Защита межсетевых соединений

CiscoSecure ACS

Стандартны баз данных управления доступом

Существует несколько стандартов баз данных управления доступом. Оборудование Cisco поддерживает три из них: TACACS+, RADIUS, Kerberos (Основные – превые два).

TACACS+ (Terminal Access Controller Access Control System) - это приложение сервера управления доступом, реализующее на основе соответствующего протокола централизованное управление доступом пользователей к серверам доступа или другому сетевому оборудованию. Работает под управлением ОС Unix и Windows NT.

Свойства TACACS+

- Использует протокол TCP (порт 49) для связи между сервером доступа и сервером управления доступом.

- Тело пакета шифруется.

- Использует архитектуру ААА. Каждый сервис имеет свою базу данных.

- Поддерживает аутентификацию PAP и CHAP.

- Поддерживает автокоманды.

- Поддерживает функцию обратного вызова для телефонных соединений.

- Может загружать индивидуальные списки доступа для каждого пользователя.

RADIUS (Remote Access Dial-In User Service) – сервис идентификации удаленных абонентов – это распределенный протокол, используемый в рамках технологии клиент/сервер и обеспечивающий защиту сети от несанкционированного доступа.

Возможности RADIUS

- Использует протокол UDP (обычно порт 1812) для связи между сервером доступа и сервером управления доступом.

- Сервисы аутентификации и авторизации объединены, аудит выполняется выделенным сервером аудита RADIUS

- Пароли в пакетах RADIUS шифруются посредством хэширования алгоритмом MD5

- Поддерживает аутентификацию PAP и CHAP.

- Поддерживает автокоманды и функцию обратного вызова.

ПО фирмы Cisco предназначенное для управления:

- удаленным доступом через серверы доступа и маршрутизаторы Cisco;

- доступом к консоли и виртуальным терминалам маршрутизаторов и коммутаторов;

- доступом через брендмауэр PIX.

Поддерживает протоколы TACACS+ и RADIUS. Работает под управлением ОС Windows NT и Solaris

В настоящее время большинство средних и крупных сетей имеют подключение к сетям общего доступа (обычно это Internet), нередко по весьма производительным каналам. Небольшие локальные сети также часто имеют выход в Internet. Также нередки случаи прямого взаимодействия между сетями разных предприятий.

Для обеспечения безопасности корпоративной сети необходимо особым образом защищать периметр сети от внешних вторжений.

Брандмауэры

Брандмауэр (сетевой экран, firewall) – специальное сетевое устройство, предназначенное для защиты внутренней сети от внешних воздействий.

Имеет следующие особенности:

- Является узким местом для трафика. Весь трафик из внутренней сети наружу и наоборот должен пройти через брандмауэр.

- Пропускает только трафик, прошедший авторизацию в соответствии с заданной политикой защиты.

- Делает внутреннюю сеть невидимой снаружи.

- Должен иметь надежную защиту от взлома.

В качестве брандмауэров применяются различные программно-аппаратные решения:

- программные брандмауэры, например CheckPoint Firewall

- маршрутизаторы CISCO с IOS Firewall;

- программно-аппаратные брандмауэры PIX Firewall.

Демилитаризованные зоны.

Если небольшую локальную сеть можно отделить от Интернет простым программным брандмауэром или обычным прокси-сервером, то для средних и крупных корпоративных сетей желателен другой подход.

Для защиты от внешних вторжений между корпоративной сетью и Интернет создается специальная буферная зона, которую называют демилитаризованной зоной (ДМЗ).

ДМЗ – это единственная часть корпоративной сети, в какой-либо мере видимая из вне. ДМЗ обычно создается на основе пограничного маршрутизатора и брандмауэра. Возможно использование нескольких эшелонов защиты, с применением нескольких брандмауэров.

Пример построения ДМЗ:

		ДМЗ		Корпоративная сеть

Маршрутизатор периметра (пограничный маршрутизатор) обеспечивает защиту для серверов, находящихся в ДМЗ. Сервера ДМЗ обычно доступны с соответствующими ограничениями и из Интернет и из корпоративной сети. Брандмауэр обеспечивает полную защиту корпоративной сети. Прямое взаимодействие между корпоративной сетью и Интернет не возможно.

ДМЗ может иметь адресное пространство Internet или корпоративной сети. В последнем случае адреса должны транслироваться в “легальные” адреса Интернет маршрутизатором периметра или специальным сервером.

Возможности Cisco IOS Firewall

Данное ПО может применяться практически на всём модельном ряде маршрутизаторов CISCO.

Основные возможности маршрутизатора периметра, обеспечивающие защиту против сетевых угроз:

- Фильтрация пакетов с использованием стандартных и расширенных списков доступа - предотвращает подтасовку данных, несанкционированный доступ, DOS-атаки.

- Ограничение частоты обращений – предотвращает DOS-атаки, в частности лавинные атаки SYN.

- Трансляция (подмена) сетевых адресов и портов – маскирует структуру внутренней сети, помогает решить проблему ограниченного числа “легальных” IP-адресов.

- Протоколирование событий – контроль потока данных с целью выявления и анализа различных типов атак.

- Блокирование аплетов Java

- Система обнаружения вторжений. Отслеживает поток проходящих пакетов проверяя их на наличия заданных сигнатур.

И еще ряд возможностей…

Cisco PIX Firewall

- PIX Firewall (Private Internet Exchange Firewall – брандмауэр для закрытого обмена данными в Internet) – это программно-аппаратный комплекс обеспечивающий защиту корпоративных сетей посредством контроля состояния соединений.

Предлагает огромные возможности защиты.

Отличительные особенности:

- Использует адаптивный алгоритм защиты (ASA – Adaptive Security Algorthm), который записывает характеристики соединений, сохраняя эту информацию в таблице и использует ее для проверки пакетов, чтобы убедиться что состояние сеанса остается таким же, как при открытии соединения. При обнаружении несоответствий пересылка данных прекращается.

- Генерирует порядковые номера TCP-пакетов при помощи специального алгоритма рандомизации, чем затрудняет возможность их угадывания с целью захвата сеанса.

- Поддерживает до шести интерфейсов Ethernet. Позволяет назначать интерфейсам разные уровни безопасности, разделяя сегменты по степени риска.

- Работает под управлением специализированной защищенной ОС реального времени (командами похожа на IOS).

- Использует процессор Intel Pentium, что обеспечивает относительно невысокую стоимость брандмауэра.

Средства трансляции IP-адресов

NAT – Network Address Translation поддерживается маршрутизаторами периметра и брандмауэрами с целью трансляции внутренних локальных IP-адресов во внешние глобальные адреса.

Позволяет:

- Расширить пространство “легальных” IP-адресов за счет того, что одним внешним адресом могут пользоваться несколько компьютеров с внутренними адресами.

- Скрыть IP-адреса, используемые внутренней сетью от внешних наблюдателей.

Средства NAT могут быть настроены на статическую или динамическую трансляцию. При статической трансляции внутренние адреса однозначно сопоставляются с внешними. При динамической, группа локальных адресов связывается с группой внешних адресов. На время очередного сеанса связи внутренний адрес транслируется в назначенный динамически адрес.

PAT - Port Address Translation позволяет транслировать множество внутренних адресов в один внешний.

- При применении PAT один IP-адрес может представлять до 4000 хостов.

- Средства PAT отображают разные номера портов TCP и UDP в один IP-адрес.

При использовании PAT маршрутизатор назначает уникальный номер порта источника каждому исходящему соединению, тем самым обеспечивая возможность использования одного IP-адреса многими соединениями, т.е. необходимая уникальность адреса источника обеспечивается трансляцией портов.

Дата добавления: 2014-01-07; Просмотров: 313; Нарушение авторских прав?; Мы поможем в написании вашей работы!