Дина Погонышева - Безопасность информационных систем. Учебное пособие

Средства защиты сети

Если локальная сеть организации или персональный компьютер пользователя имеют выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проникновения в систему извне (используя подобранный или украденный пароль, уязвимости программного обеспечения и т. д.), перехват и подмена данных, передаваемых в сеть или получаемых из сети – это перечень наиболее распространенных угроз.

Существует ряд средств, методов и технологий защиты информации, учитывающих специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений.

Межсетевые экраны

Межсетевой экран (брандмауэр, файрвол) – комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер – это программа или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например,

Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT – Network Address Translation). Когда какой-то узел внутренней сети хочет передавать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).

Существует ряд классификаций межсетевых экранов по различным критериям:

1. В зависимости от охвата контролируемых потоков данных.

• Традиционный межсетевой экран – программа, установленная на шлюзе (сервере переедающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Основная задача такого брандмауэра – предотвращение несанкционированного доступа во внутреннюю сеть организации.

• Персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.

• Работающие на сетевом уровне – фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором.

• Работающие на сеансовом уровне – отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP. Такие пакеты часто используются в злонамеренных операциях: сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т. д.

• Работающие на уровне приложений – фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Передача потенциально опасной и нежелательной информации блокируется на основании политик и настроек.

3. В зависимости от отслеживания активных соединений.

• Stateless (простая фильтрация) – не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил.

• Stateful (фильтрация с учетом контекста) – отслеживают текущие соединения и пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Популярные брандмауэры, реализованные в виде прикладных программ.

1. Outpost Firewall Pro. Персональный брандмауэр, обладает следующими функциональными возможностями:

• предотвращение несанкционированного доступа к данным;

• сокрытие присутствия защищаемой системы в сети (таким образом она делается «невидимой» для взломщиков);

• анализ входящих почтовых сообщений и блокировка потенциально опасных;

• мониторинг и анализ сетевой активности системы;

• блокировка доступа к «запрещенным» сайтам.

2. Zone Alarm Pro. Брандмауэр с гибко настраиваемыми функциональными возможностями, включающими:

• фильтр приложений, позволяющий устанавливать права для каждой программы, используемой в сети;

• поддержку цифровой подписи;

• подробный лог-файл событий и средства для его анализа, с последующей выдачей текстовых и графических отчетов;

• настраиваемый контроль cookies;

• механизм мгновенной автоматической или ручной блокировки доступа приложений к Интернет;

• автоматическую проверку вложений электронной почты.

Виртуальные частные сети (VPN)

Виртуальная частная сеть (VPN) – логическая сеть, создаваемая поверх другой сети, чаще всего Интернет. Все данные, передающиеся между узлами этой сети, шифруются. Поэтому, хотя физически данные передаются по публичным сетям с использованием небезопасных протоколов, по сути, VPN представляет собой закрытые от посторонних каналы обмена информацией.

Канал между двумя узлами, защищенный за счет шифрования проходящего по нему трафика, называется туннелем .

Выделяют два основных класса VPN:

1. Защищенные. Наиболее распространенный вариант. C его помощью на основе ненадежной сети (как правило, Интернета) создается надежная и защищенная подсеть. Примером защищенных VPN являются: IPSec, OpeN VPN и PPTP (протокол тунеллирования от точки к точке).

2. Доверительные. Используются для создания виртуальной подсети в рамках другой, надежной и защищенной сети, т. е. задача обеспечения безопасности информации не ставится. К доверительным VPN относятся протоколы MPLS и L2TP.

По архитектуре технического решения выделяют следующие классы VPN:

1. Внутрикорпоративные. Предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными связями, включая выделенные линии.

2. VPN с удаленным доступом. Предназначены для обеспечения защищенного удаленного доступа мобильных или удаленных сотрудников компаний к корпоративным информационным ресурсам.