Захист інформації комп'ютерних мереж p>
Зміст: p>
1. Міжмережеві екрани p>
- Додаткові вимоги до міжмережевих екранів першого класузахищеності. p>
- Додаткові вимоги до міжмережевих екранів другого класузахищеності. p>
- Вимоги до міжмережевих екранів п'ятого класу захищеності. p>
- Розробка політики міжмережевої взаємодії. p>
- Визначення схеми підключення брандмауера. p> < p> - Налагодження параметрів функціонування брандмауера. p>
2. Криптографія p>
1. Міжмережеві екрани p>
Загальні вимоги. P>
що пред'являються вимоги до будь-якого засобу захисту інформації вкомп'ютерної мережі можна розбити на наступні категорії: p>
- функціональні - рішення необхідної сукупності задач захисту; p>
- вимоги по надійності - здатності вчасно, правильно ікоректно виконувати всі передбачені функції захисту; p>
- вимоги щодо адаптації - здатності до цілеспрямованоїадаптації при зміні структури, технологічних схем та умовфункціонування комп'ютерної мережі; p>
- ергономічні - вимоги по зручності адміністрування,експлуатації і мінімізації перешкод користувачам; p>
- економічні - мінімізація фінансових і ресурсних витрат. p>
Міжмережеві екрани повинні задовольняти наступним групам більшедетальних вимог. За цільовим якостям - забезпечувати безпекузахищається внутрішньої мережі і повний контроль над зовнішніми з'єднаннями ісеансами зв'язку. Брандмауер повинен мати засобу авторизації доступукористувачів через зовнішні підключення. Типовою є ситуація, кагдачастина персоналу організації повинна виїжджати, наприклад, у відрядження, і впроцесі роботи їм потрібен доступ до деяких ресурсів внутрішньоїкомп'ютерної мережі організації. Брандмауер повинен надійно розпізнавати такихкористувачів і надавати їм необхідні види доступу. p>
За керованості та гнучкості - володіти потужними і гнучкими засобамуправління для повного втілення в життя політики безпекиорганізації. Брандмауер повинен забезпечувати просту реконфігурацію системипри зміні структури мережі. Якщо в організації мається кілька зовнішніхпідключень, у тому числі й у віддалених філіях, система управлінняекранами повинна мати можливість централізовано забезпечувати для нихпроведення єдиної політики міжмережевих взаємодій. p>
По продуктивності і прозорості - працювати досить ефективноі встигати обробляти весь вхідний і вихідний трафік при максимальнійнавантаженні. Це необхідно для того, щоб брандмауер не можна було перевантажитивеликою кількістю викликів, які призвели б до порушення його роботи.
Брандмауер повинен працювати непомітно для користувачів локальної мережіі не ускладнювати виконання ними легальних дій. В іншому випадкукористувачі будуть намагатися будь-якими способами обійти встановлені рівнізахисту. p>
За самозащіщенності - мати властивість самозахисту від будь-якихнесанкціонованих впливів. Оскільки міжмережевий екран є іключем і дверима до конфіденційної інформації в організації, він повиненблокувати будь-які спроби несанкціонованого зміни його параметрівнастройки, а також включати розвинені засоби самоконтролю свого станута сигналізації. Засоби сигналізації повинні забезпечувати своєчаснеповідомлення служби безпеки при виявленні любі * несанкціонованихдій, а також порушення працездатності брандмауера. p>
В даний час загальновживаним підходом до побудови критеріївоцінки засобів інформаційно-комп'ютерної безпеки євикористання сукупності певним чином упорядкованих якіснихвимог до підсистем захисту, їх ефективності та ефективностіреалізації. Подібний підхід витриманий і в керівному документі
Держтехкомісії Росії, де встановлюється класифікація міжмережевих екранівза рівнем захищеності від несанкціонованого доступу до інформації. Данакласифікація побудована на базі переліку показників захищеності ісукупності описують їх вимог. p>
Показники захищеності застосовуються до брандмауерів для визначеннярівня захищеності, який вони забезпечують при міжмережевимвзаємодії. Конкретні переліки показників визначають класи міжмережевихекранів по забезпечуваною захищеності комп'ютерних мереж. Поділбрандмауерів на відповідні класи з рівнями контролю міжмережевихінформаційних потоків необхідно з метою розробки і прийняттяобгрунтованих і економічно виправданих заходів з досягнення необхідного ступенязахисту інформації при міжмережевих взаємодіях. p>
Встановлюється п'ять класів міжмережевих екранів за показникамизахищеності. Найнижчий клас захищеності - п'ятий, який застосовується длябезпечної взаємодії автоматизованих систем класу 1Д з зовнішньоїсередовищем, четвертий - для 1Г, третє - 1В, друга - 1Б, найвищий --перше, що застосовується для безпечної взаємодії автоматизованихсистем класу 1А із зовнішнім середовищем. При включенні брандмауера вавтоматизовану систему (АС) певного класу захищеності, класзахищеності сукупної системи, отриманої з вихідної шляхом додавання внеї брандмауера, не повинен знижуватися. Для АС класу ЗБ, 2-Б повиннізастосовуватися брандмауери не нижче 5-го класу. Для АС класу ЗА, 2А взалежно від важливості оброблюваної інформації повинні застосовуватисябрандмауери наступних класів: p>
- при обробці інформації з грифом "секретно" - не нижче 3-го класу; p>
- при обробці інформації з грифом "цілком таємно" - не нижче 2 --го класу; p>
- при обробці інформації з грифом "особливої важливості". - Не нижче 1-гокласу. p>
Згадаймо, що у відповідності з керівним документом Держтехкомісії
Росії, встановлюється дев'ять класів захищеності АС віднесанкціонованого доступу до інформації. Кожен клас характеризуєтьсяпевної мінімальної сукупністю вимог щодо захисту. Класиподіляються на три групи, що відрізняються особливостями обробкиінформації в АС. У межах кожної групи дотримується ієрархія вимогпо захисту в залежності від цінності (конфіденційності) інформації і,отже, ієрархія класів захищеності АС. Клас, відповіднийвищого ступеня захищеності для даної групи, позначається індексом NA,де N - номер групи від 1 до 3. Наступний клас позначається Nб і т. д. p>
Третя група включає АС, в яких працює один користувач,допущений до всієї інформації АС, розміщеної на носіях одного рівняконфіденційності. Ця група містить два класи ЗБ і ЗА. Другагрупа включає АС, в яких користувачі мають однакові права доступу
(повноваження) до всієї інформації АС, оброблюваної та/або зберігається наносіях різного рівня конфіденційності. Ця група містить двакласу 2Б і 2А. Перша група включає багатокористувацькі АС, в якиходночасно обробляється і/або зберігається інформація різних рівнівконфіденційності та не всі користувачі мають право доступу до всієїінформації АС. Ця група містить п'ять класів 1Д, 1Г. 1В, 1Б і 1А. P>
Додаткові вимоги до міжмережевих екранів першого класузахищеності. p>
Ідентифікація а аутентифікація. Додатково міжмережевий екран повинензабезпечувати ідентифікацію та аутентифікацію всіх суб'єктів прикладногорівня. Адміністрування; ідентифікація і автентифікація. Брандмауерповинен забезпечувати ідентифікацію та аутентифікацію адміністратора при йогозапити на доступ. Брандмауер зобов'язаний надавати можливість дляідентифікації і аутентифікації по біометричних характеристик абоспеціальних пристроїв (жетон, карт, електронних ключів) і паролютимчасової дії. Брандмауер повинен перешкоджати доступунеідентифікованого суб'єкта або суб'єкта, справжність ідентифікаціїякого при аутентифікації не підтвердилася. При видалених запитах надоступ адміністратора ідентифікація і автентифікація повинні забезпечуватисяметодами, стійкими до пасивного та активного перехоплення інформації. p>
Адміністрування: простота використання. Багатокомпонентнийміжмережевий екран повинен забезпечувати можливість централізованогоуправління своїми компонентами, в тому числі, конфігурування фільтрів,перевірки взаємної узгодженості всіх фільтрів, аналізу реєстраційноїінформації. Повинен бути передбачений графічний інтерфейс для управлінняміжмережевим екраном. p>
Цілісність. Брандмауер повинен містити засоби контролю зацілісністю своєї програмної та інформаційної частини по контрольних сумахатестованого алгоритму як в процесі завантаження, так і динамічно.
Тестування. У міжмережевим екрані додатково повинна забезпечуватисяможливість регламентного тестування процесу централізованогоуправління компонентами брандмауера і графічного інтерфейсу дляуправління міжмережевим екраном. Тестова документація. Повинна міститиопис тестів і випробувань, яких зазнав міжмережевий екран, ірезультати тестування. p>
Конструкторська (проектна) документація. Додатково документаціяповинна містити опис графічного інтерфейсу для управління міжмережевимекраном. p>
Додаткові вимоги до міжмережевих екранів другого класузахищеності. p>
Додаткові вимоги до міжмережевих екранів другого класузахищеності Управління доступом. Брандмауер додатково повинензабезпечувати: p>
- можливість приховування суб'єктів (об'єктів) та/або прикладних функціймережі, що захищається; p>
- можливість трансляції мережевих адрес. p>
Реєстрація. Додатково міжмережевий екран повинен забезпечувати: p>
- дистанційну сигналізацію спроб порушення правил фільтрації; p>
- реєстрацію та облік запитуваних сервісів прикладного рівня; p>
- програмовану реакцію на події в міжмережевим екрані. p>
Адміністрування: ідентифікація і автентифікація. Брандмауерповинен надавати можливість йдучи ідентифікації і аутентифікації поідентифікатора (коду) і паролю тимчасової дії. Брандмауер повиненперешкоджати доступу ^ ідентифікованого суб'єкта або суб'єкта,справжність ідентифікації якою при аутентифікації не підтвердилася. Привіддалених запити на доступ адміністратора ідентифікація і автентифікаціяповинні забезпечуватися методами, стійкими до пасив-Нону та активногоперехоплення інформації. p>
Цілісність. Брандмауер повинен містити засоби контролю зацілісністю своєї програмної та інформаційної частини по контрольних сумахяк в процесі завантаження, так і динамічно. відновлення. Межсетевойекран повинен передбачати процедуру відновлення після збоїв і відмовобладнання, які повинні забезпечувати оперативне відновленнявластивостей брандмауера. Тестування. У міжмережевим екрані повинензабезпечуватися можливість регламентного тестування: p>
- реалізації правил фільтрації; p>
- процесу реєстрації; p>
- процесу ідентифікації і аутентифікації запитів; p>
-- процесу ідентифікації і аутентифікації адміністратора; p>
- процесу реєстрації дій адміністратора; p>
- процесу контролю за цілісністю програмної та інформаційної частинибрандмауера; p>
- процедури відновлення. p>
Тестова документація. Повинна містити опис тестів і випробуваньяких зазнав міжмережевий екран, і результати тестування. p>
Вимоги до міжмережевих екранів п'ятого класу захищеності. p>
Управління доступом. Брандмауер повинен забезпечувати фільтраціюна мережевому рівні. Рішення з фільтрації може прийматися для кожногомережевого пакету незалежно на основі, принаймні, мережевих адресвідправника та одержувача або на основі інших аналогічних атрибутів, p>
Адміністрування: ідентифікація і автентифікація. Брандмауерповинен забезпечувати ідентифікацію та аутентифікацію адміністратора при йоголокальних запити на доступ. Брандмауер повинен надавати можливістьдля ідентифікації і аутентифікації за ідентифікатором (коду) і паролюумовно-постійної дії. p>
Адміністрування: реєстрація. Брандмауер повинен забезпечуватиреєстрацію входу/виходу адміністратора в систему (із системи), а такожподії завантаження та ініціалізації системи та її програмного зупину.
Реєстрація виходу із системи не проводиться в моменти апаратурноговідключення брандмауера. У параметрах реєстрації повинні зазначатися: p>
- дата, час і код реєструється події; p>
- результат спроби здійснення реєструється події - успішнаабо неуспішним; p>
- ідентифікатор адміністратора МЕ, пред'явлений при спробіздійснення реєструється події. p>
Цілісність. Брандмауер повинен містити засоби контролю зацілісністю своєї програмної та інформаційної частини. Відновлення.
Брандмауер повинен передбачати процедуру відновлення післязбоїв і відмов обладнання, які повинні забезпечувати відновленнявластивостей МЕ. Тестування. У міжмережевим екрані повинен забезпечуватисяможливість регламентного тестування: p>
- реалізації правил фільтрації; p>
- процесу ідентифікації і аутентифікації адміністратора; p>
- процесу реєстрації дій адміністратора; p>
- процесу контролю за цілісністю програмної та інформаційної частинибрандмауера; p>
- процедури відновлення. p>
Керівництво адміністратора брандмауера. Документ повиненмістити: p>
- опис контрольованих функцій брандмауера; p>
- керівництво з настройки і конфігурації брандмауера; p>
- опис старту брандмауера та процедур перевірки правильності старту; p>
- керівництво щодо процедури відновлення. p>
Тестова документація. Повинна містити опис тестів і випробувань,яких зазнав міжмережевий екран, і результати тестування.
Конструкторська (проектна) документація. Повинна містити: p>
- загальну схему брандмауера; p>
- загальний опис принципів роботи брандмауера; p>
- опис правил фільтрації; p>
-- опис засобів і процесу ідентифікації і аутентифікації; p>
- опис засобів і процесу реєстрації; p>
- опис засобів і процесу контролю за цілісністю програмної таінформаційної частини брандмауера; p>
- опис процедури відновлення властивостей брандмауера. p>
Розробка політики міжмережевої взаємодії. p>
Політика міжмережевої взаємодії є тією частиною політикибезпеки в організації, яка визначає вимоги до безпекиінформаційного обміну з зовнішнім світом. Дані вимоги обов'язковоповинні відображати два аспекти: p>
- політику доступу до мережевих сервісів; p>
- політику роботи брандмауера. p>
Політика доступу до мережевих сервісів визначає правила наданняа також використання всіх можливих сервісів захищається комп'ютерної мережі.
Відповідно в рамках цієї політики повинні бути задані всі сервіси,що надаються через мережевий екран, і допустимі адресу; клієнтів длякожного сервісу. Крім того, повинні бути вказані правша для користувачів,описують, коли і які користувачі яким сервісом і на якомукомп'ютері можуть скористатися. Окремо визначають правилааутентифікації користувачів і комп'ютерів, а також умови роботикористувачів поза локальної мережі організації. p>
Політика роботи брандмауера задає базовий принцип управлінняміжмережевим взаємодією, покладений в основу функціонуваннябрандмауера. Може потрібно обрати один з двох таких принципів: p>
- заборонено все, що явно не дозволено; p>
- дозволено все, що явно не заборонено. P>
Залежно від вибору, рішення може бути ухвалене як на користьбезпеки на шкоду зручності використання мережевих сервісів, так інавпаки У першому випадку міжмережевий екран повинен бути налаштований такимчином, щоб блокувати будь-які явно не дозволені міжмережевівзаємодії. Враховуючи, що такий підхід дозволяє адекватно реалізуватипринцип мінімізації привілеїв, він, з точки зору безпеки, єкращим. Тут адміністратор не зможе через забудькуватість залишити дозволенимибудь-які повноваження, так як за замовчуванням вони будуть заборонені. Наявнізайві сервіси можуть бути використані на шкоду безпеки, що особливохарактерно для закритого і складного програмного забезпечення, в якомуможуть бути різні помилки і некоректність. Принцип "заборонено?? се, щоявно не дозволено ", по суті є визнанням факту, що незнанняможе заподіяти шкоду. p>
При виборі принципу "дозволено все, що явно не заборонено" міжмережевийекран настроюється таким чином, щоб блокувати тільки явнозаборонені міжмережеві взаємодії. У цьому випадку підвищується зручністьвикористання мережевих сервісів з боку користувачів, але знижуєтебезпека міжмережевої взаємодії. Адміністратор може врахувати і вседії, які заборонені користувачам. Йому доводиться працювати режиміреагування, передбачаючи і забороняючи ті міжмережеві взаємодії, якінегативно впливають на безпеку мережі. p>
Визначення схеми підключення брандмауера. p>
Для підключення міжмережевих екранів можуть використовуватися різнісхеми, які залежать від умов функціонування, а також кількостімережевих інтерфейсів брандмауера. p>
Брандмауери з одним мережевим інтерфейсом не досить ефективні як зточки зору безпеки, так і з позицій зручності конфігурування. Вонифізично не розмежовують внутрішню і зовнішню мережі, а відповідно неможуть забезпечувати надійний захист міжмережевих взаємодій. Налаштуваннятаких міжмережевих екранів, а також пов'язаних з ними маршрутизаторівявляє собою досить складне завдання, ієна рішення якої перевищуєвартість заміни брандмауера з одним мережевим інтерфейсом на брандмауер здвома або трьома мережевими інтерфейсами. Тому розглянемо лише схемипідключення міжмережевих екранів з двома і трьома мережевими інтерфейсами. Прице захищається локальну мережу будемо розглядати як сукупністьзакритою і відкритою підмереж. Тут під відкритою підмережею розумієтьсяпідмережа, доступ до якої з боку потенційно ворожої зовнішньої мережіможе бути повністю або частково відкритий. У відкриту підмережа можуть,наприклад, входити загальнодоступні WWW-. FTP-і SMTP-сервери, а такожтермінальний сервер з модемним пулом. p>
Серед всієї безлічі можливих схем підключення брандмауерів типовимиє наступні: p>
- схема єдиної захисту локальної мережі; p>
- схема з захищається закритою і не захищається відкритої підмережами; p>
- схема з роздільним зашитою закритою і відкритою підмереж. p>
Схема єдиної захисту локальної мережі є найбільш простим рішенням,при якому брандмауер цілком екранує локальну мережу від потенційноворожої зовнішньої мережі. Тим маршрутизатором і брандмауером єтільки один шлях, яким іде весь трафік. Зазвичай маршрутизаторнастроюється таким чином, що брандмауер є єдиною видимоюзовні машиною. Відкриті сервери, що входять в локальну мережу, також будутьзахищені міжмережевим екраном. Проте об'єднання серверів, доступних ззовнішньої мережі, разом з іншими ресурсами, що захищається локальної мережіістотно знижує безпеку міжмережевих взаємодій. Тому данусхему підключення брандмауера можна використовувати лише за відсутності влокальної мережі відкритих серверів або коли наявні відкриті сервериробляться доступними із зовнішньої мережі тільки для обмеженого числакористувачів, яким можна довіряти. p>
При наявності в складі локальної мережі загальнодоступних відкритих серверівїх доцільно винести як відкриту підмережа до брандмауера. Данийспосіб має більш високою захищеністю закритій частині локальної мережі,але забезпечує знижену безпека відкритих серверів, розташованих добрандмауера. Деякі брандмауери дозволяють розмістити ці серверина собі. Але таке рішення не є кращим з точки зору завантаженнякомп'ютера і безпеки самого брандмауера. З огляду на вищесказане, можназробити висновок, що схему підключення брандмауера з захищається закритоюпідмережею і не захищається захищається відкритої підмережею доцільновикористовувати лише при невисоких вимогах з безпеки до відкритоїпідмережі. p>
У випадку ж, коли до безпеки відкритих серверів пред'являютьсяпідвищені вимоги, то необхідно використовувати схему з роздільнимзахистом закритою і відкритою підмереж. Така схема може бути побудована наоснові одного брандмауера з трьома мережевими інтерфейсами або на основі двохбрандмауерів з двома мережевими інтерфейсами. В обох випадках доступ довідкритою та закритою підмережах локальної мережі можливий тільки черезміжмережевий екран. При цьому доступ до відкрито мережі не дозволяє здійснитидоступ до закритої підмережі. p>
З останніх двох схем більший ступінь безпеки міжмережевих в:дій забезпечує схема з двома брандмауерами, кожен з кс утворюєокремий ешелон захисту закритої підмережі. Захищається відкрита підмережа тутвиступає як екрануючої підмережі. Зазвичай Екрануюча підмережаконфігурується таким чином, щоб o6ecпечіть доступ до комп'ютерівпідмережі як з потенційно ворожої зовнішньої мережі, так і з закритоюпідмережі локальній мережі. Однак прямий обмін інформаційними пакетами міжзовнішньою мережею і закритою підмережею неможливий. p>
При атаці системи з екрануючої підмережею необхідно подолати, попринаймні, дві незалежні лінії захисту, що є досить складноюзавданням. Засоби моніторингу стану міжмережевих екранів практичнонеминуче виявлять таку спробу, і адміністратор системи своєчаснозробить необхідні дії для запобігання несанкціонованогодоступу. p>
Слід звернути увагу, що робота віддалених користувачів,підключаються через комутовані лінії зв'язку, також повинна контролюватисявідповідно до політики безпеки, що проводиться в організації. Типоверішення цього завдання - установка сервера віддаленого доступу 1термінальногосервера), який володіє необхідними функціональними можливостями,наприклад, термінального сервера Annex компанії Bay Networks. Термінальнийсервер є системою з декількома асинхронними портами і однимінтерфейсом локальної мережі. Обмін інформацією між асинхронними портами ілокальною мережею здійснюється тільки після відповідної аутентифікаціїзовнішнього користувача. p>
Підключення термінального сервера повинно здійснюватися таким чином,щоб його робота виконувалася виключно через міжмережевий ек Цедозволить досягти необхідного ступеня безпеки при роботі видаленихкористувачів з інформаційними ресурсами організації. Таке підключенняможливо, якщо термінальний сервер включити до складу or-критій підмережі привикористання схем підключення брандмауера з роздільним захистом відкритою ізакритою підмереж (рис-2.20 та 2.21). p>
Програмне забезпечення термінального сервера повинно надаватиможливості адміністрування і контролю сеансів зв'язку через комутованих;канали. Модулі керування сучасних термінальних серверів маютьдосить просунуті можливості забезпечення безпеки самого сервераi розмежування доступу клієнтів, виконуючи наступні функції: p>
- використання локального пароля на доступ до послідовного портна віддалений доступ по протоколу РРР, а також для доступу доадміністративної консолі; p>
- використання запиту на аутентифікацію з будь-якої машинилокальної мережі; p>
- використання зовнішніх засобів аутентифікації; p>
- установку списку контролю доступу на порти термінального сервера; p>
- протоколювання сеансів зв'язку через термінальний сервер. p>
Налаштування параметрів функціонування брандмауера. p>
Межсетевой екран є програмно-апаратний комплексзахисту, що складається з комп'ютера, а також функціонують на ньомуопераційної системи (ОС) та спеціального програмного забезпечення. Слідвідзначити, що це спеціальне програмне забезпечення часто також називаютьбрандмауером. p>
Комп'ютер брандмауера повинен бути досить потужним і фізичнозахищеним, наприклад, перебувати в спеціально відведеному та охороняєтьсяприміщенні. Крім того, він повинен мати засоби захисту від завантаження ОС знесанкціонованого носія. p>
Операційна система брандмауера також повинна задовольняти рядувимог: p>
- мати засоби розмежування доступу до ресурсів системи; p>
- блокувати доступ до комп'ютерних ресурсів в обхід що надаєтьсяпрограмного інтерфейсу; p>
- забороняти привілейований доступ до своїх ресурсів з локальноїмережі; p>
- містити засоби моніторингу/аудиту будь-яких адміністративнихдій. p>
наведеним вимогам задовольняють різні різновиди ОС UNIX,а також Microsoft Windows NT. Після встановлення на комп'ютер брандмауеравибраної операційної системи, її конфігурування, а також інсталяціїспеціального програмного забезпечення можна приступати до настройкипараметрів функціонування всього брандмауера. Цей процес включаєнаступні етапи: p>
- вироблення правил роботи брандмауера відповідно дорозробленою політикою міжмережевої взаємодії і опис правил вінтерфейсі брандмауера; p>
- перевірку заданих правил на несуперечність; p>
- перевірку відповідності параметрів налаштування брандмауера розробленоїполітиці міжмережевої взаємодії. p>
що формується на першому етапі база правил роботи брандмауераявляє собою формалізоване відображення розробленою політикоюміжмережевої взаємодії. Компонентами правил є захищаютьсяоб'єкти, користувачі та сервіси. p>
До числа захищених об'єктів можуть входити звичайні комп'ютери з одниммережевим інтерфейсом, шлюзи (комп'ютери з декількома мережевимиінтерфейсами), маршрутизатори, мережі, галузі управління. Захищаються об'єктиможуть об'єднуватися в групи. Кожен об'єкт має набір атрибутів, таких якмережева адреса, маска підмережі і т. п. Частина цих атрибутів слід задативручну, решта витягуються автоматично з інформаційних баз,наприклад NIS/NIS +, SNMP M1B, DNS. Слід звернути увагу нанеобхідність повного опису об'єктів, так як переконатися в коректностівизначених правил захисту, можна тільки тоді, коли визначені мережевіінтерфейси шлюзів та маршрутизаторів. Подібну інформацію можна отриматиавтоматично від SNMP-агентів. p>
При описі правил роботи брандмауера користувачі наділяютьсявхідними іменами і об'єднуються в групи. Для користувачів вказуютьсядопустимі вихідні і цільові мережеві адреси, діапазон дат і часуроботи, а також схеми і порядок аутентифікації. p>
Визначення набору використовуваних сервісів виконується на основівбудованої в дистрибутив брандмауера бази даних, яка має значнийнабір TCP/IP сервісів. Нестандартні сервіси можуть задаватися вручну здопомогою спеціальних атрибутів. Перш ніж вказувати сервіс при завданні жид,необхідно визначити його властивості. Сучасні брандмауери містятьзаздалегідь підготовлені визначення всіх стандартних TCP/IP-сервісів,розбитих на чотири категорії - TCP, UDP, RPC, ICMP. p>
Сервіси TCP є повністю контрольованими сервісами, тому щонадаються та використовуються на основі легко діагностуються віртуальнихз'єднань. p>
Сервіси UDP традиційно важкі для фільтрації, оскільки фазавстановлення віртуального з'єднання відсутня, так само як і контекстдіалогу між клієнтом і сервером. Брандмауер може сам обчислювати цейконтекст, відстежуючи всі UDP-пакети, що перетинають міжмережевий екран обохнапрямках, і асоціюючи запити з відповідями на них. У результатвиходить аналог віртуального з'єднання для дейтаграмним протоколу, авсі спроби нелегального встановлення подібного з'єднання, так само як ідейтаграми, наступні поза встановленими з'єднань, обробляють ™ ввідповідно до встановленої політикою міжмережевої взаємодії. p>
RPC-сервіси складні для фільтрації через змінних номеріввикористовуваних портів. Брандмауери відстежують RPC-трафік, виявляючи запити дофункції PORTMAPPER і витягуючи з відповідей виділені номери портів p>
Протокол ICMP використовується самим IP-протоколом для відправкиконтрольних повідомлень, інформації про помилки, а також для тестуванняцілісності мережі. Для ICMP протоколу не використовується концепція портів. Уньому використовуються цифри від 0 до 255 для вказівки типу сервісу, якіразом: адресами та враховуються при контролі міжмережевої взаємодії. p>
Після того як база правил сформована, вона перевіряється нанесуперечність. Це дуже важливий момент, особливо для розвинених,багатокомпонентних мережевих конфігурацій зі складною політикою міжмережевоговзаємодії. Без такої можливості адміністрування міжмережевогоекрана з неминучістю призвело б до численних помилок і створеннюслабкостей. Перевірка сформованих правил на несуперечність виконуєтьсяавтоматично. Виявлені неоднозначності повинні бути усунені шляхомредагування суперечливих правил. Після остаточного визначенняправил та усунення помилок від адміністратора можуть знадобитисядодаткові дії щодо збирання і встановлення фільтрів і посередників.
Більшість брандмауерів після формування бази правил виконують процесостаточної налаштування автоматично. p>
Перевірка відповідності параметрів налаштування брандмауера розробленоїполітиці міжмережевої взаємодії може виконуватися на основі аналізупротоколів роботи брандмауера. Однак найбільша результативністьтакої перевірки буде досягнута при використанні спеціалізованих системаналізу захищеності мережі. Найбільш яскравим представником таких системє пакет програм Internet Scanner SAFEsuite компанії Internet
Security Systems. P>
що входить до складу даного пакету підсистема FireWall Scannerзабезпечує пошук слабких місць в конфігурації міжмережевих екранів інадає рекомендації щодо їх корекції. Пошук слабких місцьздійснюється на основі перевірки реакції міжмережевих екранів на різнітипи спроб порушення безпеки. При цьому виконується сканування всіхмережевих сервісів, доступ до яких здійснюється через брандмауери.
Для постійного полдержанія високого ступеня безпеки мережі FireWall
Scanner рекомендується зробити частиною встановлення брандмауера. P>
Під час налаштування брандмауера слід пам'ятати, що і як будь-якеінший засіб, він не може захистити від некомпетентності адміністраторів ікористувачів. Несанкціоновані проникнення в захищені мережі можутьвідбутися, наприклад, з причини вибору легко вгадується пароля.
Екрануюча система не захищає також від нападу з не контрольованим неюканалах зв'язку. Якщо між потенційно ворожої зовнішньої мережею ізахищається внутрішньою мережею є неконтрольований канал, то брандмауерне зможе захистити від атаки через нього. Це ж відноситься і до телефоннихканалами передачі даних. Якщо модем дозволяє підключитися всерединумережі, що захищається в обхід брандмауера, то захист буде зруйнована.
Тут слід згадати основний принцип захисту - система безпечнанастільки, наскільки безпечно її саму незахищене ланка. Томунеобхідно, щоб Екрануюча система контролювала всі канали передачіінформації між внутрішньою і зовнішньою мережею. p>
2. Криптографія p>
Проблема захисту інформації шляхом її перетворення,що виключає її прочитання сторонньою особою хвилювала людський розум здавніх часів. Історія криптографії - ровесниця історії людськогомови. Більш того, спочатку писемність сама по собі булакриптографічного системою, тому що в древніх суспільствах нею володіли тількиобрані. Священні книги Стародавнього Єгипту, Стародавньої Індії тому приклади. P>
З широким поширенням писемності криптографія сталаформуватися як самостійна наука. Перші криптосистеми зустрічаютьсявже на початку нашої ери. Так, Цезар у своєму листуванні використовував вже більшеменш систематичний шифр, який отримав його ім'я. p>
Бурхливий розвиток криптографічні системи одержали в роки першої ідругої світових воєн. Починаючи з післявоєнного часу і по нинішній деньпоява обчислювальних засобів прискорило розробку та вдосконаленнякриптографічних методів. p>
Криптографічні методи захисту інформації в автоматизованихсистемах можуть застосовуватися як для захисту інформації, що обробляється в ЕОМабо що зберігається в різного типу ЗУ, так і для закриття інформації,що передається між різними елементами системи по лініях зв'язку.
Криптографічного перетворення як метод попередженнянесаціонірованного доступу до інформації має багатовікову історію. Уданий час розроблено велику кількість різних методівшифрування, створені теоретичні та практичні основи їх застосування.
Під?? складовими число цих методів може бути успішно використана і длязакриття інформації. Під шифруванням в даному едаваемих повідомлень, зберіганняінформації (документів, баз даних) на носіях у зашифрованому вигляді. p>
Чому проблема використання криптографічних методів уінформаційних системах (ІС) стала зараз особливо актуальна? p>
З одного боку, розширилося використання комп'ютерних мереж, вЗокрема глобальної мережі Інтернет, по яких передаються великі обсягиінформації державного, військового, комерційного і приватного характеру,не допускає можливість доступу до неї сторонніх осіб. p>
З іншого боку, поява нових потужних комп'ютерів, технологіймережних і нейронних обчислень зробило можливим дискредитаціюкриптографічних систем ще недавно вважалися практично нерозкривається. p>
Проблемою захисту інформації шляхом її перетворення займаєтьсякріптологія (kryptos - таємний, logos - наука). Криптология розділяється надва напрямки - криптографію і криптоаналіз. Мета цих напрямків прямопротилежні. p>
Криптографія займається пошуком і дослідженням математичних методівперетворення інформації. p>
Сфера інтересів криптоаналізу - дослідження можливостірозшифровки інформації без знання ключів. p>
Сучасна криптографія містить у собі чотири великі розділу: p>
1. Симетричні криптосистеми. P>
2. Криптосистеми з відкритим ключем. P>
3. Системи електронного підпису. P>
4. Управління ключами. P>
Основні напрямки використання криптографічних методів --передача конфіденційної інформації з каналів зв'язку (наприклад,електронна пошта), встановлення автентичності переданих повідомлень
, зберігання інформації (документів, баз даних) на носіях у зашифрованомувигляді. p>
Криптографічні методи захисту інформації в автоматизованихсистемах можуть застосовуватися як для захисту інформації, що обробляється в ЕОМабо що зберігається в різного типу ЗУ, так і для закриття інформації,що передається між різними елементами системи по лініях зв'язку.
Криптографічного перетворення як метод попередженнянесаціонірованного доступу до інформації має багатовікову історію. Уданий час розроблено велику кількість різних методівшифрування, створені теоретичні та практичні основи їх застосування.
Переважна кількість цих методів може бути успішно використана і длязакриття інформації. p>
Отже, криптографія дає можливість перетворити інформацію такимчином, що її прочитання (відновлення) можливе тільки при знанніключа. p>
У якості інформації, що підлягає шифрування і дешифруванню, будутьрозглядатися тексти, побудовані на деякому алфавіті. Під цимитермінами розуміється наступне. p>
Алфавіт - кінцеве безліч використовуваних для кодування інформаціїзнаків. p>
Текст - впорядкований набір з елементів алфавіту. p>
Як приклади алфавітів, що використовуються в сучасних ІС можнанавести наступні: алфавіт Z33 - 32 літери російського алфавіту і пробіл;