Ограничение доступа в сеть. Межсетевые экраны

Сканирование компьютерных сетей

Сетевое сканирование осуществляется злоумышленником на предварительной стадии атаки. Сканирование компьютерной сети позволяет получить злоумышленнику такую информацию, необходимую для дальнейшего взлома, как типы установленных ОС, открытые порты и связанные с ними сервисы, существующие уязвимости. Сам факт сетевого сканирования лишь говорит о реализации стадии, предваряющей атаку, и является важной информацией для сетевого администратора.

Для защиты от сетевого сканирования необходимо применять подходы, позволяющие скрыть внутреннюю структуру сети и идентифицировать факт сканирования, например, использовать межсетевые экраны, системы обнаружения вторжений.

Таким образом, для защиты от рассмотренных выше атак используют:

· межсетевые экраны,

· виртуальные частные сети,

· стойкие протоколы аутентификации,

· системы обнаружения вторжений,

· анализ журналов безопасности (аудита) компьютерных систем.

Рассмотрим данные средства более подробно.

Одна из важнейших задач, решаемая при защите компьютерных сетей, – ограничение доступа внешних пользователей к ресурсам внутренней сети организации, а также обеспечение безопасного доступа внутренних пользователей сети к ресурсам внешней. Это ограничение должно выполняться в соответствие с правилами, определяющими политику безопасности в сети организации.

Межсетевой экран (МЭ, firewall) – это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения сетевых пакетов через границу из одной части сети в другую.

МЭ пропускает через себя весь трафик, принимая для каждого из проходящих пакетов решение – пропускать его дальше или отбросить. Для этого на межсетевом экране задают набор правил фильтрации трафика.

Обычно межсетевые экраны защищают внутреннюю сеть организации от несанкционированного доступа из открытой сети INTERNET (рис. 8.1), однако, они могут использоваться и для ограничения доступа внутренних пользователей к различным подсетям внутри корпоративной сети предприятия. Таким образом, МЭ регламентирует использование ресурсов одних сетей пользователями других, для него, как правило, определены понятия «внутри» и «снаружи».

Решение о том, каким образом фильтровать пакеты, зависит от принятой в защищаемой сети политики безопасности, МЭ ее реализует. Как правило, с помощью МЭ ограничивается доступ к различным сетевым сервисам для различных сетевых адресов.

Например, МЭ может запретить доступ по протоколам POP3(Post Office Protocol - протокол почтового отделения, версия 3) используется почтовым клиентом для получения сообщений электронной почты с сервера) и SMTP (Simple Mail Transfer Protocol) для всех пользователей внутренней сети организации кроме почтового сервера, так чтобы пользователи были вынуждены забирать свою почту только с выделенного почтового сервера организации, на котором она проходит необходимые проверки.

Рис. 8.1. Защита внутренней сети организации от несанкционированного доступа из сети INTERNET

Правила доступа к сетевым ресурсам, в соответствие с которыми конфигурируется МЭ, могут базироваться на одном из следующих принципов:

1. Запрещать все, что не разрешено в явной форме.

2. Разрешать все, что не запрещено в явной форме.

Реализация МЭ на основе первого принципа позволяет обеспечить более хорошую защищенность, но требует больших затрат и доставляет больше неудобств пользователям.

Различают следующие виды МЭ [2]:

1. Фильтрующие маршрутизаторы (пакетные фильтры).

2. Шлюзы сетевого уровня.

3. Шлюзы прикладного уровня.

Шлюзы есть коммуникационные устройства, играющие роль интерфейса.

Дата добавления: 2014-01-07; Просмотров: 386; Нарушение авторских прав?; Мы поможем в написании вашей работы!