Проблемы информационной безопасности современных компьютерных сетей организаций

Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.

По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

Актуальность и важность проблемы обеспечения информационной

безопасности обусловлены следующими факторами:

• Современные уровни и темпы развития средств ИБ значительно отстают от уровней и темпов развития информационных технологий.

• Высокие темпы роста парка ПК, применяемых в разнообразных сферах человеческой деятельности.

• Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных.

Доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем.

• Значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средства автоматизации;

По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде – текстовых файлах, таблицах, базах данных.

• Многочисленные уязвимости в программных и сетевых платформах;

Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности. Пока не будут решены эти и многие другие проблемы, недостаточный уровень ИБ будет серьезным тормозом в развитии информационных технологий.

• Бурное развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, осуществлять нападение на корпоративную сеть.

• Современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.

Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации.

Реализация той или иной угрозы безопасности может преследовать следующие цели:

• нарушение конфиденциальности информации;

• нарушение целостности информации. Потеря целостности информации - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации;

• нарушение (частичное или полное) работоспособности КСО (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов КСО, их модификация или подмена могут привести к получению неверных результатов, отказу КСО от потока информации или отказам при обслуживании.

Поэтому обеспечение ИБ компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Корпоративная информационная система (сеть) - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об Электронно-цифровой подписи).

Компьютерные сети организации (КСО) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения ИБ является центральной для таких компьютерных систем. Обеспечение безопасности КСО предполагает организацию противодействия любомунесанкционированному вторжению в процесс функционирования КСО, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КСО – аппаратных средств, программного обеспечения, данных и персонала.

Комплексный подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным для создания защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально этические, организационные, программные и технические способы обеспечения информационной безопасности. Комплексный подход позволил объединить целый ряд автономных систем путем их интеграции в так называемые интегрированные системы безопасности.

Методы решения задач обеспечения безопасности очень тесно связаны с уровнем развития науки и техники и, особенно, с уровнем технологического обеспечения.

Вопросы информационных безопасности интернет – сервисов

Всемирная паутина WorldWideWeb

WWW стала одной из основных причин взрывного расширения Интернет в последние годы. Причиной ее популярности стала возможность интерактивного доступа к данным разных типов, в том числе гипертексту, графике, аудио, видео и т.д. Worldwideweb представляет собой множество HTTP-серверов в Интернет.

Проблемы безопасности HTTP-клиентов связаны с их расширяемостью.Поскольку web-серверы предоставляют данные во многих форматах, то для воспроизведения различных форматов браузеры вызывают внешние приложения. Например, для просмотра файла формата MicrosoftWord, браузер вызовет MicrosoftWord. Как правило, браузеры предупреждают пользователя о том, что для открытия файла будет вызвана внешняя программа и требуют подтверждения. При том что многие форматы данных могут включать исполняемый код, как, например, макросы в документах MicrosoftWord и MicrosoftExcel, простой просмотр с виду безобидных материалов может привести к исполнению произвольного кода на машине пользователя от его имени.

Следует также принимать во внимание существование “активных компонент” (activecontent), таких как Java-апплеты, Javascript, ActiveX и т.п., которые также содержат код, выполняемый от имени пользователя.

Простого решения проблем безопасности, связанных с активными компонентами и другим исполняемым кодом, загружаемым, из www не существует. Методы борьбы с проблемами включают в себя обучение пользователей и объяснение им проблем безопасности, связанных с загружаемым из сети исполняемым кодом, своевременное обновление клиентского ПО для исправления замеченных в нем ошибок и т.п.

Электронная почта

Электронная почта является широко распространенной и интенсивно используемой службой.

Основные проблемы, связанные с электронной почтой:

• подделка электронной почты. Адрес отправителя письма может быть легко подделан. Подделка электронной почты может использоваться для атак типа "socialengineering". Например, пользователь получает письмо якобы от системного администратора с просьбой сменить пароль на указанный в письме.

• передача исполняемого кода в почтовых сообщениях. Электронная почта позволяет передавать данные разных типов, в том числе программы, а также документы, содержащие макросы.

• перехват почтовых сообщений. Электронная почта передается через Интернет в незашифрованном виде и может быть перехвачена и прочитана.

• Спам. Спамом называется массовая рассылка сообщений рекламного характера. В отличие от обычной рекламы на телевидении или радио, за которую платит рекламодатель, оплата передачи спама ложится на получателя.

• ошибки в программном обеспечении почтовых серверов. Серверы электронной почты (SMTP, POP3, IMAP) печально известны множеством ошибок, приводившим к взлому систем.

FTP - протокол передачи файлов

Протокол FTP используется для передачи файлов. Большинство web-браузеров прозрачно поддерживают FTP. Можно также использовать специальные FTP-клиенты.

Основной проблемой, как и в случае www, являются программы, выкачиваемые и устанавливаемые пользователями, которые могут носить вредоносный характер.

DNS - доменная система имен

DNS - доменная система имен - производит преобразование имен в адреса и наоборот. Все программы, которые используют для обращения к удаленным хостам имена, являются DNS-клиентами. В этом смысле, практически любая программа, использующая IP-сети, включая web-браузеры, клиентские почтовые программы, FTP-клиенты, и т.п. используют DNS. Таким образом, DNS является основополагающей службой, которую используют другие службы для своей работы.

DNS работает следующим образом: клиент посылает запрос локальному серверу. Сервер проверяет, есть ли у него эта информация в кэше, и если нет, DNS-сервер запрашивает другие DNS-сервера по очереди, чтобы получить ответ на запрос клиента. Когда DNS-сервер получает ответ, или решает, что ответ получить нельзя, он кэширует полученную информацию и передает ответ клиенту.

Проблемы безопасности DNS:

• Раскрытие информации. DNS может сообщить потенциальному взломщику больше информации, чем следует, например имена и адреса внутренних серверов и рабочих станций.

• DNS spoofing. Вкратце, суть атаки в следующем: атакуемый хост разрешает доступ к некоторой своей службе доверяемому хосту с известным именем. Взломщик желает обмануть хост представившись ему доверяемым хостом. Для этого взломщику необходимо контролировать обратную зону (преобразующую IP-адреса в имена) к которой относится хост, с которого проводится атака. Прописав в ней соответствие своему IP-адресу имени доверяемого хоста, взломщик получает доступ к сервису, предоставляемому доверяемому хосту. Реализуется следующий сценарий: взломщик устанавливает соединение на атакуемый хост. Атакуемый хост, чтобы убедиться, что запрос исходит от доверяемого хоста, запрашивает у DNS имя по IP-адресу. Поскольку авторитетным сервером для зоны, к которой относится IP-адрес взломщика, является сервер взломщика, запрос адресуется к нему. Он в ответ сообщает имя доверяемого хоста.

• CachePoisoning. Атака базируется на следующем свойстве: когда один DNS-сервер обращается к другому с запросом, отвечающий сервер, помимо запрашиваемой информации может сообщать дополнительную информацию.

• Ошибки в программном коде DNS-сервера.
  Прочие Интернет - сервисы.

 Методы защиты компьютерной сети организации от НСД из сети Интернет. Применение межсетевых экранов

Существует несколько подходов к решению проблемы защиты КСО подключенной к сети Интернет от НСД. Первый подход состоит в усиления защиты всех имеющихся систем, открытых к доступу из Интернет. Этот подход называется "безопасность на уровне хоста". Он может включать в себя обучение пользователей и администраторов систем работе в более недружелюбной среде, ужесточение политики парольной защиты или введение не парольных методов аутентификации, ужесточение правил доступа к системам, ужесточение требований к используемому ПО, в том числе операционным системам, и регулярная проверка выполнения всех введенных требований.

У этого подхода есть несколько недостатков:

• для пользователей усложняются процедуры работы в системе. Это может привести к снижению производительности пользователей, а также к их недовольству.

• на администраторов системы ложится очень существенная дополнительная нагрузка по поддержке системы.

• требования защиты могут противоречить требованиям использования системы и одним из них придется отдать предпочтение в ущерб другим.

Достоинством этого подхода является то, что помимо проблемы защиты от "внешнего врага" он также решает проблему внутренней безопасности системы. Поскольку значительная часть инцидентов, связанных с безопасностью, исходит от сотрудников или бывших сотрудников компаний, этот подход может весьма эффективно повысить общую безопасность системы.

Второй подход является наиболее радикальным. В нем рабочая сеть компании физически не соединена с Интернет. Для взаимодействия с Интернет используется одна или несколько специально выделенных машин, не содержащих никакой конфиденциальной информации. Достоинства этого подхода очевидны: поскольку рабочая сеть не соединена с Интернет, угроза НСД из сети Интернет для нее отсутствует в принципе. В то же время, этот подход имеет ограничения и недостатки. Ограничением является отсутствие доступа к Интернет с рабочих мест сотрудников. Недостатки этого подхода проистекают из наличия незащищенных систем, подключенных кИнтернет, которые могут подвергаться атакам типа "отказ в обслуживании", и краже услуг.

Третий подход, называемый "безопасность на уровне сети" состоит во введении средств ограничения доступа в точке соединения сетей. Этот подход позволяет сконцентрировать средства защиты и контроля в точках соединения двух и более сетей, например в точке соединения КСО с Интернет. В этой точке находится специально выделенная система - межсетевой экран - которая и осуществляет контроль над информационным обменом между двумя сетями и фильтрует информацию в соответствии с заданными правилами, определяемыми политикой безопасности компании. Весь обмен данными, происходящий между сети Интернет и внутренней сетью, проходит через межсетевой экран.Единственная система, выполняющая роль межсетевого экрана, может защитить от несанкционированного доступа десятки и сотни систем, скрытых за ней, без наложения на них дополнительных требований к безопасности. Достоинствами этого подхода является концентрация средств защиты и контроля в одной точке, минимальное изменение внутренних процедур работы пользователей с информационной системой, сравнительно большая простота администрирования и больший уровень защиты. Ограничением этого подхода является то, что он предназначен исключительно для защиты от внешних угроз, исходящих от удаленных взломщиков.

Архитектуры межсетевых экранов

Межсетевое экраны могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Ниже описываются типичные архитектуры межсетевого экрана и приводят примеры политик безопасности для них.

Хост, подключенный к двум сегментам сети

Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.

Межсетевой экран на основе хоста, подключенного к двум сегментам сети - это межсетевой экран с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая - с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из не доверенной сети в доверенную – межсетевой экран всегда должен быть при этом промежуточным звеном.

Маршрутизация должна быть отключена на межсетевом экране такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.

Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к сети Интернет.

Экранированный хост

При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.

Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между компьютерной сетью организации и сети Интернет.

Экранированная подсеть

Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.

Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.

Классификация межсетевых экранов

Межсетевые экраны являются устройствами или системами, которые управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. В большинстве современных приложений межсетевые экраны и их окружения обсуждаются в контексте соединений в Интернете и, следовательно, использования стека протоколов TCP/IP. Однако межсетевые экраны применяются и в сетевых окружениях, которые не требуют обязательного подключения к Интернету. Например, многие корпоративные сети предприятия ставят межсетевые экраны для ограничения соединений из, и во внутренние сети, обрабатывающие информацию разного уровня чувствительности, такую как бухгалтерская информация или информация о заказчиках. Ставя межсетевые экраны для контроля соединений с этими областями, организация может предотвратить неавторизованный доступ к соответствующим системам и ресурсам внутри чувствительных областей. Тем самым, использование межсетевого экрана обеспечивает дополнительный уровень безопасности, который иначе не может быть достигнут.

Мостиковые межсетевые экраны

Данный класс межсетевого экрана, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой межсетевой экран.

Мостиковые межсетевые экраны появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами (frame, кадр).

К достоинствам подобных межсетевых экранов можно отнести:

• Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов межсетевого экрана.

• Высокая производительность.

• Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса.

Фильтрующие маршрутизаторы

Межсетевой экран с фильтрацией пакетов (Packet - filteringfirewall) - межсетевой экран, который является маршрутизатором или компьютером, на котором работает ПО, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов.

Шлюз сеансового уровня

Шлюз сеансового уровня (Circuit-levelgateway) — межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом.

После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, networkaddresstranslation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными межсетевым экраном, что исключает прямой контакт между внутренней и внешней сетью.

Шлюз прикладного уровня

Шлюз прикладного уровня (Application-levelgateways) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. 

Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников – HTTP-посредник, FTP-посредник и т.д. Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС.

С точки зрения функциональности, межсетевой экран, имеющий возможность анализировать большее число уровней, является более совершенным и эффективным. За счет охвата дополнительного уровня также увеличивается возможность более тонкой настройки конфигурации межсетевого экрана.

Независимо от архитектуры межсетевой экран может иметь дополнительные сервисы. Эти сервисы включают трансляцию сетевых адресов (NAT), поддержку протокола динамической конфигурации хоста (DHCP) и функции шифрования, тем самым являясь конечной точкой VPN-шлюза, и фильтрацию на уровне содержимого приложения.

Многие современные межсетевые экраны могут функционировать как VPN-шлюзы. Таким образом, организация может посылать незашифрованный сетевой трафик от системы, расположенной позади межсетевого экрана, к удаленной системе, расположенной позади корпоративного VPN-шлюза; межсетевой экран зашифрует трафик и перенаправит его на удаленный VPN-шлюз, который расшифрует его и передаст целевой системе. Большинство наиболее популярных межсетевых экранов сегодня совмещают эти функциональности.

Многие межсетевые экраны также включают различные технологии фильтрации активного содержимого. Данный механизм отличается от обычной функции межсетевого экрана тем, что межсетевой экран теперь также имеет возможность фильтровать реальные прикладные данные на уровне 7, которые проходят через него. Например, данный механизм может быть использован для сканирования на предмет наличия вирусов в файлах, присоединенных к почтовому сообщению. Он также может применяться для фильтрации наиболее опасных технологий активного содержимого в web, таких как Java, JavaScript и ActiveX. Или он может быть использован для фильтрации содержимого или ключевых слов с целью ограничения доступа к неподходящим сайтам или доменам. 

Различные типы окружений межсетевых экранов

Окружение межсетевого экрана является термином, который применяется для описания множества систем и компонентов, используемых для поддержки функционирования межсетевого экрана в конкретной сети. Простое окружение межсетевого экрана может состоять только из пакетного фильтра. В более сложном и безопасном окружении оно состоит из нескольких межсетевых экранов и прокси со специальной топологией. Рассмотрим возможные сетевые топологии, используемые в качестве окружений межсетевого экрана.

Принципы построения окружения межсетевых экранов

Существует четыре принципа, которым необходимо следовать:

1. Простота (KeepItSimple)

Данный принцип говорит о том, что надо помнить при разработке топологии сети, в которой функционирует межсетевой экран. Важно принимать наиболее простые решения — более безопасным является то, чем легче управлять.

2. Использование устройств по назначению

Использование сетевых устройств для того, для чего они первоначально предназначались, в данном контексте означает, что не следует делать межсетевые экраны из оборудования, которое не предназначено для использования в качестве межсетевого экрана. Примером являются сетевые коммуникаторы (switch): когда они используются для обеспечения функциональности межсетевого экрана вне окружения межсетевого экрана, они чувствительны к атакам, которые могут нарушить функционирование коммуникатора. Во многих случаях гибридные межсетевые экраны и устройства межсетевых экранов являются лучшим выбором, потому что они оптимизированы в первую очередь для функционирования в качестве межсетевых экранов.

3. Создание обороны вглубь

Оборона вглубь означает создание нескольких уровней защиты в противоположность наличию единственного уровня. Не следует всю защиту обеспечивать исключительно межсетевым экраном. Там, где роутеры могут быть сконфигурированы для предоставления некоторого управления доступом или фильтрации, это следует сделать. Если ОС сервера может предоставить некоторые возможности межсетевого экрана, это следует применить.

4. Внимание к внутренним угрозам

Наконец, если уделять внимание только внешним угрозам, то это приводит к тому, что сеть становится открытой для атак, изнутри. Следовательно, важные системы, такие как внутренние web или e-mail серверы или финансовые системы, должны быть размещены позади внутренних межсетевых экранов или DMZ-зон.

В качестве итога заметим, что выражение «всю защиту можно взломать» особенно применимо к построению окружений межсетевого экрана. При развертывании межсетевых экранов следует помнить о перечисленных выше правилах для определения окружений, но в каждом случае могут иметь место свои собственные требования, возможно, требующие уникальных решений.

DMZ сети

В большинстве случаев окружение межсетевого экрана образует так называемую DMZ-сеть или сеть демилитаризованной зоны. DMZ-сеть является сетью, расположенной между двумя межсетевыми экранами.

Конфигурация с одной DMZ-сетью

DMZ-сети предназначены для расположения систем и ресурсов, которым необходим доступ либо только извне, либо только изнутри, либо и извне, и изнутри, но которые не должны быть размещены во внутренних защищенных сетях. Причина в том, что никогда нельзя гарантировать, что эти системы и ресурсы не могут быть взломаны. Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам.

DMZ-сети обычно строятся с использованием сетевых коммутаторов и располагаются между двумя межсетевыми экранами или между межсетевым экраном и пограничным роутером. Хорошей практикой является размещение серверов удаленного доступа и конечных точек VPN в DMZ-сетях.

Конфигурация с двумя DMZ-сетями

При наличии большого числа серверов с разными требованиями доступа можно иметь межсетевой экран пограничного роутера и два внутренних межсетевого экрана разместить все внешне доступные серверы во внешней DMZ между роутером и первым межсетевым экраном. Пограничный роутер будет фильтровать пакеты и обеспечивать защиту серверов, первый межсетевой экран будет обеспечивать управление доступом и защиту от серверов внутренней DMZ в случае, если они атакованы. Организация размещает внутренне доступные серверы во внутренней DMZ, расположенной между основным и внутренним межсетевыми экранами; межсетевые экраны будут обеспечивать защиту и управление доступом для внутренних серверов, защищенных как от внешних, так и от внутренних атак.

Основные и внутренние межсетевые экраны должны поддерживать технологию statefulinspection и могут также включать возможности прикладного прокси.

Интранет

Интранет является сетью, которая выполняет те же самые сервисы, приложения и протоколы, которые присутствуют в Интернете, но без наличия внешнего соединения с Интернетом.

Большинство организаций в настоящее время имеет некоторый тип Интранета. Во внутренней сети (интранет) могут быть созданы еще меньшие Интранеты, используя внутренние межсетевые экраны. Например, можно защитить свою собственную персональную сеть внутренним межсетевым экраном, и получившаяся защищенная сеть может рассматриваться как персональная интранет.

Так как Интранет использует те же самые протоколы и прикладные сервисы, что и Интернет, многие проблемы безопасности, унаследованные из Интернета, также присутствуют в Интранете.

Экстранет

Термин «Экстранет» применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN. Экстранет может быть определена как business-to-businessИнтранет. Эта сеть позволяет обеспечить ограниченный, управляемый доступ удаленных пользователей посредством той же формы аутентификации и шифрования, которые имеются в VPN.

Экстранет имеет те же самые характеристики, что и интранет, за исключением того, что экстранет использует VPN для создания защищенных соединений через публичный Интернет. Целью интранет является предоставление доступа к потенциально чувствительной информации удаленным пользователям или организациям, но при этом запрещая доступ всем остальным внешним пользователям и системам. 

Уровень защищенности межсетевых экранов

Уровень защищенности межсетевых экранов оценивается по следующим показателям:

• Управление доступом (фильтрация данных и трансляция адресов)

• Идентификация и аутентификация

• Регистрация

• Администрирование: идентификация и аутентификация

• Администрирование: регистрация

• Администрирование: простота использования

• Целостность

• Восстановление

• Тестирование

• Руководство администратора защиты

• Тестовая документация

• Конструкторская (проектная) документация

Виртуальные частные сети (VPN)

В связи с широким распространением Интернет, интранет, экстранет при разработке и применении распределенных информационных сетей и систем одной из самых актуальных задач является решение проблем информационной безопасности.

В последнее десятилетие в связи с бурным развитием Интернет и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные каналы связи. Стремясь к экономии средств, предприятия используют такие каналы для передачи критичной коммерческой информации. Однако принципы построения Интернет открывают злоумышленникам возможности кражи или преднамеренного искажения информации.

Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN. (VirtualPrivateNetworks).

Концепция построения защищенных виртуальных частных сетей VPN

В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.

Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств.

Функции и компоненты сети VPN

Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:

• несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;

• несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате не санкционированного входа в эту сеть.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

• аутентификации взаимодействующих сторон;

• криптографическом закрытии (шифровании) передаваемых данных;

• проверке подлинности и целостности доставленной информации.

Туннелирование

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крипто защищёнными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографический защищенные пакеты сообщений.

Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

Ознакомившись с описанными проблемами, можно сделать вывод, что межсетевые экраны обеспечивают защиту компьютерной сети организации от несанкционированного вмешательства. Межсетевые экраны являются необходимым средством обеспечения информационной безопасности. Они обеспечивают первую линию обороны. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать.