перейти к полному списку дипломных проектов
Ссылка на скачивания файла в формате .doc находится в конце странички
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных
Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность – путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию.
Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.
В качестве примера решения на базе межсетевых экранов можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в межсетевой экран, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.
К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. На рис. 2.9 показано пример совмещения межсетевого экрана и VPN.
При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.
���
Рис. 2.9. Пример совмещения межсетевого экрана и VPN
�3. Предложение по совершенствованию защиты компьютерной сети организации за счет внедрение межсетевого экрана
3.1 Правильный выбор межсетевых экранов для защиты информации КСО
Оптимальные межсетевые экраны для малых и средних организаций с невысокими требованиями к безопасности
В данном разделе, рассматриваются широко распространенные аппаратные межсетевые экраны и приводятся рекомендации по их применению в зависимости от размера организации, требуемого уровня безопасности и стоимости решения. В первой части статьи рассмотрены решения, оптимальные для малых и средних организаций с невысокими требованиями к безопасности, а во второй — решения для малых и средних компаний и офисов филиалов, нуждающихся в надежной защите.
Выбор варианта
В настоящее время выбор межсетевых экранов очень широк, начиная от простого (и бесплатного) Windows Firewall, размещаемого на защищаемой машине, до высокопроизводительных межсетевых экранов с проверкой состояния пакетов стоимостью в десятки тысяч долларов. Как выбрать оптимальный вариант для конкретного организация? При выборе межсетевого экрана следует учитывать два основных фактора: требования безопасности и стоимость.
Требования безопасности.
Требования к безопасности постоянно меняются. Администратор должен сочетать надежную защиту с удобством пользовательского доступа к данным, а также учитывать принципиальные ограничения программ, авторы которых обращали мало внимания на безопасность хост-машины и сети.
Ограничения по стоимости.
скачать бесплатно «Анализ проблем информационной безопасности в компьютерной сети, организации подключенной к сети Интернтет»
Содержание дипломной работы
И достаточно долгое время специалисты в области компьютерных технологий не уделяли внимания безопасности компьютерных сетей
Многочисленные уязвимости в программных и сетевых платформах;
Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз
Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;
нарушение (частичное или полное) работоспособности КСО (нарушение доступности)
Так, например, выведение из строя руководителей предприятия, членов их семей или ключевых работников должно поставить под сомнение само существование данного предприятия
Основные проблемы, связанные с электронной почтой:
подделка электронной почты
DNS - доменная система имен
DNS - доменная система имен - производит преобразование имен в адреса и наоборот
Например, если запрашивается MX (mail exchanger) для некоторого домена, отвечающий сервер помимо собственно MX записи передает также A-записи для всех mail exchanger'ов домена
Как правило, требованиям к функциональности системы отдается предпочтение в ущерб требования защиты
В случае, если использование для доступа к Интернет физически отделенной от основной сети системы неприемлемо, наиболее эффективным решением является использование технологии межсетевых экранов
Он также является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельную машину
Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном
Возможность анализировать более высокие уровни позволяет межсетевого экрана предоставлять сервисы, которые ориентированы на пользователя, например, аутентификация пользователя
Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам
Экстранет
Термин «Экстранет» применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN
Идентификация и аутентификация
Нет требований к четвертому и пятому классу
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса
Для этих функций характерна взаимосвязь друг с другом
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных
Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана
В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet
Низкий уровень безопасности
Как отмечалось в начале статьи, межсетевые экраны рассматриваются в соответствии с необходимым предприятию уровнем безопасности
SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций
В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама
Использование IDS помогает достичь нескольких целей:
Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность
В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания
Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection)
Стратегии оповещения о тревогах
Наконец, при развертывании IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае
Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet)
Формат расширенного заголовка
Функции расширенного заголовка Routing (значение поля Next Header для которого равно 43) аналогичны маршрутизации от источника в IPv4
, 2009;
Журнал «Chip», июль 2007;
Журнал «Проблемы информационной безопасности», апрель 2008;
Яковлев
, нами было разработано и проведено 6 занятий по 3D моделированию, позволяющих изучить основы 3D моделирования
