Особенности и преимущества предлагаемого решения
Конфигурация межсетевого экрана с экранирующей подсетью (рис. 3) является одной из наиболее надежных на сегодняшний день. Причиной этому является наличие по крайней мере трех уровней защиты:
Внешний экранирующий маршрутизатор;
Экранирующий шлюз;
Внутренний экранирующий маршрутизатор.
Слабые места каждой из этих систем различны. Экранирующая подсеть позволяет также простое включение коммутируемых каналов связи в общий контур обеспечения безопасности. Критичным в случае предлагаемого решения будет эффективность работы экранирующего шлюза, его способность эффективно перерабатывать проходящую через экран информацию. Это, в свою очередь, требует установки программного обеспечения с малыми потерями в производительности системы на экранирующий компьютер-шлюз, который сам достаточно надежно защищен встроенными средствами ОС - например, компьютер фирмы SUN под управлением ОС Solaris c программой межсетевого экранирования Firewall-1.
Программа межсетевого экранирования Firewall-1 является лидером в своем классе программ - на ее основе построено более 4000 систем, что в четыре раза больше, чем у следующего за ним продукта. Причиной этому является ряд отличительных черт, которыми обладает указанная программа:
Высокая надежность, обеспечивающаяся как работой на уровне фильтрации сетевых пакетов, так и на уровне приложений;
Централизованное управление работой нескольких фильтрующих модулей;
|
|
|
Возможность работы с любым сетевым сервисом, как стандартным, так и определенным пользователем;
Возможность фильтрации UDP пакетов;
Возможность управления фильтрами маршрутизаторов компаний Bay Networks и CISCO;
Высокая эффективность работы: использование Firewall-1 уменьшает пропускную способность информационного канала не более, чем на 10%;
Полная прозрачность работы сервисов и приложений для пользователей;
Дополнительная аутентификация клиентов для большого набора сервисов;
Дружественный интерфейс, позволяющий легко перестраивать правила фильтрации, описывая их в терминах политики безопасности;
Для каждого правила (политики доступа) могут быть определены условия протоколирования, оповещения администратора либо иной реакции системы;
Средства проверки правил работы фильтра на внутреннюю непротиворечивость;
Средства мониторинга состояния компонент системы, позволяющие своевременно обнаружить попытку нападения на нее;
Средства детального протоколирования и генерации отчетов;
Трансляция адресов локальной сети, позволяющая реализовать как дополнительную защиту компьютеров локальной сети, так и более эффективное использование официального набора IP-адресов;
|
|
|
Простота установки и администрирования.
Одним из наиболее распространенных средств аутентификации удаленных пользователей является программа S/key компании Bellcore. Эта программа представляет собой средство обмена одноразовыми паролями, что делает невозможным несанкционированный доступ в систему, даже если эта информация кем-либо перехвачена. Программа S/key совместима со средствами аутентификации системы Firewall-1.
Технические аспекты обеспечения безопасности
В этом разделе мы более подробно рассмотрим основные аппаратные и программные компоненты, используемые для достижения защиты локальной сети организации.
Аппаратное обеспечение и компоновка системы безопасности
2.1.1. Структура экранирующего сегмента
В конфигурации firewall с экранирующей подсетью создается дополнительный сетевой сегмент, который размещается между Internet и локальной сетью организации. В типичном случае эта подсеть изолируется маршрутизаторами, которые могут выполнять роль фильтров.
Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из внешних сетей, так и изнутри. Однако, прямой обмен информационными пакетами между внешними и защищенными сетями невозможен.
|
|
|
Экранирующий шлюз является единственной точкой, к которой возможен доступ извне. Это предельно сужает зону риска, состоящую из шлюза и всех маршрутизаторов, осуществляющих связь между экранирующими подсетями, внешними сетями и закрытой локальной сетью.
При атаке системы с экранирующей подсетью необходимо преодолеть по крайней мере три независимых линии защиты, что является весьма сложной задачей. Средства мониторинга состояния компонент межсетевого экрана практически неизбежно обнаруживают подобную попытку и администратор системы своевременно может предпринять необходимые действия по предотвращению несанкционированного доступа.
В большинстве случаев работа экранирующей подсети очень сильно зависит от комплекта программного обеспечения, установленного на компьютере-шлюзе.
2.1.2. Конфигурация компьютера-шлюза
Компьютер-шлюз с программным обеспечением, несущим основную нагрузку, связанную с реализацией политики безопасности, является ключевым элементом межсетевого экрана. В связи с этим он должен удовлетворять ряду требований:
Быть физически защищенным;
Иметь средства защиты от загрузки ОС с несанкционированного носителя;
|
|
|
Иметь средства защиты на уровне ОС, разграничивающие доступ к ресурсам системы;
ОС компьютера должна запрещать привилегированный доступ к своим ресурсам из локальной сети;
ОС компьютера должна содержать средства мониторинга/аудита любых административных действий.
Приведенным требованиям удовлетворяют младшие модели серверов SPARC под управлением ОС Solaris. В данном случае рекомендуется модель SPARCstation 4 с ОЗУ 32 Мб и емкостью диска 1 Гб.
2.1.3. Обеспечения безопасности удаленного доступа
Работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Поскольку телефонные линии невозможно держать под контролем, необходимы дополнительные средства аутентификации пользователей. При этом каждый из легальных пользователей должен иметь возможность доступа к нужным ресурсам.
Типовое решение этой задачи - установка терминального сервера, который обладает необходимыми функциональными возможностями. Сетевой терминальный сервер Annex компании Bay Networks является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью, осуществляется только после соответствующей авторизации и аутентификации внешнего пользователя.
Программное обеспечение терминального сервера предоставляет возможности администрирования и контроля сеансов связи через коммутируемые каналы.
Дата добавления: 2019-01-14; просмотров: 142; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!