Технологии межсетевой защиты
Развитие глобальных компьютерных сетей, появление новых перспективных информационных технологий (ИТ) привлекают все большее внимание. Глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи головной штаб-квартиры организации с удаленными офисами или создания Web-сайтов организации с размещенной на них рекламой и деловыми предложениями. Многие организации принимают решение о подключении своих локальных и корпоративных сетей к открытой глобальной сети.
Однако подключение к открытой глобальной сети может иметь и негативные последствия, поскольку появляются угрозы неправомерного вторжения из внешней сети во внутреннюю сеть. Такое вторжение может выполняться как с целью несанкционированного использования ресурсов внутренней сети, например хищения информации, так и с целью нарушения ее работоспособности. Количество уязвимостей сетевых ОС, прикладных программ и возможных атак на КИС постоянно растет. Без соответствующих средств защиты вероятность успешной реализации таких угроз является достаточно высокой.
Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютерных сетей организаций, оцениваются миллиардами долларов. Поэтому при подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети.
Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями может быть успешно решена только на основе комплексной защиты корпоративных компьютерных сетей. К базовым средствам многоуровневой защиты межсетевого обмена данными относятся защищенные ОС, МЭ, виртуальные защищенные сети VPN, протоколы защиты на канальном, транспортном и сетевом (протокол IPSec) уровнях.
Инфраструктура управления открытыми ключами PKI
Исторически в задачи любого центра управления информационной безопасностью всегда входил набор задач по управлению ключами, используемыми различными средствами защиты информации (СЗИ). В этот набор входят выдача, обновление, отмена и распространение ключей. В случае использования симметричной криптографии задача распространения секретных ключей представляла наиболее трудную проблему, поскольку: • для N пользователей необходимо распространить в защищенном режиме N(N-1)/2 ключей, что... »
Протокол Kerberos
Протокол Kerberos используется в системах клиент-сервер для аутентификации и обмена ключевой информацией, предназначенной для установления защищенного канала связи между абонентами, работающими как в локальной сети, так и глобальных сетях. Данный протокол встроен в качестве основного протокола аутентификации в Microsoft Windows 2000 и в UNIX BSD. Kerberos обеспечивает аутентификацию в открытых сетях, т. е. при работе Kerberos подразумевается, что злоумышленники могут производить следующие действия: •... »
Управление доступом по схеме однократного входа с авторизацией
Большинство пользователей информационных средств и систем используют компьютеры для доступа к ряду сервисов, будь это несколько локальных приложений или сложные приложения, которые включают одну или более удаленных систем, к которым машина пользователя подсоединяется через сеть. В целях обеспечения безопасности многие приложения требуют проведения аутентификации пользователя, прежде чем ему дадут доступ к сервисам и данным,... »
Организация защищенного удаленного доступа
Удаленный доступ к компьютерным ресурсам стал в настоящее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров. Удаленный доступ к... »
Управление идентификацией и доступом
Для реализации растущих потребностей электронного бизнеса необходимо построить надежную с точки зрения безопасности среду для осуществления электронного бизнеса в режиме on-line. Технологии, которые дают возможность осуществлять электронный бизнес, выполняют четыре основные функции: • аутентификацию, или проверку подлинности пользователя; • управление доступом, позволяющее авторизованным пользователям получать доступ к требуемым ресурсам; • шифрование, гарантирующее, что связь между... »
Особенности реализации средств IPSec
Выше было рассмортрено, что протоколы АН или ESP могут защищать передаваемые данные в двух режимах: туннельном, при котором IP-пакеты защищаются целиком, включая их заголовки, и транспортном, обеспечивающим защиту только содержимого IP-пакетов. Основным режимом является туннельный. В туннельном режиме исходный пакет помещается в новый IP-пакет и передача данных по сети выполняется на основании заголовка нового IP-пакета. При работе в этом режиме... »
Протокол управления криптоключами IKE
Протоколы ESP и АН позволяют реализовать важнейшие атрибуты защищенной передачи — конфиденциальность связи, аутентификацию сторон и целостность данных. Однако их функции теряют всякую ценность в отсутствие мощной поддерживающей инфраструктуры, которая обеспечивала бы распределение ключей и согласование протоколов между участниками обмена. Роль такой инфраструктуры в IPSec выполняет группа протоколов IKE (Internet Key Exchange). Это название пришло в 1998 г. на смену более раннему — ISAKMP/Oakley,... »
Защита передаваемых данных с помощью протоколов АН и ESP
Протокол аутентифицирующего заголовка АН и протокол инкапсулирующей защиты содержимого ESP могут работать в туннельном или транспортном режимах. Для выполнения своих задач по обеспечению безопасной передачи данных протоколы АН и ESP включают в обрабатываемые ими пакеты дополнительную служебную информацию, оформляя ее в виде заголовков. 1. Протокол аутентифицирующего заголовка АН Протокол аутентифицирующего заголовка АН (Authentication Header) обеспечивает проверку аутентичности и целостности IP-пакетов,... »
Архитектура средств безопасности IPSec
Основное назначение протоколов IPSec — обеспечение безопасной передачи данных по сетям IP. Применение IPSec гарантирует: • целостность передаваемых данных (т. е. данные при передаче не искажены, не потеряны и не продублированы); • аутентичность отправителя (т. е. данные переданы именно тем отправителем, который доказал, что он тот, за кого себя выдает); • конфиденциальность передаваемых данных (т. е. данные передаются в... »
Защита беспроводных сетей
Беспроводные сети начинают использоваться практически во всем мире. Это обусловлено их удобством, гибкостью и сравнительно невысокой стоимостью. Беспроводные технологии должны удовлетворять ряду требований к качеству, скорости, радиусу приема и защищенности, причем защищенность часто является самым важным фактором. Сложность обеспечения безопасности беспроводной сети очевидна. Если в проводных сетях злоумышленник должен сначала получить физический доступ к... »