Сухомлин Ігор Сергійович

Національний авіаційний університет, Україна

Загальний огляд методів захисту в розподілених інформаційно-комунікаційних системах

Будь-яка інформація, незалежно від того, чи є вона власністю держави, всього суспільства або окремих організацій чи фізичних осіб, становить певну цінність. Відтак інформаційні ресурси потребують захисту від різних впливів, які можуть призвести до зниження їхньої цінності.

Можна було б припустити, що питання захисту цифрової інформації можна вирішувати тими самими методами, що застосовували для захисту традиційних (паперових) носіїв інформації. Певною мірою це дійсно так.

          Для виявлення та аналізу можливих загроз безпеці інформації, а також для розроблення засобів протидії використовують різні класифікації загроз. Кла­сифікації, які застосовують під час створення теоретичних моделей і прове­дення аналізу загроз, будують за численними ознаками загроз. Більш зручні класифікації мають вигляд переліку найтиповіших загроз безпеці. Деякі кла­сифікації залучають порівняно невелику кількість ознак загроз (5-8). Такі класифікації використовують компанії-розробники програмного забезпечен­ня. До них належить, наприклад, методика STRIDE, що розроблена, обґрун­тована й активно пропагується фахівцями з корпорації Майкрософт.

У сучасних інформаційно-комунікаційних системах застосовують різні засоби і за­ходи захисту. До заходів захисту насамперед належать розроблення політики без­пеки інформації в системі та проектування ІКС з урахуванням вимог цієї політики. Необхідною умовою також є призначення осіб, які б відповідали за захист ін­формації в системі, з визначенням їхніх обов'язків і повноважень, або навіть ство­рення спеціального структурного підрозділу — служби захисту інформації (СЗІ). Існують основні заходи, які дають змогу захистити корпоративну мережу від атак: міжмережне екранування (Firewalling) та вияв­лення вразливостей і атак. Кожний засіб захисту спрямований на відвернення конкретної загрози безпеці в системі або певної множини таких загроз і має свої переваги та недоліки. Лише комбінація засобів захисту дає змогу захиститися від широкого спектра атак.

Для побудови захищених ІКС архітектура мережі має задовольняти певні вимо­ги. Головною вимогою є відмова від використання таких фізичних і логічних топологій мереж, в яких можливе безпосереднє прослуховування трафіку цілого сегмента мережі з будь-якого вузла у ній. Типовими прикладами є мережі Ether­net 10BASE-2 та 10BASE-5 («тонкий» і «товстий» Ethernet), у яких викорис­товується фізична топологія спільна шина — всі станції сегмента підключені до єдиного коаксіального кабелю, який утворює розподілене середовище передаван­ня даних. Ці технології — вже застарілі, і їх майже не використовують у сучасних ІКС.

Щоб розмежувати доступ до окремих ресурсів у мережі, використовують її сег­ментацію, яка, крім того, дає змогу значно покращити масштабованість мережі. Для сегментації мережі на канальному рівні застосовують дуже потужний засіб — віртуальні локальні обчислювальні мережі, ВЛОМ (Virtual Local Area Network, VLAN). Віртуальна локальна мережа — це підмножина вузлів мережі, трафік між якими на канальному рівні повністю ізольований від інших вузлів. Тобто кадри із ВЛОМ (зокрема, широкомовні) комутатор не передає за її межі. Віртуальні ло­кальні мережі створюють, відповідним чином настроївши конфігурацію кому­таторів.

Важливою складовою безпеки інформації в мережі є забезпечення доступності вузлів. Зазвичай це завдання розглядається не в контексті захисту інформації, а в контексті підвищення надійності та продуктивності комп'ютерних мереж.

Оскільки будь-яке обладнання не може бути стовідсотково надійним, під час створення чутливих до доступності окремих ресурсів ІКС передбачають резерву­вання мережного обладнання і каналів зв'язку. У цьому випадку бажано забезпе­чити можливість автоматичного перенастроювання мережі з основних каналів та вузлів комутації на резервні.

На канальному рівні за таких обставин можуть виникати певні проблеми. Як­що розглядати топологію мережі, в якій наявні резервні вузли комутації та кана­ли зв'язку, то в такій мережі неодмінно будуть виникати кільця. Але наявність кілець не сумісна з алгоритмом мосту, за яким працюють комутатори. За наяв­ності кілець у мережі почнуть швидко розмножуватися широкомовні пакети, і за дуже короткий час (кілька секунд) настане перенавантаження мережі.

Міжмережні екрани (ME), або брандмауери, призначені для захисту внутрішніх ресурсів мереж шляхом обмеження можливостей обміну між ними. Комп'ютер, на якому функціонує ПЗ міжмережного екрана, або спеціалізований програмно-апаратний пристрій, що реалізує функції ME, виконує роль шлюзу між двома ме­режами, найчастіше — між Інтернетом і корпоративною мережею.

Засіб, подібний до міжмережного екрана, інколи використовують для захисту окремого комп'ютера. У цьому випадку екран у вигляді спеціалізованого програм­ного забезпечення встановлюють на комп'ютер, що підлягає захисту, для здій­снення контролю всього вхідного і вихідного трафіку. Такий мережний екран часто називають персональним брандмауером.

Розрізняють три рівні функціональності ME.

1.Пакетні фільтри, або екрануючі маршрутизатори, — функціонують переважно
на третьому (мережному) рівні моделі взаємодії відкритих систем (OSI); як
правило, аналізують також інформацію із заголовків протоколів четвертого
(транспортного) рівня.

2.Шлюзи сеансового рівня, які ще називають екрануючим транспортом, — функ­ціонують здебільшого на п'ятому (сеансовому) рівні моделі OSI.

3.Прикладні, або екранні шлюзи, — функціонують на прикладному рівні моделі OSI.

Мережні екрани, що реалізують функціональність якогось із рівнів, зазвичай реалізують функціональність нижчих рівнів.

Пакетні фільтри здійснюють аналіз заголовків пакетів для протоколів TCP, UDP та IP і. відповідно до заданого адміністратором безпеки набору правил, приймають рішення про дії з пакетом. Кожний пакет аналізують окремо від інших, отримую­чи такі параметри:

♦     прапорець фрагментації пакета;

♦     номери портів TCP (UDP) відправника й одержувача;

♦     прапорець SYN (ознака першого пакета під час встановлення з'єднання);

♦     інші прапорці.

 

 

Література:

1.     Грайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем // Київ: BHV, 2009.

2.     http://ukrbukva.net/page,14,34026-Proektirovanie-lokal-no-vychislitel-noiy-seti.html

3.     http://ur.co.ua/33/1627-3-proektirovanie-lokal-no-vychislitel-noiy-seti.html

4.     http://studopedia.su/5_26610_priklad-obiednannya-VLAN.html

5.     http://online.dtkt.ua/Book/c4977511-6fba-4a6b-96eb-29233879d219/navPoint-26