Необхідність захисту даних. Класифікація видалених атак на розподілені обчислювальні системи. Характеристика і механізми реалізації типових видалених атак. Принципи створення захищених систем зв'язку в розподілених обчислювальних системах, страница 29

У цьому розділі ми розглянули деякі основні моменти, що стосуються протоколу мережної безпеки IPsec. Не зайвим буде відзначити, що протокол IPsec реалізований в операційній системі Windows2000 компанії Microsoft. На закінчення глави приводиться таблиця, в якій виробляється порівняння IPSec і широко поширеного зараз SSL.


FireWall

Інтернет-технології FireWall

Огляд

Коли Ви сполучаєте Вашу мережу з Internet або з іншою мережею, чинник забезпечення безпеки доступу у Вашу мережу має критичне значення. Найефективніший спосіб захисту при зв'язку з Internet припускає розміщення системи FireWall між Вашою локальною мережею і Internet. FireWall забезпечує перевірку всіх з'єднань між мережею організації і Internet на відповідність політиці безпеки даної організації.

Для того, щоб ефективно забезпечувати безпеку мережі, firewall зобов'язаний відстежувати і управляти всім потоком, що проходить через нього. Для ухвалення управляючих рішень для TCP/IP-сервісів (тобто передавати, блокувати або відзначати в журналі спроби встановлення з'єднань), firewall повинен одержувати, запам'ятовувати, вибирати і обробляти інформацію, одержану від всіх комунікаційних рівнів і від інших додатків.

Недостатньо просто перевіряти пакети окремо. Інформація про стан з'єднання, одержана з інспекції з'єднань у минулому і інших додатків - головний чинник в ухваленні управляючого рішення при спробі встановлення нового з'єднання. Для ухвалення рішення можуть враховуватися як стан з'єднання (одержане з минулого потоку даних), так і стан додатку (одержаний з інших додатків).

Отже, управляючі рішення вимагають щоб firewall мав доступ, можливість аналізу і використовування наступних речей:

  1. Інформація про з'єднання - інформація від всіх семи рівнів в пакеті.
  2. Історія з'єднань - інформація, одержана від попередніх з'єднань. Наприклад, витікаюча команда PORT сесії FTP повинна бути збережена для того, щоб надалі з його допомогою можна було перевірити вхідне з'єднання FTP data.
  3. Стани рівня додатку - інформація про стан, одержана з інших додатків. Наприклад, аутентіфіцированному до справжнього моменту користувачу можна надати доступ через firewall тільки для авторизованих видів сервісу.
  4. Маніпулювання інформацією - обчислення різноманітних виразів, заснованих на всіх вищеперелічених чинниках.

Порівняння альтернатив

У цьому розділі описані межі, в яких доступні технології firewall забезпечують ці чотири свої основні властивості.

Маршрутизатори

Маршрутизатори діють на мережному рівні і їх очевидним недоліком є нездатність забезпечувати безпеку навіть для найвідоміших сервісів і протоколів. Маршрутизатори не є пристроями забезпечення безпеки, оскільки вони не мають основної нагоди firewall:

Інформація про з'єднання - маршрутизатори мають доступ лише до обмеженої частини заголовка пакетів.

Успадкована інформація про з'єднання і додаток - маршрутизатори не підтримують зберігання інформації про історію з'єднання або додатки.

Дії над інформацією - маршрутизатори мають дуже обмежену нагоду по діях над інформацією.

До того ж, маршрутизатори важко конфігурувати, стежити за їх станом і управляти. Вони не забезпечують належного рівня журналірованія подій і механізмів сповіщення.

Proxy

Proxy є спробою реалізувати firewall на рівні додатку. Їх основна перевага - підтримка повної інформації про додатки. Proxy забезпечують часткову інформацію об історії з'єднань, повну інформацію про додаток і часткову інформацію про поточне з'єднання. Proxy також мають нагоду обробки і дій над інформацією.

Проте, є очевидні труднощі у використовуванні proxy на рівні додатку як firewall, включаючи :

  1. Обмеження на з'єднання - кожен сервіс вимагає наявності свого власного proxy, так що число доступних сервісів і їх масштабованість обмежені.
  2. Обмеження технології - application gateways не можуть забезпечити proxy для UDP, RPC і інших сервісів загальних сімейств протоколів.
  3. Продуктивність - реалізація на рівні додатку має значні втрати в продуктивності.