Брандмауэр - Анализ средств защиты информации в ЛВС
Наверное, лучше всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост или группа систем, которые обеспечивают безопасность в сети. Скорее, брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра - управление доступом К или ИЗ Защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты.
Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом, или группой хостов, созданной специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети. Обычно система брандмауэра создается на основе маршрутизаторов верхнего уровня, обычно на тех, которые соединяют сеть с Интернетом, хотя может быть создана и на других маршрутизаторах, для защиты только части хостов или подсетей.
Брандмауэры являются существенным компонентом в любой VPN. Они пропускают только санкционированный трафик для доверенных пользователей и блокируют весь остальной. Иными словами, пересекаются все попытки доступа неизвестных или недоверенных пользователей. Эта форма защиты должна быть обеспечена для каждого сайта и пользователя, поскольку отсутствие ее в каком-либо месте означает отсутствие везде. Для обеспечения безопасности виртуальных частных сетей применяются специальные протоколы. Эти протоколы позволяют хостам "договориться" об используемой технике шифрования и цифровой подписи, что позволяет сохранить конфиденциальность и целостность данных и выполнить аутентификацию пользователя.
- Ш Аутентификация Kerberos -- протокол безопасности, используемый в распределенных средах для аутентификации пользователей. Ш Public Key Certificate Server (Сервер сертификатов с открытыми ключами) позволяет использовать аутентификацию пользователей с применением открытых ключей по протоколу SSL/TLS (Secure Sockets Layer/Transport Layer Security). Эти протоколы обеспечивают защиту данных, передаваемых через Internet. Ш Quality of Service (QoS, Службы качества обслуживания) позволяют совместимым с QoS приложениям резервировать полосу пропускания и менять приоритет передаваемых данных. Ш Многопротокольная маршрутизация -- позволяет использовать сервер как маршрутизатор в IP - и IPX-сетях (также имеется версия, совместимая с NT Server 4.0)
Проблемы, возникающие из-за брандмауэров
Помимо описанных выше преимуществ использования брандмауэров, имеет место ряд недостатков при их использовании и ряд проблем, от которых брандмауэры не могут защитить. Брандмауэр не является панацеей от всех проблем безопасности, связанных с Интернетом.
Самым очевидным недостатком брандмауэра является то, что он может блокировать ряд служб, которые используют пользователи, такие как TELNET, FTP, X Windows, NFS и др. Тем не менее, эти недостатки не присущи только брандмауэрам; сетевой доступ также может ограничиваться при защите на уровне хостов в соответствии с политикой безопасности. Хорошо продуманная политика безопасности, в которой найден баланс между требованиями безопасности и потребностями пользователей, может сильно помочь при решении проблем из-за ограничений в доступе к службам.
Некоторые сети могут иметь топологию, которая не позволяет применить брандмауэр, или использовать службы, такие как NFS, таким образом, что использование брандмауэра потребует серьезных ограничений при работе в сети. Например, в сети может требоваться использование NFS и NIS через основные маршрутизаторы. В такой ситуации стоимость установки брандмауэра нужно сравнить с ущербом, который понесет организация от атаки, использующей уязвимые места, защищаемые брандмауэром, то есть провести анализ риска, а затем принять решение на основании его результатов. Могут оказаться более уместными другие решения, такие как Керберос, но эти решения также имеют свои недостатки. содержит дополнительную информацию о Керберос и других потенциальных решениях. Во-вторых, брандмауэры не защищают от черных входов (люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную брандмауэром, атакующие могут эффективно обойти брандмауэр. Сейчас скорости модемов достаточны для того, чтобы сделать возможным использование SLIP (Serial Line IP) и PPP(Point-to-Point Protocol); SLIP или PPP-соединение внутри защищенной сети по сути является еще одним соединением с сетью и потенциальным уязвимым местом. Зачем нужен брандмауэр, если разрешен неограниченный доступ по модему?
Плохая защита от атак своих сотрудников
Брандмауэры обычно не обеспечивают защиты от внутренних угроз. Хотя брандмауэр может защищать от получения посторонними лицами критических данных, он не защищает от копирования своими сотрудниками данных на ленту или дискету и выноса ее за пределы сети. Поэтому, было бы ошибкой думать, что наличие брандмауэра защищает от атак изнутри или атак, для защиты от которых нужен не брандмауэр. Наверное, не стоит вкладывать значительные ресурсы в брандмауэр, если есть другие способы украсть данные.
Другие проблемы
С брандмауэром также связан ряд других проблем:
- Ш WWW, gopher - новые информационные сервера и клиенты, такие как WWW, gopher, WAIS и ряд других не рассчитаны на совместную работу с брандмауэром, и из-за их новизны вообще достаточно рискованны. Имеется потенциальная возможность атак с помощью передачи специальных данных, при которых данные, обрабатываемые клиентом, могут содержать команды клиенту, эти команды могут заставлять клиента изменить параметры средств управления доступом или модифицировать важные файлы, связанные с защитой машины клиента. Ш MBONE - групповые передачи с помощью IP(MBONE), содержащие речь и изображение, инкапсулируются в других пакетах; брандмауэры обычно пропускают эти пакеты, не проверяя их содержимое. Передачи типа MBONE представляют потенциальную угрозу, если пакеты содержат команды, изменяющие параметры работы средств защиты и позволяющие злоумышленникам получить доступ. Ш Вирусы - брандмауэры не защищают от пользователей, загружающих программы для ПЭВМ, зараженные вирусами, из Интернетовских архивов или передачи таких программ в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты большим числом способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов. Проблема вирусов будет оставаться и должна быть решена с помощью других антивирусных мер защиты. Ш Пропускная способность - брандмауэры являются потенциально узким местом, так как все соединения должны проходить через брандмауэр и, в некоторых случаях, изучаться брандмауэром. Тем не менее, сегодня это не является проблемой, так как брандмауэры могут обрабатывать данные со скоростями 1.5 Мбита/с, а большинство сетей, подключенных к Интернету, имеют подключение со скоростью меньшей или равной этой. Ш "Все яйца в одной корзине" - система брандмауэра концентрирует безопасность в одном месте, а не распределяет ее среди группы систем. Компрометация брандмауэра может быть ужасной для плохо защищенных систем в подсети. Этому тезису можно противопоставить контраргумент, что при увеличении подсети возрастают шансы того, что в ней появятся уязвимые места в безопасности.
Похожие статьи
-
Аппаратный брандмауэр - Анализ средств защиты информации в ЛВС
Информация в век цифровых технологий приравнена к деньгам, а раз так -- ее нужно охранять. В Интернете всегда найдутся желающие поинтересоваться...
-
FireWall - Анализ средств защиты информации в ЛВС
Одним из наиболее распространенных механизмов защиты от "хакеров" является применение межсетевых экранов. Программный комплекс Solstice FireWall-1...
-
ВВЕДЕНИЕ - Анализ средств защиты информации в ЛВС
Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информация, которую не должны знать...
-
Заключение - Анализ средств защиты информации в ЛВС
Многие производители сетевого и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в своих устройствах. Так, фирма TELEBIT,...
-
Криптография, аутентификация - Анализ средств защиты информации в ЛВС
Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления...
-
На предприятии функционирует АС класса 2. Существуют повышенные требования к обеспечению конфиденциальности и доступности защищаемой информации....
-
Источниками угроз НСД в информационной системе могут быть: Нарушитель; Носитель вредоносной программы; Аппаратная закладка. Для источников угроз - людей,...
-
Защита корпоративной информации - Защита информации
Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как...
-
Аппаратные средства защиты - Инженерно-техническая защита объектов
К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции,...
-
Программные средства защиты - Инженерно-техническая защита объектов
Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как: Средства собственной защиты, предусмотренные общим программным...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Защита информации в БД - Банки и базы данных. Системы управления базами данных
Целью защиты информации является обеспечение безопасности ее хранения и обрабатывания. Процесс построения эффективной защиты начинается на начальных...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
Средства WWW - World Wide Web (Всемирная сеть) - Поиск информации в сети Интернет
В 1993 году была разработана информационно-поисковая система WWW, которая благодаря простоте навигации и доступности открыла информационные источники...
-
Криптографические средства защиты - Инженерно-техническая защита объектов
Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности. Криптография имеет...
-
Сетевой анализ как метод изучения виртуального пространства - Распространение новостной информации
Анализ социальных сетей как отдельное направление появилось в конце 20 века, основоположниками которого считаются такие ученые как Милгрэм ("феномен...
-
Физические средства защиты - Инженерно-техническая защита объектов
Физические средства защиты -- это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на...
-
Для компьютерного оборудования и данных (информации) существуют три основные угрозы: Физическое воровство, которое включает подключение к различным...
-
1.1 Анализ существующих программных агентов Согласно классическому определению, программный агент -- это программа-посредник. Эти посредники...
-
Кейс 1. Реальная новость: "Министр обороны: Италия может направить миротворцев на Украину" Описательная статистика Общее количество упоминаний по всем...
-
Введение, Объект защиты - Инженерно-техническая защита информации организации ООО "ТерраИнкогнито"
Развитие компьютерных технологий привело к тому, что на данный момент все организации используют информационные технологии для обработки информации,...
-
Административные меры защиты - Защита информации
Проблема защиты информации решается введением контроля доступа и разграничением полномочий пользователя. Распространенным средством ограничения доступа...
-
Онлайн исследования в социологии: новые методы анализа данных - Распространение новостной информации
На сегодняшний день анализ социальных сетей и медиа, Интернет-сообществ, пользователей в целом используется в основном в маркетинге. Компания может...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Метод парольной защиты - Защита информации
Законность запроса пользователя определяется по паролю, представляющему собой, как правило, строку знаков. Метод паролей считается достаточно слабым, так...
-
Наиболее распространенная форма - ЭВМ. Раньше чаще использовались вычислительные центры (ВЦ). Вычислительный центр - организуется и специализируется на...
-
Программные и программно-аппаратные средства обеспечения безопасности информации - Защита информации
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие(как...
-
Страницы сайта, Теоретическая информация, Виды атак - Применение межсетевых экранов
Теоретическая информация Виды атак Парольные атаки Парольные атаки - попытка подбора пароля легального пользователя для входа в сеть. Много методов...
-
Защита информации от разрушения - Инженерно-техническая защита объектов
Одной из задач обеспечения безопасности для всех случаев пользования ПЭВМ является защита информации от разрушения, которое может произойти при...
-
Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности....
-
Антивирусные программы Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют...
-
Защита информации - Защита данных в операционной системе Windows 10. BitLocker
Защита личных данных от постороннего доступа является важным моментом для пользователей ПК. Особенно это касается офисных компьютеров, где хранится...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
Конфиденциальность очень важна для некоторых организаций, так как то, что обычно считается безобидной информацией, может на самом деле содержать полезные...
-
Заключение - Инженерно-техническая защита информации организации ООО "ТерраИнкогнито"
В данной курсовой работе было проведено исследование предприятия "ТерраИнкогнито". В исследование вошло оценка информации, обрабатываемой в процессе...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
Выбор средств реализации информационной системы Названные в параграфе 1.4. настоящей работы задачи могут быть решены тремя типами средств автоматизации:...
-
Защита информации на бумажных (машинных) носителях и содержащейся в отходах и браке научной и производственной деятельности организации предусматривает...
-
Компьютерный вирус - это небольшая программа, написанная в машинных кодах, которая способна внедряться в другие программы, сама себя копировать и...
-
АНТИВИРУСНЫЕ СРЕДСТВА ЗАЩИТЫ - Разработка модели программно-аппаратной защиты на предприятии
Массовое распространение вредоносного ПО вызвало необходимость разработки и использования антивирусов. Антивирусные средства применяются для решения...
Брандмауэр - Анализ средств защиты информации в ЛВС