Вход

Аппаратная архитектура системы защиты Ethernet-канала в локальной сети

Реферат по информатике и информационным технологиям
Дата добавления: 19 июля 2008
Язык реферата: Русский
Word, rtf, 299 кб
Реферат можно скачать бесплатно
Скачать
Данная работа не подходит - план Б:
Создаете заказ
Выбираете исполнителя
Готовый результат
Исполнители предлагают свои условия
Автор работает
Заказать
Не подходит данная работа?
Вы можете заказать написание любой учебной работы на любую тему.
Заказать новую работу

Когда заходит речь об аппаратной защите в целом, недо статочно было бы упомянуть о данных средствах только лишь относительно определённого или же конкретного программного обеспечения . Помимо этого, термин "аппаратная защита" подразумевает комплексный под ход для решения ряда задач и проблем, стоящих перед системным администра тором, по правильной настройке достаточно защищённой внутренней локал ьной сети, имеющей выход в глобальную сеть Интернет. Исходя из этого, аппа ратную защиту можно классифицировать на следующие виды: - аппаратная защита программного обеспечения; - локальная аппаратная защита (аппаратная защита ком пьютера и информации); - аппаратная защита сет и (аппаратн ая защита внутренней л окальной сети с одним или неск олькими выходами в Интерн ет). Аппаратная защи та сети На сегодняшний ден ь многие достаточно развитые компании и организации имеют внутреннюю л окальную сеть. Развитие ЛВС прямо пропорционально росту компании, неотъ емлемой частью жизненного цикла которой является подключение локально й сети к бескрайним просторам Интернета. Вместе с тем сеть Интернет непо дконтрольна (в этом несложно убед иться), поэтому компании должны серьезно позаботиться о безопасности св оих внутренних сетей. Подключаемые к WWW ЛВС в большинстве случаев очень уя звимы к неавторизированному доступу и внешним атакам без должной защит ы. Такую защиту обеспечивает межсетевой экран (брандмауэр или firewall). Брандмауэры Брандмауэры сущес твуют двух видов: программные и аппаратные. Однако помимо этого их делят ещё и на типы: брандмауэр сетевого уровня (фильтры пакетов) и прикладного уровня (шлюзы приложений). Фильтры пакетов более быстрые и гибкие, в отлич ие от брандмауэров прикладного уровня. Последние направляют специальн ому приложению-обрабо т чику все п риходящие паке ты извне, что замедляет работу. Для программных брандмауэров необходим отдельный к омпьютер на базе традиционных операционн ых систем Unix либо Windows NT. Такой брандмауэр может служить единой точко й входа во внутреннюю сеть. Слабость и ненадёжность подобной защиты закл ючается не столько в возможных нарушениях корректной работы самого про граммного брандмауэра, сколько в уязвимости используемых операционных систем, на базе которых функционирует межсетевой эк ран. Аппаратные брандмауэры построены на базе специальн о разработанных для этой цели собственных операционных систем. Далее пр иступим к рассмотрению именно аппаратных брандмауэ ров. Правильная установ ка и конфигурация межсетевого экрана - первый шаг на пути к намеченной це ли. Чтобы выполнить установку аппаратного брандмауэра нужно подключит ь его в сеть и произвести необходимое конфигурирование. В простейшем слу чае, брандмауэр - это устройство, предотвращающее доступ во внутреннюю с еть пользователей извне. Он не является отдельной компонентой, а предста вляет собой целую стратегию защиты ресурсов организации. Основная функ ция брандмауэра - централизация управления доступом. Он решает многие ви ды задач, но основными являются анализ пакетов, фильтрация и перенаправл ение трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных. Методика построен ия защищённой сети и политика безопасности . В процессе конфигурирования брандмауэра следует пойти на ко мпромиссы между удобством и безопас ностью. До опреде лённой степени межсетевые экраны должны быть прозра чными для внутренних пользователей сети и запрещать доступ других поль зователей извне. Такая политика обеспечи вает достат очно хорошую защиту. Важной задачей является защита сети изнутри. Для обе спечения хорошей функциональной защиты от внешней и внутренней угрозы, следует устанавливать несколько брандмауэров. Именно поэтому на сегод няшний день широкое распространение получили именно аппаратные межсет евые экраны. Довольно часто используется специальный сегмент внутренн ей сети, защищённый извне и изолированный от остальных, так называемая д емилитаризованная зона (DMZ). Иногда брандмауэры разных типов объединяют. Р азличная конфигурация брандмауэров на основе нескольких архитектур об еспечит должный уровень безопасности для сети с разной степенью риска. Д опустим, последовательное соединение брандмауэров сетевого и прикладн ого уровня в сети с высоким риском може т оказаться на илучшим решением. Существует довольно-таки много решений относительн о более-менее безопасных схем подключения брандмауэров для проектиров ания правильной защиты внутренней сети. В данном случае рассмотрены тол ько самые оптимальные в отношении постав ленной зада чи виды подключений. Довольно часто подключение осуществляется через вн ешний маршрутизатор. В таком случае снаружи виден только брандмауэр, име нно поэтому подобная схема наиболее предпочтительна с точки зрения безопасности ЛВС. Брандмауэр также может использоваться в качестве вн ешнего маршрутизатора. Программные брандмауэры создаются на базе посл едних и интегрируются в них. Это наиболее комплексное и быстрое решение, хотя и довольно дорогостоящее. Такой подход не зависит от типа опе рационной системы и приложений. В случае, когда сервера должны быть видимы снаружи, бр андмауэром защищается только одна подсеть, подключаемая к маршрутизат ору. Для повышения уровня безопасности интранета больших компаний возм ожно комбинированное использование брандмауэров и фильтрующих маршру тизаторов для обеспечения строгого управления доступом и проведения д олжного аудита сети. В подобных случаях используются такие методы, как э кранировани е хостов и подсетей. Замечания Брандмауэр не явл яется абсолютной гарантией защиты внутренней сети от удалённых атак, не смотря на то, что осуществляет сетевую политику разграничения доступа к определённым ресурсам. Во множестве случаев достаточно вывести из стро я лишь один межсетевой экран, защищающий определённый сегмент, чтобы отк лючить всю сеть от внешнего мира и при этом нанести достаточный ущерб, вы звав большие сбои в р аботе организации или компании. Не стоит игнорировать тот факт, что брандмауэры нико гда не решали внутренних проблем, связанных с физическим доступом к серв ерам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусам и с дискет пользователей и многим другим. Но из всего вышесказанного от нюдь не следует, что их использование абсолютно бессмысленно и неэффект ивно. Наоборот, применение брандмауэров - необходимое условие обеспечен ия безопасности сети, однако нужно помнить, что всех проблем о ни не решат. Несколько советов. В условиях поставленных задач, различных между собо й, необходимо рассматривать соответственно различные возможные вариан ты решения, основанные именно на програ ммно-аппарат ных методах защиты. Построение правильной топологии сети решит многие п роблемы, связанные с возникновением потенциальных точек уязвимости и с ведёт уже существующие к минимуму. Обратите внимание на размещение сервера (серверов) и ограничьте физический доступ пользователей к нему. Предпринимайте мер ы по защите отдельных рабочих станций. Особое внимание уделите тем компь ютерам, на которых хранится важная информация. Используйте стойкие к п еребору пароли. Пароль должен содержать не менее 8 символов в верхнем и ни жнем регистре , цифры и неалфавитные символы. Контролируйте запущенные процессы и периодически п роверя йте журнал подключений сервера. И последнее: никогда не переоценивайте защищенность собственной сети или системы - идеальной защиты не существует. Следует заметить, что все три вида аппаратной защиты могут интегрироваться и редко упомин аются без взаимосвязи. Между ними нет чётких границ. Систематизация прав ил аппаратной защиты ещё раз доказывает прямую сопряжённость с програм мными методами её реализации. В комплексном подходе к решению такого кла сса задач для предотвращения про никновения во внут реннюю сеть и уничтожения/копирования информации, н еобходимо специализированно объединять уже существующие методы с возм ожно новыми решениями в этой области. Проблема обеспечения безопасност и компьютерной информации пока не может быть решена полностью даже при и деальной с точки зрения системного администратора настройке сети, но ко мбинированное применение программно-аппаратных средств защиты от НСД в сочетании с криптозащитой позволяет свести риск к минимуму. Как работает драйвер Рассмотрим работу Lan2net Firewall на примере шлюза, т.е. компьюте ра с двумя сетевыми картами. Одна из сетевых карт подключена к Интернет, д ругая к локальной сети. Способ подключения и тип сетевой карты значения не имеет. На рисунке схематично показаны сервер, внешний и внут ренний адаптеры. A, B, C, D - направления установления соединения. Фильтрация или модификация может быть осуществлена на любом из направл ений A, B, C, D. К каждому из этих направлений привязаны свои правила. Соединение опреде ляет адаптер, которому принадлежит правило. Направление определяется п араметром <Направление> пользователя. Таким образом, Соединение + Пользо ватель определяет, к какому из направлений привязаны правила. NAT - Network Address Translation Трансляция с етевых адресов - это способ, с помощью которого хостам локальной сети раз решается доступ к хостам внешней сети, с использованием единственного з арегистрированного IP-адреса. NAT-трансляция всегда происходит на внешнем а даптере. Lan2net скрывает детали настройки NAT. Пример №1. Сервер (локал ьная машина) соединяется с хостом 213.180.194.129 на порт 80. Т.е. открываем главную стр аницу www.yandex.ru. Направление С. Первое, что должно быть сдела но, э то аутентификация. Драйвер определит, какому пользо вателю принадлежит запрос. Для данного примера это будет исходящий поль зователь, привязанный к соединению <Интернет>, с подходящим параметрами аутентификации (например <локальные адреса>). Если пользователь не найде н, сетевой пакет будет отброшен, соединение не установится. Далее, драйве р находит правила этого пользователя (с каждым пользователем связаны пр авила). Если драйвер находит разрешающее правило, запрос на соединение б удет отправлен дальше. Драйвер будет ожидать ответ от сервера с параметр ами пакета, соответсвующими ответу сервера. Ответ хоста 213.180.194.129 будет опозн ан драйвером как ответ на запрос с локальной машины. Соединение будет ус тановлено. Весь траффик этого соединения будет записан на локального по льзователя. Эта схема гарантирует правильный подсчет траффика и запись траффика на того пользователя, который инициировал соединение. Пример №2 Хост из Интер нет сканирует порты. Запросы на соединения от сканера портов будут попадать на направление D. Допустим, к этому направлению не привязан ни одни пользователь. То есть, н ет входящих пользователей, связанных с соединением Интернет. В такой сит уации все соединения будут отброшены, так как запрос на соединение не пр ойдет аутентификацию. Эти отброшенные соединения будут приписаны к пол ьзователю system. Сокращения АЗ - аппаратная защита НСД - несанкционированный доступ ЛВС - локальная вычислительн ая сеть

© Рефератбанк, 2002 - 2017