Технологические аспекты построения защищенных компьютерных сетей

 
 

Технологические  аспекты построения  защищенных компьютерных   
сетей

 
 
 
 

Характеристики  современного инструментария  защиты 

• Разнообразие  по выполняемым  задачам
• Разнообразие  по способу защиты
• Разнообразие по месту применения
• Сложность выбора
• Регулярное появление новых инструментов/способов защиты
• Постоянное увеличение сложности
• Отсутствие “абсолютной” защиты

 
 
 
 

Регулярное  появление новых инструментов/способов  защиты 

Средства защиты

Средства атак

 
 
 
 

Постоянное  увеличение сложности

 
 
 
 

Отсутствие  “абсолютной”  
защиты

 
 
 
 

Компоненты  защиты 

• Системы  управления подсистемой  защиты

 

• Основные  средства подсистемы защиты
• Средства разграничения доступа
• Системы обнаружения вторжений
• Защита информации, передаваемой по каналам связи
• Системы идентификации, аутентификации и авторизации
• Системы поиска уязвимостей
• Антивирусная защита

 
 
 
 

Системы  управления подсистемой  защиты 

 ≡ Security management  

Система управления  обеспечивает комплексное управление  всеми компонентами защиты, предоставляя  интерфейс для управления  администратору  безопасности и механизмы для  реализации политики безопасности 

 
 
 
 

Средства  разграничения доступа 
 

Для локальных сетей:

• Виртуальные сети (VLAN)

 

Для глобальных  сетей:

• Межсетевые экраны (Firewall)

 
 
 
 

До  появления  
виртуальных сетей  
 

“Отдел 

поставок” 
 

“Бухгалтерия” 
 

“Отдел  маркетинга”

 
 
 
 

Виртуальные  сети (VLAN) 

VLAN  А

“Отдел 

поставок” 

VLAN  B

“Бухгалтерия” 

VLAN  C

“Отдел  маркетинга” 

VLAN  A и B

 
 
 
 

Межсетевой  экран 

≡ Брандмауэр,система firewall 

    Устанавливается  на границе между внутренней  и внешней сетями (например, Интернет) и противодействует несанкционированному  межсетевому  доступу    
 
 

 
 
 
 

Локальная сеть 

Интернет 

A 

B 

OK 

Принцип  работы firewall

 
 
 
 

Локальная сеть 

Интернет 

Принцип  работы firewall 

A 

B 

OK

 
 
 
 

Локальная сеть 

Интернет 

BAD 

Принцип  работы firewall

 
 
 
 

Классификация 
межсетевых экранов  
 

• а) Аппаратно-программные
• Специализированные продукты
• Интегрированные решения

   б) Программные 

•  а) Для защиты одного компьютера
• Класса рабочей станции
• Серверного класса

    б) Пограничный (сетевой) 

• Технологии:
• Фильтры пакетов
• Шлюз сеансового уровня
• Шлюз прикладного уровня
• Брандмауэр экспертного уровня

 
 
 
 

Системы  обнаружения вторжений  
 
 
 
 
 

≡ Intrusion Detection System, IDS 
 

Служит для обнаружения  попыток несанкционированного доступа  путем фонового сканирования  трафика

 
 
 
 

Пример  работы IDS 

OK 

ALERT! 

Закрыть 

OK 

Локальная сеть

 
 
 
 

Пример  работы IDS 

OK 

OK 

BAD 

Локальная сеть

 
 
 
 

Классификация  систем обнаружения  вторжений  
 

• а) Аппаратно-программные
• Специализированные продукты
• Интегрированные решения

   б) Программные 

•  а) Для защиты одного компьютера
• Общесистемные
• Для защиты приложения

    б) Сетевые 

• Технологии:
• Поиск по сигнатурам
• Эвристический анализ
• Активные | Пассивные

 
 
 
 

Защита  информации, передаваемой 
по каналам связи 

Задачи :

    Защита  информация при передачи по  каналам связи, которые не контролируются  или контролируются лишь частично (типичный пример - Интернет)

Распространенные  способы защиты:

    криптография, физические средства защиты 

 
 
 
 

Технология  виртуальных частных  сетей  

    ≡ Virtual Private Networks, VPN  

    Объединение локальных сетей и компьютеров через открытую среду передачи информации в единую виртуальную сеть, которая обеспечивает безопасную передачу данных c помощью совокупности  криптографических алгоритмов 

 
 
 
 

Virtual  Private Networks 
(VPN) 

Главный офис 

Удаленный офис 

Удаленный 

компьютер

 
 
 
 

Классификация  средств 
VPN 

• По уровню  эталонной модели OSI реализации
• Канальный уровень (PPTP, L2F)
• Сетевой уровень (IPSec)
• Транспортный уровень TLS
• Сеансовый SSH/SSL
• Прикладной (защищенный обмен сообщениями – S/MIME)

 

• По способу  реализации криптографических алгоритмов
• Аппаратная реализация
• Программная реализация

 
 
 
 

Системы  авторизации, идентификации  и аутентификации 

• Идентификация  – процедура предоставления субъектом (пользователем, компьютером) 

своего уникального  идентификатора 

• Аутентификация  – процедура подтверждения субъектом  предоставленного идентификатора

 

• Авторизация  - процедура определения прав  доступа субъекта 

 
 
 
 

Способы  аутентификации 
 

• Программные
• Парольные
• Аппаратно-программные
• С предоставлением уникального идентификатора (смарт-карты, token)
• Биометрические  (отпечатки пальцев, радужная оборочка глаза)

 
 
 
 

Системы  поиска уязвимостей  
 

Предназначены для  выявления уязвимостей системы  путем ее сканирования и последующего  анализа 

 
 
 
 

Классификация  систем поиска  уязвимостей  
 

• Выявление  уязвимостей путем
• анализа настроек (пассивный поиск)
• имитацией атак (активный поиск)
• Область сканирования
• Сетевой сканер
• Системный сканер
• Сканер уязвимости приложений (СУБД, WEB-сервер
• Результат сканирования
• Выдача списка уязвиомостей
• Выдача рекомендаций (экспертные системы)
• Устранение уязвимостей в автоматическом/полуавтоматическом режиме

 
 
 
 

Достижение приемлемого  уровня информационной безопасности  современных компьютерных сетей можно достичь лишь комплексным применением всего разнообразия средств защиты после соответствующего анализа потребностей заказчика и характеристик информации 

Итог

 
 
 
 

Спасибо  за внимание!