в мире сетей - это Ethernet, который позволяет достичь наивысшего КПД пропускной способности канала - 93 %. Для построения сетей этого типа используется неэкранированная (UTP) и экранированная (STP) «витая пара», коаксиал и оптоволокно. Самой дешевой и быстрой в построении сети считается «витая пара». Но эта среда передачи имеет значительное ограничение - максимальная длина сегмента 100-150 м. Но протоколы сетевого уровня позволяют соединить несколько сегментов через повторители, мосты, коммутаторы и маршрутизаторы. Количество сегментов должно быть не больше пяти.

Повторитель усиливает сигнал сетевого кабеля, который затухает на расстоянии более 100 м. Он работает на физическом уровне стека протоколов, не требует программного обеспечения и представляет собой обычно автономное устройство, не дающее непроизводительных издержек при передаче данных. Таким образом, с помощью наращивания сегментов общая протяженность сети может достигать 500 м. Компьютеры, связанные повторителем считаются принадлежащими одному сегменту. Количество компьютеров в сегменте не должно превышать 50.

Мост - это устройство уровня связи данных, объединяющее две или более сети с одной или разной топологией. Обычно это компьютер с несколькими сетевыми платами, к каждой из которых подсоединен свой сегмент ЛВС. Основной задачей моста служит обеспечение прозрачной связи между абонентами различных сетей, то есть трансляция и фильтрация МАС-кадров. Происходит это с помощью преобразования протоколов уровня MAC с адресами целевой рабочей станции. Трафик между локальными сетями не фильтруется, поэтому при сильном трафике возможны некоторые потери в производительности. Подключение к мостам происходит через порты.

При передаче информационных кадров мост считается неадресуемым, но при изменении активной конфигурации мосты обмениваются управляющими кадрами и в качестве адреса получателя в каждом мосту выделяется адрес одного единственного порта, который считается управляющим. В настоящее время многие функции мостов реализуются маршрутизаторами, которые предлагают дополнительные средства функции маршрутизации. В последние несколько лет цены на маршрутизаторы неуклонно снижаются, и это делает их лучшим вариантом объединения ЛВС. Основной функцией любого моста является ограничение потока данных между сегментами сети, поэтому так важно правильно размещать их. Для этого используется правило 80/20, в соответствии с которым не менее 80 % трафика данных должны быть локальными, не более 20 % - внешними. Если указанное соотношение не выполняется, то использование мостов становится неэффективным. Если в существующей конфигурации сети невозможно удовлетворить требованию 80/20, то следует перенести часть системы из одного сегмента в другой.

Коммутаторы (коммутирующие концентраторы, switches) - сочетают в себе функции многопортового повторителя и высокоскоростного моста. Их упрощенной «неинтеллектуальной» версией исполнения являются концентраторы (хабы), которые просто на физическом уровне соединяют сегменты сети «звездой» и рассылают все пакеты на все порты. Коммутатор (свич), работая как на канальном, так и на сетевом уровне, создает таблицу МАС-адресов всех устройств, подключенных к его портам, и использует ее для передачи пакетов только в требуемый порт. Иногда встречаются коммутаторы, имеющие порты обоих типов. Производятся коммутаторы, работающие с разными МАС-протоколами, например Ethernet и FDDI.

Маршрутизатор требует более высокого уровня протоколов архитектуры связи, чем мост или коммутатор. Он связывает сегменты сети через сетевой уровень. Например, инструкции по маршрутизации пакетов содержатся в сетевом уровне IP. Маршрутизатор отличается от моста тем, что он может считывать адрес рабочей станции и адрес ЛВС в пакете. Благодаря этому маршрутизатор может фильтровать пакеты и перенаправлять их по наилучшему возможному маршруту, который определяет по таблице маршрутизации.

Протоколы маршрутизации определяют метод, с помощью которого маршрутизаторы могут взаимодействовать друг с другом, совместно использовать информацию о сети. Эти протоколы могут выполняться в маршрутизаторах для построения таблиц маршрутизации или обмена информацией о маршрутизации с другим маршрутизатором. Со временем таблицы маршрутизации маршрутизирующих устройств будут содержать примерно одну и ту же информацию. Два основных протокола маршрутизации в TCP/IP - это RIP и OSPF.

Шлюзы обычно работают на самом высоком уровне стека протоколов и обеспечивают взаимодействие систем и сетей, которые используют несовместимые протоколы. Примерами межсистемных продуктов являются пакет электронной почты. Они позволяют обмениваться почтовыми файлами пользователей на самых различных системах.

Межсетевые экраны (Firewall) служат для блокировки атак из внешней среды (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway и Alteon Switched Firewall от компании Nortel Networks). Они управляют прохождением сетевого трафика в соответствии с правилами (policies) безопасности. Как правило, межсетевые экраны устанавливаются на входе сети и разделяют внутренние (частные) и внешние (общего доступа) сети.

Системы обнаружения вторжений (IDS - Intrusion Detection System) предназначены для выявления попыток несанкционированного доступа как извне, так и внутри сети, защиты от атак типа «отказ в обслуживании» (Cisco Secure IDS, Intruder Alert и NetProwler от компании Symantec). Используя специальные механизмы, системы обнаружения вторжений способны предотвращать вредные действия, что позволяет значительно снизить время простоя в результате атаки и затраты на поддержку работоспособности сети.

Средства создания виртуальных частных сетей (VPN - Virtual Private Network) служат для организации защищенных каналов передачи данных через незащищенную среду (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Виртуальные частные сети обеспечивают прозрачное для пользователя соединение локальных сетей, сохраняя при этом конфиденциальность и целостность информации путем ее динамического шифрования.

Средства анализа защищенности необходимы для анализа защищенности корпоративной сети и обнаружения возможных каналов реализации угроз информации (Symantec Enterprise Security Manager, Symantec NetRecon). Их применение позволяет предотвратить возможные атаки на корпоративную сеть, оптимизировать затраты на защиту информации и контролировать текущее состояние защищенности сети.

Совершенствование элементной базы и программного обеспечения позволяет в настоящее время совмещать в себе эти устройства.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >