Технологии защиты информации в ЛВС – межсетевые экраны

Межсетевой экран (МЭ, брандмауэр, Firewall) – программно-аппаратная система межсетевой защиты, которая отделяет один сегмент локальной вычислительной сети от другого и реализует набор правил для прохождения данных из одного сегмента в другой. Границей является раздел между корпоративной локальной сетью и внешними Internet-сетями или различными сегментами локальной распределенной сети. Экран фильтрует текущий трафик, пропуская одни пакеты информации и отсеивая другие. МЭ является одним из основных компонентов защиты сетей. Наряду с интернет-протоколом межсетевого обмена (Internet Security Protocol – IPSec) МЭ является одним из важнейших средств защиты, осуществляя надежную аутентификацию пользователей и защиту от НСД.

Функциональные возможности МЭ охватывают следующие разделы для обеспечения информационной безопасности:

  • • настройку правил фильтрации;
  • • администрирование доступа во внутренние сети;
  • • фильтрацию па сетевом уровне;
  • • фильтрацию на прикладном уровне;
  • • средства сетевой аутентификации;
  • • ведение журналов и учет.

Межсетевые экраны можно разделить по следующим основным признакам:

  • • по исполнению: программный и программно-аппаратный;
  • • но используемой технологии: контроль состояния протокола (Stateful Inspection Protocol) или с применением модулей посредников (Proxy Server);
  • • по функционированию на уровнях эталонной модели OSI (Open System Interconnection): шлюзы экспертного, прикладного, сеансового уровней, пакетный фильтр;
  • • по схеме подключения: схема единой защиты сети; схема с закрытым и незащищасмым открытым сегментами сети; схема с раздельной защитой закрытого и открытого сегментов сети.

На рис. 7.6 для примера показан вариант защиты локальной вычислительной сети (ЛВС) на базе программно-аппаратного решения – межсетевого экрана Cisko 2610 & PIX Firewall 520 компании Cisco Systems [4].

Использование комплекса

Рис. 7.6. Использование комплекса "маршрутизатор-файервол" в системах защиты информации при подключении к Интернету

В заключение отметим, что межсетевые экраны, естественно, не решают всех вопросов информационной безопасности распределенных КИС и локальных сетей – существует ряд ограничений на их применение и ряд угроз, от которых МЭ не могут защитить. Отсюда следует, что технологии МЭ следует применять комплексно – с другими технологиями и средствами защиты [5].

Технологии защищенных виртуальных частных сетей

При выходе локальной сети в Интернет возникают угрозы двух основных типов: НСД к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС.

Информационная защита при передаче данных по открытым каналам обеспечивается при помощью ряда мер:

  • • взаимной аутентификации сторон;
  • • прямого и обратного криптографического преобразования данных;
  • • проверки достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей (Virtual Private Network – VPN) подразумевает формирование защищенного "виртуального туннеля" между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны. В частности, аппаратная реализация довольно проста, и нет необходимости создавать или арендовать дорогие выделенные физические сети, а можно с низкими финансовыми издержками подключаться к Интернету, причем скорость передачи данных но туннелю будет такой же, как и но выделенному каналу.

Сегодня существуют четыре вида архитектуры организации защиты информации на базе применения технологии VPN [5]:

  • Локальная сеть (Local Area Network – LAN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, а также ведение журнала коллизий и шифрование конфиденциальной информации.
  • Внутрикорпоративная сеть VPN (Intranet-VPN). Поддерживает безопасные соединения между внутренними подразделениями распределенной компании.
  • Сети VPN с удаленным доступом (Internet-VPN). Обеспечивает защищенный дистанционный доступ удаленных подразделений распределенной компании и мобильных сотрудников и отделов через открытое пространство Internet.
  • Межкорпоративная сеть VPN (Extranet-VPN). Гарантирует эффективный защищенный обмен информацией с поставщиками, партнерами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надежных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего аудио- и видеопотоки информации – конфиденциальные телефонные переговоры и телеконференции с клиентами.

VPN-туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Интернета. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, но весь исходный пакет, включая заголовки.

Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети, например информацию о количестве локальных сетей и узлов и их IP-адресах. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, после чего происходит его дешифровка, а его заголовок используется для дальнейшей передачи по внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 7.7).

Средства построения защищенной VPN достаточно разнообразны. Они могут включать маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph) и т.д.

Туннельная схема организации распределенной сети VPN

Рис. 7.7. Туннельная схема организации распределенной сети VPN

 
< Пред   СОДЕРЖАНИЕ     След >