Сравнительный анализ вариантов исполнения межсетевых экранов.
При выборе межсетевых экранов необходимо учитывать некоторые аспекты функционирования автоматизированной системы управления. Межсетевые экраны должны предоставлять механизмы для соблюдения политики безопасности. Например, блокировать все коммуникации, за исключением специально разрешенных коммуникаций между устройствами в незащищенных локальных сетях и в защищенных АСУ; обеспечивать безопасную аутентификацию всех пользователей, стремящихся получить доступ к АСУ; обеспечивать авторизацию пункта назначения; записывать информационный поток для мониторинга и анализа трафика и обнаружения вторжений.
Рассмотрим основные группы межсетевых экранов, изученные ранее, и сравним их между собой по нескольким критериям, проанализировав достоинства и недостатки каждой группы: 1)Стоимость и реализация.
Пакетные фильтры имеют небольшую цену и простоту реализации, по сравнению с межсетевыми экранами прикладного уровня. Несмотря на это, межсетевые экраны с пакетной фильтрацией имеют ряд существенных недостатков, а данный критерий сравнения не является определяющим при выборе межсетевого экрана в РИУС.
2) Производительность сети.
Производительность сети играет не маловажную роль при эксплуатации РИУС, так как в АСУ необходимо выполнение требования реального времени. Таким образом, наибольшая производительность сети наблюдается в межсетевых экранах с пакетной фильтрацией и проверкой трафика «потоком», т.к анализируется только заголовок пакета, тем самым скорость передачи пакетов значительно выше, чем у межсетевых экранов прикладного уровня.
|
|
|
3) Анализ трафика.
Так как межсетевые экраны с пакетной фильтрацией анализируют только заголовок пакета, за пределами рассмотрения остается поле данных, которое в свою очередь может содержать информацию, противоречащую политике безопасности. Также пакетный фильтр может пропустить в защищаемую сеть TCP-пакет от узла, с которым в настоящий момент не открыто никаких активных сессий, а межсетевые экраны с проверкой трафика «потоком» такую возможность исключают. В целом, недостаток пакетных фильтров заключается в том, что они не умеют анализировать трафик на прикладном уровне, на котором совершается множество атак - проникновение вирусов, отказ в обслуживании и т.д. Что касается МЭ прикладного уровня, то здесь присутствует возможность анализа содержимого, однако невозможно анализировать трафик от неизвестного приложения.
4) Аутентификация трафика.
МЭ с пакетной фильтрацией присуща слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP(v4) позволяет без особого труда подменять такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IPпротокола, реализуя тем самым атаку "подмена адреса" (IP Spoofing). Так как сетевой фильтр не запрашивает у пакета идентификатор и пароль пользователя, ведь эта информация принадлежит прикладному уровню. Тем самым МЭ прикладного уровня позволяет контролировать состояние соединения.
|
|
|
Подводя итоги, можно сделать вывод, что использование межсетевых экранов является неотъемлемой частью в построении архитектуры безопасности АСУ. В среде АСУ, межсетевые экраны наиболее часто устанавливаются между сетью АСУ и корпоративной сетью. При правильной настройке, они могут значительно ограничить нежелательный доступ к хост - компьютерам и контроллерам системы управления и от них, тем самым улучшая безопасность.
При выборе межсетевого экрана нельзя ссылаться в пользу только какоголибо из названных экранов, так как некоторые недостатки одних МЭ являются критичными для РИУС, но с другой стороны благодаря присущим им достоинствам могут лучше справляться с поставленными задачами. Тем самым лучше всего использовать несколько межсетевых экранов, таким образом, выстраивая эшелонированную оборону всей сети. Целесообразно использовать комбинацию из МЭ с фильтрацией пакетов, затем МЭ прикладного уровня. Также по совокупности эта комбинация из МЭ не является дорогостоящей, ведь в большинстве случаев пакетный фильтр встроен в маршрутизатор, расположенный на границе сети.
В заключение стоит заметить, что межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности, ведь они обеспечивают лишь первую линию обороны и не способны защитить от ряда уязвимостей.
Дата добавления: 2018-06-01; просмотров: 478; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!