Основные виды атак при передаче информации по сетям. Классификация средств защиты передаваемой информации в Интернете. Протоколы защиты передаваемых данных Сетевого, Транспортного и Прикладного уровней, страница 2

Защита на Прикладном уровне

Протокол защищенных электронных транзакций SET

Протокол SET – это представитель средств защиты передаваемых данных на Прикладном уровне. Протокол SET (SecureElectronicTransaction) – это набор протоколов защиты и шифрования данных, разработанный с целью защиты платежных транзакций, выполняемых в Internet с помощью пластиковых карточек.

     Протокол SET обеспечивает три следующих вида сервиса:

1.  Создание защищенного канала, связывающего все участвующие в транзакции стороны.

2.  Обеспечение взаимной аутентификации (плательщика и продавца)  с помощью цифровых сертификатов стандарта X.509.

3.  Обеспечение секретности и целостности данных – тем, что информация доступна только участникам транзакции, использованием цифровых подписей и шифрования. 

14  Виртуальные частные сети VPN, и их классификация. Российские продукты построения корпоративных VPN.


Виртуальные частные сети VPN (VirtualPrivateNetwork) – это технология корпоративных систем информационной безопасности. Она обеспечивает конфиденциальность информации, передаваемой по открытым сетям, с помощью организации выделенных защищенных каналов связи.

     Существуют следующие варианты решений для построения корпоративной VPN:

·  VPN на базе сетевых операционных систем (Это наиболее дешевое решение, позволяющее построить VPN средствами самой операционной системы. Это решение считается оптимальным для построения VPN внутри локальной сети, и для VPN-интранет для небольших компаний, для защиты некритичной информации)

·  VPN на базе маршрутизаторов (компания  Cisco – лидер)

·  VPN на базе межсетевых экранов (CheckPoint – Firewall-1/VPN-1. В состав этого продукта входят межсетевой экран Firewall-1, набор средств для построения VPN – VPN-1, средства обнаружения вторжений RealSecure, средства управления полосой пропускания FloodGate, и другие. Система VPN-1 включает в себя средства для построения защищенных каналов в локальных сетях и в Интернете. Они реализованы на базе стандарта IPSec, имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей)

·  VPN на базе специализированного программного обеспечения

Российские продукты построения корпоративных VPN


·  ШИП - Это отдельное программно-аппаратное устройство (криптошлюз), которое осуществляет сквозное шифрование всего исходящего из локальной сети трафика (SKIP)

·   ЗАСТАВА - С помощью продуктов серии ЗАСТАВА можно создавать VPN различного масштаба

15  Межсетевые экраны. Виды МЭ. Конфигурация расположения МЭ в сети.


Защита периметра сети от несанкционированного доступа извне организуется с помощью межсетевых экранов (МЭ), или брандмауэров (firewall). Пример: PIXFirewall 525 компании CiscoSystems

Брандмауэр – это устройство, которое обеспечивает защиту внутренней сети организации от вторжения из сети Интернет путем реализации набора правил, которые определяют условия прохождения сетевых пакетов. Брандмауэром может быть как отдельный компьютер сети, так и группа специально выделенных компьютеров, которые осуществляют функции брандмауэра, взаимодействуя между собой.

Виды МЭ:

·  Пакетный фильтр

Пакетный фильтр (packetfilter) – чаще всего его роль играет фильтрующий маршрутизатор (packet-filteringrouter). Он принимает решение о том, передавать по сети поступивший IP-пакет или отвергнуть его. Это делается на основе определенного набора правил. Правила основываются на значениях заголовков IP-пакета, заголовков транспортного уровня, а также номера порта, определяющего приложение (например, SNMP или TELNET).

     Пакетный фильтр представляется в виде списка правил. Если обнаруживается соответствие одному из правил, это правило используется для принятия решения о том, отвергнуть пакет или принять. Если нет соответствия любому из правил, выполняется операция, предусмотренная по умолчанию.

·  Шлюз уровня коммутации

Этот МЭ называют еще шлюзом уровня соединения, или шлюзом сеансового уровня. Английский термин – circuitgateways. Этот шлюз может быть реализован на отдельном компьютере или в качестве специальной функции прокси-сервера (шлюза уровня приложения).

Такие шлюзы не позволяют внешним узлам устанавливать прямые соединения с внутренней сетью, а вместо этого устанавливают два соединения: одно между самим шлюзом и внутренним узлом, второе – между шлюзом и внешним узлом. Защита реализуется путем разрешения или запрета тех или иных соединений. После того как соединения установлены, шлюз передает пакеты, не проверяя их содержимое.    

·  Шлюз уровня приложения

Шлюз уровня приложения (applicationgateway) часто называют прокси-сервером (proxyserver) или прикладным шлюзом. Он работает как ретранслятор данных конкретного приложения. Для связи между рабочей станцией внутренней сети и компьютером внешней сети прикладной шлюз образует два соединения: от рабочей станции до МЭ и от МЭ до хоста назначения. Прикладные шлюзы для каждого сетевого приложения содержат специальную программу-посредника, которая пропускает только пакеты данного сетевого приложения. Например, программа-посредник службы HTTP может обрабатывать только пакеты, сгенерированные этим протоколом. Если для какого-то приложения отсутствует программа-посредник, то прикладной шлюз не может обрабатывать трафик этого приложения, и он будет блокирован.

·  Шлюз экспертного уровня

Для устранения таких существенных недостатков прикладных шлюзов, как отсутствие прозрачности для пользователей и снижение пропускной способности при реализации межсетевых взаимодействий, компании CheckPoint и ONTechnology разработали новую технологию фильтрации пакетов, которую назвали фильтрацией экспертного уровня, или фильтрацией с контролем состояния соединения (statefulinspection).

     Такая фильтрация осуществляется на основе многоуровневого анализа состояния пакетов (SMLT, StatefulMultiLayerTechnique, здесь stateful – многоуровневый, кумулятивный). Это гибридная технология, которая перехватывает пакеты на Сетевом уровне, и извлекает из них информацию Прикладного уровня, которая и используется для контроля за соединением. При этом состояние пакета сравнивают с известным состоянием (state) «дружественных» пакетов, что позволяет значительно сократить время обработки по сравнению с прикладным шлюзом. В то же время МЭ экспертного уровня выполняют все функции прикладного шлюза.

Конфигурация расположения МЭ в сети:

1) МЭ с экранированным одноточечным бастионным узлом

МЭ при этом настраивается следующим образом: а) из потока данных из внешней сети во внутреннюю пропускаются только пакеты, предназначенные для бастионного узла  б) из потока данных из внутренней сети во внешнюю пропускаются только пакеты, исходящие из бастионного узла. Бастионный узел выполняет задачи аутентификации и функции прокси-сервера. Нарушителю для вторжения во внутреннюю сеть приходится преодолевать защиту двух отдельных систем.

2) МЭ с экранированным двухточечным бастионным узлом

Если в случае с одноточечным бастионом будет взломана или обойдена защита межсетевого экрана, поток данных может пойти из внешней сети прямо в узлы  внутренней сети, минуя бастион. Конфигурация с двухточечным бастионом создана, чтобы физически исключить возможность появления такой бреши. Все преимущества системы с одноточечным бастионом при этом остаются в силе. В этом случае все узлы внутренней сети в принципе не могут быть подключены к внешней сети, минуя сетевой адаптер.

3) МЭ с экранированной подсетью

В этой конфигурации два межсетевых экрана: один между бастионным узлом и глобальной сетью, второй – между бастионным узлом и внутренней сетью. Такая конфигурация создает изолированную подсеть, которая может состоять из одного бастионного узла, но может включать и другие узлы (согласно принятой политике безопасности). Такая изолированная подсеть называется еще демилитаризованной зоной (DMZ). Из всех рассмотренных вариантов такая конфигурация создает самую надежную защиту. Она предусматривает три уровня защиты от нарушителей. Внешний маршрутизатор объявляет в Интернет только о существовании одной экранированной подсети, внутренняя сеть остается невидимой. Точно так же внутренний маршрутизатор сообщает узлам внутренней сети только о существовании экранированной подсети, и внутренние узлы не имеют возможности прямого выхода в Интернет. В DMZ часто располагают серверы: FTP, SMTP, DNS.