Колісниченко Дмитро Вадимович
Державний
ВУЗ "Національний гірничий університет", Україна
КОМПЛЕКСНІ СистемИ захисту ІНФОРМАЦІЇ
ЩО ЦИРКУЛЮЄ У мережі
ВСТУП
У теперішній час розвиток
глобальної мережі Інтернет і супутніх технологій досяг такого високого і усеосяжного
рівня, що нинішня діяльність будь-якого підприємства або установи в цілому і
кожного користувача Інтернету окремо, вже не мислима без електронної пошти,
Web-реклами і Web-представництв, спілкування в режимі «он-лайн». Також багато
компаній надають можливість своїм співробітникам працювати віддалено, надаючи
для них доступ до потрібної інформації, яка знаходиться в середині
корпоративної мережі, через Інтернет. Підключеня до глобальної мережі
представляє загрозу корпоративній мережі. Тому необхідно забезпечувати захист
мережі.
Виклад
основного матеріалу дослідження
Захист периметра забезпечується за
допомогою маршрутизатора периметра, що відділяє захищену частину мережі від
незахищеної. Наприклад, маршрутизатор
периметра може використовуватися для створення межі між незахищеною мережею
Internet і частково захищеною "демілітаризованою зоною" (ДМЗ),
представленою на рис. 1 як "брудна" ДМЗ. Маршрутизатор периметра є
маршрутизатором загального призначення, що виконує роль першої лінії захисту.
Цей маршрутизатор має послідовний інтерфейс доступу до Internet в зовнішньому
домені і інтерфейс внутрішньої локальної мережі у внутрішньому.
Важливим завданням системи захисту
периметра є розділення мережі на внутрішню і зовнішню області. Внутрішньою
областю мережі є частина корпоративної мережі, розміщена нижче брандмауера, а
зовнішньою — мережа Internet. Зовнішньою може бути і лінія зв'язку з діловим
партнером або постачальником.
В якості маршрутизатора периметра
використовують маршрутизатор, що забезпечує послідовне з'єднання з Internet і
Ethernet - з'єднання з ДМЗ. Маршрутизатори Cisco мають гнучкі засоби захисту
периметра, що дозволяють захистити зв'язок з Internet. Маршрутизатор Cisco
пропонує наступні можливості:
·
створення першої
лінії захисту, який визначає ДМЗ, забезпечує захист бастіонних вузлів ДМЗ і
брандмауера від спрямованих атак і виконує роль системи сповіщення при
виявленні спроб зламати маршрутизатор периметра або бастіонний хост;
·
гнучкий набір
можливостей, що налаштовуються, які можна адаптувати до постійно виникаючих
нових загроз захисту і нових Internet –додатків;
·
істотну
економію порівняно з використанням спеціалізованих брандмауерів;
Щоб обмежити доступ до служб і
додатків TCP/IP, маршрутизатор периметра використовує в основному правила
фільтрації пакетів. Для реалізації таких правил, витікаючи з вимог політики
мереженого захисту, застосовуються списки доступу. Маршрутизатор периметра
створює "брудну" ДМЗ або екрановану підмережу. За допомогою
брандмауера можна створити "захищену" ДМЗ, розмістивши бастіонні
вузли на третьому інтерфейсі брандмауера.
Демілітаризована зона, або
ізольована локальна мережа, є буфером між корпоративною мережею і зовнішнім
світом. ДМЗ має унікальний мережевий номер, який відрізняється від номера
корпоративної мережі. Взагалі кажучи, мережа ДМЗ — це єдина частина мережі
корпорації, видима ззовні.
ДМЗ створюється засобами захисту
периметра, що формують систему брандмауера, яка складається з маршрутизатора
периметра, бастіонного хоста і самого брандмауера.
Бастіонний хост є захищеним
сервером, який розміщується в ДМЗ. Він забезпечує зовнішнім користувачам такі
важливі послуги як сервіс анонімного сервера FTP, сервіс сервера World Wide
Web, сервіс DNS та інші.
Бастіонний хост повинен бути
захищений виключно надійно: він вразливий, оскільки відкритий для Internet і
звичайно є головною точкою контакту корпоративної мережі з Internet. Бастіонний
хост може також бути доступний для внутрішніх користувачів.
Іноді бастіонний хост забезпечує
сервіс посередника, використовуючи для цього спеціальний додаток або серверні
програми. Сервіс посередника передбачає прийом запитів користувачів на надання
Internet-послуг (типу відправки електронної пошти, FTP або Telnet) і наступну
передачу запитів сервісам, які надають ці послуги на основі політики мережевого
захисту.
Якщо бастіонний хост забезпечує
сервіс посередника, він повинен бути обізнаний про додатки, щодо яких
здійснюється таке посередництво. Тому бастіонний хост виконує моніторинг портів
TCP і UDP з метою виявлення сервісів, для яких потрібен посередник: це Telnet,
FTP, HTTP, NNTP та SMTP.
Висновок
Захист пepиметра мережі є складним
комплексом технологічних рішень по захисту межі мережі від вторгнень. Завданням
захисту периметра зазвичай є безпека зв'язку корпоративної мережі з Internet,
але ті ж методи і технологічні рішення можуть використовуватися і для того, щоб
забезпечити захист з'єднань між частинами однієї і тієї ж мережі. Захист
периметра мережі повинен грати роль стіни навколо мережі і забезпечувати захист
від вторгнення мережевих порушників. Відсутність або слабкість захисту
периметра відкриває проломи в захисті, які можуть бути використані порушниками.
ПЕРЕЛІК ЛІТЕРАТУРИ:
1.
Амато, Вито. Основы организации сетей Cisco, том 2., испр. изд.: Пер. с
англ. – М.: Издательский дом "Вильямс", 2004. – 464 с.
2.
Биячуев Т.А. Безопасность
корпоративных сетей. – Издательство: СПб ГУ ИТМО, 2004. – 161 c.