|
121. Безпека та захист мережі
Проблема захисту комп'ютерних мереж та даних, що циркулюють в них, вимагає великої уваги, оскільки перевагою мережі є доступ до спільних даних та пристроїв, а це зумовлює можливість несанкціонованого доступу до даних. Тому захист інформаційного середовища стає таким же важливим, як і захист технічного обладнання, із якого побудована мережа, як захист навколишнього середовища, підприємства, власного майна.
Організація системи захисту комп'ютерних мереж ускладнюється тим, що загрози, від яких доводиться захищати мережі та дані, дуже не визначені і носять різноманітний характер. По своєму походженню це можуть бути фактори антропогенні, технічні, технологічні, часові, природні і ін., котрі не завжди вдається прогнозувати. Тому при проектуванні та впроваджені мереж розробникам необхідно максимально враховувати можливі загрози від яких доводиться захищати мережу і дані, які в ній циркулюють.
Доцільно розглядати побудову захисту мережі і даних в ній як комплексну (багатопланову) систему заходів, оскільки непередбачені і навмисні антропогенні загрози можуть виникати в мережі як в людино-машинній автоматизованій системі в різні моменти життєвого циклу мережі і за різних обставин функціонування технічного обладнання, програмного забезпечення, кваліфікації персоналу.
Зважаючи на такий підхід, захист мереж і даних необхідно розглядати в розрізі таких проблемних напрямків: технічного; програмного; організаційного; правового.
До технічних методів захисту мереж і даних відносять розробку і використання спеціальних апаратно-програмних засобів, що обумовлюють, або утруднюють несанкціонований доступ до всієї мережі чи її складових частин, а також даних, що в ній циркулюють.
Захист мережі з використанням так званих брандмауерів, тобто комп'ютера зі спеціальним програмним забезпеченням, який ставлять на межі мережі і який пропускає певним чином тільки авторизовані програмні продукти. Як слідство брандмауери встановлюються частіше для захищення корпоративної мережі і даних, що в ній циркулюють від несанкціонованого доступу з боку зовнішньої мережі. Зі спеціально розробленими алгоритмами фільтрування брандмауери успішно використовуються для захисту і внутрішньої мережі, для фільтрування вихідної інформації, обмеження доступу користувачів внутрішньої мережі назовні і т. ін.
Інтернет став життєво необхідною і постійно зростаючою мережею, яка змінила образ життєдіяльності багатьох людей і організацій. Тим не менш, через Інтернет виникло багато серйозних проблем з безпекою. Багато організацій були атаковані або зондовані зловмисниками (зловмисники часто перевіряють мережі організацій на можливість проникнення в них шляхом методичного сканування систем в них на наявність вразливих місць; зловмисники часто використовують засоби автоматичного зондування, тобто програми, які сканують всі хости, приєднані до мережі організації. Ця діяльність називається іноді зондування мережі організації), що призвело до великих втрат у часі і збитку репутації. У деяких випадках, організації змушені були тимчасово від'єднатися від Інтернету, і витратити значні кошти для вирішення виниклих проблем з конфігурацією хостів та мережі. Мережі організацій, які необізнані або ігнорують ці проблеми, піддають себе великому ризику бути атакованим мережевими зловмисниками. Навіть ті організації, в яких безпеці приділяється увага, можуть піддаватися ризику через появу нових уразливих місць в мережевому програмному забезпеченні або завзятості деяких зловмисників.
Дане положення справ склалося по ряду причин. Однією з основних причин може бути те, що при розробці Інтернет вимогибезпеки не враховувалися, оскільки головною вимогою при реалізації Інтернету була вимога зручності при обмініінформацією при проведенні наукових досліджень.
Фільтрація пакетів
Крім захисту окремих машин, можна вжити заходи безпеки на мережному рівні. Основний інструмент системи захисту мережі – фільтр пакетів.За допомогою фільтру пакетів обмежується трафік через 82
Internet шлюз (або через шлюз, який сполучає локальні підмережі в межах організації). Вказавши, які адреси пунктів призначення, номери портів і типи протоколів є допустимими, шлюз просто відкидає всі решту пакетів, які не відповідають заданому критерію. Фільтрацію виконують спеціалізовані апаратні маршрутизатори (наприклад, що випускаються фірмами CISCO, Allied Telesyn та ін.). Можлива також програмно реалізована фільтрація; все залежить від машини, яка виконує функції шлюзу і її конфігурації. Фільтрація пакетів не повинна бути основним засобом захисту – кожну машину необхідно захищати індивідуально, користуючись такими програмами, як, наприклад, COPS, crack, tcpd чи tripwire.
Система Kerberos
Дістати несанкціонований доступ до комп'ютера, що працює в мережі, іноді дуже легко. Такі тривіальні прорахунки, як передача паролів по мережі у вигляді звичайного тексту, зводять нанівець будь–який захист. Система Kerberos, розроблена в Масачусетському технологічному інституті, орієнтована на задачі захисту в мережах. При використовуванні системи Kerberos забезпечується більш ефективний захист даних в мережах, ніж при повній відсутності системи захисту як такої. На жаль, вона рясніє “дірами”, починаючи з вікон, які залишаються аутентифікованими під час відсутності користувача, і закінчуючи паролями, які записуються на сервері аутентифікації в незашифрованому вигляді.
|
Вход
Регистрация
FAQ
Поиск
