Когда заходит речь об аппаратной защите в целом, недо статочно было бы упомянуть о данных средствах только лишь относительно определённого или же конкретного программного обеспечения . Помимо этого, термин "аппаратная защита" подразумевает комплексный под ход для решения ряда задач и проблем, стоящих перед системным администра тором, по правильной настройке достаточно защищённой внутренней локал ьной сети, имеющей выход в глобальную сеть Интернет. Исходя из этого, аппа ратную защиту можно классифицировать на следующие виды: - аппаратная защита программного обеспечения; - локальная аппаратная защита (аппаратная защита ком пьютера и информации); - аппаратная защита сет и (аппаратн ая защита внутренней л окальной сети с одним или неск олькими выходами в Интерн ет). Аппаратная защи та сети На сегодняшний ден ь многие достаточно развитые компании и организации имеют внутреннюю л окальную сеть. Развитие ЛВС прямо пропорционально росту компании, неотъ емлемой частью жизненного цикла которой является подключение локально й сети к бескрайним просторам Интернета. Вместе с тем сеть Интернет непо дконтрольна (в этом несложно убед иться), поэтому компании должны серьезно позаботиться о безопасности св оих внутренних сетей. Подключаемые к WWW ЛВС в большинстве случаев очень уя звимы к неавторизированному доступу и внешним атакам без должной защит ы. Такую защиту обеспечивает межсетевой экран (брандмауэр или firewall). Брандмауэры Брандмауэры сущес твуют двух видов: программные и аппаратные. Однако помимо этого их делят ещё и на типы: брандмауэр сетевого уровня (фильтры пакетов) и прикладного уровня (шлюзы приложений). Фильтры пакетов более быстрые и гибкие, в отлич ие от брандмауэров прикладного уровня. Последние направляют специальн ому приложению-обрабо т чику все п риходящие паке ты извне, что замедляет работу. Для программных брандмауэров необходим отдельный к омпьютер на базе традиционных операционн ых систем Unix либо Windows NT. Такой брандмауэр может служить единой точко й входа во внутреннюю сеть. Слабость и ненадёжность подобной защиты закл ючается не столько в возможных нарушениях корректной работы самого про граммного брандмауэра, сколько в уязвимости используемых операционных систем, на базе которых функционирует межсетевой эк ран. Аппаратные брандмауэры построены на базе специальн о разработанных для этой цели собственных операционных систем. Далее пр иступим к рассмотрению именно аппаратных брандмауэ ров. Правильная установ ка и конфигурация межсетевого экрана - первый шаг на пути к намеченной це ли. Чтобы выполнить установку аппаратного брандмауэра нужно подключит ь его в сеть и произвести необходимое конфигурирование. В простейшем слу чае, брандмауэр - это устройство, предотвращающее доступ во внутреннюю с еть пользователей извне. Он не является отдельной компонентой, а предста вляет собой целую стратегию защиты ресурсов организации. Основная функ ция брандмауэра - централизация управления доступом. Он решает многие ви ды задач, но основными являются анализ пакетов, фильтрация и перенаправл ение трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных. Методика построен ия защищённой сети и политика безопасности . В процессе конфигурирования брандмауэра следует пойти на ко мпромиссы между удобством и безопас ностью. До опреде лённой степени межсетевые экраны должны быть прозра чными для внутренних пользователей сети и запрещать доступ других поль зователей извне. Такая политика обеспечи вает достат очно хорошую защиту. Важной задачей является защита сети изнутри. Для обе спечения хорошей функциональной защиты от внешней и внутренней угрозы, следует устанавливать несколько брандмауэров. Именно поэтому на сегод няшний день широкое распространение получили именно аппаратные межсет евые экраны. Довольно часто используется специальный сегмент внутренн ей сети, защищённый извне и изолированный от остальных, так называемая д емилитаризованная зона (DMZ). Иногда брандмауэры разных типов объединяют. Р азличная конфигурация брандмауэров на основе нескольких архитектур об еспечит должный уровень безопасности для сети с разной степенью риска. Д опустим, последовательное соединение брандмауэров сетевого и прикладн ого уровня в сети с высоким риском може т оказаться на илучшим решением. Существует довольно-таки много решений относительн о более-менее безопасных схем подключения брандмауэров для проектиров ания правильной защиты внутренней сети. В данном случае рассмотрены тол ько самые оптимальные в отношении постав ленной зада чи виды подключений. Довольно часто подключение осуществляется через вн ешний маршрутизатор. В таком случае снаружи виден только брандмауэр, име нно поэтому подобная схема наиболее предпочтительна с точки зрения безопасности ЛВС. Брандмауэр также может использоваться в качестве вн ешнего маршрутизатора. Программные брандмауэры создаются на базе посл едних и интегрируются в них. Это наиболее комплексное и быстрое решение, хотя и довольно дорогостоящее. Такой подход не зависит от типа опе рационной системы и приложений. В случае, когда сервера должны быть видимы снаружи, бр андмауэром защищается только одна подсеть, подключаемая к маршрутизат ору. Для повышения уровня безопасности интранета больших компаний возм ожно комбинированное использование брандмауэров и фильтрующих маршру тизаторов для обеспечения строгого управления доступом и проведения д олжного аудита сети. В подобных случаях используются такие методы, как э кранировани е хостов и подсетей. Замечания Брандмауэр не явл яется абсолютной гарантией защиты внутренней сети от удалённых атак, не смотря на то, что осуществляет сетевую политику разграничения доступа к определённым ресурсам. Во множестве случаев достаточно вывести из стро я лишь один межсетевой экран, защищающий определённый сегмент, чтобы отк лючить всю сеть от внешнего мира и при этом нанести достаточный ущерб, вы звав большие сбои в р аботе организации или компании. Не стоит игнорировать тот факт, что брандмауэры нико гда не решали внутренних проблем, связанных с физическим доступом к серв ерам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусам и с дискет пользователей и многим другим. Но из всего вышесказанного от нюдь не следует, что их использование абсолютно бессмысленно и неэффект ивно. Наоборот, применение брандмауэров - необходимое условие обеспечен ия безопасности сети, однако нужно помнить, что всех проблем о ни не решат. Несколько советов. В условиях поставленных задач, различных между собо й, необходимо рассматривать соответственно различные возможные вариан ты решения, основанные именно на програ ммно-аппарат ных методах защиты. Построение правильной топологии сети решит многие п роблемы, связанные с возникновением потенциальных точек уязвимости и с ведёт уже существующие к минимуму. Обратите внимание на размещение сервера (серверов) и ограничьте физический доступ пользователей к нему. Предпринимайте мер ы по защите отдельных рабочих станций. Особое внимание уделите тем компь ютерам, на которых хранится важная информация. Используйте стойкие к п еребору пароли. Пароль должен содержать не менее 8 символов в верхнем и ни жнем регистре , цифры и неалфавитные символы. Контролируйте запущенные процессы и периодически п роверя йте журнал подключений сервера. И последнее: никогда не переоценивайте защищенность собственной сети или системы - идеальной защиты не существует. Следует заметить, что все три вида аппаратной защиты могут интегрироваться и редко упомин аются без взаимосвязи. Между ними нет чётких границ. Систематизация прав ил аппаратной защиты ещё раз доказывает прямую сопряжённость с програм мными методами её реализации. В комплексном подходе к решению такого кла сса задач для предотвращения про никновения во внут реннюю сеть и уничтожения/копирования информации, н еобходимо специализированно объединять уже существующие методы с возм ожно новыми решениями в этой области. Проблема обеспечения безопасност и компьютерной информации пока не может быть решена полностью даже при и деальной с точки зрения системного администратора настройке сети, но ко мбинированное применение программно-аппаратных средств защиты от НСД в сочетании с криптозащитой позволяет свести риск к минимуму. Как работает драйвер Рассмотрим работу Lan2net Firewall на примере шлюза, т.е. компьюте ра с двумя сетевыми картами. Одна из сетевых карт подключена к Интернет, д ругая к локальной сети. Способ подключения и тип сетевой карты значения не имеет. На рисунке схематично показаны сервер, внешний и внут ренний адаптеры. A, B, C, D - направления установления соединения. Фильтрация или модификация может быть осуществлена на любом из направл ений A, B, C, D. К каждому из этих направлений привязаны свои правила. Соединение опреде ляет адаптер, которому принадлежит правило. Направление определяется п араметром <Направление> пользователя. Таким образом, Соединение + Пользо ватель определяет, к какому из направлений привязаны правила. NAT - Network Address Translation Трансляция с етевых адресов - это способ, с помощью которого хостам локальной сети раз решается доступ к хостам внешней сети, с использованием единственного з арегистрированного IP-адреса. NAT-трансляция всегда происходит на внешнем а даптере. Lan2net скрывает детали настройки NAT. Пример №1. Сервер (локал ьная машина) соединяется с хостом 213.180.194.129 на порт 80. Т.е. открываем главную стр аницу www.yandex.ru. Направление С. Первое, что должно быть сдела но, э то аутентификация. Драйвер определит, какому пользо вателю принадлежит запрос. Для данного примера это будет исходящий поль зователь, привязанный к соединению <Интернет>, с подходящим параметрами аутентификации (например <локальные адреса>). Если пользователь не найде н, сетевой пакет будет отброшен, соединение не установится. Далее, драйве р находит правила этого пользователя (с каждым пользователем связаны пр авила). Если драйвер находит разрешающее правило, запрос на соединение б удет отправлен дальше. Драйвер будет ожидать ответ от сервера с параметр ами пакета, соответсвующими ответу сервера. Ответ хоста 213.180.194.129 будет опозн ан драйвером как ответ на запрос с локальной машины. Соединение будет ус тановлено. Весь траффик этого соединения будет записан на локального по льзователя. Эта схема гарантирует правильный подсчет траффика и запись траффика на того пользователя, который инициировал соединение. Пример №2 Хост из Интер нет сканирует порты. Запросы на соединения от сканера портов будут попадать на направление D. Допустим, к этому направлению не привязан ни одни пользователь. То есть, н ет входящих пользователей, связанных с соединением Интернет. В такой сит уации все соединения будут отброшены, так как запрос на соединение не пр ойдет аутентификацию. Эти отброшенные соединения будут приписаны к пол ьзователю system. Сокращения АЗ - аппаратная защита НСД - несанкционированный доступ ЛВС - локальная вычислительн ая сеть