| Назва: | Захист інформації в Інтернет |
| Розмiр: | 3,07 MB |
| Надіслав(ла): | Black Raven |
| Опис: | ТК ТДТУ, Тхір І.Л. /дипломна робота/ |
| Скачувань: | 4331 |
Нехай ми вирішили установити в себе в організації кілька загальнодоступних серверів для надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP чи інші інформаційні сервери. Оскільки такі системи відособлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну подсеть, що має вихід у Internet через шлюз (мал. 2.2.6).
Малюнок 2.2.6
Малюнок 2.2.6 Схема шлюзу Internet.
Оскільки в попередньому прикладі локальна мережа була вже захищена, те усе, що нам треба зробити, це просто дозволити відповідний доступ у виділену подсеть. Це робиться за допомогою одного додаткового рядка в редакторі правил, що тут показана. Така ситуація є типової при зміні конфігурації FireWall-1. Звичайно для цього потрібно зміна однієї чи невеликого числа рядків у наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурування і загальну продуманість архітектури FireWall-1.
АУТЕНФИКАЦІЯ КОРИСТУВАЧІВ ПРИ РОБОТІ З FTP
Solstice FireWall-1 дозволяє адміністратору установити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall-1 заміняють стандартні FTP і telnet демони UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, що бажає почати інтерактивну сесію по FTP чи telnet (це повинено бути дозволений користувач і в дозволене для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентифікації. Вона задається при описі чи користувачів груп користувачів і може проводитися такими способами:
• Unix-пароль;
• програма S/Key генерації одноразових паролів;
• картки SecurID з апаратною генерацією одноразових паролів.
ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-ПАКЕТІВ, ДИНАМІЧНЕ ЕКРАНУВАННЯ
UDP-протоколи, що входять до складу набору TCP/IP, являють собою особливу проблему для забезпечення безпеки. З однієї сторони на їхній основі створена безліч додатків. З іншого боку, усі вони є протоколами “без стану”, що приводить до відсутності розходжень між запитом і відповіддю, що приходить мережі, що ззовні захищається.
Пакет FireWall-1 вирішує цю проблему створенням контексту з'єднань поверх UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, що однозначно відрізняються від будь-яких інших UDP-пакетів (читай: незаконних запитів), оскільки їхні параметри зберігаються в пам'яті FireWall-1.
Слід зазначити, що дана можливість присутня в дуже деяких програмах екранування, розповсюджуваних у даний момент.
Помітимо також, що подібні механізми задіються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, зв'язані з динамічним виділенням портів для сеансів зв'язку, що FireWall-1 відслідковує аналогічним образом, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки “законний” обмін даними.
Дані можливості пакета Solstice FireWall-1 різко виділяють його серед всіх інших межсіткових екранів. Уперше проблема забезпечення безпеки вирішена для усіх без винятку сервісів і протоколів, що існують у Internet.
МОВА ПРОГРАМУВАННЯ
Система Solstice FireWall-1 має власну вбудовану об’єктно-орієнтовану мову програмування, застосовувану для опису поводження модулів-фільтрів системи. Власне кажучи, результатом роботи графічного інтерфейсу адміністратора системи є згенерований сценарій роботи саме на цій внутрішній мові. Він не складний для розуміння, що допускає безпосереднє програмування на ньому. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично усе, що потрібно.
ПРОЗОРІСТЬ І ЕФЕКТИВНІСТЬ
FireWall-1 цілком прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall-1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережевих швидкостях передачі інформації, що обумовлено компіляцією згенерованих сценаріїв роботи перед підключенням їхній безпосередньо в процес фільтрації.
Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзі, зконфігуровані типовим для багатьох організацій чином, працюючи на швидкостях звичайного Ethernet у 10 Мб/сек, забирають на себе не більш 10% обчислювальної потужності процесора SPARCstation 5,85 Мгц чи комп'ютера 486DX2-50 з операційною системою Solaris/x86.
Solstice FireWall-1 - ефективний засіб захисту корпоративних мереж і їхніх сегментів від зовнішніх погроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.
Solstice FireWall-1 забезпечує високорівневу підтримку політики безпеки організації стосовно всіх протоколів сімейства TCP/IP.
Малюнок 2.2.6
Малюнок 2.2.6 Схема шлюзу Internet.
Оскільки в попередньому прикладі локальна мережа була вже захищена, те усе, що нам треба зробити, це просто дозволити відповідний доступ у виділену подсеть. Це робиться за допомогою одного додаткового рядка в редакторі правил, що тут показана. Така ситуація є типової при зміні конфігурації FireWall-1. Звичайно для цього потрібно зміна однієї чи невеликого числа рядків у наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурування і загальну продуманість архітектури FireWall-1.
АУТЕНФИКАЦІЯ КОРИСТУВАЧІВ ПРИ РОБОТІ З FTP
Solstice FireWall-1 дозволяє адміністратору установити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall-1 заміняють стандартні FTP і telnet демони UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, що бажає почати інтерактивну сесію по FTP чи telnet (це повинено бути дозволений користувач і в дозволене для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентифікації. Вона задається при описі чи користувачів груп користувачів і може проводитися такими способами:
• Unix-пароль;
• програма S/Key генерації одноразових паролів;
• картки SecurID з апаратною генерацією одноразових паролів.
ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-ПАКЕТІВ, ДИНАМІЧНЕ ЕКРАНУВАННЯ
UDP-протоколи, що входять до складу набору TCP/IP, являють собою особливу проблему для забезпечення безпеки. З однієї сторони на їхній основі створена безліч додатків. З іншого боку, усі вони є протоколами “без стану”, що приводить до відсутності розходжень між запитом і відповіддю, що приходить мережі, що ззовні захищається.
Пакет FireWall-1 вирішує цю проблему створенням контексту з'єднань поверх UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, що однозначно відрізняються від будь-яких інших UDP-пакетів (читай: незаконних запитів), оскільки їхні параметри зберігаються в пам'яті FireWall-1.
Слід зазначити, що дана можливість присутня в дуже деяких програмах екранування, розповсюджуваних у даний момент.
Помітимо також, що подібні механізми задіються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, зв'язані з динамічним виділенням портів для сеансів зв'язку, що FireWall-1 відслідковує аналогічним образом, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки “законний” обмін даними.
Дані можливості пакета Solstice FireWall-1 різко виділяють його серед всіх інших межсіткових екранів. Уперше проблема забезпечення безпеки вирішена для усіх без винятку сервісів і протоколів, що існують у Internet.
МОВА ПРОГРАМУВАННЯ
Система Solstice FireWall-1 має власну вбудовану об’єктно-орієнтовану мову програмування, застосовувану для опису поводження модулів-фільтрів системи. Власне кажучи, результатом роботи графічного інтерфейсу адміністратора системи є згенерований сценарій роботи саме на цій внутрішній мові. Він не складний для розуміння, що допускає безпосереднє програмування на ньому. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично усе, що потрібно.
ПРОЗОРІСТЬ І ЕФЕКТИВНІСТЬ
FireWall-1 цілком прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall-1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережевих швидкостях передачі інформації, що обумовлено компіляцією згенерованих сценаріїв роботи перед підключенням їхній безпосередньо в процес фільтрації.
Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзі, зконфігуровані типовим для багатьох організацій чином, працюючи на швидкостях звичайного Ethernet у 10 Мб/сек, забирають на себе не більш 10% обчислювальної потужності процесора SPARCstation 5,85 Мгц чи комп'ютера 486DX2-50 з операційною системою Solaris/x86.
Solstice FireWall-1 - ефективний засіб захисту корпоративних мереж і їхніх сегментів від зовнішніх погроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.
Solstice FireWall-1 забезпечує високорівневу підтримку політики безпеки організації стосовно всіх протоколів сімейства TCP/IP.
Новости загрузка новостей...