Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

Информатика->Реферат
Компания AMD была основана в 1969 году и ее штаб-квартира находится г. Саннивейл (шт. Калифорния). AMD разрабатывает и выпускает инновационные микропр...полностью>>
Информатика->Реферат
Бывает так, что при записи информации на жесткий диск Windows иногда разбивает файлы на части, сохраняя их на разных участках диска, например, часть ф...полностью>>
Информатика->Реферат
Замечательная, конечно, вещь - дефрагментатор дисков, однако есть у него один недостаток: в силу заложенных в него алгоритмов, он частенько оставляет ...полностью>>
Информатика->Реферат
Браузер Opera был выпущен в 1995 году двумя норвежскими программистами, создавшими компанию Opera Software ASA. Браузер Opera написан на языке програм...полностью>>

Главная > Реферат >Информатика

Сохрани ссылку в одной из сетей:

      Рекомендуется включить в него следующие пункты:

  • запрет на установку на компьютере любых приложений, не одобренных и не приобретенных компанией, в том числе «нелегальных» копий программ и условно бесплатных (shareware) программ, загруженных из Internet;

  • запрет на копирование приложений, принадлежащих компании, для работы с ними в другом месте, например на домашнем компьютере пользователя;

  • требование выхода пользователя из системы при его отсутствии за компьютером. В качестве альтернативы для защиты оставленного без присмотра компьютера допустимо применять хранитель экрана с проверкой пароля;

  • требование докладывать ответственному лицу о любой подозрительной активности;

  • запрет на применение компьютера или приложений на нем для причинения беспокойства другому лицу или угроз в отношении него;

  • запрет на использование электронной почты в личных целях;

  • запрет на попытки доступа к данным, не связанным непосредственно с производственными обязанностями, иногда называемые зондированием сети (probing the network).

     Приведенный выше список также неполон. Необходимо составить собственный список с учетом бизнес-окружения, в котором работает компания, обсудить политику допустимых применений с менеджерами всех подразделений, чтобы понять, чего они ожидают от сети, и попытаться создать набор правил, позволяющих пользователям выполнять свою работу, не нарушая безопасности сети.

2.8. Политика  брандмауэра

      С политикой безопасности часто путают политику брандмауэра (firewall policy).

      После разработки политики безопасности и выбора сервисов и протоколов, которым будет разрешена работа через брандмауэр, и необходимых настроек, можно принять решение о том, как реализовать эту политику. Межсетевой экран использует набор правил, определяющих, какие пакеты (в случае пакетного фильтра) или сервисы (в случае proxy-сервера или шлюза) будут работать через него. При этом выбирается одна из следующих двух стратегий:

  •  разрешить любой доступ, не запрещенный правилами;

  •  запретить любой доступ, не разрешенный правилами.

      При выборе первой стратегии придется создавать правила, которые бы учитывали все возможные запреты. Это не только приведет к необходимости иметь множество правил, но и заставит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.

      Вторая стратегия проще и безопаснее. Запретив весь трафик и задав правила, разрешающие доступ через экран только для нужных протоколов и сервисов, можно будет намного строже управлять брандмауэром. В подобной ситуа ции потенциальному нарушителю придется искать способ каким-то образом вос пользоваться доступом в ограниченных вами условиях.

      После выбора стратегии следует определить, каким сервисам будет разрешено работать через межсетевой экран и в каком направлении. Следует отобрать их на основе общей политики безопасности. Например, если нужно запретить за грузку программ из Internet, стоит заблокировать в межсетевом экране установку входящих соединений FTP. Если нужно, чтобы пользователи не применяли FTP для пересылки наружу конфиденциальных данных или про­грамм, имеет смысл запретить передачу файлов пo FTP. Аналогично можно ограничивать работу с другими службами, такими как Telnet или HTTP.

      Например, если полностью запретить работу с протоколом FTP, как  получать обновления и исправления программ? Разум нее сделать исключение для одного укрепленного компьютера, доступ к которому будут иметь только определенные пользователи. Другое решение - выделить для этого компьютер, не подключенный к локальной сети и выходящий в Internet через модем.

Например, список может состоять из таких правил:

  • электронная почта может пересылаться в обоих направлениях, но должна проходить через защищенный SMTP-сервер;

  • запрещена работа любых служб, требующих установки прямого соединения между внутренним клиентом и внешним сервером. Все разрешенные службы обязаны пользоваться proxy-сервером;

  • доступ к внешним узлам через Telnet разрешен только сотрудникам исследовательского отдела и запрещен всем остальным пользователям. Пользователи, которые могут войти в сеть снаружи, должны подключаться с помощью модема, установленного на защищенном сервере, помещенном в экранированную подсеть;

  • запрещен доступ по протоколу FTP в обоих направлениях;

  • серверы DNS в экранированной подсети выполняют преобразование адресов межсетевых экранов и proxy-серверов, но не клиентов во внутренней локальной сети.

                                                                                 

      Это краткий список. Его можно составить, следуя принципу запрета всего, что не разрешено.                                                                                                

      Кроме определения разрешенных сервисов и способа их реализации (при помощи proxy-сервера или пакетного фильтра, для всех пользователей или только для избранных узлов), следует также включить в политику брандмауэра пункты задающие частоту просмотра log-файлов, настройку предупреждений и т.д.

2.9. Стратегии брандмауэра

      Завершив определение требований к безопасности сети и формулирование политики безопасности, следует приступить к проектированию брандмауэра.

      Выбор компонентов зависит от типа служб, которые необходимо предоставить пользователям локальной сети, а выбор служб - от того, как они соотносятся с действиями, разрешенными политикой безопасности.

Два основных компонента для создания межсетевого экрана:

  • пакетный фильтр;

  • proxy-сервер. 

      Можно использовать оба или только один из них. Эти компоненты реализуются различными способами и обеспечивают разный уровень защиты. Способ стройки компонентов межсетевого экрана называется его архитектурой.

Ha выбор предоставляется одна из следующих архитектур:

  • пакетный фильтр на основе компьютера или маршрутизатора;

  • двухканальный шлюз;

  • экранированный узел;

  • экранированная подсеть.

2.9.1. Применение пакетного фильтра

      Межсетевой экран может состоять из одного или нескольких маршрутизаторов или компьютеров с соответствующим программным обеспечением использующих различные методы для разрешения или запрета доступа в локальную сеть или из нее. Но первым типом межсетевых экранов, который на чал широко применяться, стал простой экранирующий маршрутизатор (screening router), сейчас обычно называемый пакетным фильтром (packet filter).

      Маршрутизатор (router) - это сетевое устройство с несколькими интерфейса ми, подключенное к нескольким сетям. Когда компьютеру или сети необходимо переслать пакет компьютеру в другой сети, он передает пакет маршрутизатору, который затем определяет наилучший метод доставки данных к месту назначения. Маршрутизатор принимает решение на основе адресной информации в заголовке пакета.

       Когда маршрутизатор способен определить, что пакет предназначается для узла в одной из подсетей, непосредственно подключенных к одному из его сетевых интерфейсов, пакет быстро пересылается в нужную подсеть. Если маршрутизатор обнаруживает, что необходимо доставить пакет в какую-то другую сеть, он передает его следующему маршрутизатору (в следующий «hop» - сегмент маршрута), который может знать, как доставить пакет к месту назначения. Если же маршрутизатору не удастся найти следующий сегмент, в который можно отпра­вить пакет, он просто отбросит его и вернет источнику соответствующее сообщение ICMP «адресат недоступен».

      Экранирующий маршрутизатор - это маршрутизатор, в котором задан набор правил, устанавливающих разрешенные типы сетевого трафика, которые имеют право проходить через подключенные к нему сетевые интерфейсы. Другими словами, после того, как маршрутизатор определит, может ли он доставить пакет (в следующий сегмент или конечному адресату), он сверяется с набором правил, проверяя, должен ли он его передавать.

      Предположим, например, что маршрутизатор получает от какого-либо узла Internet пакет с запросом на создание сеанса Telnet с узлом внутренней локальной сети. Маршрутизатор сразу же определяет, что он может доставить па кет - для этого достаточно просто передать его в интерфейс, к которому подключен адресат, поместив в пакет МАС-адрес соответствующего узла. Но экранирующему маршрутизатору необходимо предварительно проверить пакет на соответствие правилам. В данном случае входящие Telnet-соединения должны блокироваться. Поэтому, узлы во внутренней локальной сети защищены от возможного проникновения нарушителя при помощи Telnet.

       Основной метод фильтрации пакетов называется фильтрацией без памяти(stateless packet filtering), поскольку каждый пакет обрабатывается по отдельности - только на основе информации в его заголовке. При новом методе фильтрации пакетов, который называется фильтрацией с памятью(stateful packet filtering или stateful inspection), в памяти сохраняются сведения о состоянии текущих сеансов.

      Если полученный пакет якобы является ответом на пакет, переданный из локальной сети, пакетный фильтр с памятью проверяет, действительно ли был сделан соответствующий запрос. Таким образом, при наличии фильтра с памятью потенциальному нарушителю будет сложнее проникнуть в сеть путем подмены адресов пакетов.

      Пакетный фильтр работает с информацией из заголовка сетевого пакета, и различные продукты могут выполнять фильтрацию на основе одного или не скольких из следующих параметров:

  • IP-адрес отправителя и адресата;

  • протокол (например, TCP, UDP или ICMP);

  • порт TCP или UDP отправителя или адресата;

  • тип сообщения (для сообщений ICMP).

      Кроме того, важны не только сведения, содержащиеся в самом пакете, - имеет значение и интерфейс, по которому он прибывает. Например, если фильтр получает пакет по интерфейсу, подключенному к внешней сети, а адрес от правителя соответствует локальной сети, этот пакет должен быть отброшен фильтром, поскольку такое сочетание для обычных пакетов невозможно.

      Часто оказывается, что фильтрацию пакетов предпочтительнее выполнять на компьютере, а не на маршрутизаторе, благодаря простоте работы с ним и возможностям регистрации. Настройка маршрутизатора бывает достаточно сложной задачей, в особенности если при этом необходимо задавать большое число правил.

      Изменение длинного набора правил может занять много времени, поскольку придется проверить каждое из старых правил, чтобы убедиться, что оно не противоречит новому.  Маршрутизаторы обычно не имеют развитых средств для регистрации событий. Хороший брандмауэр обеспечивает отличные возможности для этого для выдачи предупреждений, а иногда даже и программы для анализа log-файлов.

2.9.2. Применение proxy - сервера



Загрузить файл

Похожие страницы:

  1. Государственное управление основы теории и организации

    Реферат >> Государство и право
    ... также их реализация с помощью имеющихся у государства ... Мер а ок Государственная информация ... осмыслению. Борее того, при ... уникальную локальную сеть с ... ходе реализации программных мероприятий ... организации. Это - своеобразная политика безопасности в организации, ...
  2. Автоматизированные информационные системы в экономике (3)

    Книга >> Информатика, программирование
    ... локальная сеть с несколькими ПЭВМ. Организационной формой использования аппаратно-программных ... с помощью программного обеспечения ... реализация или поддержка принятой политики безопасности в данной организации. Например, согласно политике безопасности ... ОК. ...
  3. Экология и безопасность жизнедеятельности (1)

    Реферат >> Экология
    ... бор). ... количествах окись углерода ... формирование политики» ... реализации через производственные структуры с помощью структур управления [13]. Безопасное ... обеспечивается сетью ... фрагментов программных блоков ... : локальные ( ... рациональную организацию используемой ...
  4. Экология и экономика природопользования

    Реферат >> Экология
    ... роль как в экономике, так и в политике. Под экологической безопасностью понимается степень адекватности экологических ... сетью поставщиков и руководством программы (дирекцией программы) — пример непосредственного влияния среды на реализацию программных ...
  5. Информация и информатика (2)

    Лекция >> Информатика
    ... помощью двоичных сигналов. Принцип программного управления ... нажать ОК. Рамки ... серверов локальных сетей, ... хрома и бора. Это ... реализации; проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; организация ...

Хочу больше похожих работ...

Generated in 0.0018558502197266