Технологии межсетевой защиты
Развитие глобальных компьютерных сетей, появление новых перспективных информационных технологий (ИТ) привлекают все большее внимание. Глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи головной штаб-квартиры организации с удаленными офисами или создания Web-сайтов организации с размещенной на них рекламой и деловыми предложениями. Многие организации принимают решение о подключении своих локальных и корпоративных сетей к открытой глобальной сети.
Однако подключение к открытой глобальной сети может иметь и негативные последствия, поскольку появляются угрозы неправомерного вторжения из внешней сети во внутреннюю сеть. Такое вторжение может выполняться как с целью несанкционированного использования ресурсов внутренней сети, например хищения информации, так и с целью нарушения ее работоспособности. Количество уязвимостей сетевых ОС, прикладных программ и возможных атак на КИС постоянно растет. Без соответствующих средств защиты вероятность успешной реализации таких угроз является достаточно высокой.
Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютерных сетей организаций, оцениваются миллиардами долларов. Поэтому при подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети.
Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями может быть успешно решена только на основе комплексной защиты корпоративных компьютерных сетей. К базовым средствам многоуровневой защиты межсетевого обмена данными относятся защищенные ОС, МЭ, виртуальные защищенные сети VPN, протоколы защиты на канальном, транспортном и сетевом (протокол IPSec) уровнях.
Протоколы формирования защищенных каналов на сеансовом уровне
Самым высоким уровнем модели OSI, на котором возможно формирование защищенных виртуальных каналов, является пятый — сеансовый уровень, При построении защищенных виртуальных сетей на сеансовом уровне появляется возможность криптографической защиты информационного обмена, включая аутентификацию, а также реализации ряда функций посредничества между взаимодействующими сторонами. Действительно, сеансовый уровень модели OSI отвечает за установку логических соединений и управление этими соединениями. Поэтому... »
Протоколы формирования защищенных каналов на канальном уровне
Протоколы РРТР (Point-to-Point Tunneling Protocol), L2F (Layer-2 Forwarding) и L2TP (Layer-2 Tunneling Protocol) — это протоколы туннелирования канального уровня модели OSI. Общим свойством этих протоколов является то, что они используются для организации защищенного многопротокольного удаленного доступа к ресурсам корпоративной сети через открытую сеть, например через Интернет. Все три протокола — РРТР, L2F и L2TP — обычно относят к протоколам формирования защищенного канала, однако этому определению точно соответствует только... »
Достоинства применения технологий VPN
Эффективное применение ИТ в сочетании с технологиями в области информационной безопасности является важнейшим стратегическим фактором повышения конкурентоспособности современных предприятий и организаций. Технология виртуальных частных сетей VPN позволяет решать эти задачи, обеспечивая связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (туннеля), «проложенного» в общедоступной сети Интернет. Достоинства использования... »
VPN-решения для построения защищенных сетей
В настоящее время технологии построения виртуальных защищенных частных сетей (VPN) привлекают все больше внимания со стороны крупных компаний (банков, ведомств, крупных государственных структур и т. д.). Причина такого интереса заключается в том, что VPN-технологии действительно дают возможность не только существенно сократить расходы на содержание выделенных каналов связи с удаленными подразделениями (филиалами), но и повысить конфиденциальность... »
Концепция построения виртуальных защищенных сетей VPN
В основе концепции построения виртуальных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, то между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети; доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным... »
Схемы сетевой защиты на базе межсетевых экранов
При подключении корпоративной или локальной сети к глобальным сетям необходимы: • защита корпоративной или локальной сети от удаленного НСД со стороны глобальной сети; • сокрытие информации о структуре сети и ее компонентов от пользователей глобальной сети; • разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть. Для эффективной... »
Особенности функционирования МЭ на различных уровнях модели OSI
МЭ поддерживают безопасность межсетевого взаимодействия на различных уровнях модели OSI. При этом функции защиты, выполняемые на разных уровнях эталонной модели, существенно отличаются друг от друга. Поэтому комплексный МЭ удобно представить в виде совокупности неделимых экранов, каждый из которых ориентирован на отдельный уровень модели OSI. Чаще всего комплексный экран функционирует на сетевом, сеансовом и прикладном уровнях эталонной... »
Функции межсетевых экранов
Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 9.1). При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети. МЭ, защищающий сразу множество узлов внутренней сети, призван решить: • задачу ограничения доступа внешних... »
Архитектура подсистемы защиты ОС
Основные функции подсистемы защиты ОС Подсистема защиты ОС выполняет следующие основные функции. 1. Идентификация и аутентификация. Ни один пользователь не может начать работу с ОС, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, кем он себя заявляет. 2. Разграничение доступа. Каждый пользователь системы имеет доступ только к тем объектам ОС,... »
Проблемы обеспечения безопасности ОС
Большинство программных средств защиты информации являются прикладными программами. Для их выполнения требуется поддержка ОС. Окружение, в котором функционирует ОС, называется доверенной вычислительной базой (ДВБ). ДВБ включает в себя полный набор элементов, обеспечивающих информационную безопасность: ОС, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды является защищенная ОС. Угрозы безопасности... »