Рис. 3 Структура IP-пакета



Пользователь воспринимает сеть как надежно защищенную среду только в том случае, если он уверен, что его партнер по обмену -- именно тот, за кого он себя выдает (аутентификация сторон), что передаваемые пакеты не просматриваются посторонними лицами (конфиденциальность связи) и что получаемые данные не подверглись изменению в процессе передачи (целостность данных).

Для того чтобы обеспечить аутентификацию, конфиденциальность и целостность передаваемых данных стек протоколов IPSec построен на базе стандартизованных криптографических технологий:

· обмена ключами согласно алгоритму Диффи -- Хеллмана для

· распределения секретных ключей между пользователями в открытой сети;

· криптографии открытых ключей для подписывания обменов Диффи --

· Хеллмана, чтобы гарантировать подлинность двух сторон и избежать атак типа «man-in-the-middle»;

· цифровых сертификатов для подтверждения подлинности открытых ключей;

· блочных симметричных алгоритмов шифрования данных;

· алгоритмов аутентификации сообщений на базе функций хэширования.

Протокол IPSec определяет стандартные способы защиты информационного обмена на сетевом уровне модели OSI для IP-сети, являющейся основным видом окрытых сетей. Данный протокол входит в состав новой версии протокола IP (IPv6) и применим также к его текущей версии (IPv4). Для протокола IPv4 поддержка IPSec является желательной, а для IPv6 -- обязательной. Протокол IPSec

представляет собой систему открытых стандартов, которая имеет четко очерченное ядро, и в то же время позволяет дополнять ее новыми протоколами, алгоритмами и функциями. Стандартизованными функциями IPSec-защиты могут пользоваться протоколы более высоких уровней, в частности, управляющие протоколы, протоколы конфигурирования, а также протоколы маршрутизации.

Основными задачами установления и поддержания защищенного канала являются следующие:

· аутентификация пользователей или компьютеров при инициации защищенного канала;

· шифрование и аутентификация передаваемых данных между конечными точками защищенного канала;

· обеспечение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.

Для решения перечисленных задач система IPSec использует комплекс средств безопасности информационного обмена.

Большинство реализаций протокола IPSec имеют следующие компоненты.

Основной протокол IPSec. Этот компонент реализует протоколы ESP и АН. Он обрабатывает заголовки, взаимодействует с БД SPD и SAD для определения политики безопасности, применяемой к пакету.

Протокол управления обменом ключевой информации IKE (Internet Key Exchange). IKE обычно представляется как процесс пользовательского уровня, за исключением реализаций, встроенных в ОС.

База данных политик безопасности SPD (Security Policy Database). Это один из важнейших компонентов, поскольку он определяет политику безопасности, применяемую к пакету. SPD используется основным протоколом IPSec при обработке входящих и исходящих пакетов.

База данных безопасных ассоциаций SAD (Security Association Database). БД SAD хранит список безопасных ассоциаций SA (Security Association) для обработки входящей и исходящей информации. Исходящие SA используются для защиты исходящих пакетов, а входящие SA используются для обработки пакетов с заголовками IPSec. БД SAD заполняется SA вручную или с помощью протокола управления ключами IKE.

Управление политикой безопасности и безопасными ассоциациями SA. Это -- приложения, которые управляют политикой безопасности и SA [9].

Основной протокол IPSec (реализующий ESP и АН) тесно взаимодействует с транспортным и сетевым уровнем стека протоколов TCP/IP. Фактически протокол IPSec является частью сетевого уровня. Основной модуль протокола IPSec обеспечивает два интерфейса: входной и выходной. Входной интерфейс используется входящими пакетами, а выходной -- исходящими. Реализация IPSec не должна зависеть от интерфейса между транспортным и сетевым уровнем стека протоколов TCP/IP.

БД SPD и SAD существенно влияют на эффективность работы IPSec. Выбор структуры данных для хранения SPD и SAD является критическим моментом, от которого зависит производительность IPSec. Особенности реализации SPD и SAD зависят от требований производительности и совместимости системы.

Все протоколы, входящие в IPSec, можно разделить на две группы:

· протоколы, непосредственно производящие обработку передаваемых данных (для обеспечения их защиты);

· протоколы, позволяющие автоматически согласовать параметры защищенных соединений, необходимые для протоколов 1-й группы.

Архитектура средств безопасности IPSec представлена в приложении Г.

На верхнем уровне расположены 3 протокола, составляющих ядро IPSec:

· протокол согласования параметров виртуального канала и управления ключами IKE (Internet Key Exchange), определяющий способ инициализации защищенного канала, включая согласование используемых алгоритмов криптозащиты, а также процедуры обмена и управления секретными ключами в рамках защищенного соединения;

· протокол аутентифицирующего заголовка АН (Authentication header), обеспечивающий аутентификацию источника данных, проверку их целостности и подлинности после приема, а также защиту от навязывания повторных сообщений;

· протокол инкапсулирующей защиты содержимого ESP (Encapsulating Security Payload), обеспечивающий криптографическое закрытие, аутентификацию и целостность передаваемых данных, а также защиту от навязывания повторных сообщений.

Разделение функций защиты между двумя протоколами АН и ESP обусловлено применяемой во многих странах практикой ограничения экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрования. Каждый из протоколов АН и ESP может использоваться как самостоятельно, так и совместно с другим. Из краткого перечисления функций протоколов АН и ESP видно, что возможности этих протоколов частично перекрываются.

Протокол АН отвечает только за обеспечение целостности и аутентификации данных, в то время как протокол ESP является более мощным, поскольку может шифровать данные, а кроме того, выполнять функции протокола АН (хотя, как увидим позднее, аутентификация и целостность обеспечиваются им в несколько урезанном виде).

Протокол ESP может поддерживать функции шифрования и аутентификации/целостности в любых комбинациях, либо и ту и другую группу функций, либо только аутентификацию/целостность, либо только шифрование.

Средний уровень архитектуры IPSec образуют алгоритмы согласования параметров и управления ключами, применяемые в протоколе IKE, а также алгоритмы аутентификации и шифрования, используемые в протоколах аутентифицирующего заголовка АН и инкапсулирующей защиты содержимого ESP.

Следует отметить, что протоколы защиты виртуального канала верхнего уровня архитектуры IPSec (АН и ESP) не зависят от конкретных криптографических алгоритмов. За счет возможности использования большого числа разнообразных алгоритмов аутентификации и шифрования IPSec обеспечивает высокую степень гибкости организации защиты сети. Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Например, выбор для шифрования алгоритма AES не влияет на выбор функции вычисления дайджеста, используемого для аутентификации данных.

Нижний уровень архитектуры IPSec образует так называемый домен интерпретации DOI (Domain of Interpretation). Необходимость применения домена интерпретации DOI обусловлена следующими причинами. Протоколы АН и ESP имеют модульную структуру, допуская применение пользователями по их согласованному выбору различных криптографических алгоритмов шифрования и аутентификации. Поэтому необходим модуль, который мог бы обеспечить совместную работу всех применяемых и вновь включаемых протоколов и алгоритмов. Именно такие функции возложены на домен интерпретации DOI. Домен интерпретации DOI в качестве БД хранит сведения об используемых в IPSec протоколах и алгоритмах, их параметрах, протокольных идентификаторах и т. п. По существу, он выполняет роль фундамента в архитектуре IPSec. Для того чтобы использовать алгоритмы, соответствующие национальным стандартам в качестве алгоритмов аутентификации и шифрования в протоколах АН и ESP, необходимо зарегистрировать эти алгоритмы в домене интерпретации DOI.

Защита передаваемых данных с помощью протоколов АН и ESP

Протокол аутентифицирующего заголовка АН и протокол инкапсулирующей защиты содержимого ESP могут работать в туннельном или транспортном режимах. Для выполнения своих задач по обеспечению безопасной передачи данных протоколы АН и ESP включают в обрабатываемые ими пакеты дополнительную служебную информацию, оформляя ее в виде заголовков.

Протокол управления криптоключами IKE

Протоколы ESP и АН позволяют реализовать важнейшие атрибуты защищенной передачи -- конфиденциальность связи, аутентификацию сторон и целостность данных. Однако их функции теряют всякую ценность в отсутствие мощной поддерживающей инфраструктуры, которая обеспечивала бы распределение ключей и согласование протоколов между участниками обмена.

Роль такой инфраструктуры в IPSec выполняет группа протоколов IKE. Это название пришло в 1998 г. на смену более раннему -- ISAKMP/Oakley, которое непосредственно указывало на происхождение средств управления ключами в составе IPSec.

Протокол ISAKMP, описанный в документе RFC 2408, позволяет согласовывать алгоритмы и математические структуры (так называемые мультипликативные группы, определенные на конечном поле) для процедуры обмена ключами Диффи -- Хеллмана, а также процессов аутентификации. Протокол Oakley, описанный в RFC 2412, основан на алгоритме Диффи -- Хеллмана и служит для организации непосредственного обмена ключами.

Протоколы 1КЕ решают три задачи:

· осуществляют аутентификацию взаимодействующих сторон, согласовывают алгоритмы шифрования и характеристики ключей, которые будут использоваться в защищенном сеансе обмена информацией;

· обеспечивают создание, управление ключевой информации соединения, непосредственный обмен ключами (в том числе возможность их частой смены);

· управляют параметрами соединения и защитой от некоторых типов атак, контролируют выполнение всех достигнутых соглашений.

Разработчики IPSec начали свою деятельность с решения последней из перечисленных задач. В результате на свет появилась концепция защищенных виртуальных соединений или безопасных ассоциаций SA (Security Associations). [12]

2.1.3 Инфраструктура защиты на прикладном уровне

Для реализации растущих потребностей электронного бизнеса необходимо построить надежную с точки зрения безопасности среду для осуществления электронного бизнеса в режиме on-line. Технологии, которые дают возможность осуществлять электронный бизнес, выполняют четыре основные функции:

· аутентификацию, или проверку подлинности пользователя;

· управление доступом, позволяющее авторизованным пользователям получать доступ к требуемым ресурсам;

· шифрование, гарантирующее, что связь между пользователем и базовой инфраструктурой защищена;

· неотказуемость, означающую, что пользователи не могут позднее отказаться от выполненной транзакции (обычно реализуется с помощью цифровой подписи и инфраструктуры открытых ключей).

Только решение, которое выполняет все эти четыре функции, может создать доверенную среду, способную по-настоящему обеспечить реализацию электронного бизнеса.

Управление доступом является критическим компонентом общей системы безопасности. Система управления доступом обеспечивает авторизованным пользователям доступ к надлежащим ресурсам. Проектирование этой инфраструктуры требует тонкого баланса между предоставлением доступа к критическим ресурсам только авторизованным пользователям и обеспечением необходимой безопасности этих ресурсов, известных большому числу пользователей.

Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сетей. Доступ через глобальную сеть Internet является достаточно эффективным способом, причем для подключения удаленного пользователя к Internet может использоваться канал телефонной связи. Основные достоинства удаленного доступа к корпоративной сети через Internet:

· обеспечение масштабируемой поддержки удаленного доступа, позволяющей мобильным пользователям связываться с Internet-провайдером и затем через Internet входить в свою корпоративную сеть;

· сокращение расходов на информационный обмен через открытую внешнюю среду (удаленные пользователи, подключившись к Internet, связываются с сетью своей организации с минимальными затратами);

· управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Internet.

В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа, который служит:

· для установки соединения с удаленным компьютером;

· аутентификации удаленного пользователя;

· управления удаленным соединением;

· посредничества при обмене данными между удаленным компьютеро и корпоративной сетью.

Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол «точка--точка» РРР, который является открытым стандартом Internet. Протокол РРР предназначен для установления удаленного соединения и обмена информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня.

Протокол РРР поддерживает следующие важные функции:

• аутентификации удаленного пользователя и сервера удаленного доступа;

· компрессии и шифрования передаваемых данных;

· обнаружения и коррекции ошибок;

· конфигурирования и проверки качества канала связи;

· динамического присвоения адресов IP и управления этими адресами.

На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы

позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня -- IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Internet защищенные РРР-кадры инкапсулируются в IP-пакеты сети Internet. Криптозащита трафика возможна как в каналах Internet, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.

Управление доступом по схеме однократного входа с авторизацией SSO

Большинство пользователей информационных средств -и систем используют компьютеры для доступа к ряду сервисов, будь это несколько локальных приложений или сложные приложения, которые включают одну или более удаленных систем, к которым машина пользователя подсоединяется через сеть. В целях обеспечения безопасности многие приложения требуют проведения аутентификации пользователя, прежде чем ему дадут доступ к сервисам и данным, предоставляемым приложением.

Управление доступом по схеме SSO дает возможность пользователям корпоративной сети при их входе в сеть пройти одну аутентификацию, предъявив только один раз пароль (или иной требуемый аутентификатор), и затем без дополнительной аутентификации получить доступ ко всем авторизованным сетевым ресурсам, которые нужны для выполнения их работы. Такими сетевыми ресурсами могут быть принтеры, приложения, файлы и другие данные, размещаемые по всему предприятию на серверах различных типов, работающих на базе различных ОС. Управление доступом по схеме SSO позволяет повысить производительность труда пользователей сети, уменьшить стоимость сетевых операций и улучшить сетевую безопасность.

С функционированием схемы SSO непосредственно связаны процессы аутентификации и авторизации. С помощью аутентификации система проверяет подлинность пользователя, в то время как авторизация определяет, что именно разрешается делать пользователю (обычно основываясь на его роли в организации). Большинство подходов SSO централизованно осуществляют аутентификацию пользователя. Авторизацию обычно выполняют на ресурсах целевых объектов, хотя некоторые продвинутые SSO-решения централизованно осуществляют и авторизацию, при этом используются продукты централизованного администрирования безопасности, которые осуществляют администрирование полномочий пользователей.

Схему SSO поддерживают такие средства, как протокол LDAP, протокол SSL, система Kerberos и инфраструктура управления открытыми ключами PKI, а также средства интеграции сервисов каталогов и безопасности. Эти средства и технологии образуют вместе фундамент для применения схемы SSO при обработке данных системами, использующими различные комбинации клиентов, серверов, сервисов и приложений.

Существующие решения схемы SSO простираются от простых средств до SSO-сервисов на базе сетевых ОС NOS, многофункциональных приложений и SSO уровня предприятия.

Простые средства SSO включают кэш паролей Windows и кэш паролей, встроенный в продукты, подобные Internet Explorer и другие пакеты.

NOS-based SSO-сервисы дают возможность пользователю входить в такие сетевые ОС, как Windows NT/2000/XP, NetWare или Solaris, и таким образом получать доступ ко многим или ко всем приложениям, работающим на базе NOS.

Продукты SSO уровня предприятия, такие как IBM's Global Sign-On и др., обычно применяют комбинированные подходы к sign-on, основанные на использовании клиентов и proxy, технологии и стандарты кратной аутентификации, включая ввод ID пользователя и пароля.

Протокол Kerberos используется в системах клиент--сервер для аутентификации и обмена ключевой информацией, предназначенной для установления защищенного канала связи между абонентами, работающими как в локальной сети, так и глобальных сетях. Данный протокол встроен в качестве основного протокола аутентификации в Microsoft Windows 2000 и в UNIX BSD.

Kerberos обеспечивает аутентификацию в открытых сетях, т. е. при работе Kerberos подразумевается, что злоумышленники могут производить следующие действия:

· выдавать себя за одну из легитимных сторон сетевого соединения;

· иметь физический доступ к одному из участвующих в соединении компьютеров;

· перехватывать любые пакеты, модифицировать их и (или) передавать повторно.

Соответственно, обеспечение безопасности в Kerberos построено таким образом, чтобы нейтрализовать любые потенциальные проблемы, которые могут возникнуть из-за указанных действий злоумышленников.

Kerberos разработан для сетей TCP/IP и построен на основе доверия участников протокола к третьей (доверенной) стороне. Служба Kerberos, работающая в сети, действует как доверенный посредник, обеспечивая надежную аутентификацию в сети с последующей авторизацией доступа клиента (клиентского приложения) к ресурсам сети. Защищенность установленных в рамках сессии Kerberos соединений обуславливается применением симметричных алгоритмов шифрования. Служба Kerberos разделяет отдельный секретный ключ с каждым субъектом сети, и знание такого секретного ключа равносильно доказательству подлинности субъекта сети.

Основу Kerberos составляет протокол аутентификации и распределения ключей Нидхэма -- Шредера с третьей доверенной стороной [9]. Рассмотрим эту версию протокола. В протоколе Kerberos (версия 5) участвуют две взаимодействующие стороны и доверенный сервер KS, выполняющий роль Центра распределения ключей.

Инфраструктура управления открыты ми ключами PKI

Исторически в задачи любого центра управления информационной безопасностью всегда входил набор задач по управлению ключами, используемыми различными средствами защиты информации. В этот набор входят выдача, обновление, отмена и распространение ключей.

В случае использования симметричной криптографии задача распространения секретных ключей представляла наиболее трудную проблему, поскольку для N пользователей необходимо распространить в защищенном режиме N(N- l)/2 ключей, что обременительно при N порядка нескольких сотен, система распространения ключей сложна (много ключей и закрытый канал распространения), что приводит к появлению уязвимых мест.

Асимметричная криптография позволяет обойти эту проблему, предложив к использованию только /V секретных ключей. При этом у каждого пользователя только один секретный ключ и один открытый, полученный по специальному алгоритму из секретного.

Из открытого ключа практически невозможно получить секретный, поэтому открытый ключ можно распространять открытым способом всем участникам взаимодействия. На основании своего закрытого ключа и открытого ключа своего партнера по взаимодействию любой участник может выполнять любые криптографические операции: электронно-цифровую подпись, расчет разделяемого секрета, защиту конфиденциальности и целостности сообщения.

В результате решаются две главные проблемы симметричной криптографии:

· перегруженность количеством ключей -- их теперь всего N;

· сложность распространения -- их можно распространять открыто.

Однако у этой технологии есть один недостаток -- подверженность атаке manin-the-middle (человек-в-середине), когда атакующий злоумышленник расположен между участниками взаимодействия. В этом случае появляется риск подмены передаваемых открытых ключей.

Инфраструктура управления открытыми ключами PKI (Public Key

Infrastructure) позволяет преодолеть этот недостаток и обеспечить эффективную защиту от атаки man-in-the-middle. [5,4,9]

2.2 Обоснование выбора межсетевого экрана «ИВК Кольчуга-К™»

Межсетевой экран с расширенной функциональностью "ИВК Кольчуга-К™" представляет собой программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux, предназначенный для обработки конфиденциальной информации.

МЭ «ИВК Кольчуга-К™» - это:

· Программный комплекс под управлением ОС Linux для платформ Intel, AMD;

· Открытая модульная архитектура, допускающая расширение набора телематических сервисов;

· ПО, которое непротиворечиво взаимодействует с прочими СЗИ и СКЗИ АИС;

· Может поставляться в составе программно-аппаратного комплекса с сервером ИВК.

Коммуникационный центр «ИВК Кольчуга-К™»:

· Обеспечение конфиденциальности, целостности и доступности информации на объектах автоматизации АС;

· Защита периметра и организация доступа в Интернет объектов автоматизации территориально-распределенной АС;

· Организация Интранет-ресурсов на объектах АС;

· Возможность удаленного администрирования по протоколу ssh и через Web-интерфейс;

· Построение централизованной системы управления телематическими сервисами АС;

· Собственная безопасность и защита от «внешних и внутренних» нарушителей;

· Непротиворечивое взаимодействие с объектовыми средствами защиты (в том числе СКЗИ);

· Доступность организациям любого масштаба;

· Простота администрирования как решение острой кадровой проблемы.

Сервисы коммуникационного центра «ИВК Кольчуга-К™»:

· Межсетевой экран;

· Web-сервер;

· Почтовый сервер;

· Proxy-сервер;

· DNS-сервер;

· FTP-сервер;

· DHCP-сервер;

· Детектор атак;

· Средство организации VPN-тоннелей;

· Спам-анализатор;

· Антивирусная защита (ClamAV, Dr.Web);

· Горячее резервирование;

· Резервное копирование;

· Квотирование (распределение пользовательского дискового пространства).

«ИВК Кольчуга-К™» как межсетевой экран

· Статическая маршрутизация трафика TCP/IP;

· Фильтрация трафика TCP/IP по заданным критериям;

· Шейпинг (ограничение пропускной способности) трафика;

· Прямой и обратный механизмы трансляции сетевых адресов;

· Маскирование структуры внутренней сети узла;

· Защита внутренней сети от внешних атак;

· Защита самого устройства от внешних атак;

· Устойчивость к сетевым атакам;

· Возможность взаимодействия с устройствами аппаратного шифрования;

· Возможность полуавтоматического и ручного управления правилами межсетевого экранирования;

· Удаленный мониторинг по доверенному каналу;

· Учет трафика, обновление ПО.

«ИВК Кольчуга-К™» как средство обеспечения конфиденциальности:

· Обеспечение хранения персональных данных и ключевой информации пользователей;

· Создание независимых интерфейсов доставки разнородной информации;

· Сокрытие учетных записей и сетевых адресов пользователей;

· Обеспечение доверенного канала управления коммуникационных центром;

· Обеспечение закрытия межъобъектового трафика посредством создания доверенных VPN-туннелей;

· Использование стандартных и гостированных криптоалгоритмов.

«ИВК Кольчуга-К™» как средство обеспечения целостности:

· Контроль целостности собственных ресурсов и служб;

· Контроль управления устройством по доверенному каналу;

· Обеспечение собственной политики ИБ по умолчанию;

· Сигнализация нарушения целостности устройства;

· Контроль прикладного трафика;

· Обеспечение антивирусной защиты по протоколам smtp, http и ftp;

· Контроль нежелательной корреспонденции.

«ИВК Кольчуга-К™» как средство обеспечения доступности:

· Обеспечение функционирования телематических сервисов объекта автоматизации АС;

· Модульность;

· Избыточность одновременно функционирующих процессов для обеспечения QoS;

· Восстановление после сбоев;

· Простота настройки и интуитивно понятный интерфейс;

· Возможность удаленной установки и настройки устройства по доверенному каналу;

· Обеспечение возможности кластеризации служб, управление ИБП и RAID-поддержка дискового пространства.

Текущий статус «ИВК Кольчуга-К™»:

· МЭ «ИВК Кольчуга-К™» сертифицирован ФСТЭК РФ по 4-му классу защищенности от НСД (для МЭ) и 4-му уровню контроля отсутствия НДВ.

Таким образом проанализировав рынок межсетевых экранов в России, мною был выбран МЭ «ИВК Кольчуга-К™» так как:

Во-первых, это многофункциональный программный комплекс.

Во-вторых, не высокая стоимость установки «ИВК Кольчуга-К™»

В-третьих, полностью пошел все проверки и сертифицирован ФСТЭК РФ.

2.3 Расположения системы межсетевого экрана в инфраструктуре существующей сети

Схема системы межсетевого экрана в инфраструктуре существующей сети представлена на рис.

Рис. 4



Заключение

В результате проделанной работы были рассмотрены базовые средства многоуровневой защиты межсетевого обмена данными относятся защищенные ОС, МЭ, виртуальные защищенные сети VPN, протоколы защиты на канальном, транспортном и сетевом (протокол IPSec) уровнях.

Наиболее распространенными техническими средствами защиты информации в компьютерных сетях являются различного рода межсетевые экраны.

Главное достоинство использования МЭ состоит в том, что без них системы подвергаются опасности со стороны таких заведомо незащищенных служб, как, например, NFS и NIS, а также зондированию и атакам с каких-либо других "доверенных" (trusted) компьютеров внутренней сети. В среде, не имеющей МЭ, безопасность целиком зависит от защиты всех компьютеров, подключенных к сети Интернет.

МЭ может значительно повысить безопасность всей локальной сети в целом, уменьшая риск вторжения злоумышленника на каждый компьютер защищаемой сети, фильтруя заведомо незащищенные службы.

МЭ также может обеспечить защиту от таких атак, как маршрутизация источника или попытки направить маршруты к скомпрометированным объектам сети через переназначения ICMP. МЭ может (и должен) отвергать все пакеты с маршрутизацией источника или переназначенные ICMP, а затем информировать администратора о попытках нарушения защиты.

Также МЭ дает возможность контролировать доступ к отдельным системам сети.

Следует также отметить, что МЭ предоставляет средства регламентирования порядка доступа к сети, тогда как без МЭ этот порядок целиком зависит от совместных действий всех пользователей компьютеров локальной сети.

Однако, существуют угрозы, которым МЭ не может противостоять. Кроме того, применение МЭ создает определенные трудности.

Наиболее очевидным недостатком МЭ является большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, XWindow, NFS Однако, эти недостатки присущи не только МЭ, доступ к сети может быть ограничен также и на уровне отдельных СВТ, в зависимости от методики обеспечения безопасности сети.

Некоторые объекты могут обладать топологией, не предназначенной для использования МЭ, или использовать службы (сервисы) таким образом, что его использование потребовало бы полной реорганизации локальной сети.

Далее, МЭ не защищают системы локальной сети от проникновения через "люки" (backdoors).

Связь через протоколы PPP и SLIP в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.

МЭ, как правило, не обеспечивает защиту от внутренних угроз. С одной стороны, МЭ можно разработать так, чтобы предотвратить получение конфиденциальной информации злоумышленниками из внешней сети, однако, МЭ не запрещает пользователям внутренней сети копировать информацию на магнитные носители или выводить ее на печатающее устройство. Таким образом, было бы ошибкой полагать, что наличие МЭ обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование МЭ.

Кроме того, есть недостаток МЭ, связанный с низкой пропускной способностью - МЭ представляют собой потенциально узкое место, поскольку все соединения с сетью Интернет должны осуществляться через него и еще подвергаться фильтрации.

Существует также и возможность "общего риска" - в МЭ все средства безопасности сосредоточены в одном месте, а не распределены между системами сети. Компрометация МЭ ведет к нарушению безопасности для других, менее защищенных систем.

В общем, несмотря на все вышеперечисленные недостатки, использование МЭ для защиты локальной сети в большинстве случаев более чем оправдано.

Виртуальная частная сеть обеспечивает чрезвычайно надежное соединение частных сетей через Интернет. За счет этого удаленные компьютеры могут взаимодействовать друг с другом так, как если бы они находились в одной защищенной локальной сети.

Основное назначение VPN -- предотвращение внесения изменений в передаваемые данные.

Протокол "Kerberos" предназначен для организации централизованной системы аутентификации в информационной среде, ориентированный в основном на клиент-серверную архитектуру, предлагает механизм взаимной аутентификации двух собеседников (хостов) перед установлением связи между ними в условиях незащищенного канала.

Среди уязвимых мест системы Kerberos можно назвать централизованное хра­нение всех секретных ключей системы. Успешная атака на Kerberos-сервер, в ко­тором сосредоточена вся информация, критическая для системы безопасности, приводит к крушению информационной защиты всей сети. Альтернативным решением могла бы быть система, построенная на использовании алгоритмов шифрования с парными ключами, для которых характерно распределенное хра­нение секретных ключей. Однако в настоящий момент еще не появились коммерческие продукты, построенные на базе несимметричных методов шифрования, которые бы обеспечивали комплексную защиту больших сетей.

Еще одной слабостью системы Kerberos является то, что исходные коды тех приложений, доступ к которым осуществляется через Kerberos, должны быть соот­ветствующим образом модифицированы. Такая модификация называется «керберизацией» приложения. Некоторые поставщики продают «керберизованные» версии своих приложений. Но если такой версии нет и нет исходного текста, то Kerberos не может обеспечить доступ к такому приложению.



Список литературы

1. ISO/IEC 17799:2000. Информационные технологии. Свод правил по управлению защитой информации. Международный стандарт [Текст] /ISO/IEC, 2000.

2. Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А. Н. Андрончик, В. В. Богданов, Н. А. под ред. Н. И. Синадского. Екатеринбург : УГТУ-УПИ, 2008. 248 с.

3. Безбогов А.А. Методы и средства компьютерной информации: учебное пособие / А.А.Безбогов, А.В.Яковлев, В.Н. Шамкин. - Тамбов : Изд-во Тамб. Гос. Техн. Ун-та, 2012.-196 с. - ISBN 5-8265-0504-4

4. Компьютерные сети. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки [Текст] : [пер. с англ.] - 2-е изд., испр. и доп./ Корпорация Майкорософт. - М. : Русская редакция, 1997. - 576 с. : ил. ;24 см. + 1 электрон. опт. диск. - 3000 экз. - ISBN 5-7502-0101-5 (в пер.)

5. Корт, С. С. Теоретические основы защиты информации [Текст] : учеб.

пособие для вузов / С. С. Корт. - М.: Гелиос АРВ, 2004. - 240 с. : ил. ;24 см. - 2010 экз. - ISBN 5-85438-010-2

6. Лукацкий, А. В. Обнаружение атак [Текст] - 2-е изд., перераб. и доп. / А.В. Лукацкий. - СПб: БХВ-Петербург, 2013. - 608 с. : ил. ; 24 см. -3000 экз. - ISBN 594157-246-8

7. Лукашин, В. И. Информационная безопасность. М-во общ. и проф.

образования Рос. Федерации, Моск. гос. ун-т экономики, статистики и информатики, Междунар. акад. наук высш. шк.Учеб.-практ. Пособие. - М.: МЭСИ, 2010. - 230 с. - ISBN: 5-279-02606-9

8. Мандиа, К. Защита от вторжений. Расследование компьютерных преступлений [Текст] / К. Мандиа, К. Просис. - М.: ЛОРИ, 2005. -476 с. : ил. ; 24 см. - Перевод. изд.: Incident response: investigating computer crime / Chris Prosise, Kevin Mandia. - 1500 экз. - ISBN 0-07-213182-9 (в пер.)

9. Мельников, В.П. Информационная безопасность и защита информации.

[Текст]. / В.П. Мельников; 5-е изд., стер. - М.: Академия, 2011. -- 336 с. - ISBN 9785-7695-4884-0

10. Олифер, В. Основы компьютерных сетей [Текст] / В. Олифер, Н. Олифер,- издательство "Питер", 2012 г.- 400 с. - ISBN 5-498-07218-X.

11. Орлов, А. А. Полная энциклопедия Интернета [Текст] / А.А. Орлов,

Н.В. Богданов-Катьков, А.А. Гор; Санкт-Петербург, АСТ, Сова, ВКТ, 2012.- 896 с. - ISBN 978-5-17-048917-6

12. Осипенко, А. Л. Борьба с преступностью в глобальных компьютерных сетях: Международный опыт [Текст]: Монография / А.Л. Осипенко. -- М.:Норма, 2011. - 432 с.; 21 см. 3000 экз. - ISBN 5-89123-817-9

13. Основы информационной безопасности. Учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. -М.: Горячая линия - Телеком, 2006. - 544 с.: ил.

14. Парошин, А.А. Нормативно-правовые аспекты защиты информации: Учебное пособие [Текст]/ А.А. Парошин; Владивосток: Изд-во Дальневост. федер. ун-та, 2010. - 116 с. ISBN: 5-85746-736-6.

15. Романец, Ю.В. Защита информации в компьютерных системах и сетях [Текст] / Ю.В. Романец. Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. И доп.-М.: Радио и связь, 2011.-376 с. ISBN 5-256-01518-4.

16. Хорев, П. Б. Методы и средства защиты информации в компьютерных системах. [Текст]. / П. Б. Хорев;М.: Академия, 2011. - 430 с. - ISBN: 5-908916-87-8

17. Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие. / В.Ф. Шаньгин; М.: ИД «Форум»: ИНФРА-М, 2012. - 592 с.: ил. ISBN 978-5-91134-385-9

18. http://www.ivk.ru [Электронный ресурс] Дата обращения 30.05.2019

19. http://azi.ru/ivk-zao-informatsionnaya-vnedrencheskaya-kompaniya/[Электронный ресурс] Дата обращения 30.05.2019



Приложение А

Размещено на Allbest.ru

...