ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Захист інформації в глобальній мережі
         

     

    Комп'ютерні науки
    ПЛАН.
    Введення.
            
    Захист інформації в глобальній мережі.
    1. Проблема захисту інформації.
    2. Інформаційна безпека та інформаційні технології.
    3. Засоби захисту інформації.
    3.1. Solstice Firewall-1.
    3.1.1. Призначення екранують систем і вимоги до них.
    3.1.2. Структура системи Solstice Firewall-1.
    3.1.3. Приклад реалізації політики безпеки.
    3.1.4. Управління системою Firewall-1.
    3.1.5. Ще один приклад реалізації політики безпеки.
    3.1.6. Аутентифікація користувачів при роботі з FTP.
    3.1.7. Гнучкі алгоритми фільтрації UDP-пакетів, динамічне екранування.
    3.1.8. Мова програмування. Прозорість та ефективність.
    3.2. Обмеження доступу в WWW серверах.
    3.2.1. Обмеження за IP-адресами.
    3.2.2. Обмеження за ідентифікатором одержувача.
    3.3. Інформаційна безпека в Intranet.
    3.3.1. Розробка мережних аспектів політики безпеки.
    3.3.2. Процедурні заходи.
    3.3.3. Управління доступом шляхом фільтрації інформації.
    3.3.4. Безпека програмного середовища.
    3.3.5. Захист Web-серверів.
    3.3.6. Аутентифікація у відкритих мережах.
    3.3.7.Простота і однорідність архітектури.
    3.4. PGP.
    3.5. Blowfish.
    3.6. Kerberos.
    4. Віртуальні приватні мережі (VPN).
    4.1. Сумісність.
    4.2. Безпека.
    4.3. Доступність.
    4.4. Керованість.
    4.5. Архітектура VPN.

    Висновок.
         
         
         
         
         

    Internet - глобальна комп'ютерна мережа, що охоплює весь світ. Сьогодні
    Internet має близько 15 мільйонів абонентів у більш ніж 150 країнах світу.
    Щомісяця розмір мережі збільшується на 7-10%. Internet утворює як би ядро, що забезпечує
    зв'язок різних інформаційних мереж, що належать різним установам
    в усьому світі, одна з іншою. Якщо раніше мережа використовувалася виключно
    в якості середовища передачі файлів і повідомлень електронної пошти, то сьогодні
    вирішуються більш складні задачі розподіленого доступу до ресурсів. Близько двох років
    тому були створені оболонки, що підтримують функції мережного пошуку і доступу
    до розподілених інформаційних ресурсів, електронним архівам. Internet, що служила
    колись винятково дослідницьким і навчальним групам, чиї інтереси тягнулися
    аж до доступу до суперкомп'ютерів, стає все більш популярною
    в діловому світі. Компанії спокушають швидкість, дешевий глобальний зв'язок, зручність
    для проведення спільних робіт, доступні програми, унікальна база даних
    мережі Internet. Вони розглядають глобальну мережу як доповнення до своїх власних
    локальних мереж. Фактично Internet складається з безлічі локальних і глобальних
    мереж, що належать різним компаніям і підприємствам, зв'язаних між
    собою різними лініями зв'язку. Internet можна уявити собі у вигляді мозаїки
    складеної з невеликих мереж різної величини, які активно взаємодіють
    один з іншого, пересилаючи файли, повідомлення і т.п. При низькій вартості послуг (часто
    це тільки фіксована щомісячна плата за використовувані лінії або телефон)
    користувачі можуть одержати доступ до комерційних і некомерційних інформаційних
    служб США, Канади, Австралії і багатьох європейських країн. В архівах вільного
    доступу мережі Internet можна знайти інформацію практично по всіх сферах
    людської діяльності, починаючи з нових наукових відкриттів до прогнозу погоди
    на завтра. Крім того Internet надає унікальні можливості дешевого,
    надійного і конфіденційного глобального зв'язку по всьому світу. Це виявляється дуже
    зручним для фірм мають свої філії в усьому світі, транснаціональних корпорацій
    і структур управління. Звичайно, використання інфраструктури Internet для
    міжнародного зв'язку обходиться значно дешевше прямого комп'ютерного зв'язку через
    супутниковий канал або через телефон. Електронна пошта - найпоширеніша
    послуга мережі Internet. В даний час свою адресу електронної пошти мають
    приблизно 20 мільйонів чоловік. Посилка листа по електронній пошті обходиться
    значно дешевше посилки звичайного листа. Крім того лист, надісланий
    по електронній пошті дійде до адресата за кілька годин, у той час як
    звичайний лист може добиратися до адресата декілька днів, а то і тижнів. В даний
    час Internet відчуває період підйому, багато в чому завдяки активній
    підтримці з боку урядів європейських країн і США. Щорічно в США виділяється
    близько 1-2 мільйонів доларів на створення нової мережевої інфраструктури. Дослідження
    в області мережних комунікацій фінансуються також урядами
    Великобританії, Швеції, Фінляндії, Німеччини. Однак, державне фінансування
    - Лише невелика частина вступників коштів, тому що все більш помітною стає
    "коммерцізація" мережі (80-90% засобів надходить із приватного сектора). Нові
    кордону кіберпростору відкривають широкі можливості для нововведень, діловий
    активності та отримання прибутку. Але є у інтерактивного світу й інша сторона
    - Зниження ступеня безпеки корпорацій. Мережа Internet породила нелегальний
    ринок, де збувається інформація, що становить комерційну таємницю корпорацій.
    За оцінками правоохоронних органів, інтерактивні злочинці щорічно крадуть
    інформацію більш ніж на 10 млрд. дол Однак закон досі програє в
    битві з ними. Кібервори користуються перевагами, які дає їм система захисту
    Internet, включно з вільно поширювані алгоритми шифрування з відкритим
    ключем і анонімні вузли ретрансляції електронної пошти. Ці засоби служать
    укриттям для торговців викраденої інформацією в усьому світі. Ступінь ризику для корпорацій
    підвищується незалежно від того, працюють вони по Internet чи ні. Загрозу
    представляє не тільки можливість проникнення в корпоративну мережу через
    брандмауер, але й саме становлення інтерактивного ринку корпоративних даних, які
    можуть бути вкрадені і власними співробітниками компанії. Нелегальна діяльність
    по мережі змінила обличчя корпоративної служби безпеки. Раніше міг зникнути
    одну скриньку секретних відомостей. Тепер же неважко скопіювати і відправити
    по електронній пошті еквівалент сотень таких скриньок. Все, що для цього потрібно,
    - Один хакер. Того ж вечора вся спільнота хакерів буде в курсі справи. В
    число нелегально продається і купується інформації входять номери талонів на
    телефонні переговори, які видаються компаніями міжміського зв'язку, коди підключення
    до послуг стільникового зв'язку, номери кредитних карток, "винюхують" алгоритми
    злому захисту і піратські копії програмного забезпечення. У деяких випадках
    покупцями цієї інформації є кримінальні структури, такі як продавці
    піратського ПЗ, які купують вкрадені номери талонів, щоб безкоштовно
    телефонувати за міжнародним телефону. Що ще небезпечніше, на цьому ринку поширюються
    комерційні секрети організацій, зокрема плани досліджень і розробок
    компаній, що займаються високими технологіями. Хоча найбільшим атакам піддаються
    сьогодні телефонні служби і компанії, що видають кредитні картки, підвищення
    інтенсивності інтерактивної комерції між великими корпораціями може істотно
    збільшити ризик електронних крадіжок для всієї промисловості. У міру виходу
    комерції на інформаційну магістраль ми всі стаємо мішенями. До ризику піддаються
    програмні агенти та інші об'єкти. Поширення електронної комерції
    призводить до створення все нових інтерактивних каналів зв'язку, і немає гарантії,
    що будь-який з проміжних каналів не виявиться вразливим місцем з точки зору
    захисту. Звичайно, в крадіжці комерційних секретів немає нічого нового. Але Internet
    та інші інтерактивні служби відкривають торговцям інформацією нові можливості
    для пошуку і обміну даними. . Захист інформації в глобальній мережі Internet.
    1.Проблеми захисту інформації. Internet і інформаційна безпека несумісні
    по самій природі Internet. Вона народилася як чисто корпоративна мережа, однак,
    в даний час за допомогою єдиного стека протоколів TCP/IP і єдиного адресного
    простору поєднує не тільки корпоративні і відомчі мережі (освітні,
    державні, комерційні, військові і т.д.), що є, за визначенням,
    мережами з обмеженим доступом, але і рядових користувачів, які мають
    можливість одержати прямий доступ у Internet зі своїх домашніх комп'ютерів з
    допомогою модемів і телефонної мережі загального користування. Як відомо, чим простіше
    доступ у Мережу, тим гірше її інформаційна безпека, тому з повною підставою
    можна сказати, що споконвічна простота доступу в Internet - гірше злодійства,
    тому що користувач може навіть і не дізнатися, що в нього були скопійовані
    - Файли і програми, не кажучи вже про можливість їхнього псування і коректування. Що
    ж визначає бурхливий ріст Internet, що характеризується щорічним подвоєнням числа
    користувачів? Відповідь проста - "халява", тобто дешевизна програмного забезпечення
    (TCP/IP), яке в даний час включено в Windows 95, легкість і дешевизна
    доступу в Internet (або за допомогою IP-адреси, або за допомогою провайдера)
    і до всіх світових інформаційних ресурсів. Платою за користування Internet є
    загальне зниження інформаційної безпеки, тому для запобігання
    несанкціонованого доступу до своїх комп'ютерів усі корпоративні і відомчі
    мережі, а також підприємства, що використовують технологію intranet, ставлять фільтри
    (fire-wall) між внутрішньою мережею і Internet, що фактично означає вихід
    з єдиного адресного простору. Ще велику безпеку дасть відхід від протоколу
    TCP/IP і доступ у Internet через шлюзи. Цей перехід можна здійснювати одночасно
    з процесом побудови всесвітньої інформаційної мережі загального користування,
    на базі використання мережних комп'ютерів, які за допомогою мережевої карти
    10Base-T і кабельного модему забезпечують високошвидкісний доступ (10 Мбіт/с)
    до локального Web-сервера через мережу кабельного телебачення. Для вирішення цих
    та інших питань при переході до нової архітектури Internet потрібно передбачити
    наступне: По-перше, ліквідувати фізичний зв'язок між майбутньої Internet (яка
    перетвориться у Всесвітню інформаційну мережу загального користування) і корпоративними
    і відомчими мережами, зберігши між ними лише інформаційний зв'язок
    через систему World Wide Web. По-друге, замінити маршрутизатори на комутатори,
    виключивши обробку у вузлах IP-протоколу і замінивши його на режим трансляції кадрів
    Ethernet, при якому процес комутації зводиться до простої операції порівняння
    MAC-адрес. По-третє, перейти в новий єдиний адресний простір на базі
    фізичних адрес доступу до середовища передачі (MAC-рівень), прив'язане до географічного
    розташуванню мережі, і дозволяє в рамках 48-битий створити адреси для
    більш ніж 64 трильйонів незалежних вузлів. Безпека даних є однією
    з головних проблем у Internet. З'являються все нові і нові страшні історії
    про те, як комп'ютерні зломщики, що використовують усе більш витончені прийоми, проникають
    в чужі бази даних. Зрозуміло, все це не сприяє популярності
    Internet у ділових колах. Одна тільки думка про те, що якісь хулігани або,
    що ще гірше, конкуренти, зможуть одержати доступ до архівів комерційних даних,
    змушує керівництво корпорацій відмовлятися від використання відкритих інформаційних
    систем. Фахівці стверджують, що подібні побоювання безпідставні,
    тому що в компаній, що мають доступ і до відкритих, і приватним мережам, практично
    рівні шанси стати жертвами комп'ютерного терору. Дилема безпеки така:
    доводиться робити вибір між захищеністю вашого майна і його доступністю
    для вас, а значить, і можливістю корисного використання. Це справедливо
    і щодо інформації. Наприклад, база даних, що містить конфіденційні
    відомості, лише тоді цілком захищена від зазіхань, коли вона знаходиться
    на дисках, знятих з комп'ютера і прибраних в охороняється місце. Як тільки ви встановили
    ці диски в комп'ютер і почали використовувати, з'являється відразу кілька
    каналів, по яких зловмисник, в принципі, має можливість отримати до ваших
    таємниць доступ без вашого відома. Іншими словами, ваша інформація або недоступна
    для всіх, включаючи і вас, або не захищена на сто відсотків. В області інформації
    дилема безпеки формулюється наступним чином: необхідно вибирати
    між захищеністю системи і її відкритістю. Правильніше, утім, говорити не
    про вибір, а про баланс, так як система, що не володіє властивістю відкритості, не
    може бути використана. У банківській сфері проблема безпеки інформації
    ускладнюється двома факторами: по-перше, майже всі цінності, з якими має справу
    банк (крім готівкових грошей і ще дечого), існують лише у вигляді тієї чи іншої
    інформації. По-друге, банк не може існувати без зв'язків із зовнішнім світом:
    без клієнтів, кореспондентів і т.п. При цьому по зовнішніх зв'язках обов'язково
    передається та сама інформація, що виражає собою цінності, з якими працює
    банк (або відомості про ці цінності та їх рух, які іноді коштують дорожче
    самих цінностей). Ззовні приходять документи, по яких банк переказує гроші
    з одного рахунку на іншій. Вовна банк передає розпорядження про рух коштів
    по кореспондентських рахунках, так що відкритість банку задана a priori. 2. Інформаційна
    безпека й інформаційні технології На ранньому етапі автоматизації
    впровадження банківських систем (і взагалі засобів автоматизації банківської діяльності)
    не підвищувало відкритість банку. Спілкування з зовнішнім світом, як і раніше,
    йшло через операціоністів і кур'єрів, тому додаткова загроза безпеки
    інформації виникала лише від можливих зловживань з боку працювали
    в самому банку фахівців з інформаційних технологій. Положення змінилося
    після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення
    яких було немислимо без інформаційних технологій. У першу чергу
    це-пластикові картки. Поки обслуговування по картках йшло в режимі голосової
    авторизації, відкритість інформаційної системи банка підвищувалася незначно,
    але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування щось
    є засоби, що належать до інформаційної системи банку, але розташовані
    поза нею і доступні стороннім для банку особам. Підвищити відкритість
    системи зажадала спеціальних заходів для контролю і регулювання обміну інформацією:
    додаткових засобів ідентифікації і аутентифікації осіб, які запитують
    доступ до системи (PIN-код, інформація про клієнта на магнітній смузі або
    в пам'яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби
    захисту карток), засобів криптозахисту інформації в каналах зв'язку і т.д.
    Ще більший зрушення балансу "захищеність-відкритість" убік останньої пов'язаний
    з телекомунікаціями. Системи електронних розрахунків між банками захистити відносно
    нескладно, тому що суб'єктами електронного обміну інформацією виступають
    самі банки. Тим не менше, там, де захисту не приділялася необхідна увага,
    результати були цілком передбачувані. Найбільш кричущий приклад-на жаль, наша
    країна. Використання вкрай примітивних засобів захисту телекомунікацій у 1992
    р. привело до величезних утрат на фальшивих авізо. Загальна тенденція розвитку
    телекомунікацій і масового поширення обчислювальної техніки привела в кінці
    решт до того, що на ринку банківських послуг в усьому світі з'явилися нові,
    чисто телекомунікаційні продукти, і в першу чергу системи Home Banking (вітчизняний
    аналог-"клієнт-банк"). Це зажадало забезпечити клієнтам цілодобовий
    доступ до автоматизованої банківської системи для проведення операцій,
    причому повноваження на здійснення банківських транзакцій отримав безпосередньо
    клієнт. Ступінь відкритості інформаційної системи банку зросла майже до межі.
    Відповідно, вимагаються особливі, спеціальні заходи для того, щоб настільки ж
    значно не упала її захищений?? ваність. Нарешті, гримнула епоха "інформаційної
    супермагістралі ": вибухоподібно розвиток мережі Internet і пов'язаних з нею послуг.
    Разом з новими можливостями ця мережа принесла і нові небезпеки. Здавалося
    б, яка різниця, яким чином клієнт зв'язується з банком: по комутованим
    лінії, що приходить на модемний пул банківського вузла зв'язку, чи по IP-протоколу через
    Internet? Однак у першому випадку максимально можлива кількість підключень
    обмежується технічними характеристиками модемного пула, у другому же-можливостями
    Internet, які можуть бути істотно вище. Крім того, мережевий
    адреса банку, у принципі, загальнодоступний, тоді як телефонні номери модемного пула
    можуть повідомлятися лише зацікавленим особам. Відповідно, відкритість банку,
    чия інформаційна система зв'язана з Internet, значно вище, ніж у першому
    випадку. Так тільки за п'ять місяців 1995 р. комп'ютерну мережу Citicorp зламували
    40 разів! (Це свідчить, утім, не стільки про якійсь "небезпеці"
    Internet узагалі, скільки про недостатньо кваліфіковану роботу адміністраторів
    безпеки Citicorp.) Все це викликає необхідність перегляду підходів до
    забезпечення інформаційної безпеки банку. Підключаючись до Internet слід
    заново провести аналіз ризику і скласти план захисту інформаційної системи, а
    також конкретний план ліквідації наслідків, що виникають у випадку тих чи інших
    порушень конфіденційності, збереження та доступності інформації. На першому
    погляд, для нашої країни проблема інформаційної безпеки банка не настільки
    гостра: до Internet чи нам, якщо в більшості банків коштують системи другого покоління,
    що працюють у технології "файл-сервер". На жаль, і в нас уже зареєстровані
    "Комп'ютерні крадіжки". Положення ускладнюється двома проблемами. Перш за все,
    як показує досвід спілкування з представниками банківських служб безпеки,
    і в керівництві, і серед персоналу цих служб переважають колишні оперативні
    співробітники органів внутрішніх справ або держбезпеки. Вони мають високу кваліфікацію
    у своїй області, але здебільшого слабко знайомі з інформаційними
    технологіями. Фахівців з інформаційної безпеки в нашій країні
    взагалі вкрай мало, тому що масової ця професія стає тільки зараз.
    Друга проблема пов'язана з тим, що в дуже багатьох банках безпека автоматизованої
    банківської системи не аналізується і не забезпечується всерйоз. Дуже
    мало де мається той необхідний набір організаційних документів (аналіз ризику,
    план захисту і план ліквідації наслідків), про який говорилося вище. Більш
    того, безпека інформації суцільно і поруч просто не може бути забезпечена
    в рамках наявної в банку автоматизованої системи і прийнятих правил роботи
    з нею. Що стосується автоматизованих банківських систем, те найбільш розповсюджені
    системи другого-третього поколінь складаються з набору автономних програмних
    модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор
    має можливість у будь-який момент вийти в DOS з такого програмного модуля.
    Передбачається, що це необхідно для переходу в інший програмний модуль, але
    фактично в такій системі не існує ніяких способів не тільки виключити
    запуск оператором будь-яких інших програм (від необразливої гри до програми, що модифікує
    дані банківських рахунків), але і проконтролювати дії оператора.
    Варто зауважити, що в ряді систем цих поколінь, у тому числі розроблених дуже
    шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються,
    тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами.
    Багато розроблювачів обмежують засоби адміністрування безпеки
    штатними засобами мережної операційної системи: ввійшов у мережу - зроби, що
    хочеш. Проте, наші банки приділяють інформаційним технологіям багато
    уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти,
    пов'язані з нею, ввійдуть у життя банків швидше, ніж це припускають скептики,
    тому вже зараз необхідно турбуватися питаннями інформаційної безпеки
    на іншому, більш професійному рівні, ніж це робилося досі. Деякі
    рекомендації: 1. Необхідний комплексний підхід до інформаційної безпеки.
    Інформаційна безпека повинна розглядатися як складова частина загальної
    безпеки причому як важлива і невід'ємна її частина. Розробка концепції
    інформаційної безпеки повинна обов'язково проходити при участі управління
    безпеки банку. У цій концепції варто передбачати не тільки
    заходи, пов'язані з інформаційними технологіями (криптозахист, програмні засоби
    адміністрування прав користувачів, їхньої ідентифікації і аутентифікації, "брандмауери"
    для захисту входів-виходів мережі і т.п.), але і міри адміністративного
    і технічного характеру, включаючи тверді процедури контролю фізичного доступу
    до автоматизованої банківської системи. 2. Необхідна участь співробітників
    управління безпеки на етапі вибору-придбання-розробки автоматизованої
    банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника.
    Керування безпеки повинне контролювати наявність належних засобів
    розмежування доступу до інформації в системі, що купується. 3.Средства захисту
    інформації. Зараз навряд чи комусь треба доводити, що при підключенні до Internet
    Ви піддаєте ризику безпека Вашої локальної мережі і конфіденційність
    що міститься в ній інформації. За даними CERT Coordination Center у 1995 році
    було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів.
    За результатами опитування, проведеного Computer Security Institute (CSI) серед 500
    найбільш великих організацій, компаній і університетів з 1991 число незаконних
    вторгнень зросло на 48.9%, а втрати, викликані цими атаками, оцінюються
    в 66 млн. доларів США. Одним з найбільш розповсюджених механізмів захисту від
    інтернетівських бандитів - "хакерів" є застосування міжмережевих екранів -
    брендмауери (firewalls). Варто відзначити, що внаслідок непрофесіоналізму адміністраторів
    і недоліків деяких типів брендмауери порядку 30% взломів здійснюється
    після установки захисних систем. 3.1 Технологія роботи в глобальних
    мережах Solstice FireWall-1. В даний час питанням безпеки даних у
    розподілених комп'ютерних системах приділяється дуже велика увага. Розроблено
    безліч засобів для забезпечення інформаційної безпеки, призначених
    для використання на різних комп'ютерах з різними ОС. Як один
    з напрямків можна виділити міжмережеві екрани (firewalls), покликані контролювати
    доступ до інформації з боку користувачів зовнішніх мереж. У цьому
    документі розглядаються основні поняття екранують систем, а також вимоги,
    пропоновані до них. На прикладі пакета Solstice FireWall-1 розглядається
    неcколько типових випадків використання таких систем, особливо стосовно
    до питань забезпечення безпеки Internet-підключень. Розглянуто також кілька
    унікальних особливостей Solstice FireWall-1, що дозволяють говорити про його
    лідерство в даному класі додатків. 3.1.1. ПРИЗНАЧЕННЯ Екрануюча СИСТЕМ І
    ВИМОГИ ДО НИХ. Проблема міжмережевого екранування формулюється в такий
    чином. Нехай є два інформаційні системи або дві безлічі інформаційних
    систем. Екран (firewall) - це засіб розмежування доступу клієнтів з
    одного безлічі систем до інформації, що зберігається на серверах в іншій безлічі.
    Малюнок 3.1.1.1 Екран FireWall. Екран виконує свої функції, контролюючи всі
    інформаційні потоки між цими двома множинами інформаційних систем, працюючи
    як деяка "інформаційна мембрана". У цьому змісті екран можна представляти
    собі як набір фільтрів, що аналізують що проходить через них інформацію
    і, на основі закладених у них алгоритмів, що приймають рішення: чи пропустити цю
    інформацію або відмовити в її пересиланні. Крім того, така система може виконувати
    реєстрацію подій, пов'язаних з процесами розмежування доступу. зокрема,
    фіксувати всі "незаконні" спроби доступу до інформації і, додатково,
    сигналізувати про ситуації, що вимагають негайної реакції, тобто піднімати
    тривогу. Зазвичай екранують системи роблять несиметричними. Для екранів визначаються
    поняття "усередині" і "зовні", і завдання екрана полягає в захисті внутрішньої
    мережі від "потенційно ворожого" оточення. Найважливішим прикладом потенційно
    ворожої зовнішньої мережі є Internet. Розглянемо більш докладно, які
    проблеми виникають при побудові екранують систем. При цьому ми будемо розглядати
    не тільки проблему безпечного підключення до Internet, але і розмежування
    доступу усередині корпоративної мережі організації. Перше, очевидне вимога
    до таких систем, це забезпечення безпеки внутрішньої (що захищається) мережі і
    повний контроль над зовнішніми з'єднаннями і сеансами зв'язку. По-друге, екранується
    система повинна володіти потужними і гнучкими засобами керування для простого
    і повного втілення в життя політики безпеки організації і, крім того,
    для забезпечення простій реконфігурації системи при зміні структури мережі.
    По-третє, екранується система повинна працювати непомітно для користувачів локальної
    мережі і не ускладнювати виконання ними легальних дій. По-четверте, екранується
    система повинна працювати досить ефективно і встигати обробляти
    весь вхідний і вихідний трафік у "пікових" режимах. Це необхідно для того,
    щоб firewall не можна було, образно кажучи, "закидати" великою кількістю
    викликів, які призвели б до порушення її роботи. П'яте. Система забезпечення безпеки
    повинна бути сама надійно захищена від будь-яких несанкціонованих впливів,
    оскільки вона є ключем до конфіденційної інформації в організації.
    Шосте. В ідеалі, якщо в організації мається кілька зовнішніх підключень,
    в тому числі й у віддалених філіях, система керування екранами повинна мати
    можливість централізовано забезпечувати для них проведення єдиної політики безпеки.
    Сьоме. Система Firewall повинна мати засобу авторизації доступу
    користувачів через зовнішні підключення. Типовою є ситуація, коли частина
    персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі
    роботи їм, тим неменш, потрібно доступ, принаймні, до деяких ресурсів
    внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати
    таких користувачів і надавати їм необхідний доступ до інформації.
    3.1.2. СТРУКТУРА СИСТЕМИ SOLSTICE FIREWALL-1. Класичним прикладом, на якому
    хотілося б проілюструвати усі вищевикладені принципи, є програмний
    комплекс Solstice FireWall-1 компанії Sun Microsystems. Даний пакет неодноразово
    відзначався нагородами на виставках і конкурсах. Він володіє багатьма корисними
    особливостями, що виділяють його серед продуктів аналогічного призначення. Розглянемо
    основні компоненти Solstice FireWall-1 і функції, які вони реалізують.
    Центральним для системи FireWall-1 є модуль керування всім комплексом.
    З цим модулем працює адміністратор безпеки мережі. Слід зазначити,
    що продуманість і зручність графічного інтерфейсу модуля керування зазначалося
    у багатьох незалежних оглядах, присвячених продуктам даного класу. Малюнок
    3.1.2.1 Основні компоненти Solstice FireWall-1. Адміністратору безпеки
    мережі для конфігурації комплексу FireWall-1 необхідно виконати наступний
    ряд дій: • Визначити об'єкти, які беруть участь у процесі обробки інформації.
    Тут маються на увазі користувачі і групи користувачів, комп'ютери і їхні групи,
    маршрутизатори і різні підмережі локальній мережі організації. • Описати
    мережні протоколи і сервіси, з якими працюватимуть програми. Втім, зазвичай
    достатнім виявляється набір з більш ніж 40 описів, що поставляються з системою
    FireWall-1. • Далі, за допомогою введених понять описується політика розмежування
    доступу в наступних термінах: "Групі користувачів А дозволений доступ
    до ресурсу Б с допомогою чи сервісу протоколу З, але про це необхідно зробити позначку
    в реєстраційному журналі ". Сукупність таких записів компілюється в здійснимих
    форму блоком управління і далі передається на виконання в модулі фільтрації.
    Модулі фільтрації можуть розташовуватися на комп'ютерах - шлюзах або виділених
    серверах - чи в маршрутизаторах як частина конфігураційної інформації.
    В даний час підтримуються наступні два типи маршрутизаторів: Cisco IOS
    9.x, 10.x, а також BayNetworks (Wellfleet) OS v.8. Модулі фільтрації переглядають
    всі пакети, що надходять на мережні інтерфейси, і, в залежності від заданих
    правил, чи пропускають відкидають ці пакети, з відповідним записом у реєстраційному
    журналі. Слід зазначити, що ці модулі, працюючи безпосередньо
    з драйверами мережних інтерфейсів, обробляють весь потік даних, розташовуючи
    повною інформацією про переданих пакетах. 3.1.3. ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ.
    Расcмотрім процесc практичної реалізації політики безпеки
    організації за допомогою програмного пакета FireWall-1. Рісунок.3.1.3 .. 1 Реалізація
    політики безпеки FireWall. 1. Перш за все, як уже зазначалося, розробляються
    і затверджуються на рівні керівництва організації правила політики безпеки.
    2. Після твердження ці правила треба втілити в життя. Для цього їх
    потрібно перевести в структуру типу "звідки, куди і яким способом доступ дозволений
    або, навпаки, заборонений. Такі структури, як ми вже знаємо, легко переносяться
    в бази правил системи FireWall-1. 3. Далі, на основі цієї бази правил формуються
    списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережних
    заставках. Списки і сценарії далі переносяться на фізичні компоненти мережі, після
    чого правила політики безпеки "набирають сили". 4. У процесі роботи фільтри
    пакетів на шлюзах і серверах генерують запису про всі події, які
    їм наказали відслідковувати, а, також, запускають механізми "тривоги", що вимагають від
    адміністратора негайної реакції. 5. На основі аналізу записів, зроблених системою,
    відділ комп'ютерної безпеки організації може розробляти пропозиції
    по зміні і подальшому розвитку політики безпеки. Розглянемо простий
    приклад реалізації наступних правил: 1. З локальних мереж підрозділів, можливо
    вилучених, дозволяється зв'язок з будь-якою локальною мережею організації після
    аутентифікації, наприклад, по UNIX-паролю. 2. Усім забороняється доступ до мережі фінансового
    департаменту, за винятком генерального директора і директора цього
    департаменту. 3. З Internet дозволяється тільки відправляти й одержувати пошту. Про
    усіх інших спробах зв'язку необхідно робити докладний запис. Всі ці правила
    природним чином представляються засобами графічного інтерфейсу Редактора
    Правил FireWall-1. Малюнок 3.1.3 .. 2 Графічний інтерфейс Редактора Правил
    FireWall-1. Після завантаження правил, FireWall-1 для кожного пакета, переданого
    по мережі, послідовно переглядає список правил до перебування елемента,
    відповідного поточного випадку. Важливим моментом є захист системи,
    на якій розміщений адміністративно-конфігураційний модуль FireWall-1. Рекомендується
    заборонити засобами FireWall-1 усі види доступу до даної машини, або за
    принаймні строго обмежити список користувачів, яким це дозволено, а
    також вжити заходів по фізичному обмеженню доступу і по захисту звичайними засобами
    ОС UNIX. 3.1.4.УПРАВЛЕНІЕ СИСТЕМОЮ FIREWALL-1. На рис. 5 показані основні
    елементи керування системою FireWall-1. Малюнок. 3.1.4.1 Основні елементи
    управління системою FireWall-1. Зліва розташовані редактори баз даних про
    об'єктах, що існують у мережі та про протоколи або сервіси, за допомогою яких відбувається
    обмін інформацією. Справа вгорі показаний редактор правил доступу. Справа
    внизу розташовується інтерфейс контролю поточного стану системи, в якому
    для всіх об'єктів, які заніс туди адміністратор, відображаються дані про кількість
    дозволених комунікацій (галочки), про кількість знехтуваних зв'язків (знак
    "Цеглина") і про кількість комунікацій з реєстрацією (іконка олівець). Цегляна
    стіна за символом об'єкта (комп'ютера) означає, що на ньому встановлений модуль
    фільтрації системи FireWall-1. 3.1.5. ЩЕ ОДИН ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ
    БЕЗПЕКИ. Розглянемо тепер випадок, коли первісна конфігурація мережі
    змінюється, а разом з нею міняється і політика безопасності.Пусть ми вирішили встановити
    у себе в організації кілька загальнодоступних серверів для надання
    інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP
    чи інші інформаційні сервери. Оскільки такі системи відособлені від роботи
    всієї іншої мережі організації, для них часто виділяють свою власну підмережа,
    що має вихід в Internet через шлюз. Малюнок 3.1.5.1 Схема шлюзу Internet.
    Оскільки в попередньому прикладі локальна мережа була вже захищена, то все, що
    нам треба зробити, це просто дозволити відповідний доступ у виділену підмережа.
    Це робиться за допомогою одного додаткового рядка в редакторі правил, яка
    тут показана. Така ситуація є типової при зміні конфігурації
    FireWall-1. Зазвичай для цього потрібно зміна однієї чи невеликого числа
    рядків у наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурації
    і загальну продуманість архітектури FireWall-1. 3.1.6. АУТЕНФІКАЦІЯ КОРИСТУВАЧІВ
    ПРИ РОБОТІ З FTP. Solstice FireWall-1 дозволяє адміністратору установити
    різні режими роботи з інтерактивними сервісами FTP і telnet для різних
    користувачів і груп користувачів. При встановленому режимі аутентифікації,
    FireWall-1 замінює стандартні FTP і telnet демони UNIX на свої власні,
    розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач,
    бажає почати інтерактивну сесію по FTP чи telnet (це повинен
    бути дозволений користувач і в дозволене для нього час), може зробити це
    тільки через вхід на такий шлюз, де і виконується вся процедура аутентифікації.
    Вона задається при описі користувачів або груп користувачів і може проводитися
    наступним чином: • Unix-пароль; • програма S/Key генерації одноразових
    паролів; • картки SecurID з апаратною генерацією одноразових паролів.
    3.1.7. ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-пакетів, Динамічний екранування. UDP-протоколи,
    входять до складу набору TCP/IP, являють собою особливу проблему
    для забезпечення безпеки. З одного боку на їх основі створено безліч
    додатків. З іншого боку, всі вони є протоколами "без стану", що
    призводить до відсутності розходжень між запитом та відповіддю, що приходить ззовні захищається
    мережі. Пакет F
         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status