Аппаратная архитектура системы защиты Ethernet-канала в локальной сети
Рефераты >> Кибернетика >> Аппаратная архитектура системы защиты Ethernet-канала в локальной сети

Когда заходит речь об аппаратной защите в целом, недостаточно было бы упомянуть о данных средствах только лишь относительно определённого компьютера или же конкретного программного обеспечения. Помимо этого, термин "аппаратная защита" подразумевает комплексный подход для решения ряда задач и проблем, стоящих перед системным администратором, по правильной настройке достаточно защищённой внутренней локальной сети, имеющей выход в глобальную сеть Интернет. Исходя из этого, аппаратную защиту можно классифицировать на следующие виды:

- аппаратная защита программного обеспечения;

- локальная аппаратная защита (аппаратная защита компьютера и информации);

- аппаратная защита сети (аппаратная защита внутренней локальной сети с одним или несколькими выходами в Интернет).

Аппаратная защита сети

На сегодняшний день многие достаточно развитые компании и организации имеют внутреннюю локальную сеть. Развитие ЛВС прямо пропорционально росту компании, неотъемлемой частью жизненного цикла которой является подключение локальной сети к бескрайним просторам Интернета. Вместе с тем сеть Интернет неподконтрольна (в этом несложно убедиться), поэтому компании должны серьезно позаботиться о безопасности своих внутренних сетей. Подключаемые к WWW ЛВС в большинстве случаев очень уязвимы к неавторизированному доступу и внешним атакам без должной защиты. Такую защиту обеспечивает межсетевой экран (брандмауэр или firewall).

Брандмауэры

Брандмауэры существуют двух видов: программные и аппаратные. Однако помимо этого их делят ещё и на типы: брандмауэр сетевого уровня (фильтры пакетов) и прикладного уровня (шлюзы приложений). Фильтры пакетов более быстрые и гибкие, в отличие от брандмауэров прикладного уровня. Последние направляют специальному приложению-обработчику все приходящие пакеты извне, что замедляет работу.

Для программных брандмауэров необходим отдельный компьютер на базе традиционных операционных систем Unix либо Windows NT. Такой брандмауэр может служить единой точкой входа во внутреннюю сеть. Слабость и ненадёжность подобной защиты заключается не столько в возможных нарушениях корректной работы самого программного брандмауэра, сколько в уязвимости используемых операционных систем, на базе которых функционирует межсетевой экран.

Аппаратные брандмауэры построены на базе специально разработанных для этой цели собственных операционных систем. Далее приступим к рассмотрению именно аппаратных брандмауэров.

Правильная установка и конфигурация межсетевого экрана - первый шаг на пути к намеченной цели. Чтобы выполнить установку аппаратного брандмауэра нужно подключить его в сеть и произвести необходимое конфигурирование. В простейшем случае, брандмауэр - это устройство, предотвращающее доступ во внутреннюю сеть пользователей извне. Он не является отдельной компонентой, а представляет собой целую стратегию защиты ресурсов организации. Основная функция брандмауэра - централизация управления доступом. Он решает многие виды задач, но основными являются анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных.

Методика построения защищённой сети и политика безопасности. В процессе конфигурирования брандмауэра следует пойти на компромиссы между удобством и безопасностью. До определённой степени межсетевые экраны должны быть прозрачными для внутренних пользователей сети и запрещать доступ других пользователей извне. Такая политика обеспечивает достаточно хорошую защиту.

Важной задачей является защита сети изнутри. Для обеспечения хорошей функциональной защиты от внешней и внутренней угрозы, следует устанавливать несколько брандмауэров. Именно поэтому на сегодняшний день широкое распространение получили именно аппаратные межсетевые экраны. Довольно часто используется специальный сегмент внутренней сети, защищённый извне и изолированный от остальных, так называемая демилитаризованная зона (DMZ). Иногда брандмауэры разных типов объединяют. Различная конфигурация брандмауэров на основе нескольких архитектур обеспечит должный уровень безопасности для сети с разной степенью риска. Допустим, последовательное соединение брандмауэров сетевого и прикладного уровня в сети с высоким риском может оказаться наилучшим решением.

Существует довольно-таки много решений относительно более-менее безопасных схем подключения брандмауэров для проектирования правильной защиты внутренней сети. В данном случае рассмотрены только самые оптимальные в отношении поставленной задачи виды подключений.

Довольно часто подключение осуществляется через внешний маршрутизатор. В таком случае снаружи виден только брандмауэр, именно поэтому подобная схема наиболее предпочтительна с точки зрения безопасности ЛВС.

Брандмауэр также может использоваться в качестве внешнего маршрутизатора. Программные брандмауэры создаются на базе последних и интегрируются в них. Это наиболее комплексное и быстрое решение, хотя и довольно дорогостоящее. Такой подход не зависит от типа операционной системы и приложений.

В случае, когда сервера должны быть видимы снаружи, брандмауэром защищается только одна подсеть, подключаемая к маршрутизатору. Для повышения уровня безопасности интранета больших компаний возможно комбинированное использование брандмауэров и фильтрующих маршрутизаторов для обеспечения строгого управления доступом и проведения должного аудита сети. В подобных случаях используются такие методы, как экранирование хостов и подсетей.

Замечания

Брандмауэр не является абсолютной гарантией защиты внутренней сети от удалённых атак, несмотря на то, что осуществляет сетевую политику разграничения доступа к определённым ресурсам. Во множестве случаев достаточно вывести из строя лишь один межсетевой экран, защищающий определённый сегмент, чтобы отключить всю сеть от внешнего мира и при этом нанести достаточный ущерб, вызвав большие сбои в работе организации или компании.

Не стоит игнорировать тот факт, что брандмауэры никогда не решали внутренних проблем, связанных с физическим доступом к серверам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусами с дискет пользователей и многим другим. Но из всего вышесказанного отнюдь не следует, что их использование абсолютно бессмысленно и неэффективно. Наоборот, применение брандмауэров - необходимое условие обеспечения безопасности сети, однако нужно помнить, что всех проблем они не решат. Несколько советов.

В условиях поставленных задач, различных между собой, необходимо рассматривать соответственно различные возможные варианты решения, основанные именно на программно-аппаратных методах защиты.

Построение правильной топологии сети решит многие проблемы, связанные с возникновением потенциальных точек уязвимости и сведёт уже существующие к минимуму.

Обратите внимание на размещение сервера (серверов) и ограничьте физический доступ пользователей к нему. Предпринимайте меры по защите отдельных рабочих станций. Особое внимание уделите тем компьютерам, на которых хранится важная информация. Используйте стойкие к перебору пароли. Пароль должен содержать не менее 8 символов в верхнем и нижнем регистре, цифры и неалфавитные символы.


Страница: