Основные схемы сетевой защиты на базе межсетевых экранов - Программирование, компьютеры и кибернетика реферат

Главная

Программирование, компьютеры и кибернетика
Основные схемы сетевой защиты на базе межсетевых экранов

Принципы и условия подключения корпоративной или локальной сети к глобальным сетям. Формирование политики межсетевого взаимодействия. Персональные и распределенные сетевые экраны. Рисунок схемы с защищаемой закрытой и не защищаемой открытой подсетями.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Основные схемы сетевой защиты на базе межсетевых экранов. Гамов В. А.
Министерство образования и науки Российской Федерации
ФГБОУ ВПО «Магнитогорский государственный технический университет им Г.И. Носова»
Кафедра информатики и информационной безопасности
на тему: « Основные схемы сетевой защиты на базе межсетевых экранов »
Выполнил: студент группы ЭАЭБ-13-1 Гамов В.А.
Проверил преподаватель: Пермякова О.В.
· защита корпоративной или локальной сети от удаленного НСД со стороны глобальной сети;
· сокрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
· разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.
Для эффективной защиты межсетевого взаимодействия система МЭ должна быть правильно установлена и сконфигурирована. Данный процесс состоит:
· из формирования политики межсетевого взаимодействия;
· выбора схемы подключения и настройки параметров функционирования МЭ.
· политику доступа к сетевым сервисам;
Политика доступа к сетевым сервисам определяет правила предоставления и использования всех возможных сервисов защищаемой компьютерной сети. В рамках данной политики должны быть заданы все сервисы, предоставляемые через МЭ, и допустимые адреса клиентов для каждого сервиса. Кроме того, для пользователей должны быть указаны правила, описывающие, когда, кто, каким сервисом и на каком компьютере может воспользоваться. Задаются также ограничения на методы доступа, например на использование протоколов SLIP(Serial Line Internet Protocol) и PPP (Point-to-Point Protocol). Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к «запрещенным» сервисам Internet обходными путями. Правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации должны быть определены отдельно.
Для того чтобы МЭ успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Реалистичной считается такая политика, при которой найден баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к сетевым сервисам.
Политика работы МЭ задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования МЭ. Может быть выбран один из двух принципов:
· запрещено все, что явно не разрешено;
· разрешено все, что явно не запрещено.
Фактически выбор принципа устанавливает, насколько «подозрительной» или «доверительной» должна быть система защиты. В зависимости от выбора, решение может быть принято как в пользу безопасности и в ущерб удобству использования сетевых сервисов, так и наоборот.
При выборе принципа 1 МЭ настраивается так, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Этот принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности. Такой подход позволяет адекватно реализовать принцип минимизации привилегий, поэтому с точки зрения безопасности он является лучшим. Администратор безопасности должен на каждый тип разрешенного взаимодействия задавать правила доступа (одно и более). Администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного ПО, в котором могут быть различные ошибки и некорректности. Принцип 1, в сущности, является признанием факта, что незнание может причинить вред. Следует отметить, что правила доступа, сформулированные в соответствии с этим принципом, могут доставлять пользователям определенные неудобства.
При выборе принципа 2 МЭ настраивается так, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Пользователи имеют больше возможностей обойти МЭ, например, могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. Администратор может учесть не все действия, которые запрещены пользователям. Ему приходится работать в режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети. При реализации принципа 2 внутренняя сеть оказывается менее защищенной от нападений хакеров, поэтому производители МЭ обычно отказываются от его использования.
МЭ является симметричным. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть, и наоборот. В общем случае его работа основана на динамическом выполнении двух функций:
· фильтрации проходящих через него информационных потоков;
· посредничества при реализации межсетевых взаимодействий.
В зависимости от типа экрана эти функции могут выполняться с различной полнотой. Простые МЭ ориентированы на выполнение только одной из них. Комплексные МЭ обеспечивают совместное выполнение указанных функций защиты. Собственная защищенность МЭ достигается с помощью тех же средств, что и защищенность универсальных систем.
Чтобы эффективно обеспечивать безопасность сети, комплексный МЭ обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Для принятия управляющих решений по используемым сервисам МЭ должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.
Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений -- главный фактор в принятии управляющего решения при установлении нового соединения. При принятии решения учитываются как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).
Полнота и правильность управления требуют, чтобы комплексный МЭ имел возможность анализа и использования следующих элементов:
· информации о соединениях -- информации от всех семи уровней в пакете;
· истории соединений -- информации, полученной от предыдущих соединений;
· состояния уровня приложения -- информации о состоянии, полученной из других приложений. Например, аутентифи-цированному до настоящего момента пользователю можно предоставить доступ через МЭ только для авторизованных видов сервиса;
· агрегирующих элементов -- вычислений разнообразных выражений, основанных на всех вышеперечисленных факторах.
· свободно доступные сегменты (например, рекламный WWW-сервер);
· сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);
· закрытые сегменты (например, финансовая локальная подсеть организации).
Для подключения МЭ могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик, используемых МЭ. Широкое распространение получили схемы:
· защиты сети с использованием экранирующего маршрутизатора; единой защиты локальной сети;
· с защищаемой закрытой и не защищаемой открытой подсетями;
· с раздельной защитой закрытой и открытой подсетей.
Рассмотрим подробнее схему с защищаемой закрытой и незащищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ (рисунок 1).
Этот способ обладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до МЭ.
Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.
Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.
· применение распределенных МЭ (distributed firewall);
· использование возможностей виртуальных частных сетей VPN (virtual private network).
Распределенный межсетевой экран (distributed firewall) -- централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети.
Для индивидуальных пользователей представляет интерес технология персонального сетевого экранирования. В этом случае сетевой экран устанавливается на защищаемый персональный компьютер. Такой экран, называемый персональным экраном компьютера (personal firewall) или системой сетевого экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих системных защитных средств. При экранировании отдельного компьютера поддерживается доступность сетевых сервисов, но уменьшается нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства сконфигурированы особенно тщательно и жестко.
Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т. е. организуют защищенные каналы VPN). Именно такое решение позволило обеспечить защиту сетей с нечетко очерченными границами.
Наличие функции централизованного управления у распределенного МЭ -- его главное отличие от персонального экрана. Если персональные сетевые экраны управляются только с компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные МЭ могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Это позволило некоторым производителям выпускать МЭ в двух версиях:
· персональной (для индивидуальных пользователей);
· распределенной (для корпоративных пользователей).
В современных условиях более 50% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, поэтому классический «периметровый» подход к созданию системы защиты корпоративной сети становится недостаточно эффективным. Корпоративную сеть можно считать действительно защищенной от НСД только при наличии в ней средств защиты точек входа со стороны Internet и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Решения на основе распределенных или персональных МЭ наилучшим образом обеспечивают безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия.
1. Возможное ограничение пропускной способности. Традиционные МЭ являются потенциально узким местом сети, так как все соединения должны проходить через МЭ и в некоторых случаях изучаться МЭ;
2. Отсутствие встроенных механизмов защиты от вирусов. Традиционные МЭ не могут защитить от пользователей, загружающих зараженные вирусами программы для ПЭВМ из интернетовских архивов или при передаче таких программ в качестве приложений к письму, поскольку эти программы могут быть зашифрованы или сжаты большим числом способов;
3. Отсутствие эффективной защиты от получаемого из Internet опасного содержимого (апплеты Java, управляющие элементы ActiveX, сценарии JavaScript и т. п.). Специфика мобильного кода такова, что он может быть использован как средство для проведения атак. Мобильный код может быть реализован в виде:
3.1. вируса, который вторгается в ИС и уничтожает данные на локальных дисках, постоянно модифицируя свой код и затрудняя тем самым свое обнаружение и удаление;
3.2. агента, перехватывающего пароли, номера кредитных карт и т. п.;
3.3. программы, копирующей конфиденциальные файлы, содержащие деловую и финансовую информацию и пр.;
4. МЭ не может защитить от ошибок и некомпетентности администраторов и пользователей;
5. Традиционные МЭ являются по существу средствами, только блокирующими атаки. В большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. Более эффективным было бы не только блокирование, но и упреждение атак, т. е. устранение предпосылок реализации вторжений. Для организации упреждения атак необходимо использовать средства обнаружения атак и поиска уязвимостей, которые будут своевременно обнаруживать и рекомендовать меры по устранению «слабых мест» в системе защиты. Технологии обнаружения атак и анализа защищенности сетей мы рассмотрим в следующих статьях. Для защиты информационных ресурсов распределенных корпоративных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства МЭ и компенсировать их недостатки с помощью других средств безопасности.
Специализированный сетевой компьютер, имеющий как минимум один сетевой интерфейс и пересылающий пакеты данных между различными сегментами сети, связывающий разнородные сети различных архитектур, принимающий решения о пересылке на основании информации о топологии сети и определённых правил, заданных администратором.
Комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами
Компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт). Также существуют локальные сети, узлы которых разнесены географически на расстояния более 12 500 км (космические станции и орбитальные центры). Несмотря на такие расстояния, подобные сети всё равно относят к локальным
· http://ypn.ru/327/networking-defence-using-firewall/
· http://ru.wikipedia.org/wiki/Локальная_вычислительная_сеть
· http://ru.wikipedia.org/wiki/Межсетевой_экран
· http://ru.wikipedia.org/wiki/Маршрутизатор
Создание надежной системы защиты данных, проходящих в локальной вычислительной сети, от сетевых атак, целью которых является хищение конфиденциальной информации. Проектирование схемы внедрения межсетевых экранов. Политика информационной безопасности. курсовая работа [236,1 K], добавлен 10.05.2015
Проблемы информационной безопасности современных компьютерных сетей организации. Методы защиты сети, применение межсетевых экранов, теоретические вопросы их построения, архитектура, классификация, типы окружений. Уровень защищенности межсетевых экранов. дипломная работа [298,7 K], добавлен 04.11.2009
Сущность и принцип действия локальной вычислительной сети, ее виды, преимущества и недостатки. Предпосылки внедрения технологии виртуальной локальной сети в локальных сетях. Требования, предъявляемые к домовым локальным сетям при их модернизации. дипломная работа [2,9 M], добавлен 26.08.2009
Выбор топологии локальной вычислительной сети и составление схемы коммуникаций с условными обозначениями. Установление системного и прикладного программного обеспечения. Размещение пассивного и активного оборудования ЛВС. Реализация сетевой политики. курсовая работа [497,3 K], добавлен 18.03.2015
Многоуровневая структура стека TCP/IP. Уровень межсетевого взаимодействия. Основной уровень. Прикладной уровень. Уровень сетевых интерфейсов. Соответствие уровней стека TCP/IP семиуровневой модели ISO/OSI. Проектирование локальной вычислительной сети. курсовая работа [645,2 K], добавлен 04.03.2008
Анализ и практическая реализация использования администрирования и мониторинга сети на предприятии. Процесс создания карты сети в программе LANState. Сетевые программы для сисадминов, программы мониторинга сети. Описание локальной вычислительной сети. курсовая работа [3,6 M], добавлен 15.02.2017
Типы межсетевых экранов. Значение информационных технологий для предприятий. Использование информационно-коммуникационных технологий для работы с заказчиками. Управляемые коммутаторы (канальный уровень). Сетевые фильтры сетевого уровня (stateless). контрольная работа [7,2 M], добавлен 20.01.2016
Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д. PPT, PPTX и PDF-файлы представлены только в архивах. Рекомендуем скачать работу .

© 2000 — 2021



Основные схемы сетевой защиты на базе межсетевых экранов реферат. Программирование, компьютеры и кибернетика.
Порядок Ликвидации Предприятия Реферат
Максимальное Количество Слов В Сочинении Огэ
Требования К Курсовой Работе Бгу
Дипломная Работа Исследовательская Часть
Отчет По Практике Сервисная Деятельность
Психологическое Здоровье Реферат
Туберкулез Сердца Реферат
Реферат по теме Мотострелковый танковый батальон и артиллерийский дивизион
Сочинение О Повести Дубровский И Троекуров
Дипломная работа по теме Подготовка и проведение классного часа
Дипломная работа по теме Организация бухгалтерского учета в строительных организациях и исследование их деятельности
Самое Лучшее Сочинение
Дипломная Работа Театрализованного Представления Отморозко
Реферат по теме Теория определения уровня дохода. Теория мультипликатора
Презентация На Тему Соціальне Медичне Страхування В Україні: Проблеми Та Перспективи Розвитку
Курсовая работа по теме Общая характеристика трудового законодательства и совершенствование его на современном этапе
Реферат На Тему Внешнее Дыхание И Функции Легких
Уголовно Процессуальное Право Реферат
Реферат: Кастилия и Леон королевство
Идеальные Итоговые Сочинения 2022 2022
Князь Кий и его роль в становлении Руси - История и исторические личности реферат
Развитие и совершенствование муниципальной службы в Республике Кыргызстан - Государство и право курсовая работа
Флора и фауна лесотундры - Биология и естествознание презентация