Учебная работа. Реферат: Реализация политики безопасности локальной сети организации ОК БОР с помощью программного пак

Учебная работа. Реферат: Реализация политики безопасности локальной сети организации ОК БОР с помощью программного пак

Министерство образования Русской Федерации

Государственное образовательное учреждение

высшего проф образования

Столичный муниципальный промышленный институт

(ГОУ МГИУ)

КУРСОВОЙ ПРОЕКТ

по дисциплине «Программно-аппаратная защита инфы»

_________________________________________________________________

на тему «Реализация политики сохранности локальной сети организации ОК «БОР»

при помощи программного пакета Firewall-1»

Группа

7282

Студент

Н.С. Филиппов

Управляющий работы,
должность, звание

Н.В. Федоров

Оценка работы

Дата

«___» ___________

МОСКВА 2010

Содержание

Введение…………………………………………………………………………..3

1. Аналитическая часть…………………………………………………………..5

1.1.Описание компании и объекта защиты………………………..….5

1.1.1. Предоставляемые услуги………………………………..……5

1.1.2. Организационная структура компании………..…………6

1.2. Вероятные опасности для ЛВС и советы по разработке политики сохранности……………………………………………………7

1.3. Необходимость использования межсетевых экранов для защиты ЛВС ОК «БОР»…………….………………………………………………10

2. Теоретическая часть…………………………………………………………..13

2.1. Понятие «межсетевой экран»………………………………………..13

2.2. Классы защищенности МЭ…………………………………………..15

2.3. Главные требования, предъявляемые к межсетевым экранам…..17

2.4. Главные составляющие МЭ………………………………………….18

2.5. Главные функции МЭ………………………………………………21

2.6. Политика сохранности в компьютерных сетях…………………….24

2.7.Политика сетевого подключения…………………………………….25

2.8. Политика брандмауэра………………………………………………27

2.9. Стратегии брандмауэра……………………………………………….29

2.9.1. Применение пакетного фильтра……………………………29

2.9.2. Применение proxy – сервера………………………………..31

3. Проектная часть……………………………………………………………….34

3.1. Политика сохранности ЛВС ОК «БОР»……………………………34

3.2. Реализация политики сохранности организации при помощи программного пакета Firewall-1…………………………………………41

3.3.Главные индивидуальности FIREWALL-1……………………………….45

3.3.1. Аутентификация юзеров при работе с FTP………..45

3.3.2. Гибкие методы фильтрации UDP-пакетов, Динамическое экранирование………………………………………………………45

Заключение………………………………………………………………………47

Перечень литературы………………………………………………………………48

Глоссарий…………………………………………………………………..…….49

Тестовые вопросцы……………………………………………………………….51

Приложения………………………………………………………………………53

Введение.

Почти все организации употребляют локальные вычислительные сети для обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована: информация и управление ею были сосредоточены в одном месте и централизованы. На данный момент ЛВС логически и на физическом уровне рассредоточили данные, также вычислительную мощность и службы обмена сообщениями по всей организации.

Более удачный вид обмена информацией можно представить и воплотить на нынешний денек в виде локальных вычислительных и распределённых сетей, где каждое автоматическое рабочее пространство (АРМ) заходит в единую логическую структуру обмена данными. Локально-вычислительные сети, либо сокращённо ЛВС, разрешают очень убыстрить создание огромных проектов, требующих вклада огромного количества служащих или задействования разных устройств либо вычислительных мощностей разных серверов (СУБД, хранилище данных, кластерные блоки для вычислительных задач, дублирование инфы и др.). При всем этом появляются большие трудности с организацией модели неопасной передачи данных снутри данных сетей, т.к. риск утечки инфы намного больше, чем для варианта выделенного автоматического рабочего места (АРМ оператора). Вприбавок, часто приходится связываться с некими удалёнными банками данных (в филиалах компании) либо даже конкретно запрашивать и предоставлять информацию в сети Веб. В таком случае, количество уязвимостей растет в разы и лишь довольно грамотная и обмысленная балансировка соотношения «оценки рисков»/«издержки на обеспечение сохранности и сохранности данных» дозволяет достигнуть расходов на применимом для бизнеса уровне и не разорить всю бизнес-модель за счёт единственной гонки в установке новейших и новейших заградительных барьеров на пути возможных угроз, появляющихся иногда даже почаще чем раз в день.

одной из решений этих заморочек является грамотное составление политики сохранности для организации.

В системе обязана быть единая Политика сохранности, которая описывает правила воззвания с информацией так, чтоб исключить либо понизить опасности вреда. Единая Политика нужна, чтоб исключить противоречия меж правилами воззвания с одной и той же информацией в различных подразделениях организации. В самом ординарном случае, данной нам политикой является дискреционная Политика, т. е. у всякого информационного объекта системы есть владелец, который описывает правила доступа субъектов к объектам. Для реализации дискреционной политики сохранности любой субъект и объект должны быть идентифицированы, а любой субъект должен подтвердить собственный идентификатор (аутентификация). Обычно дискреционную политику сохранности усиливают аудитом, т. е. отслеживанием действий юзеров либо субъектов, которые действуют от их имени, в компьютерной системе.

Не считая дискреционной политики сохранности как минимум нужно организовать защиту целостности информационных ресурсов от модификации либо ликвидирования. идентификация и аутентификация, правила разграничения доступа, аудит и защита целостности должны реализовываться механизмами защиты. На любом рабочем месте и на серверах установлены операционные системы, которые, как правило, владеют набором устройств защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа, аудит на данном компе. Суровые прикладные системы типа СУБД также владеют локальным набором устройств защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа и аудит. Главными механизмами защиты целостности являются запасное копирование (backup), электронно-цифровая подпись (ЭЦП) и коды аутентификации.

Но выполнение политики сохранности на любом компе совсем не значит, что производится единая Политика сохранности во всей системе. К примеру, юзеры по сети могут обращаться на файловый для получения нужной инфы либо отправки документов в файле на печать на сетевой принтер. Воззвание на сервер подразумевает копирование файла из 1-го компа, где файл находится под защитой локальной политики сохранности и средств ее поддержки, в иной комп, на котором действует локальная Политика сохранности и механизмы ее поддержки. ясно, что передача файла либо инфы из этого файла в файл на иной машине не управляется локальной политикой сохранности, т. е. должны быть механизмы реализации политики сохранности системы в целом, при помощи которых быть может разрешен доступ субъекта на одной машине к инфы, расположенной на иной машине. А именно, для такового доступа субъект из рабочей станции 1 (РС1), запрашивающий доступ к инфы на компе РС2, должен быть идентифицирован и аутентифицирован на РС2, т. е. его аутентификационная информация (пароль) на РС1 обязана быть передана на РС2. Этот субъект должен быть учтен на РС2 в матрице разграничения доступа, а его деяния должны отслеживаться аудитом на РС1 и РС2. Потому что в секторе локальной сети передача является широковещательной, то передача пароля для аутентификации на РС2 быть может подслушана на хоть какой рабочей станции и в последующий раз подслушивающий субъект сумеет запрашивать информацию на иной машине от чужого имени.

Осознание необходимости обеспечения защиты инфы в ЛВС и разработка соответственных мер защиты, в том числе разработка политики сохранности являются главными задачками этого курсового проекта.

1.
Аналитическая часть.

1.1.Описание компании и объекта защиты

Объектом защиты в данном курсовом проекте является ЛВС организации Федеральное Государственное учреждение «Оздоровительный комплекс «Бор».«Оздоровительный комплекс «Бор» содержит в себе отель, построенный в стиле древней российской усадьбы, пансионат и несколько коттеджных поселков. Для автоматизации производства и предоставления услуг была построена ЛВС, соединяющая строения администрации ОК «БОР», пансионата, отеля. Данная ЛВС соединена с глобальной вычислительной сетью Internet через спец .

Общая схема ЛВС ОК «БОР» представлена в приложении 1.

Пансионат представляет собой современное 8-этажное здание, состоящее из 3-х корпусов, соединенных меж собой.

Весь комплекс занимает площадь 170 гектаров, окруженный забором и имеет 3 наружных контрольно-пропускных пт.

Организация является гос.

1.1.1. Предоставляемые услуги

— Предоставление номеров в пансионате и отеле: одноместных, двухместных, трехместных, четырехместных;

— Предоставление особняков

— Питание: 3 ресторана, 3 бара (пивной, ночной, диско-бар), кафе, буфет, пиццерия;

— Мед услуги;

— Услуги для корпоративного отдыха.

1.1.2. Организационная структура компании

Рис 1.Схема организационной структуры.

Организационная структура компании: линейно-функциональная

Управляющий отдела воспринимает решение вместе с заместителями генерального директора по разным вопросцам.

Стоить выделить отдел АСУ ( Автоматизация систем управления ), потому что данный отдел отвечает за работоспособность сети и, в нашем случае основное, за ее сохранность.

Функции отдела АСУ:

1) Поддержка рабочих мест;

2) Построение и прокладка сети;

3) Администрирование сети;

1.2. Вероятные опасности для ЛВС и советы по разработке политики сохранности

Разглядим несколько соответствующих случаев, наглядно демонстрирующих обычные инциденты, связанные с Деятельностью юзеров. Все описанные ниже случаи взяты из практики и с очень высочайшей степенью вероятности могут появиться и в организации ОК «БОР».

Сотрудник загружает из Веба утилиту для многопоточного сохранения контента обозначенных веб-сайтов. Указав несколько веб-сайтов, он запускает утилиту в фоновом режиме. В итоге сбоя утилита начинает выдавать 500-700 запросов за секунду в непрерывном цикле, что приводит к ситуации DoS на корпоративном прокси-сервере.

В этом случае злой умысел со стороны сотрудника отсутствует, но анализ ситуации показал, что применение данной утилиты не требуется для решения производственных задач. Не считая того, утилита не проходила никаких тестов со стороны админов сети и ее применение не было согласовано с ними, что, фактически, и привело к данной ситуации.

В политике сохранности вводится запрет на установку программного обеспечения, интенсивно взаимодействующего с Вебом, без согласования с админами и службой сохранности. Опосля этого проводятся технические мероприятия для поиска и удаления схожих программ и блокировки их следующей установки.

Вариант 2. Электрическая почта

Желая поздравить с Новеньким годом коллег, сотрудник составляет базу рассылки из 1500 адресов, опосля что делает письмо с Flashмультфильмом размером в 1,5 Мбайт и запускает рассылку. Подобные операции создают также его коллеги, рассылая поздравительные письма с вложенными картинами, Flashроликами и звуковыми файлами. В итоге создается ситуация DoS на почтовом сервере и блокируется прием-отправка деловой корреспонденции.

Это обычный пример нецелевого использования корпоративной электрической почты, обычно подобные препядствия появляются перед праздничками. Более типично данная ситуация проявляется в огромных сетях (наиболее 500 юзеров).

. На техническом уровне решить схожую делему весьма трудно, потому что ограничения на размер письма и количество писем в единицу времени не постоянно применимы и малоэффективны при большенном количестве юзеров. Более эффективная мера — разработка правил использования корпоративного почтового сервера и доведение этих правил до сведения всех юзеров.

Вариант 3. средства анализа сети

Не так давно принятый на работу юный программер для самообразования загружает из Веба сканер сетевой сохранности XSpider. Для исследования его работы он выставляет опции по максимуму и в качестве цели показывает адресок 1-го из корпоративных серверов. В итоге средства защиты сервера регистрируют атаку, замедляется время реакции сервера на запросы юзеров.

В этом случае злой умысел отсутствует, потому что установивший данную программку юзер сети не имел точного представления о вероятных последствиях.

. В политике сохранности вводится раздел, категорически запрещающий установку и внедрение на рабочих местах юзеров средств активного и пассивного исследования сети, генераторов сетевых пакетов, сканеров сохранности и других средств. Согласно данному положению применение схожих инструментов разрешается лишь админам сети и спецам по защите инфы.

Вариант 4. Почтовый вирус

юзер получает письмо, содержащее очевидные аномалии (отправителем и получателем письма является сам юзер, текст письма не соответствует деловой переписке либо отсутствует). К письму приложен архив с некоторым приложением. Невзирая на инструктаж, любопытство оказывается посильнее, юзер сохраняет архив на диск, распаковывает и запускает файл, который оказывается новейшей разновидностью почтового червяка.

Технические меры в этом случае никчемны. Тот факт, что юзер получил письмо, свидетельствует о том, что используемый почтовый антивирус и антивирус на ПК юзера не детектируют данную разновидность вируса.

. Обучение юзеров и разработка планов проведения мероприятий в случае возникновения в сети почтового либо сетевого червяка.

Вариант 5. Несанкционированное подключение модема

юзер несанкционированно подключает к собственному компу сотовый телефон и выходит в Веб через GPRS-соединение. В процессе работы в Вебе на его комп просачивается сетевой червяк, который в предстоящем пробует заразить остальные компы в рамках ЛВС.

Мобильники с GPRS весьма всераспространены, потому организовать точку несанкционированного подключения не составляет труда. Опасность такового подключения весьма велика, потому что оно не контролируется админами и не защищено брандмауэром.

У данной препядствия имеется два решения: техническое и административное. Для действенной защиты нужно использовать оба: с одной стороны, политика сохранности обязана строжайше воспрещать юзерам подключение модемов либо сотовых телефонов для выхода в веб, а с иной — нужно решать технические меры для блокирования таковой способности (привилегии и политики сохранности, средства мониторинга).

Вариант 6. Зараженный ноутбук

Юзеру выдается служебный ноутбук, который он берет с собой в командировку. Там он подключается к сети, и его комп заражается сетевым червяком. По возвращении он подключается к ЛВС, и его ноутбук становится источником инфецирования сети.

Данная ситуация довольно всераспространена, другими словами в этом случае вирус просачивается в сеть методом подключения к сети зараженного мобильного компа (ноутбука, КПК). неувязка утежеляется наличием в современных ноутбуках Wi-Fi-адаптеров.

. Данная неувязка не имеет конкретного решения. Отличные результаты достигаются в случае установки на ноутбук антивируса и брандмауэра, при этом установка делается админами, а юзеру строжайше запрещается их отключать либо переконфигурировать.

Вариант 7. Работа с электрической почтой в обход корпоративного почтового сервера

юзер заводит один либо несколько почтовых ящиков в Вебе и употребляет их в обход корпоративного почтового сервера. В итоге он получает письмо с вирусом, и его комп в предстоящем становится источником инфецирования ЛВС.

. Это очень всераспространенная ситуация. Корпоративный довольно просто защитить, установив на нем систему почтовых фильтров и антивирус (как вариант — несколько антивирусов). Работа в обход почтового сервера открывает неконтролируемую админами брешь в защите сети. Вышеупомянутое относится также к средствам онлайновых коммуникаций типа ICQ, MSN Messanger и их аналогов.

Более действенное решение — запрет для служащих компании на внедрение сторонних почтовых ящиков. С одной стороны, данный шаг кажется драконовской мерой, с иной — закрывает канал утечки инфы и избавляет один из главных источников проникания вредных программ в сеть.

1.3. Необходимость использования межсетевых экранов для защиты ЛВС ОК «БОР»

В связи с бурным ростом глобальных информационных технологий, вопросцы защиты инфы в IP-сетях получают огромную актуальность. В нашем случае во внутренней локальной сети компании циркулирует информация, распространение которой не нужно, и существует Потребность в анализе каналов утечки и вариантов защиты. Все «слабенькие места» сетевых информационных систем можно условно систематизировать на два класса:

• Ошибки в программном обеспечении серверов и рабочих станций, дозволяющие получить полный либо частичный доступ к инфы, лежащей на данной компе;
• Ошибки при проектировании сетевых протоколов, приводящие к тому, к примеру, что даже при корректной программной реализации того либо другого протокола возникают способности для несанкционированного доступа.

Межсетевые экраны (Firewall, брандмауэр) делают вероятной фильтрацию входящего и исходящего трафика, идущего через систему. Межсетевой экран употребляет один либо наиболее наборов »правил» для проверки сетевых пакетов при их входе либо выходе через сетевое соединение, он либо дозволяет прохождение трафика либо перекрывает его. Правила межсетевого экрана могут инспектировать одну либо наиболее черт пакетов, включая но не ограничиваясь типом протокола, адресом хоста источника либо предназначения и портом источника либо предназначения.

Межсетевые экраны могут серьезно повысить уровень сохранности хоста либо сети. Они могут быть применены для выполнения одной либо наиболее ниже перечисленных задач:

• Для защиты и изоляции приложений, сервисов и машин во внутренней сети от ненужного трафика, приходящего из наружной сети веб.
• Для ограничения либо воспрещения доступа хостов внутренней сети к сервисам наружной сети веб.
• Для поддержки преобразования сетевых адресов (Network address translation, NAT), что дозволяет внедрение во внутренней сети приватных IP адресов (или через один выделенный IP адресок, или через адресок из пула автоматом присваиваемых общественных адресов).

Итак, чтоб обеспечить информационную сохранность ЛВС следует учитывать последующие опасности:

• анализ сетевого трафика с целью получения доступа к секретной инфы, к примеру к передаваемым в открытом виде по сети пользовательским паролям;
• нарушение целостности передаваемой инфы. При всем этом может модифицироваться как пользовательская, так и служебная информация, к примеру замена идентификатора группы, к которой принадлежит юзер;
• получение несанкционированного доступа к информационным ресурсам, к примеру с внедрением замены одной из сторон обмена данными с целью получения доступа к файл-серверу от имени другого юзера;
• попытка совершения ряда действий от имени зарегистрированного юзера в системе, к примеру злодей, скомпрометировав пароль админа, может начать разговаривать с ЛВС от его имени.
Причинами появления данных угроз в общем случае могут оказаться:
• наличие уязвимостей в базисных версиях сетевых протоколов. Так, при использовании стека протоколов TCP/IP нарушитель может ввести в ЛВС неверный ARP- (см. пример, приведенный дальше);
• уязвимости специализированных защитных устройств. к примеру, предпосылкой появления замены стороны информационного обмена может служить уязвимость процедур аутентификации клиентов при доступе к серверу;
• неточное предназначение уровня доступа;
• внедрение в качестве каналов передачи данных общедоступной среды, к примеру применение топологии построения ЛВС с общей шиной. В данном случае злодей может применять ПО (к примеру, Network Monitor либо LanAnalyzer), позволяющее просматривать все передаваемые в сети пакеты;
• неточное администрирование ОС, к примеру задание не до конца обмысленных разрешений на удаленное редактирование системного реестра (в ОС Windows NT);
• ошибки в реализации ОС;
• ошибки персонала.

Обеспечение защиты в согласовании с данной политикой сохранности в ЛВС является всеохватывающей задачей и осуществляется с помощью:

• корректного администрирования сетевых опций ОС (в том числе и опций, отвечающих в данной ОС за сетевую сохранность, которые являются штатными средствами большинства современных ОС);
• доп защитных устройств: шифрования, ЭЦП, аутентификации сторон и др.;
• организационных способов защиты и контроля за их обязательным соблюдением, к примеру с внедрением системы аудита.

В данном курсовом проекте предлагаю воплотить политику сохранности ЛВС при помощи комплекса программ, а именно использования межсетевого экрана.

2. Теоретическая часть

2.1. Понятие «межсетевой экран»

Современные технологии сетевой защиты являются одним из более оживленных частей современного рынка обеспечения сохранности. средства сетевой защиты так быстро развиваются, что в истинное время принятая терминология в данном направлении еще совсем не установилась. Эти средства защиты в литературе и средствах массовой инфы бытуют как Firewall.

Термин firewall (в российскей литературе ему соответствует термин межсетевой экран, либо брандмауэр, эти определения употребляются как взаимозаменяемые) в первый раз возник в описаниях организации сетей около 7 лет вспять. До этого чем он был принят профессионалами по сетевой сохранности для определения метода предотвращения попыток несанкционированного доступа к сети, присоединенной к сети огромного масштаба, его как проф термин употребляли строители. Брандмауэром именуется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предутверждает его распространение в остальные блоки — в сути, дозволяет локализовать делему.

Межсетевой экран работает приблизительно так же: он помогает избежать риска повреждения систем либо данных в локальной сети из-за возникающих заморочек, вызванных взаимодействием с иными сетями. Межсетевой экран производит это, пропуская разрешенный трафик и заблокируя остальной. Не считая того, межсетевой экран устроен намного труднее.

термин «межсетевой экран» был принят для обозначения совокупы компонент, которые находятся меж локальной сетью и наружным миром и образуют защитный барьер.

Руководящий документ Гостехкомиссии Рф «Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы» устанавливает систематизацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к инфы на базе списка характеристик защищенности и совокупы описывающих их требований.

Особые требования и советы по технической защите секретной инфы (СТР-К) определяют
как локальное (однокомпонентное) либо функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в Автоматическую систему (АС) и/либо выходящей из АС, и обеспечивающее защиту АС средством фильтрации инфы, т.е. ее анализа по совокупы критериев и принятия решения о ее распространении в (из) АС. (АС — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.)

защита инфы при межсетевом содействии определяется последующим образом:

• Подключение локальной вычислительной сети (ЛВС — вычислительная сеть, поддерживающая в границах ограниченной местности один либо несколько скоростных каналов передачи цифровой инфы, предоставляемых подключаемым устройствам для краткосрочного монопольного использования) к иной автоматической системе (локальной либо неоднородной вычислительной сети) другого класса защищенности обязано осуществляться с внедрением МЭ, требования к которому определяются РД Гостехкомиссии Рф «средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к инфы. характеристики защищенности от несанкционированного доступа к инфы«.
• Подключение ЛВС компании (учреждения) к Сети обязано осуществляться через средства разграничения доступа в виде МЭ (Firewall, брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям сохранности инфы.
• Доступ к МЭ, к средствам его конфигурирования должен осуществляться лишь выделенным админом с консоли. средства удаленного управления МЭ должны быть исключены из конфигурации.
• Абонентский пункт (АП) при помощи МЭ должен обеспечивать создание сеансов связи абонентов с наружными серверами Сети и получать с этих серверов лишь ответы на запросы абонентов. Настройка МЭ обязана обеспечивать отказ в обслуживании всех наружных запросов, которые могут направляться на АП. (АП — средства вычислительной техники учреждения (компании), подключаемые к Сетям при помощи коммуникационного оборудования.)
• При использовании почтового сервера и Web-сервера компании, крайние не должны заходить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор).
• На технических средствах АП обязано находиться программное обеспечение лишь в той конфигурации, которая нужна для выполнения работ, заявленных в обосновании необходимости подключения АП к Сети.
• Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии Рф «средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к инфы. характеристики защищенности от несанкционированного доступа к инфы«.

2.2. Классы защищенности МЭ

Устанавливается 5 классов защищенности МЭ.

Любой класс характеризуется определенной малой совокупой требований по защите инфы.

Самый маленький класс защищенности — 5-ый, используемый для неопасного взаимодействия АС класса 1Д с наружной средой, 4-ый — для 1Г, 3-ий — 1В, 2-ой — 1Б, самый высочайший — 1-ый, используемый для неопасного взаимодействия АС класса 1А с наружной средой.

При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, приобретенной из начальной методом прибавления в нее МЭ, не должен снижаться.

Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.

Для АС класса 3А, 2А зависимо от значимости обрабатываемой инфы должны применяться МЭ последующих классов:

• при обработке инфы с грифом «секретно» — не ниже 3 класса;
• при обработке инфы с грифом «совсем секретно» — не ниже 2 класса;
• при обработке инфы с грифом «особенной значимости» — не ниже 1 класса.

Список характеристик по классам защищенности МЭ приведен в таблице 1.

Обозначения:

« — » — нет требований к данному классу;

« + » — новейшие либо доп требования,

« = » — требования совпадают с требованиями к МЭ предшествующего класса.

Таблица 1. характеристики защищенности для МЭ.

Характеристики защищенности

Классы защищенности

5

4

3

2

1

Управление доступом (фильтрация данных и трансляция адресов)

+

+

+

+

=

идентификация и аутентификация

—

—

+

=

+

Регистрация

—

+

+

+

=

Администрирование: идентификация и аутентификация

+

=

+

+

+

Администрирование: регистрация

+

+

+

=

=

Администрирование: простота использования

—

—

+

=

+

Целостность

+

=

+

+

+

Восстановление

+

=

=

+

=

Тестирование

+

+

+

+

+

Управление админа защиты

+

=

=

=

=

Тестовая документация

+

+

+

+

+

Конструкторская (проектная) документация

+

=

+

=

+

В общем случае для обеспечения сетевой защиты меж 2-мя огромными количествами информационных систем ставится экран, который является средством разграничения доступа клиентов из 1-го огромного количества систем к инфы, лежащей на серверах в другом огромном количестве. В этом смысле межсетевые экраны можно представить как набор фильтров, анализирующих проходящую через их информацию и принимающих решение: пропустить информацию либо ее заблокировать. сразу с сиим делается регистрация событий и тревожная сигнализация в случае обнаружения опасности. Для экранов определяются понятия «снутри» и «снаружи», при этом в задачку экрана заходит защита внутренней сети от потенциального агрессивного окружения. Межсетевой экран может употребляться в качестве корпоративной открытой части сети, видимой со стороны Веба. Так, к примеру, в почти всех организациях межсетевые экраны употребляются для хранения данных с открытым доступом, как, к примеру, информация о продуктах и услугах, файлах из баз, сообщений о ошибках и т.д.

2.3. Главные требования, предъявляемые к межсетевым экранам

1. Основное требование — обеспечение сохранности внутренней (защищаемой) сети и полный контроль над наружными подключениями и сеансами связи.

2. Экранирующая система обязана владеть массивными и гибкими средствами управления для обычного и полного проведения в жизнь политики сохранности организации.

3. Межсетевой экран должен работать неприметно для юзеров локальной сети и не затруднять выполнение ими законных действий.

4. машина — комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач) (либо вычислительной системы) которое делает арифметические и логические операции данные программкой преобразования инфы управляет вычислительным действием и коор межсетевого экрана должен быть быстродействующим, работать довольно отлично и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтоб его недозволено было перекрыть огромным количеством вызовов и нарушить его работу.

5. Система обеспечения сохранности обязана быть сама накрепко защищена от всех несанкционированных действий, так как она является ключом к секретной инфы в организации.

6. Система управления экранами обязана иметь возможность централизованно обеспечивать проведение для удаленных филиалов единой политики сохранности.

7. Межсетевой экран должен иметь средства авторизации доступа юзеров через наружные подключения, что является нужным в вариантах работы служащих организации в командировках.

В итоге конкуренции посреди производителей межсетевых экранов и их попыток усовершенствовать собственный продукт брандмауэры наделялись новенькими качествами. Так как межсетевой экран служит вроде бы воротами во наружный мир, он должен делать огромное количество задач, в том числе и не связанных с обеспечением сохранности.

2.4. Главные составляющие МЭ

Выделяют три главных компонента МЭ, выполняющих функции администрирования, сбора статистики и предупреждения о атаке и аутентификации.

• 
  Легкость администрирования является одним из главных качеств при разработке действенной и надеж ной системы защиты. Ошибки при определении правил доступа могут образовать лазейку, через которую рано либо поздно будет взломана система. Потому в большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил. наличие этих утилит дозволяет также создавать про верки на синтаксические либо логические ошибки при вводе либо редактировании правил. Обычно эти утилиты разрешают просматривать информацию, сгруппированную по любым аспектам, к примеру, все, что относится к определенному юзеру либо сервису.
• 
  информация обо всех событиях: отказах, входящих, выходящих соединениях, числе переданных б, использовавшихся сервисах, времени соединения и т.д., — скапливается в файлах статистики. Почти все МЭ разрешают гибко определять подлежащие протоколированию (протоколирование
  — это сбор и скопление инфы о событиях, происходящих в информационной системе) действия, обрисовывать порядок деяния при атаках либо попытках несанкционированного доступа: сообщение на консоль, почтовое послание админу системы и т.д. Незамедлительный вывод сообщения о попытке взлома на экран консоли либо админа может посодействовать, если попытка оказалась удачной, и атакующий уже просочился в систему. В состав почти всех МЭ входят генераторы отчетов, служащие для обработки статистики и дозволяющие собрать статистику по использованию ресурсов определенными юзерами, по использованию сервисов, отказам, источникам, с которых проводились пробы несанкционированного доступа и т.д.
• 
  До этого чем юзеру будет предоставлено Право получить тот либо другой сервис, нужно убедиться, что он вправду тот, за кого себя выдает (предполагается, что этот сервис для данного юзера разрешен: процесс определения, какие сервисы разрешены, именуется авторизацией
  
  . авторизация обычно рассматривается в контексте аутентификации — как юзер аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на внедрение сервиса от имени какого-нибудь юзера, МЭ инспектирует, какой метод аутентификации определен для данного юзера, и передает управление серверу аутентификации. Опосля получения положительного ответа МЭ сформировывает запрашиваемое юзером соединение.

При аутентификации употребляется, обычно, принцип, по лучивший заглавие «что он понимает» — юзер понимает некое секретное слово, которое он отправляет серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является внедрение обычных unix-паролей. Эта схема является более уязвимой исходя из убеждений сохранности, потому что пароль быть может перехвачен и применен остальным лицом. Почаще всего употребляются схемы с применением разовых паролей.

Ряд МЭ поддерживают систему Kerberos — один из более всераспространенных способов аутентификации. Главной индивидуальностью Kerberos будет то, что первичные ключи по системе не передаются совершенно. Эта система была разработана в Массачусетском технологическом институте в рамках проекта Athena. Основным предназначением системы является обеспечение защищенного о мена данными в сети общего использования. Обмен данными по строен по принципу клиент/сервер. В Kerberos существует не один, а целых три сервера: идентификационный, выдачи разрешений и административный. Все ПК юзеров оснащаются клиентской частью Kerberos. быть может установлен на любом ПК либо даже разнесен по почти всем. Ядро системы составляют сер вер идентификации и сервер выдачи разрешений. Область деяния Kerberos-сервера именуется realm. Все юзеры realm должны быть зарегистрированы в идентификационном сервере Kerberos, а все серверы обязаны иметь общий кодовый ключ с идентификационным сервером.

При содействии с системой юзер отправляет собственный идентификатор серверу идентификации, который инспектирует наличие данного юзера в собственной базе данных. Если юзер зарегистрирован, то ему отчаливает «разрешение на получение разрешения» и код сеанса, которые зашифрованы с помощью па роля юзера из базы данных юзера. Данная информация расшифровывается на ПК юзера опосля ввода послед ним собственного пароля, который совпадает с тем, что хранится в базе данных юзера. Таковым образом, пароль по сети не передается. Опосля того, как разрешение на воззвание к серверу разрешений получено, клиент обращается за разрешением на доступ к ин формационным ресурсам. Этот запрос содержит имя юзера, сетевой адресок его компа, отметку времени, срок жизни раз решения и код сеанса. Разрешение зашифровывается с помощью кода, известного идентификационному серверу и серверу выдачи разрешений. Данный код юзеру не известен. Не считая кода, разрешение шифруется и с помощью пароля юзера. совместно с запросом на разрешение на доступ к ресурсам юзер отправляет к тому же собственный идентификатор, который шифруется с внедрением кода сеанса и содержит имя юзера, его сете вой адресок и отметку времени. Сервер разрешений инспектирует полу ченное разрешение на получение разрешений (ассоциирует имя юзера и его сетевой адресок, зашифрованные в разрешении, с адресом из пакета). Опосля этого расшифровывается идентификатор и опять сравнивается имя юзера и его сетевой адресок с теми, что пришли в пакете. Потому что идентификатор юзера употребляется лишь один раз в течение определенного времени, то перехватить и идентификатор, и разрешение достаточно тяжело. разрешений отправляет разрешение клиенту, которое шиф­руется с помощью кода, известного серверу разрешений и ин формационному серверу. Данное разрешение содержит новейший код сеанса, который употребляется клиентом при воззвании к мотивированному серверу.

Таковым образом, за счет неоднократного шифрования и много численных проверок исключается перехват защищенной инфы. Но следует принимать во внимание тот факт, что все программные составляющие должны включать в себя программки из Kerberos-библиотеки, т.е. telnet, ftp и т.п. должны быть отредактированы с Kerberos-библиотекой. Таковых серверов не так много, что серьезно ограничивает применение Kerberos на практике.

Эта система имеет ряд недочетов. Во-1-х, подразумеватся точное разделение компов на рабочие станции и серверы. В случае, если юзер пожелает, зайдя на , при помощи telnet зайти на иной комп, идентификация не сработает, потому что юзер имеет разрешение на работу лишь на той рабочей станции, где он вводил пароль. Другими словами, в Kerberos версии 4 возможности юзера не передаются на остальные ПК . Не считая того, требуется выделенный комп под Kerberos, при этом работающий в очень скрытых критериях, так как на нем имеется база данных, где содержатся все пароли юзеров. Kerberos версии 4 весьма ограниченно применима в сети, где вероятны ситуации, когда в силу ряда событий Kerberos недоступен по сети (неожиданные сбои в маршрутизации, ухудшение либо обрыв связи и т.д.). часть недочетов, вышеперечисленных, ликвидирована в версии 5, но эта реа лизация запрещена к экспорту из США

До этого чем приниматься за разработку стратегии сохранности брандмауэра, следует поразмыслить, что и как надо защищать. Если компания довольно велика, она обязана иметь свою политику сохранности. Стоит принять ее в качестве отправной точки. Обсудив этот вопросец с юзерами либо менеджерами, можно прийти к выводу, каким службам будет разрешено работать через межсетевой экран.

2.5. Главные функции МЭ

Приведем главные функции, которые имеются в современных брандмауэрах:

—
). Это свойство в особенности типично для сетей, содержащих web-серверы с огромным объемом инфы, доступной из Internet. Благодаря локальному хранению нередко запрашиваемых данных кэширующий может сделать лучше время реакции на запрос юзера и сберечь полосу пропускания, которая потребовалась бы для повторной загрузки данных;

—
. Настроенный подходящим образом брандмауэр дозволяет использовать для внутренней сети любые IP- адреса. При всем этом снаружи виден лишь адресок брандмауэра;

—
. Все большее число товаров обеспечивает ограничение инфы, получаемой юзерами из internet, методом блокирования доступа к адресам URL, содержащим ненужный контент, либо поиска данных главных слов в приходящих пакетах данных;

—
. Эта функция предоставляет брандмауэру возможность изменять, к примеру, запросы HTTP так, чтоб они направлялись серверу не с обозначенным в пакете запроса IP — адресом, а с остальным. Таковым методом удается распределять нагрузку меж несколькими серверами, которые для наружного юзера смотрятся как одиночный .

Все эти многофункциональные способности дают определенные достоинства в плане гарантий сохранности, но в главном предусмотрены для роста производительности. к примеру, в итоге переадресации и трансляции адреса удается скрыть внутренние IP-адреса от взломщиков, что непременно увеличивает сохранность. Чем наименьшей информацией располагает возможный нарушитель, тем наиболее сложной будет его работа. Но эти же способности служат админу при распределении перегрузки посреди нескольких компов. Благодаря трансляции адреса не пригодится запрашивать большенный спектр адресов IP для всех серверов и рабочих станций в сети.

Межсетевой экран не гарантирует абсолютную защиту сети, и его недозволено рас сматривать в качестве единственного средства обеспечения сохранности. Нужно осознавать, как конкретно делает брандмауэр свои функции по защите сети. В одинаковой мере принципиально знать, от что он не может обезопасить.

В общем случае верно сконструированный межсетевой экран способен:

• защищать сеть от опасных протоколов и служб;
• защищать информацию о юзерах, системах, сетевых адресах и выполняемых в сети приложениях от наружного наблюдения;
• обеспечить ведение журнальчика (в виде набора log-файлов), содержащего статистические данные и записи о доступе к защищенным ресурсам. Это дозволяет убедиться в том, что сеть работает отлично и накрепко. Неплохой межсетевой экран также имеет в настройках опцию предупреждения админа о появлении критичных событий, таковых как попытка несанкционированного доступа;
• гарантировать централизованное управление сохранностью сети по отношению к остальному миру. Межсетевой экран — это шлюз меж Internet и сетью. В большенный сети может существовать несколько соединений с наружными сетями и, как следует, несколько брандмауэров. В этом случае следует в особенности кропотливо подойти к выбору брандмауэра. Почти все новейшие продукты пре доставляют возможность администрировать с одной консоли управления сходу несколько брандмауэров.

Межсетевой экран не в состоянии уберечь от взлома изнутри. Это значит, что для защиты от вероятных разрушительных действий юзеров снутри сети следует прибегать к обыденным средствам сохранности. При применении брандмауэра принципиально не забывать о том, что он не снимает все имеющиеся препядствия сохранности в сети. Межсетевой экран не берет на себя ежедневных функций по администрированию систем и обеспечению сохранности. Он просто делает еще один уровень сохранности.

Брандмауэр не может защитить от:

• вирусов. Хотя некие брандмауэры и способны распознавать вирусы в проходящем через их трафике, существует огромное количество методов упрятать вирусы в программке;
• «троянских жеребцов». Как и в случае с вирусами, перекрыть проникновение в сеть «троянских жеребцов» (Trojan horses) довольно трудно. юзер часто поддается искушению загрузить программку из Internet либо открыть прикрепленный к сообщению электрической почты файл, проложив тем путь в систему вредной программке;
• «социальной инженерии». термин «social engineering» появился не так давно и при изменяется для описания способов получения взломщиками инфы от наивных юзеров;
• некомпетентности. плохо приготовленные сотрудники либо халатное управление приводят к ошибкам в настройках локальной сети и межсетевого экрана. Если сотрудники не соображают, как работает брандмауэр и как верно его настраивать, не исключено, что это будет содействовать появлению заморочек;
• атаки изнутри. Межсетевой экран не может предупредить злостные деяния снутри сети. Это одна из обстоятельств, по которой сохранность компов в сети остается принципиальной неувязкой и опосля установки брандмауэра.

С что лучше начать планирование политики сохранности для сети? Во-1-х, найти, какие службы должны быть доступны юзерам. Предпосылкой подключения компании к Internet становится желание располагать некими из обычных способностей, таковыми как:

· электрическая почта — для обмена корреспонденцией с поставщиками и клиентами;

· удаленный доступ — для воззвания к ресурсам локальной сети компании снаружи;

· поддержка исследовательских работ — обеспечение взаимодействия технического персонала с сотрудниками в остальных компаниях и учреждениях;

· поддержка клиентов — возможность просмотра клиентами документации к продукту и иной литературы, что уменьшает нагрузку на службу саппорта;

· техно поддержка — получение доступа (в качестве клиента) к документации, размещенной производителем в Internet;

· торговля и компании в Internet.

Для ублажения потребностей юзеров используют разные композиции последующих служб:

§ FTP. При помощи протокола передачи файлов (File transfer protocol) экспериментальная группа обменивается файлами с иными веб-сайтами. Доступ клиентов к файлам либо документации обеспечивает анонимный (anonymous) FTP;

§ Telnet. Эта служба быть может применена сотрудниками группы поддержки юзеров для удаленного входа на комп юзера с целью диагностики препядствия. Применяется также при удаленном администрировании сети;

§ №4717. WWW обеспечивает присутствие компании в Internet. Сообщение клиентам на корпоративном Web-сайте о выходе новейших товаров либо возникновении новейших служб, также размещение на сервере документации и воплощение поддержки товаров;

§ электрическая почта. С помощью обычного протокола пересылки почты (Simple Mail Transfer Protocol, SMTP) можно посылать электрическую почту со собственного компа практически в всякую точку мира. Это красивый спо соб резвого общения с клиентами и сотрудниками.

Это перечень только главных служб, доступных в Internet.

Представим, к примеру, что Политика сохранности разрешает юзерам получать доступ к наружным компам при помощи Telnet, но воспрещает любые входящие подключения по данному протоколу. Это дозволяет юзерам делать удаленное подключение к системам клиентов, но перекрывает проникновение в сеть снаружи. Приблизительно так же можно определять политику сохранности для остальных принципиальных сетевых служб, таковых как FTP и SMTP, зависимо от определенных нужд. Но время от времени, как и в хоть какой иной политике, придется созодать исключения.

Имеет смысл создавать политику сохранности брандмауэра на базе политики сохранности компании. В отличие от крайней, которая обычно содержит несколько документов и обхватывает широкий диапазон тем, Политика сохранности брандмауэра обрисовывает детали реализации брандмауэра с тем, чтоб были выполнены требования сохранности в отношении устанавливаемых через него соединений.

2.6. Политика сохранности в компьютерных сетях

Это перечень того, что разрешено и запрещено созодать на присоединенном к сети компе. Политика сохранности обхватывает огромное количество разных тем и во всех деталях обрисовывает раз решенные юзерам деяния и штрафы за нарушение требований. Подробное описание политики сохранности имеет единственный недочет: существует опасность, что юзеры не совершенно усвоют ее либо даже не прочитают до конца, если она окажется очень длинноватой. Но лучше заблаговременно предупредить их о недопустимых действиях, чем потом спорить о деталях. Политика сохранности обязана быть сформулирована в одном либо нескольких печатных документах.

До этого чем сотруднику будет разрешено применять любые компьютерные ресурсы, он должен ознакомиться с документами политики сохранности и подтвердить их чтение. В большинстве больших компаний эта функция возлагается на отделы кадров, и Политика сохранности обычно со стоит из нескольких документов, таковых как политика сетевого подключения и список допустимых применений
, которые сотруднику следует подписать. Не считая того, полезно включить в их число документ, описывающий деяния, которые необходимо сделать в случае появления нештатной ситуации, связан ной с нарушением сохранности.

2.7.Политика сетевого подключения.

Политикой сетевого подключения должны быть определены типы устройств, раз решенные для подключения к сети. к примеру, позволяя подключение серверов и рабочих станций, можно запретить подключение к сети модемных серверов удаленного доступа. Аналогично в политике подключения к сети должны быть детально определены опции систем, которые допускается подключать к сети. Эта Политика может включать в себя последующие разделы:

• описание процесса установки и опции операционной системы и приложений, также их многофункциональные способности, которые разрешено применять;
• положение в сети (физической сабсети) систем определенного типа и функцию разрешения вопросцев адресации в сети;
• требование о установке и постоянном обновлении антивирусного программного обеспечения;
• описание опции прав юзеров и защиты ресурсов, обеспечиваемых операционной системой;
• процедуры, которым нужно следовать для сотворения новейшей учетной записи юзера, и подобные процедуры для ее удаления;
• запрет на установку доп аппаратных либо программных компонент без одобрения сетевого админа (либо другого ответственного лица).

Этот перечень можно дополнить. Его содержимое обязано отражать специфику подключения к сети. к примеру, имеют ли Право юзеры подключать переносные компы к локальной сети либо они должны обмениваться данными с настольным компом с помощью дискет или остальных устройств хранения данных? Если подключение ноутбуков к сети разрешено, должен ли любой из их иметь свой адресок либо получать адресок с помощью DHCP? Дальше, имеют ли Право сотрудники подключать ноутбуки к остальным сетям, скажем, к сети клиента при работе вне кабинета?

Политика подключения к сети обязана также обрисовывать функции, для выполнения которых предусмотрены определенные компы. Если в отделе быть может установлен Web- либо FTP-, полезно найти, в которой части сети его следует подключить. к примеру, комфортно расположить его в описанной ниже демилитаризованной зоне (demilitarized zone), что дозволит клиентам получать к нему доступ через Internet и в то же время не дозволит такому трафику проходить через внутреннюю сеть.

Из всего бизнес-оборудования настольные компы почаще всего употребляются не по предназначению. Это значит, что не считая выполнения функций, подходящих для работы, к примеру приложений для редактирования текстов и баз данных, комп может служить для пуска игровых и остальных программ, не имеющих ничего общего со служебными обязательствами юзера. Другому оборудованию, копировальным аппаратам либо телефонам, также нередко приходится исполнять неслужебные функции, но все таки не в таковых масштабах, как компам. При подключении к Internet вероятные злоупотребления такового рода растут неоднократно.

Так как компы владеют огромным потенциалом для злоупотребления и неверного использования, принципиально верно найти что разрешено созодать на компе, а какие деяния являются неприемлемыми. Для этого комфортно сконструировать допустимые внедрения в отдельном документе.

Рекомендуется включить в него последующие пункты:

• запрет на установку на компе всех приложений, не одобренных и не обретенных компанией, в том числе «незаконных» копий программ и условно бесплатных (shareware) программ, загруженных из Internet;
• запрет на копирование приложений, принадлежащих компании, для работы с ними в другом месте, к примеру на домашнем компе юзера;
• требование выхода юзера из системы при его отсутствии за компом. В качестве кандидатуры для защиты оставленного без присмотра компа допустимо использовать хранитель экрана с проверкой пароля;
• требование докладывать ответственному лицу о хоть какой подозрительной активности;
• запрет на применение компа либо приложений на нем для причинения беспокойства другому лицу либо угроз в отношении него;
• запрет на внедрение электрической почты в личных целях;
• запрет на пробы доступа к данным, не связанным конкретно с производственными обязательствами, время от времени именуемые зондированием сети (probing the Network).

Приведенный выше перечень также неполон. нужно составить свой перечень с учетом бизнес-окружения, в каком работает компания, обсудить политику допустимых применений с менеджерами всех подразделений, чтоб осознать, что они ждут от сети, и попробовать сделать набор правил, позволяющих юзерам делать свою работу, не нарушая сохранности сети.

2.8. Политика брандмауэра

С политикой сохранности нередко путают политику брандмауэра (Firewall policy).

Опосля разработки политики сохранности и выбора сервисов и протоколов, которым будет разрешена работа через брандмауэр, и нужных опций, можно принять решение о том, как воплотить эту политику. Межсетевой экран употребляет набор правил, определяющих, какие пакеты (в случае пакетного фильтра) либо сервисы (в случае proxy-сервера либо шлюза) будут работать через него. При всем этом выбирается одна из последующих 2-ух стратегий:

• разрешить хоть какой доступ, не нелегальный правилами;
• запретить хоть какой доступ, не разрешенный правилами.

При выбирании первой стратегии придется создавать правила, которые бы учитывали все вероятные запреты. Это не только лишь приведет к необходимости иметь огромное количество правил, да и принудит пересматривать их при возникновении всякого новейшего протокола либо сервиса, которые существующими правилами не охватываются.

2-ая стратегия проще и безопаснее. Запретив весь трафик и задав правила, разрешающие доступ через экран лишь для подходящих протоколов и сервисов, можно будет намного строже управлять брандмауэром. В схожей ситуа ции возможному нарушителю придется находить метод каким-то образом вос воспользоваться доступом в ограниченных вами критериях.

Опосля выбора стратегии следует найти, каким сервисам будет разрешено работать через межсетевой экран и в котором направлении. Следует отобрать их на базе общей политики сохранности. к примеру, если необходимо запретить за грузку программ из Internet, стоит заблокировать в межсетевом экране установку входящих соединений FTP. Если необходимо, чтоб юзеры не применяли FTP для пересылки наружу секретных данных либо про­гр, имеет смысл запретить передачу файлов пo FTP. Аналогично можно ограничивать работу с иными службами, таковыми как Telnet либо HTTP.

К примеру, если вполне запретить работу с протоколом FTP, как получать обновления и исправления программ? Разум нее создать исключение для 1-го укрепленного компа, доступ к которому будут иметь лишь определенные юзеры. Другое решение — выделить для этого комп, не присоединенный к локальной сети и выходящий в Internet через модем.

К примеру, перечень может состоять из таковых правил:

• электрическая почта может пересылаться в обоих направлениях, но обязана проходить через защищенный SMTP-сервер;

• запрещена работа всех служб, требующих установки прямого соединения меж внутренним клиентом и наружным сервером. Все разрешенные службы должны воспользоваться proxy-сервером;
• доступ к наружным узлам через Telnet разрешен лишь сотрудникам исследовательского отдела и запрещен всем остальным юзерам. Юзеры, которые могут войти в сеть снаружи, должны подключаться при помощи модема, установленного на защищенном сервере, помещенном в экранированную сабсеть;
• запрещен доступ по протоколу FTP в обоих направлениях;
• серверы DNS в экранированной сабсети делают преобразование адресов межсетевых экранов и proxy-серверов, но не клиентов во внутренней локальной сети.

Это лаконичный перечень. Его можно составить, следуя принципу запрета всего, что не разрешено.

Не считая определения разрешенных сервисов и метода их реализации (с помощью proxy-сервера либо пакетного фильтра, для всех юзеров либо лишь для избранных узлов), следует также включить в политику брандмауэра пункты задающие частоту просмотра log-файлов, настройку предупреждений и т.д.

2.9. Стратегии брандмауэра

Завершив определение требований к сохранности сети и формулирование политики сохранности, следует приступить к проектированию брандмауэра.

Выбор компонент зависит от типа служб, которые нужно предоставить юзерам локальной сети, а выбор служб — от того, как они соотносятся с действиями, разрешенными политикой сохранности.

Два главных компонента для сотворения межсетевого экрана
:

• пакетный фильтр;
• proxy-сервер.

Можно применять оба либо лишь один из их. Эти составляющие реализуются разными методами и обеспечивают различный уровень защиты. Метод стройки компонент межсетевого экрана именуется его архитектурой
.

Ha выбор предоставляется одна из последующих архитектур:

• пакетный фильтр на базе компа либо маршрутизатора;
• двухканальный шлюз;
• экранированный узел;
• экранированная сабсеть.

2.9.1. Применение пакетного фильтра

Межсетевой экран может состоять из 1-го либо нескольких маршрутизаторов либо компов с подходящим программным обеспечением использующих разные способы для разрешения либо запрета доступа в локальную сеть либо из нее. Но первым типом межсетевых экранов, который на чал обширно применяться, стал обычной экранирующий маршрутизатор (screening router), на данный момент обычно именуемый пакетным фильтром
(packet filter).

Маршрутизатор

— это сетевое устройство с несколькими интерфейса ми, присоединенное к нескольким сетям. Когда компу либо сети нужно переслать пакет компу в иной сети, он передает пакет маршрутизатору, который потом описывает лучший способ доставки данных к месту предназначения. Маршрутизатор воспринимает решение на базе адресной инфы в заголовке пакета.

Когда маршрутизатор способен найти, что пакет предназначается для узла в одной из субсетей, конкретно присоединенных к одному из его сетевых интерфейсов, пакет стремительно пересылается в подходящую сабсеть. Если маршрутизатор обнаруживает, что нужно доставить пакет в какую-то другую сеть, он передает его последующему маршрутизатору (в последующий «hop» — сектор маршрута), который может знать, как доставить пакет к месту предназначения. Если же маршрутизатору не получится отыскать последующий сектор, в который можно отпра­вить пакет, он просто откинет его и возвратит источнику соответственное сообщение ICMP «адресат недоступен».

Экранирующий маршрутизатор
— это маршрутизатор, в каком задан набор правил, устанавливающих разрешенные типы сетевого трафика, которые имеют Право проходить через присоединенные к нему сетевые интерфейсы. Иными словами, опосля того, как маршрутизатор обусловит, может ли он доставить пакет (в последующий сектор либо конечному адресату), он сверяется с набором правил, проверяя, должен ли он его передавать.

Представим, к примеру, что маршрутизатор получает от какого-нибудь узла Internet пакет с запросом на создание сеанса Telnet с узлом внутренней локальной сети. Маршрутизатор сходу же описывает, что он может доставить па кет — для этого довольно просто передать его в интерфейс, к которому подключен адресат, поместив в пакет МАС-адресок соответственного узла. Но экранирующему маршрутизатору нужно за ранее проверить пакет на соответствие правилам. В данном случае входящие Telnet-соединения должны блокироваться. Потому, узлы во внутренней локальной сети защищены от вероятного проникания нарушителя с помощью Telnet.

Главный способ фильтрации пакетов именуется
фильтрацией без памяти

(stateless packet filtering), так как любой пакет обрабатывается по отдельности — лишь на базе инфы в его заголовке. При новеньком способе фильтрации пакетов, который именуется фильтрацией с памятью

(stateful packet filtering либо stateful inspection), в памяти сохраняются сведения о состоянии текущих сеансов.

Если приобретенный пакет типо является ответом на пакет, переданный из локальной сети, пакетный фильтр с памятью инспектирует, вправду ли был изготовлен соответственный запрос. Таковым образом, при наличии фильтра с памятью возможному нарушителю будет труднее просочиться в сеть методом замены адресов пакетов.

Пакетный фильтр работает с информацией из заголовка сетевого пакета, и разные продукты могут делать фильтрацию на базе 1-го либо не скольких из последующих характеристик:

• IP-адресок отправителя и адресата;
• протокол (к примеру, TCP, UDP либо ICMP);
• порт TCP либо UDP отправителя либо адресата;
• тип сообщения (для сообщений ICMP).

Не считая того, важны не только лишь сведения, находящиеся в самом пакете, — имеет к примеру, если фильтр получает пакет по интерфейсу, присоединенному к наружной сети, а адресок от правителя соответствует локальной сети, этот пакет должен быть отброшен фильтром, так как такое сочетание для обыденных пакетов нереально.

Нередко оказывается, что фильтрацию пакетов лучше делать на компе, а не на маршрутизаторе, благодаря простоте работы с ним и способностям регистрации. Настройка маршрутизатора бывает довольно сложной задачей, в индивидуальности если при всем этом нужно задавать огромное число правил.

Изменение длинноватого набора правил может занять много времени, так как придется проверить каждое из старенькых правил, чтоб убедиться, что оно не противоречит новенькому. Маршрутизаторы обычно не имеют развитых средств для регистрации событий. Неплохой брандмауэр обеспечивает хорошие способности для этого для выдачи предупреждений, а время от времени даже и программки для анализа log-файлов.

2.9.2. Применение proxy — сервера

Пакетному фильтру приходится принимать решения лишь на базе инфы в заголовке пакета. К огорчению, заголовок содержит в главном адреса остальные данные, нужные протоколу для доставки пакета к месту предназначения через лабиринт сетей. В заголовок пакета не включены детали, которые мог ли бы посодействовать фильтру решить, следует ли пропускать пакет через межсетевой экран. к примеру, маршрутизатор может найти, что пакет предназначен для какого-то протокола, скажем, FTP. Но он не в состоянии распознать, какой это запрос получить либо передать. При всем этом не исключено, что запросы 1-го типа окажутся полностью допустимыми, а запросы другого типа для данного узла должны будут блокироваться.

Шлюз приложений

(applicationgateway)
, либо proxy-сервер

(application
proxy)
, — это программка, которая производится на брандмауэре и перехватывает трафик приложений определенного типа. Она может, к примеру, перехватить запрос юзера из локальной сети, а потом подключиться к наружному серверу от его имени. При всем этом внутренние узлы никогда не будут впрямую присоединяться к удаленным серверам. Заместо этого в качестве посредника меж клиентом и сервером выступит proxy-сер вер, передающий информацию меж ними. Преимущество такового подхода заключается в том, что proxy-сервер способен пропускать либо перекрыть трафик на базе ин формации в области данных пакета, а не только лишь в его заголовке.

В истинное время обширно всераспространена одна из форм proxy-сервера — так именуемые трансляторы сетевых адресов (Network

Address

Translator,

NAT).

Серверы этого типа увеличивают сохранность внутренней локальной сети, скрывая истинные IP-адреса в ней. В запросах к наружным серверам употребляется IР-адресок proxy-сервера. Очередное преимущество трансляции адресов, которым обоснована ее популярность, — зарегистрированный IP-адресок обязан иметь лишь proxy-сервер, а адреса клиентов во внутренней сети могут быть случайными. Так как место вольных IP-адресов Internet стремительно миниатюризируется, таковой способ весьма комфортен для расширения локальной сети, по скольку не просит получения новейшего спектра адресов от провайдера.

Недочетом proxy-серверов является их привязка к определенному приложению. Для всякого приложения либо сервиса, поддержку которых необходимо воплотить в межсетевом экране, пригодится отдельный proxy-сервер. Не считая того, нужно, чтоб клиентское программное обеспечение могло работать через proxy-сервер. Большая часть современных программ владеют таковой возможностью, потому обычно это не представляет препядствия. к примеру, Netscape Navigator и Microsoft, Internet Explorer разрешают задавать применяемые proxy-серверы.

Есть методы достигнуть работоспособности и старенькых программ, не знающих о существовании proxy-серверов. К примеру, с помощью Telnet юзер может сначала зарегистрироваться на proxy-сервере, а потом сделать сеанс связи с наружным компом. Таковой двухступенчатый способ наименее комфортен, чем прозрачный доступ, обеспечиваемый программками, которые могут работать через proxy-сервер. Чтоб приложения функционировали через proxy-серверы, используются паке ты Trusted Information Systems Firewall Toolkit (FWTK) либо SOCKS. SOCKS — это библиотека, при помощи которой создаются либо модифицируются клиенты с целью реализации их взаимодействия с proxy-сервером SOCKS. Пакет TIS Firewall Toolkit также содержит proxy-серверы для большинства обычных служб, таковых как Telnet, FTP и HTTP,

3. Практическая часть

3.1. Политика сохранности ЛВС ОК «БОР»

Цель

информация, применяемая в ЛВС ОК «БОР», является критичной для выполнения организацией собственных задач. Размер и сложность ЛВС в границах ОК «БОР» возросла и сейчас она обрабатывает критичную информацию. Из-за этого должны быть реализованы определенные меры и процедуры сохранности для защиты инфы, обрабатываемой в ЛВС ОК «БОР». ЛВС ОК «БОР», обеспечивает разделение инфы и программ меж огромным числом юзеров. Эта среда наращивает риск сохранности и просит наиболее мощных устройств защиты, чем те, что могли быть нужны при работе на раздельно стоящих ПК . Эти усиленные требования к защите в вычислительной среде ОК «БОР» послужили предпосылкой возникновения данной нам политики, которая касается использования ЛВС в ОК «БОР».
Эта Политика имеет две цели. 1-ая — выделить для всех служащих ОК «БОР» значимость сохранности в среде ЛВС ОК «БОР» и очевидно указать их роли при поддержании данной нам сохранности. 2-ая — установить определенные обязанности по обеспечению сохранности данных и инфы, и самой ЛВС ОК «БОР».

Степень детализации

Все автоматические информационные ценности и службы, которые употребляются локальной вычислительной сетью (ЛВС) ОК «БОР», охватываются данной нам политикой. Она идиентично применима к серверам ЛВС, периферийному оборудованию, автоматическим рабочим местам и индивидуальным компам (ПК ) в границах среды ЛВС ОК «БОР». Ресурсы ЛВС ОК «БОР» включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к ОК «БОР» ЛВС, включая всех служащих ОК «БОР», поставщиков и работающих по договору, которые употребляют ОК «БОР» ЛВС.

Цели

Цели программки защиты инфы заключаются в том, чтоб гарантировать целостность, доступность и конфиденциальность данных, которые должны быть довольно полными, точными, и своевременными, чтоб удовлетворять потребности ОК «БОР», не жертвуя при всем этом главными принципами, описанными в данной нам политике. Определяются последующие цели:

• Гарантировать, что в среде ЛВС ОК «БОР» обеспечивается соответственная сохранность, соответственная критичности инфы и т.д..;
• Гарантировать, что сохранность является выгодной и базирована на соотношении цены и риска, либо нужно удовлетворяет подходящим руководящим требованиям;
• Гарантировать, что обеспечена соответственная поддержка защиты данных в каждой многофункциональной области;
• Гарантировать персональную подотчетность для данных, инфы, и остальных компьютерных ресурсов, к которым осуществляется доступ;
• Гарантировать проверяемость среды ЛВС ОК «БОР»;
• Гарантировать, что служащие будут обеспечены довольно полными руководствами по распределению обязательств относительно поддержания сохранности при работе в автоматической информационной системе;
• Гарантировать, что для всех критичных функций ОК «БОР» ЛВС имеются надлежащие планы обеспечения непрерывной работы, либо планы восстановления при стихийных бедствиях;
• Гарантировать что все надлежащие федеральные и организационные законы, указы и т.д. учтены и их твердо придерживаются.

Ответственность

Последующие группы служащих несут ответственность за внедрение и достижение целей сохранности, сформулированных в данной нам политике.
1. Функциональное управление (ФР)
— те служащие, кто несет ответственность согласно своим многофункциональным обязательствам (не в области компьютерной сохранности) снутри ОК «БОР».

2. Админы ЛВС (АД)
— служащие, кто участвуют в каждодневном управлении и поддержании работоспособности ЛВС ОК «БОР». Они отвечают за обеспечение непрерывного функционирования ЛВС.
ОК «БОР»

3. Местные Админы (МА)
— служащие, которые являются ответственными за предоставление конечным юзерам доступа к нужным ресурсам ЛВС, которые расположены на серверах, входящих в их зону ответственности.


4. Конечные юзеры (П)
— являются хоть какими служащими, которые имеют доступ к ЛВС ОК «БОР». Они отвечают за внедрение ЛВС в согласовании с политикой сохранности ЛВС.

Наказания

Отказ соблюдать эту политику может подвергнуть информацию ОК «БОР» недопустимому риску утраты конфиденциальности, целостности либо доступности при ее хранении, обработке либо передаче в ЛВС ОК «БОР». Нарушения эталонов, процедур либо руководств, поддерживающих эту политику, будут привлечь внимание управления и могут привести к дисциплинарной ответственности прямо до увольнения со службы.

ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС

ОП1. Любой индивидуальный комп обязан иметь «обладателя» либо » системного админа «, который является ответственным за работоспособность и сохранность компа, и за соблюдение всех политик и процедур, связанных с внедрением данного компа. Главный юзер компа может делать эту роль. Эти юзеры должны быть обучены и обеспечены надлежащими руководствами так, чтоб они могли корректно соблюдать все политики и процедуры.
ОП2. Чтоб предупредить неавторизованный доступ к данным ЛВС, программному обеспечению, и остальным ресурсам, находящимся на сервере ЛВС, все механизмы защиты сервера ЛВС должны находиться под монопольным управлением местного админа и местного персонала Админов ЛВС.
ОП3. Чтоб предупредить распространение злостного программного обеспечения и посодействовать выполнению лицензионных соглашений о программках, юзеры должны гарантировать, что их программное обеспечение подабающим образом лицензировано и является неопасным.
ОП4. За все конфигурации(подмены) программного обеспечения и создание запасных копий данных на серверах отвечают Админы ЛВС.
ОП5. Любому юзеру должен быть назначен неповторимый ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ и исходный пароль (либо иная информация для идентификации и аутентификации), лишь опосля того, как закончено оформление соответствующей документации. Юзеры не должны вместе применять назначенные им ИДЕНТИФИКАТОРЫ ПОЛЬЗОВАТЕЛЯ.
ОП6. Юзеры должны аутентифицироваться в ЛВС перед воззванием к ресурсам ЛВС.
ОП7. ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ должен удаляться опосля длительного периода неиспользования.
ОП8. Внедрение аппаратных средств ЛВС типа мониторов / регистраторов трафика и маршрутизаторов обязано быть авторизовано и проводиться под контролем Админов ЛВС.

• Служащие, ответственные за управление, функционирование и внедрение ЛВС ОК «БОР» должны пройти курс обучения в области компьютерной сохранности и правил работы на компе.
• Обучение компьютерной сохранности обязано проводиться в рамках имеющихся программ обучения, таковых как программки ввода в строй для новейших служащих, и курсов обучения, связанных с внедрением информационных технологий.

ОП9. отчеты о сохранности должны готовиться и рассматриваться раз в день.

ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС ОК «БОР».

Юзеры
Ожидается, что юзеры отлично ознакомлены относительно политики сохранности Агентства, и остальных применимых законов, политик, указов и процедур и твердо их придерживаются. Юзеры вполне отвечают за их собственное осознание и соблюдение соответственных Федеральных законов, политик и процедур министерства, политик и процедур ОК «БОР» и остальных применимых политик сохранности и связанных с ними последствий для ЛВС ОК «БОР».
П2. Отвечают за внедрение доступных устройств сохранности для защиты конфиденциальности и целостности их своей инфы, когда это требуется.
П2.1. Следуют местным процедурами защиты критичных данных, также процедурам сохранности самой ЛВС ОК «БОР». Употребляют механизмы защиты файлов для поддержания соответственного управления доступом к файлам.
П2.2. Выбирает и употребляет отличные пароли. Употребляет FIPS 112, Внедрение Паролей как управление при выбирании не плохих паролей. Не записывает паролей, и не открывает их остальным. Не употребляет вместе идентификаторы юзеров.
П3. Отвечает за помощь остальным юзерам, кто будет не в состоянии подабающим образом применять доступные механизмы защиты. Помогает защитить Собственность остальных лиц. Уведомляет их относительно незащищенности их ресурсов (к примеру, файлов, идентификаторов).
П4. Отвечает за извещение местного админа либо члена управления о нарушении защиты либо обнаруженном отказе.
П5. Отвечает за неиспользование слабеньких мест АС.
П5.1. Не производит преднамеренного конфигурации, ликвидирования, чтения, либо передачи инфы неавторизованным методом: не мешает специально получить остальным юзерам авторизованный доступ к ресурсам ЛВС и инфы в ней.
П5.2. Предоставляет правильную информацию для идентификации и аутентификации, когда это требуется, и не пробует угадать схожую информацию для остальных юзеров.
П6. Отвечает за гарантию выполнения запасного копирования данных и программного обеспечения находящегося на твердом диске их собственного автоматического рабочего места.
П7. Отвечает за осознание механизмов работы злостного программного обеспечения, способов , при помощи которых оно вносится и распространяется, и уязвимых мест, которые употребляются злостным программным обеспечением и неавторизованными юзерами.
П8. Отвечает за познание и внедрение соответственных политик и процедур для предотвращения, обнаружения, и удаления злостного программного обеспечения.
П9. Отвечает за познание того, на что необходимо уделять свое внимание при работе в определенных системах и определенных программках, чтоб найти признаки их необыкновенной работы, и что необходимо создать либо с кем связаться для получения доборной инфы.
П10. Отвечает за внедрение программно-аппаратных средств защиты, которые доступны для защиты системы от злостного программного обеспечения.
П11. Отвечает за познание и внедрение процедур по обеспечению непрерывной работы для сдерживания и восстановления при возможных инцидентах.
2.Функциональное управление.
Функциональное управление (и управляющие наиболее высочайшего уровня) отвечают за разработку и выполнение действенных политик сохранности, которые отражают специальные цели ЛВС ОК «БОР». Они вполне отвечают за обеспечение того, что защита инфы и линий связи является и остается принципиальной и критичной целью в ежедневной деятель. А именно функциональное управление отвечает за последующее:
ФМ1. Отвечает за проведение действенного управления риском для того, чтоб обеспечить базу для формулирования разумной политики. Управление риском просит идентификации ценностей, которые необходимо защитить, определения уязвимых мест, анализа риска их использования и реализации выгодных средств защиты.
ФМ2. Отвечает за гарантию того, чтоб любой юзер получил, как минимум, копию политики сохранности и местного управления (если таковые есть в наличии ) до внесения его в списки юзеров АС.
ФМ3. Отвечает за воплощение программки обучения основам сохранности для юзеров, чтоб можно было гарантировать познание ими местной политики сохранности и правил работы на компе.
ФМ4. Отвечает за гарантию того, что весь персонал в границах операционной единицы организации понимает эту политику и отвечает за включение ее в инструктажи по компьютерной сохранности и программки обучения .
ФМ5. Отвечает за информирование местного админа и админов ЛВС о конфигурациях в статусе хоть какого служащего, который употребляет ЛВС ОК «БОР». Это изменение статуса может включать переход из организации в компанию в одном ведомстве, переход из отдела в отдел, либо окончание службы в ОК «БОР».
ФМ6. Отвечает за гарантию того, что юзеры соображают природу злостного программного обеспечения, соображают,как оно совершенно распространяется, и какие программно-аппаратные средства защиты должны употребляться против него.
3. Админы Локальной Вычислительной Сети (ЛВС)
Предполагается, что админы ЛВС (либо назначенный для этого персонал) претворяет (в части их касающейся) местные политики сохранности, потому что это соединено с применением программно-аппаратных средств защиты, архивированием критичных программ и данных, управлением доступом и защитой оборудования ЛВС. А именно, админы ЛВС отвечают за последующее:
ОУ1. Отвечают за корректное применение доступных устройств защиты для воплощения местных политик сохранности.
ОУ2. Отвечает за извещение управления о работоспособности имеющихся политик и всех технических соображениях, которые могли бы сделать лучше их эффективность.
ОУ3. Отвечает за защищенность среды ЛВС снутри организации и интерфейсов с глобальными сетями.
ОУ4. Отвечает за оперативное и действенное улаживание происшествий с компьютерной сохранностью.
ОУ4.1. Уведомляет местных админов о проникновении злодея в ЛВС , помогает остальным местным админам улаживать происшествия с сохранностью.
ОУ4.2. Сотрудничает с местными админами при выявлении нарушителя и помогает им это создать.
ОУ5. Отвечает за внедрение надежных и доступных средств аудирования для облегчения обнаружения нарушений сохранности.
ОУ6. Отвечает за проведение своевременных проверок системных журналов серверов ЛВС.
ОУ7. Отвечает за отслеживание инфы о политиках сохранности и приемах обеспечения сохранности в остальных организациях и, когда это нужно, информирование местных юзеров и извещение управления о конфигурациях либо новейших разработках.
ОУ8. Отвечает за крайнюю осторожность и правильность при применении им собственных экстраординарных возможностей и льгот. Сохранность юзеров обязана постоянно стоять на первом месте.
ОУ9. Отвечает за разработку соответственных процедур и издание инструкций по предотвращению, обнаружению, и удалению злостного программного обеспечения, соответственных руководящим принципам, содержащимся в этом документе.
ОУ10. Отвечает за своевременное создание запасных копий всех данных и программного обеспечения на серверах ЛВС.
ОУ11. Отвечает за выявление и рекомендацию пакетов программ для обнаружения и удаления злостного программного обеспечения.
ОУ12. Отвечает за разработку процедур, позволяющих юзерам докладывать о компьютерных вирусах и остальных инцидентах и отвечает за извещение потенциально затрагиваемых лиц о вероятной опасности им.
ОУ13. Отвечает за скорое извещение соответственной группы улаживания происшествий с компьютерной сохранностью обо всех инцидентах, включая выявление злостного программного обеспечения.
ОУ14. Отвечает за оказание помощи при определении источника злостного программного обеспечения и зоны его распространения.
ОУ15. Отвечает за обеспечение помощи в удалении злостного программного обеспечения.
ОУ16. Отвечает за проведение повторяющегося анализа для того, чтоб гарантировать, что соблюдаются соответствующие процедуры сохранности, включая те, которые предусмотрены для защиты от злостного программного обеспечения.
4. Местные Админы
Ожидается, что местные админы (либо назначенный персонал) будут применять доступные службы и механизмы защиты ЛВС на сервере, за который они отвечают, чтоб поддерживать и претворять в жизнь применимые политики и процедуры сохранности. А именно, местные админы отвечают за последующее:
МA1. Отвечают за управление льготами доступа всех юзеров к данным, программкам и функциям.
МA2. Отвечают за контроль за всеми связанными с защитой событиями и за расследование всех настоящих либо подозреваемых нарушений там, где это уместно. В соответственных вариантах отвечают за извещение и координацию действий с Админами ЛВС по контролю либо расследованию событий, связанных с нарушением сохранности.
МA3. Отвечает за поддержание и защиту программного обеспечения и соответственных файлов на сервере ЛВС, используя доступные механизмы и процедуры защиты.
МA4. Отвечает за сканирование сервера ЛВС антивирусным программным обеспечением через постоянные интервалы времени для гарантии того, что никакому вирусу не удалось поместиться на сервере ЛВС.
МA5. Отвечает за предназначение неповторимого ИП и исходного пароля (либо иной идентификационной и аутентификационной инфы) любому юзеру лишь опосля того, как будет оформлена соответствующая документация.
МA6. Отвечает за резвое извещение соответственного персонала группы улаживания происшествий с компьютерной сохранностью обо всех инцидентах, включая злостное программное обеспечение;
МA6.1. Уведомляет Админов ЛВС о проникновении в ЛВС , помогает остальным местным админам улаживать нарушение сохранности.
МА6.2. Сотрудничает с иными местными админами и Админами ЛВС в поиске нарушителя и помогает им это создать.
МA7. Отвечает за обеспечение помощи при выявлении источника злостного программного обеспечения и зоны его распространения.

3.2. Реализация политики сохранности организации при помощи программного пакета Firewall-1.

Разглядим процесс практической реализации политики сохранности организации при помощи программного пакета Firewall-1. (рис. 3.2.1.)

1. До этого всего, как уже отмечалось, разрабатываются и утверждаются на уровне управления организации правила политики сохранности.

2. Опосля утверждения эти правила нужно воплотить в жизнь. Для этого их необходимо перевести в структуру типа «откуда, куда и каким методом доступ разрешен либо, напротив, запрещен. Такие структуры, как мы уже знаем, просто переносятся в базы правил системы FireWall-1.

3. Дальше, на базе данной нам базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии дальше переносятся на физические составляющие сети, опосля что правила политики сохранности «вступают в силу».

4. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им отдали приказ выслеживать, а, также, запускают механизмы «волнения», требующие от админа незамедлительной реакции.

5. На базе анализа записей, изготовленных системой, отдел компьютерной сохранности организации может разрабатывать предложения по изменению и предстоящему развитию политики сохранности.

Разглядим обычной пример реализации последующих правил.

1. Из локальных сетей подразделений, удаленных, разрешается связь с хоть какой локальной сетью организации опосля аутентификации по какому-то паролю.

2. Всем запрещается доступ к сети денежного департамента, кроме генерального директора и директора этого департамента.

3. Из Internet разрешается лишь отправлять и получать почту. Обо всех остальных попытках связи нужно созодать подробную запись.

Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил Firewall-1 (рис. 3.2.2.).

Опосля загрузки правил, Firewall-1 для всякого пакета, передаваемого по сети, поочередно просматривает перечень правил до нахождения элемента, соответственного текущему случаю.

Принципиальным моментом является защита системы, на которой расположен административно-конфигурационный модуль Firewall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине, либо по последней мере строго ограничить перечень юзеров, которым это разрешено, также принять меры по физическому ограничению доступа и по защите обыкновенными средствами ОС

На рис. 3.2.3. показаны главные элементы управления системой Firewall-1.

Слева размещены редакторы баз данных о объектах, имеющихся в сети и о протоколах либо сервисах, при помощи которых происходит обмен информацией. Справа вверху показан редактор правил доступа.

Справа понизу размещается интерфейс контроля текущего состояния системы, в каком для всех объектов, которые внес туда админ, показываются данные о количестве разрешенных коммуникаций (галочки), о количестве отвергнутых связей (символ «кирпич») и о количестве коммуникаций с регистрацией (иконка карандаш). Кирпичная стенка за эмблемой объекта (компа) значит, что на нем установлен модуль фильтрации системы FireWall-1.

Разглядим сейчас вариант, когда начальная конфигурация сети изменяется, а совместно с ней изменяется и Политика сохранности.

Пусть мы решили установить у себя в организации несколько общедоступных серверов для предоставления информационных услуг. Это могут быть, к примеру, серверы World Wide Web, FTP либо остальные информационные серверы. Так как такие системы обособлены от работы всей остальной сети организации, для их нередко выделяют свою свою сабсеть, имеющую выход в Internet через шлюз (рис. 3.2.4).

Так как в прошлом примере локальная сеть была уже защищена, то все, что нам нужно создать, это просто разрешить соответственный доступ в выделенную сабсеть. Это делается при помощи одной доборной строчки в редакторе правил, которая тут показана. Таковая ситуация является обычной при изменении конфигурации Firewall-1. Обычно для этого требуется изменение одной либо маленького числа строк в наборе правил доступа, что, непременно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры Firewall-1.

3.3.Главные индивидуальности FIREWALL-1

Остановимся еще на неких способностях Firewall-1.

3.3.1. АУТЕНФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ С FTP

FireWall-1 дозволяет админу установить разные режимы работы с интерактивными сервисами FTP и telnet для разных юзеров и групп юзеров. При установленном режиме аутентификации, Firewall-1 подменяет обычные FTP и telnet бесы UNIX на свои собственные, располагая их на шлюзе, закрытом при помощи модулей фильтрации пакетов. юзер, желающий начать интерактивную сессию по FTP либо telnet (это должен быть разрешенный юзер и в разрешенное для него время), в состоянии сделать это лишь через вход на таковой шлюз, где и производится вся процедура аутентификации. Она задается при описании юзеров либо групп юзеров и может проводиться последующими методами:

• unix-пароль;
• программка S/Key генерации разовых паролей;
• карточки SecurID с аппаратной генерацией разовых паролей.

3.3.2. ГИБКИЕ АЛГОРИТМЫ ФИЛЬТРАЦИИ UDP-ПАКЕТОВ, ДИНАМИЧЕСКОЕ ЭКРАНИРОВАНИЕ

UDP-протоколы, входящие в состав набора TCP/IP, представляют собой необыкновенную делему для обеспечения сохранности. С одной стороны на их базе сотворено огромное количество приложений. С иной стороны, они все являются протоколами «без состояния», что приводит к отсутствию различий меж запросом и ответом, приходящим снаружи защищаемой сети.

Пакет Firewall-1 решает эту делему созданием контекста соединений поверх UDP сессий, запоминая характеристики запросов. Пропускаются вспять лишь ответы наружных серверов на высланные запросы, которые совершенно точно различаются от всех остальных UDP-пакетов (читай: нелегальных запросов), так как их характеристики хранятся в памяти Firewall-1.

Необходимо подчеркнуть, что данная возможность находится в очень немногих программках экранирования, распространяемых в реальный момент.

Заметим также, что подобные механизмы задействуются для приложений, использующих RPC, и для FTP сеансов. тут появляются подобные препядствия, связанные с динамическим выделением портов для сеансов связи, которые Firewall-1 выслеживает аналогичным образом, запоминая нужную информацию при запросах на такие сеансы и обеспечивая лишь «легитимный» обмен данными.

Данные способности пакета FireWall-1 резко выделяют его посреди всех других межсетевых экранов. В первый раз неувязка обеспечения сохранности решена для всех без исключения сервисов и протоколов, имеющихся в Internet.

Заключение.

Составление грамотной политики сохранности, обхватывающей все вероятные опасности информационной сохранности, является одной из основных задач, а определенная ее реализация может употребляться при помощи разных программных товаров. Адекватный уровень информационной сохранности в современной организации быть может обеспечен лишь на базе всеохватывающего подхода, реализация которого начинается с разработки и внедрения действенных политик сохранности. Действенные политики сохранности определяют нужный и достаточный набор требований сохранности, позволяющих уменьшить опасности информационной сохранности до применимой величины. Они оказывают малое воздействие на производительность труда, учитывают индивидуальности действий в организации, поддерживаются управлением, позитивно воспринимаются и исполняются сотрудниками организации. Для того, чтоб Политика сохранности оставалась действенной, нужно производить непрерывный контроль ее выполнения, увеличивать осведомленность служащих организации в вопросцах информационной сохранности и учить их выполнению правил, предписываемых политикой сохранности. Постоянный пересмотр и корректировка правил политики сохранности нужны для поддержания ее в животрепещущем состоянии. Составление грамотной политики сохранности, обхватывающей все вероятные опасности информационной сохранности, является одной из основных задач, а определенная ее реализация может употребляться при помощи разных программных товаров.

Перечень литературы

1. В.А. Семененко, Н.В. Федоров Программно-аппаратная защита инфы. Учебное пособие. — М.: МГИУ, 2007 -340 с.

2. В.А. Семененко, Н.В. Федоров Компьютерная сохранность. Учебное пособие. — М.: МОСУ, 2006 — 356 с.

3. О.Н. Сергеев, Н.В. Федоров Компьютерная защита инфы. Учебное пособие. — М.: МГГУ, 2007 — 179 с.

4. А. Ю. Щербаков Компьютерная сохранность. Теория и практика. — М.: Молгачева С.В., 2001, 352 с.

5. HTTP://www.bre.ru

6. http://www.diwaxx.ru

7. http://www.zahist.narod.ru

8. HTTP://www.citforum.ru

Глоссарий

Аутентификация
– процедура входа в систему с предоставлением идентификацию остальных юзеров, с которым они разговаривают.

брандмауэр
— это система либо композиция систем, дозволяющие поделить сеть на две либо наиболее частей и воплотить набор правил, определяющих условия прохождения пакетов из одной части в другую. Обычно, эта граница проводится меж локальной сетью компании и INTERNET, хотя ее можно провести и снутри локальной сети компании.

Веб-серфинг
(Internet surfing, серфинг, surfing) — посещение Интернет-сайтов, поиск инфы в сети Веб.

Межсетевой экран
(Firewall) — это устройство контроля доступа в сеть, созданное для блокировки всего трафика, кроме разрешенных данных.

веб-провайдер
, время от времени просто провайдер
, (англ. Internet Service Provider, ISP, букв. «поставщик веб-услуги») — организация, предоставляющая услуги доступа к Вебу и другие связанные с Вебом услуги.

Сервер
– это техническое решение, которое предоставляет огромному количеству компов доступ к файлам, данным, ресурсам принтеров и факсов и все такое.

Смарт-карты
(англ. Smart card) представляют собой пластмассовые карты со интегрированной микросхемой (ICC, integrated circuit(s) card — карта с вставленными электрическими схемами). Почти всегда смарт-карты содержат правило, владеют возможностью проводить криптографические вычисления.

Учётная запись
— запись, содержащая сведения, которые юзер докладывает о для себя некой компьютерной системе.

хост
– это неважно какая единица компьютерной техники, которая подключена к компьютерной сети. Хостом быть может , комп и т.д. Чтоб обозначить имя хоста, употребляется его сетевое имя – это для локальной сети, либо IP-адресок либо доменное имя если мы говорим о Вебе.

FTP
(англ.
– протокол передачи файлов) — протокол, созданный для передачи файлов в компьютерных сетях. FTP дозволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера либо на .

Сетевой адаптер
– устройство, служащее для подключения компа к локальной сети. Сетевой адаптер контролирует доступ к среде передачи данных и обмен данными меж единицами сети.

Сетевой шлюз
– аппаратный маршрутизатор (англ.
) либо программное обеспечение для сопряжения компьютерных сетей, использующих различные протоколы (к примеру, локальной и глобальной).

Политика информационной сохранности
– совокупа правил, определяющих и ограничивающих виды деятель объектов и участников, системы информационной сохранности.

Сетевой коммутатор
либо свитч
(жарг. от англ.
– переключатель) – устройство, созданное для соединения нескольких узлов компьютерной сети в границах 1-го сектора.

Маршрутизатор
либо
,
(от англ.
) — сетевое устройство, на основании инфы о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня (уровень 3 модели OSI) меж разными секторами сети.

В терминологии сетей TCP/IP маской сабсети
либо маской сети
именуется битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая – к адресу самого узла в данной нам сети.

домен – определенная зона в системе доменных имён веб, выделенная обладателю домена (какой-нибудь стране, интернациональной организации, региону, юридическому либо физическому лицу) для целей обеспечения доступа к предоставляемой в Вебе инфы, принадлежащей обладателю домена. Тут доменом именуется группа ресурсов информационной сети, которые работают либо под одним компом, либо под одной сетевой рабочей машинкой либо сетевым узлом. Примеры доменов: .ru, .com, .org и т.д.

идентификация
– присвоение субъектам и объектам идентификатора и (либо) сопоставление идентификатора с списком присвоенных идентификаторов. к примеру идентификация по штрихкоду.

Тестовые вопросцы

1. Что такое Политика сохранности компании?

Совокупа руководящих принципов, правил, процедур и практических приемов в области сохранности, которые регулируют управление, защиту и распределение ценной инфы;

Совокупа программных средств;

документ, зафиксированный на вещественном носителе.

2. способ оценки информационной сохранности «исследование снизу ввысь» подразумевает:

анализ схемы хранения и обработки инфы;

Проверка вероятных атак;

3. Политика допустимого использования описывает:

Права и ответственность служащих компании за защиту секретной инфы;

Методы удаленного соединения с информационной системой;

Правила допустимого использования веб-ресурсов.

4. Политика сохранности периметра описывает:

порядок и правила получения привилегированного доступа к системам сохранности периметра сети компании;

Функцию инициации и обработки запросов на изменение конфигурации систем сохранности сети;

Правила и порядок сотворения и конфигурации паролей служащих компании;

порядок и периодичность проверки конфигурации системы сохранности сети.

5. Модель нарушителя – это:

Группы нарушителей;

Цели нарушителей;

Типовые сценарии вероятных действий нарушителей.

6. Содержательная модель нарушителей – это:

Формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей;

Классификационные типы совершаемых нарушителями акций с конкретизацией алгоритмов и шагов;

Система принятых управлением объекта взглядов на материк возможных нарушителей.

7. 2-ой уровень способностей нарушителей подразумевает:

Возможность управления функционированием автоматической системы;

Создание и пуск собственных программ с новенькими функциями по обработке данных;

Пуск задач (программ) из фиксированного набора.

8. К политике сохранности среднего уровня относятся:

Вопросцы, касающиеся отдельных качеств информационной сохранности;

Решения, затрагивающие компанию в целом;

Вопросцы, рассматривающие определенные сервисы.

9. Обязанности админов локальной сети:

Организовать обучение персонала мерам сохранности;

Обеспечить защиту оборудования локальной сети, в т.ч. интерфейсов с иными сетями;

Смотреть за новостями в области информационной сохранности, информировать о их юзеров и управление;

Проводить анализ рисков, выявляя уязвимые места систем и выбирая действенные средства защиты.

10. В реализации политики сохранности организации при помощи программного пакета Firewall-1, к уровню отдела компьютерной сохранности относится:

Создание правил доступа;

Распределение исполнимых кодов;

Регистрация событий и волнения;

анализ событий, создание отчетов и предложений.

]]>