Защита информации компьютерных сетей
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: реферат по информатике, конспект
| Добавил(а) на сайт: Кац.
Предыдущая страница реферата | 1 2 3 4 5 6 7 | Следующая страница реферата
- описание средств и процесса идентификации и аутентификации;
- описание средств и процесса регистрации;
- описание средств и процесса контроля за целостностью программной и информационной части межсетевого экрана;
- описание процедуры восстановления свойств брандмауэра.
Разработка политики межсетевого взаимодействия.
Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта:
- политику доступа к сетевым сервисам;
- политику работы межсетевого экрана.
Политика доступа к сетевым сервисам определяет правила предоставления
а также использования всех возможных сервисов защищаемой компьютерной сети.
Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адрес; клиентов для
каждого сервиса. Кроме того, должны быть указаны правша для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком
компьютере могут воспользоваться. Отдельно определяют правила
аутентификации пользователей и компьютеров, а также условии работы
пользователей вне локальной сети организации.
Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирований брандмауэра. Может быть выбран один из двух таких принципов:
- запрещено все, что явно не разрешено;
- разрешено все, что явно не запрещено.
В зависимости от выбора, решение может быть принято как в пользу безопасности в ущерб удобству использования сетевых сервисов, так и наоборот В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Учитывая, что такой подход позволяет адекватно реализовать принцип минимизации привилегий, он, с точки зрения безопасности, является лучшим. Здесь администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного программного обеспечения, в котором могут быть различные ошибки и некорректности. Принцип "запрещено все, что явно не разрешено", в сущности является признанием факта, что незнание может причинить вред.
При выборе принципа "разрешено все, что явно не запрещено" межсетевой экран настраивается таким образом, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижаете безопасность межсетевого взаимодействия. Администратор может учесть и все действия, которые запрещены пользователям. Ему приходится работать режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети.
Определение схемы подключения межсетевого экрана.
Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра.
Брандмауэры с одним сетевым интерфейсом не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, иена решения которой превышает стоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемую локальную сеть будем рассматривать как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-. FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом.
Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие:
- схема единой защиты локальной сети;
- схема с защищаемой закрытой и не защищаемой открытой подсетями;
- схема с раздельной зашитой закрытой и открытой подсетей.
Схема единой зашиты локальной сети является наиболее простым решением, при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.
При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экрана. Данный способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.
В случае же, когда к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами или на основе двух брандмауэров с двумя сетевыми интерфейсами. В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открыто сети не позволяет осуществить доступ к закрытой подсети.
Из последних двух схем большую степень безопасности межсетевых в: действий обеспечивает схема с двумя брандмауэрами, каждый из кс образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы o6ecпечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен.
Рекомендуем скачать другие рефераты по теме: шпаргалки по социологии, культурология как наука.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 6 7 | Следующая страница реферата