КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
I-ый рубеж. Периметр
|
|
|
|
Периметр – это укрепленная граница вашей сети, которая может содержать все или некоторые компоненты из нижеперечисленных средств защиты:
· маршрутизаторы (routers);
· межсетевые экраны (брандмауэры, firewalls);
· систему обнаружения вторжений (IDS);
· устройства виртуальной частной сети (VPN);
· программное обеспечение (software);
· демилитаризованную зону (DMZ) и экранированные подсети.
Маршрутизаторы (routers) осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети. Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
Межсетевой экран (МСЭ, брандмауэр или firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать этот трафик по сети. Область действия МСЭ начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов МСЭ, к которым относятся статические пакетные фильтры (static packet filters), МСЭ экспертного уровня (stateful-МСЭ), а также прокси-МСЭ (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – МСЭ экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-МСЭ, например Secure Computing's Sidewinder.
|
|
|
IDS (Intrusion Detection System – система обнаружения вторжений) – это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с МСЭ, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в журнале событий (log-файле). Детекторы IDS могут составлять отчет для центральной базы данных, которая координирует поступающую от них информацию.
VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный шифрованием сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть.
|
|
|
Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Можно, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части:
1) Внешний web-интерфейс, отвечающий за то, в каком виде данное приложение будет представлено пользователю.
2) Код приложения, реализующий бизнес-логику приложения.
3) Внутренние базы данных, в которых хранятся данные, имеющие отношение к приложению.
Архитектура программного обеспечения играет существенную роль при обсуждении инфраструктуры безопасности, поскольку основной задачей периметра сети является защита данных, относящихся к приложениям, и сервисов.
Обычно под терминами " демилитаризованная зона " и " экранированные подсети ", подразумевается небольшая сеть, содержащая ресурсы общего пользования, подключенные непосредственно к МСЭ или другому фильтрующему устройству, которое защищает её от вторжений извне. DMZ (De-Militarized Zone - демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Изначально DMZ представляла собой незащищенную область между защищенными участками. DMZ размещается перед МСЭ. МСЭ или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему.
Экранированная подсеть (screened subnet) представляет собой изолированную сеть, соединенную с определенным интерфейсом МСЭ или другого фильтрующего трафик устройства. Экранированная подсеть часто используется для изоляции серверов, к которым необходимо обеспечить доступ из Интернета, использующимися исключительно внутренними пользователями данной организации. Экранированная подсеть обычно содержит службы "общего использования" (public services), включая DNS (Domain Name System – система (служба) доменных имен), почтовую службу и службу доступа в web. Подобные серверы должны выступать в качестве бастионных хостов. Здесь под бастионом (bastion) подразумевается хорошо укрепленная (fortified - фортификацированную) позиция. В применении к хостам в сети фортификацирование включает укрепление операционной системы и приложений наилучшим для этого способом. Как показывает статистика зарегистрированных атак, эти серверы не всегда в достаточной мере фортификацированы; на самом деле они бывают уязвимыми, вопреки их защищенности МСЭ. Необходимо укреплять защиту этих хостов, поскольку они являются мишенью для большинства атак, и буквально весь мир через них видит вашу организацию.
|
|
|
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 438; Нарушение авторских прав?; Мы поможем в написании вашей работы!