Сервер поддержки

Сервер поддержки (supporting server) - специальное средство вычислительной техники, предназначенное для нормального функционирования рабочих станций и других средств, и решения повседневных задач организации. Конструктивно сервер поддержки может представлять собой как персональный компьютер, так и мощный многопроцессорный комплекс. Установленное программное обеспечение и ОС также могут быть самыми различными: Windows NT Server, Unix, Novell NetWare и т.д. Круг решаемых задач - это хранение больших массивов данных и программ (сетевые файловые системы (NFS) и базы данных), осуществление ресурсоемких вычислений с разделением времени, кэширование информационных объектов сети Интернет для ускорения доступа (proxy caching), осуществление доставки электронной почты (e-mail delivering), трансляция символьных адресов компьютеров в их цифровые эквиваленты (DNS), сбор статистики и прочие приложения типа клиент-сервер. Количество серверов поддержки в организации обычно соизмеримо с количеством решаемых задач, указанных выше. Серверы поддержки обычно имеют минимальные средства человеко-машинного интерфейса и администрируются удаленно с рабочей станции. Обычно в организации есть персонал, ответственный за администрирование серверов поддержки.

С точки зрения сетевого взаимодействия каждый сервер поддержки предоставляет услуги исходя из решаемых им задач, причем услуги могут предоставляться и внешней сети (например, доставка почты), хотя это, скорее всего, исключение. Аналогично, каждый сервер поддержки может пользоваться услугами других серверов поддержки, информационных серверов и серверов внешней сети (как, например, при трансляции символьных адресов компьютеров) исходя из решаемых им задач.

Уровень информационной безопасности серверов поддержки обычно значительно выше, чем рабочих станций. Однако, и требования к защите у серверов поддержки выше. Если не используется специальная защищенная версия ОС, то у сервера поддержки также имеется большое количество уязвимых мест, в т.ч. и в реализации стека TCP/IP. Существует большое число сетевых атак, направленных на замедление работы сервера, на выведение его из строя ("зависание" или перезагрузка), на получение несанкционированного доступа (НСД) к конфиденциальной информации, передаваемой по сети или хранимой/обрабатываемой на самом сервере. Возможны атаки подготовительного типа, целью которых является сбор информации о других информационных ресурсах организации. Особую опасность представляют атаки, в результате которых злоумышленник получает несанкционированный доступ к управлению СВТ с большими полномочиями (root-privileges unauthorized access). При этом основу всех этих угроз составляет непосредственная доступность сервера из глобальной сети.

Установка межсетевого экрана, отделяющего локальную сеть от внешней глобальной сети, позволила бы значительно усилить защиту серверов поддержки. Более хорошим является решение о выделении отдельного сегмента сети специально для всех серверов поддержки, и развязки данного сегмента от других сегментов сети организации и внешней сети с помощью межсетевого экрана, т.е. организация так называемой "демилитаризованной" зоны (demilitarized zone - DMZ). В такой конфигурации можно отслеживать и различать направление соединений всех уровней модели OSI, проходящих через межсетевой экран, фильтровать и протоколировать все исходящие от сервера поддержки и входящие в него соединения, отвергая все неразрешенные соединения, блокируя все известные сетевые атаки и извещая о них администратора. Особенно тщательно следует фильтровать команды прикладного протокола, семантика которых заключается в модификации конфиденциальной информации или получении пользователем больших привилегий. Те серверы, которые не предоставляют никаких сервисов внешней сети и не пользуются сервисами, предоставляемыми внешней сетью, возможно сделать недостижимыми и невидимыми извне, путем блокирования любого трафика между данным сервером и внешней сетью, и исключения записей об адресе данного сервера во внешнем DNS. Кроме того, очень часто возникает потребность в безопасном доступе к серверу поддержки от рабочей станции, находящейся во внешней сети. Последняя задача решается путем прозрачного туннелирования стандартного трафика между сервером и удаленной рабочей станцией с шифрование всех передаваемых данных и команд, с применением усиленных механизмов идентификации и аутентификации (подтверждения подлинности) рабочей станции, с которой осуществляется удаленный доступ.

Информационный сервер

Информационный сервер (public informational server) - средство вычислительной техники, предназначенное для предоставления организацией информационных услуг всем пользователям глобальной сети. Конструктивно он представляет собой достаточно мощный компьютер, способный обслуживать запросы пользователей в реальном масштабе времени, с установленной ОС либо Unix, либо Windows NT Server. По типу предоставляемых услуг все информационные серверы делятся на HTTP-, FTP-, DNS- и прочие серверы. Следует отметить, что услуги DNS-сервера - это предоставление информации (по запросам из внешней сети) о наличии тех или иных информационных ресурсов в сети организации и об их сетевых адресах, т.е. создание некоторой формы "присутствия" организации в сети Интернет. Обычно в организации существует только один информационный сервер, на котором одновременно исполняются приложения, предоставляющие все вышеуказанные услуги. Следует отметить, что в последнее время все чаще применяется техника зеркального отображения (mirroring) информационного сервера, т.е. использование нескольких одинаковых серверов, исполняющих роль одного "виртуального" информационного сервера, с целью увеличения суммарной скорости обслуживания клиентских запросов. Информационный сервер обычно имеет минимальные средства человеко-машинного интерфейса и администрируется удаленно с рабочей станции. Как правило, в организации есть персонал, ответственный за администрирование информационного сервера.

С точки зрения сетевого взаимодействия информационный сервер не пользуется услугами, предоставляемыми другими серверами, а только предоставляет вышеперечисленные информационные услуги, причем основные потребители данных услуг располагаются в глобальной сети, и, в принципе, потребителем услуг может стать любой пользователь сети Интернет.

Уровень информационной безопасности информационного сервера - не столь критичный параметр по сравнению с безопасностью серверов поддержки, тем не менее, от уровня безопасности непосредственно зависит качество предоставляемых информационных услуг, а, следовательно, зависит и престиж организации. Уровень безопасности, предоставляемый ОС и программами, установленными на информационном сервере, обычно является недостаточным. Если ОС специально не защищена, то в ней существует большое количество уязвимых мест. Аналогично, существует и большое число сетевых атак, направленных на замедление работы сервера, на выведение его из строя ("зависание" или перезагрузка), на получение прав на изменение (и компрометацию) информации, хранимой на сервере. Опасны также атаки подготовительного типа, целью которых является получение несанкционированного доступа к управлению информационным сервером для дальнейшего осуществления атак с данного сервера на другие ресурсы сети организации.

Наиболее эффективной защиты информационного сервера можно добиться с помощью межсетевого экрана. Есть несколько вариантов:

• Во-первых, можно поместить информационный сервер перед межсетевым экраном. При этом информационный сервер не будет дополнительно защищен от атак из внешней сети, но и при выведении из строя, его нельзя будет использовать как базу для дальнейших атак на остальные сетевые ресурсы организации, находящиеся за межсетевым экраном. Преимуществом данного метода является тот факт, что трафик через межсетевой экран определяется только потребностями самой организации и не зависит от активности пользователей сети Интернет, т.е. соединения, проходящие через межсетевой экран, устанавливаются/допускаются исключительно из внутренней сети (за исключением случая доставки электронной почты);

• Во-вторых, существует возможность размещения информационного сервера за межсетевым экраном в том же сегменте сети, где расположены серверы поддержки и/или рабочие станции. В таком случае информационный сервер будет защищен также как и другие сетевые ресурсы компании, но, учитывая то, что соединения к информационному серверу устанавливаются извне, а не наоборот (как для остальных СВТ), и учитывая возможность косвенных атак через скомпрометированный ("взломанный") информационный сервер, решение об установке данного сервера за межсетевым экраном в одном сегменте представляется неадекватным требованиям защиты в большинстве случаев;

• В-третьих, есть возможность размещения информационного сервера за межсетевым экраном, но на отдельном сегменте (т.е. организация "демилитаризованной" зоны). При этом информационный сервер будет защищен наилучшим образом от атак (при полной доступности) из глобальной сети и отделен от других сетевых ресурсов организации, делая невозможным осуществление косвенных атак через данный сервер. По критерию цена/эффективность данное решение в большинстве случаев является наилучшим.

В любом случае, с помощью межсетевого экрана, защищающего информационный сервер, можно отслеживать и различать направление соединений всех уровней модели OSI, проходящих через межсетевой экран, фильтровать и протоколировать все входящие в сервер соединения, отвергая все неразрешенные соединения, блокируя все известные сетевые атаки и извещая о них администратора.

Коммуникационное оборудование

Коммуникационное оборудование (communication equipment) - специальное оборудование, предназначенное для физической связи различных средств вычислительной техники между собой и с глобальной сетью, для комплексной информационной защиты компонентов локальной сети, а также для управления и маршрутизации трафика между различными СВТ, и между СВТ и глобальной сетью. Класс коммуникационного оборудования содержит: кабели (cables), активные повторители (active repeaters), концентраторы (hubs) и коммутаторы (switches), маршрутизаторы (routers), модемы (modems), межсетевые экраны (firewalls) и т.п. С точки зрения сетевой безопасности и атак из внешней сети, следует обратить особое внимание на маршрутизаторы, модемы и межсетевые экраны.

Маршрутизатор - главный элемент при организации соединений на сетевом уровне модели OSI, направляющий пакеты данных, проходящие через него, в нужную сторону. Поскольку все пакеты из внешней сети обязательно проходят через маршрутизатор, то от возможностей по фильтрации и блокированию пакетов и соединений напрямую зависит защищенность внутренней сети организации от атак злоумышленников из глобальной сети. Поэтому, многие существующие маршрутизаторы выполняют те или иные функции межсетевых экранов, начиная от простой фильтрации пакетов по адресам их заголовков и кончая контекстной инспекцией информационных потоков. Следует отметить, что сами маршрутизаторы также могут стать объектом сетевой атаки.

Модем - основное средство для связи вычислительной техники посредством коммутируемых телефонных линий. Модем может присутствовать на самом компьютере или находиться в модемном пуле (modem pool), т.е. на специально предназначенном для этого защищенном сегменте сети. С точки зрения безопасности, вариант с модемным пулом гораздо лучше, т.к. в противном случае у злоумышленника появляется возможность легкой атаки компьютера с модемом посредством коммутируемой телефонной сети(в обход межсетевого экрана, если он присутствует в сети) и использование атакованного компьютера как базы для дальнейших атак на другие компьютеры внутренней сети организации.

Межсетевой экран - средство разделения (экранирования) компьютерных сетей в целях защиты. Следует отметить, что часто и сами межсетевые экраны содержат уязвимости и могут стать объектом сетевых атак злоумышленников. Поэтому, обычно используется комбинация межсетевых экранов разных типов, дающая максимальную комплексную защиту. Кроме того, в последнее время межсетевые экраны все чаще используются для организации так называемых виртуальных частных сетей (virtual private networks - VPN) - "прозрачного" и безопасного объединения нескольких физически удаленных сетей организации (филиалов организации) посредством глобальной сети. "Прозрачность" и безопасность такого объединения достигается путем туннелирования стандартного трафика сети организации с шифрованием всех данных предаваемых пакетов. Функции шифрования возлагаются на межсетевые экраны, расположенные на границах стыковки каждой из виртуально объединяемых сетей с глобальной сетью, а туннелированный трафик передается по глобальной сети между этими межсетевыми экранами. Таким образом, достигается защита от чтения и модификации злоумышленником во внешней сети конфиденциальной информации между двумя физически разрозненными локальными сетями одной организации.

Дата добавления: 2014-01-20; Просмотров: 425; Нарушение авторских прав?; Мы поможем в написании вашей работы!