Магистрант Пустовар
Н.В.
Магистрант Кудряшов В.М.
Евразийский национальный университет им.
Л.Н. Гумилева, г. Астана
МОБИЛЬНЫЙ INTERNET и БЕЗОПАСНОСТЬ
Компьютер, подключенный к
Интернет, и информация в нем потенциально доступны взломщикам из Интернет, кроме
того, возможен доступ взломщиков к ресурсам локальной сети.
Естественно, при всех
таких подключениях применяются либо штатные средства разграничения доступа
операционной системы, либо специализированные средства защиты, либо
криптографические системы на уровне конкретных приложений, либо и то и другое
вместе. Однако все эти меры, к сожалению, не могут гарантировать желаемой
безопасности при проведении сетевых атак, и объясняется это следующими
основными причинами:
·
Операционные
системы WINDOWS относятся к программным продуктам высокой сложности, созданием
которых занимаются большие коллективы разработчиков, чем обосновываются штатные
возможности, случайно или умышленно оставленные в ОС, и которыми можно
воспользоваться через сетевые атаки.
·
В
многозадачной ОС, в частности WINDOWS, одновременно может работать много разных
приложений, для которых также трудно обосновать отсутствие недокументированных
возможностей, позволяющих воспользоваться информационными ресурсами через сеть.
·
В
современных системах присутствует масса разнообразных механизмов удаленной
загрузки и запуска исполняемых программ, проконтролировать работу которых очень
сложно.
В связи с
вышеперечисленными проблемами необходимо обеспечить на сетевом уровне тотальный
контроль всего входящего и исходящего трафика компьютера, проходящего через все
его сетевые интерфейсы. Под контролем
понимается:
·
шифрование
и имитозащита трафика между защищаемыми компьютерами,
ликвидация такой проблемы, как незащищенность IP-протокола от подделок сетевых
и физических адресов и протоколов одновременно с обеспечением
конфиденциальности и достоверности передаваемой информации;
·
фильтрация
трафика по различным типам IP-протоколов, портам, сервисам и другим параметрам,
протоколирование сеансов, то есть выполнение функций персонального Firewall.
При использовании
средства защиты, обеспечивающего такой контроль, уже невозможны сетевые атаки
со стороны компьютеров, не владеющих соответствующей ключевой информацией.
Трафик между парой компьютеров, связанных между собой, автоматически становится
защищенным, независимо от приложения, его создающего. Никакому третьему
компьютеру этот трафик не доступен. Любой трафик защищенных компьютеров
протоколируется, и любые отклонения в действиях зарегистрированных
пользователей от стандартного поведения легко обнаруживаются, что является
существенным сдерживающим моментом от проведения атак с их стороны. Кроме того,
для зарегистрированных пользователей может также производиться фильтрация
трафика, что не позволяет им выйти за пределы разрешенных протоколов. Также
может быть обеспечена независимость защищенности компьютеров и информации от
сетевых администраторов, от ошибочных или преднамеренных действий которых
уязвима любая сеть.
Многие решения VPN
(виртуальные защищенные сети) в основном ориентированы на защиту межсетевого
трафика и возможность подключения к туннельным серверам удаленных пользователей
с использованием некоторого клиента VPN. Такие решения по причинам, указанным
выше, небезопасны с точки зрения возможности организации несанкционированных
доступов из подсоединяемых внешних локальных сетей или через удаленного клиента
из внешних глобальных сетей (если нет персонального сетевого экрана). Кроме
того, эти решения не рассчитаны на работу в локальных сетях, защиту их
фрагментов или отдельных компьютеров, и автоматизированное взаимодействие
клиентов между собой.
Речь идет о построении
виртуальных защищенных сетей в более широком понимании, когда в их состав
включаются и отдельные компьютеры, находящиеся в локальной сети или удаленно
подключаемые, фрагменты локальных сетей и локальные сети в целом. Причем
главное преимущество такой наложенной виртуальной сети заключается в том, что
ее развертывание практически не зависит от используемого телекоммуникационного
оборудования, сетевого окружения.
Путем установки на выходе
из локальной сети специального координатора VPN внутри распределенной сети
может быть организован виртуальный контур, частично или полностью изолированный
от остальной сети, компьютеры которого могут получать доступ к открытым
ресурсам Интернет. При этом весь потенциально опасный открытый трафик из
Интернет зашифровывается на Координаторе и может быть расшифрован только на
компьютерах локальной сети, включенных в этот виртуальный контур. Любые
стратегии атак извне не могут нанести вреда остальным ресурсам локальной сети.
Клиент VPN при работе в Интернет полностью блокирует любой иной трафик данной
станции в локальной сети. При этом можно добиться наиболее оптимальной и
эффективной степени защиты ресурсов и информации в корпоративной сети от любых
посягательств, исходя из важности информационного объекта и требуемой
надежности защиты.
Безопасность коммуникаций
и технических средств, безопасность и достоверность информационных ресурсов в
корпоративной сети, взаимодействующей также и с внешними техническими
средствами и информационными ресурсами, можно обеспечить только путем создания
в телекоммуникационной инфраструктуре корпоративной сети интегрированной
виртуальной защищенной среды, что и реализует технология VPN. Такая защищенная
среда включает в себя:
·
Обеспечение
контроля зарегистрированных и блокировку незарегистрированных приложений,
пытающихся передавать или принимать трафик, и защищающую как от внешних, так и
внутренних сетевых атак.
·
Систему
шифрования трафика любых приложений и операционной системы, гарантирующую
целостность и конфиденциальность информации, как на внешних, так и внутренних
коммуникациях, и обеспечивающую разграничение доступа к техническим и
информационным ресурсам.
·
Систему
регистрации и оповещения об IP-адресах объектов, наличии объектов в виртуальной
сети, их местоположении и состоянии, предоставляющую в любой момент любому
объекту сети всю необходимую информацию для возможности автоматического
установления защищенных соединений. При этом не требуются какие-либо ручные
настройки для других объектов при их включении или перезагрузке, изменении у
них IP-адресов, IP-адресов Firewall.
·
Безопасную
для локальной сети систему организации виртуальных каналов доступа отдельных компьютеров
локальной сети к открытым ресурсам внешних сетей (включая Интернет).
·
Систему
прозрачного шифрования информации при ее сохранении на сетевых и локальных
жестких дисках, других носителях, обеспечивающую целостность и недоступность
информации для несанкционированного использования в процессе ее хранения и
обмена данными.
·
Систему
межсетевого взаимодействия, обеспечивающую организацию связи между разными
виртуальными сетями VPN путем взаимного согласования между администрациями
сетей допустимых межобъектных связей и политик безопасности.
Поэтому для Интернет
наиболее эффективным является введение комплексного соответствия между сетевыми
информационными сервисами, с одной стороны, и существующими сервисами и
механизмами безопасности, с другой стороны, что в основном ориентировано на
обеспечение совместимости отдельных реализаций сервисов в многопротокольной
глобальной среде Интернет. При таком подходе для каждого приложения
определяются требования к безопасности и соответствующие необходимые сервисы и
механизмы безопасности (протоколы и необходимая инфраструктура), которые смогут
удовлетворять эти требования. Главной целью и преимуществом такого подхода
является обеспечение совместимости различных реализаций приложений в Интернет,
позволяющего использовать продукты различных производителей.
Для коммуникации важным
средством обеспечения безопасности является протоколирование. Вычислительная
база должна содержать совокупность защитных механизмов компьютерной системы,
включая аппаратное и программное обеспечение. Надежная система должна
фиксировать все события, касающиеся безопасности.
СПИСОК ЛИТЕРАТУРЫ
1. Гайкович В., Першин А.. Теория
и практика обеспечения информационной безопасности, под редакцией Зегжды П. Д., Изд. «Яхтсмен», 2003. - 1104с.
2. Использование Internet:
Пер. с англ. / Дж. Хоникатт и др. – 4-е изд. – К; М;
СПб. изд. Дом «Вильямс», 2005 – 544 с.
3. Якубайтис Э.А. Информационные
сети и системы. М.,