Reja: Tarmoqlararo ekran texnalogiyasi va uning vazifalari Tarmoq xavfsizligini ta’minlash muammolari va tarmoq hujumlarga qarshi samarali himoya yechimlari Ruxsatsiz kirishni aniqlash tizimi ids

Download 0,83 Mb.

bet	8/8
Sana	08.06.2022
Hajmi	0,83 Mb.
	#642833

1 2 3 4 5 6 7 8

Bog'liq
Operatsion tizimni kompyuter tarmoqlariga hujumlardan himoya qilishni

Anjir. 1.30. Anjir. 1.31.

Anjir. 1.29.
Ma'lumot modelining tarmoq darajasida ishlaydigan filtrli yo'lovchilarni filtrlash yo'riqlarining asosiy funktsiyasi tarmoqning qo'riqlanadigan qismiga kiritilgan yoki undan chiqariladigan ma'lumotlar paketlarini filtrlashdir. Filtrlash paket sarlavhalaridagi ma'lumotlarni ishlatganda:

Paket yuboruvchisining 1P manzili;
Qabul qiluvchining 1P manzili;
paket portlari;
Qabul qiluvchining porti;
protokol turi;
To'plamli parchalar bayrog'i.

Eslatib o'tamiz, port ostidagi raqamli identifikator bo'lishi mumkinligi tushuniladi (0 dan 65 535 gacha), mijozlar va server dasturlari xabarlarni yuborish va qabul qilish uchun ishlatiladi.
Ushbu qoidalar bilan belgilangan parametrlar bilan paket orqali filtrlash qoidalari aniqlanadi va bloklanadi. Shaklda. 1.30 va 1.31 bunday qoidani yaratishning namunasidir. Filtrning asosiy afzalliklariga

1.6. Internetdagi axborot xavfsizligini ta'minlash usullari va vositalarida

Anjir. 1.30.

Anjir. 1.31.Protokol va port to'g'risida ma'lumot qo'shish, ularni yaratish, o'rnatish va konfiguratsiya, ariza va ularning mahsuldorligi bo'yicha minimal ta'sirni, past narxda. Filtr yo'llarining kamchiliklari:

politsiya foydalanuvchilari darajasida autentifikatsiya etishmasligi;
Paket sarlavhasida 1P manzilni almashtirish uchun zaiflik;
uzatiladigan ma'lumotlar maxfiyligi va yaxlitligiga tahdidlardan himoyalanmagan;
Favqulodda holatlar samaradorligining meni aniq protokollar bilish darajasidagi kuchli bog'liqlik;
Tarmoqning xavfsiz qismining 1P manzilining ochiqligi.

Sessiya darajasidagi shlyuzlar ikkita asosiy funktsiyani bajaradi:

Tarmoqning qo'riqlanadigan qismi va uning himoyalanmagan qismi mezboni bo'lgan virtual bog'liqlikni monitoring qilish;
Tarmoqning kompyuter xavfsiz qismi bo'lgan 1P manzillarini uzating.

Sessiya sathi shlyuzi tarmoqning qo'riqlanadigan qismidan olingan tashqi xostning tashqi ko'rinishi uchun ulanishni TCP protokoli orqali virtual kanalni yaratadi, keyin ularni filtrlashsiz ikkala yo'nalishda ham ma'lumotlar paketlarini nusxalaydi. Aloqa sessiyasi tugagach, meni tashqi uy egasi bilan bog'lab qo'yadi.
Sessiya bosqichidagi shlyuz jarayonida tarmoqning xavfsiz qismining 1P-manzillarini uzatish tartibi men bilan bog'liq bo'lgan bitta 1P manzilga aylantiriladi. Bu mezbonlar qo'riqlanadigan va ochiq tarmoqlar o'rtasidagi bevosita o'zaro ta'sirni yo'q qiladi va hujumni 1P manzilini almashtirish orqali hujumni amalga oshirishga imkon bermaydi.
Sessiya darajasining eng yaxshi tomonlari dasturiy ta'minotning soddaligi va ishonchliligini o'z ichiga oladi. Kamchiliklari, buziladigan ma'lumotlar mazmunini tekshirish qobiliyatining yo'qligi, bu men buzuvchilarga paketlarni zararli dastur kodi bilan o'tkazishga va keyin to'g'ridan-to'g'ri serverlardan biriga (masalan, veb-cepbepiya bilan bog'lashga imkon beradi hujum qilingan politsiyachi.
Amaliy darajadagi shlyuwaylar nafaqat tarmoqning qo'riqlanadigan qismidan va uning ochiq qismidan xostning ochiqchasiga to'g'ridan-to'g'ri hamkorlikni, balki ariza darajasida barcha kiruvchi va chiquvchi ma'lumotlar paketlarini tekshirishni istisno qiladi (ya'ni tarkibni tahlil qilish asosida uzatilgan ma'lumotlar). Ariza darajasining asosiy funktsiyalari quyidagilardan iborat:

Ulanishni o'rnatishga harakat qilganda foydalanuvchi politsiyasini aniqlash va autentifikatsiya qilish;
uzatiladigan ma'lumotlar yaxlitligini tekshirish;
tarqatilgan politsiyaning qo'riqlanadigan va ochiq qismlarining resurslariga kirishni yoritish;
Transmilovchi xabarlarni filtrlash va o'zgartirish (zar buyumlar aniqlash, shifrlash va shifrlash va boshqalar);
Tadbirlarni maxsus jurnalda ro'yxatdan o'tkazish;
Tashqi tomondan so'ralgan ma'lumotlarni keshlash, ichki tarmoq kompyuterlarida joylashtirilgan (politsiya faoliyatini yaxshilash uchun).

Amaliy darajadagi shlyuzlar sizga masofadan hujumlardan eng yuqori darajadagi himoya vositalarini ta'minlashga imkon beradi, chunki tarmoq ochiq qismida har qanday o'zaro munosabatlar butun kiruvchi va chiquvchi trafikni to'liq boshqaradigan vositachilik dasturlari orqali amalga oshiriladi. Amaliy qo'llanmaning boshqa afzalliklari quyidagilardan iborat:

Qolgan xostlar uchun tarmoqning qo'riqlanadigan qismining xavfsizlik tarkibi (kompyuterning domen nomi dasturiy ta'minot domen nomi faqat ma'lum tashqi server bo'lishi mumkin);
ishonchli autentifikatsiya qilish va o'tgan xabarlarni rasmiylashtirish;
Tarmoq darajasidagi paketli paketli filtrlash qoidalari, muvofiq, yo'riqnoma faqat ariza berish darajasiga mo'ljallangan trafikdan o'tishi kerak va trafikning qolgan qismini blokirovka qilish;
Qo'shimcha tekshiruvlarni amalga oshirish imkoniyati, bu politsiyaga tahdidlarni amalga oshirish uchun standart dasturiy ta'minotda xatolardan foydalanish ehtimolini kamaytiradi.

Ariza darajasining shlyuzlarining asosiy kamchiliklari yuqori narx, rivojlanish va konfiguratsiya, politsiyachilarning arizalari va foydalanuvchilari uchun "shaffofligi" ni kamaytirish.
Virtual xususiy tarmoqlarni yaratish uchun xavfsizlik devorlaridan foydalanish mumkin.
Ushbu dasturiy ta'minotni himoya qilish vositalarining har qanday muammolari, ehtimol, ko'plab hujumlarning ko'p turlariga to'sqinlik qila olmaydi (masalan, Internet domen nomlarining domen nomlarining domen nomlarining soxta serveridan foydalangan holda ma'lumotlarga ruxsatsiz kirish tahdidlari, VPN bo'lmasa, saqlashni rad etishning tahdidi bo'lmagan holda tarmoq trafikini tahlil qilish tahdidlari). Me politsiyasida ma'lumotlarning mavjudligi xavfini tatbiq etish, buzuvchi bo'lishi mumkin, hatto men bilan himoyalangan qismning barcha kompyuterlaridagi barcha kompyuterlarning tashqi tarmog'idan chiqish uchun faqat mezbonlarga hujum qilish uchun etarli. Tarmoq.
Rossiyaning FXQQI NAZORATIDA "kompyuter muhandisligi vositasida. O't o'chiruvchi ekranlar. Ma'lumotlarga ruxsatsiz kirishdan himoya qilish. Himoyalanmagan ma'lumotlarning ma'lumotlarga ruxsatsiz kirishning beshta sinfi meni xavfsizligi (eng himoyalangan birinchi sinf). Masalan, beshinchi xavfsizlik sinfi uchun Yuboruvchi va qabul qiluvchi IP manzillari va ikkinchi darajali tarmoq darajasida, ikkinchi darajali tarmoq darajasida, yashirin sub'ektlar va qo'llar bilan qo'llaniladigan tarmoqlarda filtrlash kerak va radioeshittirish tarmoq manzillari.
Mahalliy tashkilotning mahalliy tizimidagi xavfsizlik devorlarini joylashtirish uchun eng keng tarqalgan sxemalar:

1) Firewall filtr yo'riqnoma sifatida taqdim etilgan;
2) Ikki portli shlyuzga asoslangan xavfsizlik devori;
3) qalqonli shlyuzga asoslangan xavfsizlik devori;
4) himoya qilingan ichki tarmoqli xavfsizlik devori.

Ichki resurslar uchun foydalanish qoidalari Kompyuter tarmog'i
xavfsizlik devori tomonidan amalga oshirilgan tashkilotlar quyidagi printsiplardan biriga asoslanishi kerak:

aniq ruxsat berilmagan barcha kirish urinishlarini taqiqlash;
Barcha kirish urinishlariga aniq taqiqlangan barcha kirish urinishlariga ruxsat bering.

Muxofaza etiladigan tarmoq va Internet o'rtasida joylashgan Router har qanday xavfsizlik siyosatini amalga oshirishi mumkin.
Ikki portli dasturxon ma'lumotlar bazasida xavfsizlik devori ikki tarmoqli interfeyslar mavjud.
Ushbu interfeyslar va asosiy filtrlash orasidagi ma'lumotlarni uzatish paytida amalga oshiriladi. Amaliy shlyuz va internet o'rtasida qo'shimcha himoyani ta'minlash uchun filtr yo'riqchisini joylashtiring. Natijada amaliy shlyuzli shlyuz va yo'riqnoma o'rtasida ichki himoyalangan qo'shimcha tarmoq shakllanadi. U mavjud ma'lumot serverini joylashtirish uchun ishlatilishi mumkin. Axborot serverining joylashuvi tarmoq xavfsizligini oshiradi, chunki unga kirib borganda, qoidabuzar ikkita interfeys bilan korporativ tarmoq xizmatlariga kira olmaydi.
Filtrni ko'rsatuvchi vositalar bilan xavfsizlik devori bilan birdan farqli o'laroq, dastur shlyuzi Internet va himoyalangan tarmoq o'rtasida 1p trafikni to'liq bloklaydi. Faqatgina dasturiy ta'minotda joylashgan vakolatli arizalar foydalanuvchilarga xizmat ko'rsatish va kirish huquqini ta'minlaydi.
Xavfsizlik dehqonchasining ushbu versiyasi "aniq ruxsat berilmagan hamma narsa bilan taqiqlangan har bir narsa bilan taqiqlangan" tamoyiliga asoslangan holda, faqat tegishli vakolatlar aniqlanadigan tarmoq xizmatlari bilan taqiqlanadi. Ushbu yondashuv yuqori darajada xavfsizlikni ta'minlaydi, chunki himoyalangan tarmoqqa yo'llar faqat xavfsizlik devori bilan ma'lum va tashqi tizimlardan yashiringan.
Xavfsizlik devori tashkilotining sxemasi nisbatan sodda va juda samarali. Xavfsizlik devori alohida xostdan foydalanganligi sababli, uni takomillashtirish uchun dasturlar o'rnatilishi mumkin. Xavfsizlik, shuningdek kirish huquqini, shuningdek, test va tizimlarning hujumlariga urinishlari mumkin, bu esa tajovuzkorlarning harakatlarini aniqlashga imkon beradi.
Shakillangan shlyuzga asoslangan xavfsizlik devori ikkita interfeysli darvozani asoslashda xavfsizlik devori bilan taqqoslaganda, bu moslashuvchanlik xavfsizligining ma'lum bir pasayishi bilan erishiladi. Xavfsizlik devori filtrlash yo'riqchisidan va ichki tarmoqdan joylashgan dasturiy eshikdan iborat. Amaliy shlyuz alohida xostda amalga oshiriladi va bitta tarmoq interfeysi mavjud.
Ushbu sxemada birinchi navbatda xavfsizlik peshtaxtasi va ichki korporativ tarmoq tizimlariga etib bormaydigan filtrlar yoki potentsial xavfli protokollar bilan ta'minlangan filtrli yo'riqnoma bilan ta'minlanadi. Filtr yo'riqnomasida partiyani filtrlash quyidagi qoidalardan biri asosida amalga oshirilishi mumkin:

Ichki xostlarga ba'zi xizmatlar uchun Internetda xostlar bilan aloqalarni ochishga ruxsat beriladi;
Ichki xostlardagi barcha ulanishlar taqiqlanadi (ular dasturxonga buyurtma qilingan arizalardan foydalanishlari kerak).

Bunday konfiguratsiyada xavfsizlik devori ikki siyosatning kombinatsiyasidan foydalanishi mumkin, bu o'rtasidagi nisbat ichki tarmoqda qabul qilingan xavfsizlik siyosatiga bog'liq. Xususan, filtr yo'riqnomada paketli filtrlash vakolatli arizalaridan foydalangan holda, dasturiy ta'minotni qo'llagan holda, ushbu Telnet, FTP, SMTP boshqaradigan tarmoq tizimlarini taqdim etish mumkin.
Shikalli shlyuz bilan xavfsizlik devori sxemasining asosiy noqulayligi shundaki, agar buzg'unchi ushbu mezbonga kira olsa, uning oldida himoyalanmagan ichki tarmoq tizimlari bo'ladi. Yana bir kamchilik yo'riqnomaning mumkin bo'lgan murosasi bilan bog'liq bo'lib, ular ichki tarmoq tajovuzkorga etib borishi mumkinligiga olib keladi.
Shakrlangan shlyuzga asoslangan himoya devori sxemasining hosildorligidan iborat xavfsizlik devori joylashgan. Shimallangan pastki qismini yaratish uchun ikkita ekranli yo'lovchilar ishlatiladi. Tashqi yo'riqnomasi Internet va ichki tarmoqlar va ichki tarmoqlar va himoyalangan ichki tarmoq o'rtasida joylashgan.
Shimallangan qo'shimcha tarmoq dasturxonani va ma'lumotlar serverlari va boshqariladigan kirish huquqini talab qiladigan boshqa tizimlarni o'z ichiga oladi. Ushbu xavfsizlik devori sxema yuqori darajadagi xavfsizlik darajasini ta'minlaydi, bu esa Internetdan ichki himoyalangan tarmoqning ichki muhofaza qilinadigan tarmoqlarini ajratib turadi.
Tashqi yo'riqnoma Internetdagi tarmoq va ichki tarmoqning ikkalasi ham, Internetdagi intilishlardan himoya qiladi. Tashqi yo'riqnomasi global tarmoqdan korporativ tarmoq tizimlariga kirishni taqiqlaydi va tarmoqlarning tashabbuskorlari bo'lmasligi kerak bo'lgan tizimlardan bo'lgan Internetga barcha trafikni bloklaydi. Ushbu yo'riqnoma boshqa zaif protokollarni kompyuterning ichki tarmoqlari yoki ulardan foydalanmaslik kerak bo'lgan boshqa zaif protokollarni blokirovka qilish uchun ishlatilishi mumkin.
Ichki yo'riqnoma ichki tarmoqni Internetdan ham, himoyalangan qo'shimcha tarmoq ichidagi ruxsatsiz kirishdan himoya qiladi. Bundan tashqari, u ko'p paket filtratsiyasini mashq qiladi, shuningdek ichki tarmoq tizimlariga va ulardan trafikni boshqaradi.
Shinallangan quyi tarmoqli xavfsizlik devori katta hajmdagi trafik va yuqori ma'lumotlar kurslari bilan himoya tarmoqlarini himoya qilish uchun yaxshi mos keladi. Uning kamchiliklari shuni ko'rsatadiki, filtr yo'llari juftligi xavfsizlikning zarur darajasini ta'minlashga katta e'tibor talab etilishi kerak, chunki ularning konfiguratsiyasining xavfsizligini ta'minlaydi, chunki butun tarmoqning xavfsizlik tizimida xatolar ro'y berishi mumkin. Bundan tashqari, dasturxonga kirish uchun asosiy qobiliyat mavjud.
CS xavfsizlikni tahlil qilish dasturining asosiy funktsiyalari (zaif skanerlar, zaiflikni hisoblash) quyidagilardan iborat:

Konvertatsiya va autentifikatsiyani, kirish, autentifikatsiya va sozlamalarning to'g'riligi, politsiyada axborot xavfsizligi nuqtai nazaridan foydalaniladigan tekshirishlar;
Tizim va amaliy dasturiy ta'minotning yaxlitligini monitoring qilish;
Ma'lumot berilganligini tekshirish (masalan, ishlab chiqaruvchining veb-saytida chop etuvchining veb-saytida chop etish uchun tavsiyalar bilan), politsiya va boshqa qo'llanmalar va boshqalarni tuzatish bo'yicha tavsiyalar taqdim etiladi.

Xavfsizlik tahlili Tasdiqlash vositalarida maxsus ma'lumotlar bazalarida saqlanadigan va ularning natijalarini turli xil formatlarga aylantirilishi mumkin bo'lgan hisobotlar shaklida ishlagan. Zaifliklar skanerlari:

kompyuterning muhofamlarini ular ishga tushirilgan xost tizimlari ishlab chiqilgan;
Internetdan korporativ mahalliy kompyuter tarmog'ini himoya qilishni tekshirish uchun mo'ljallangan tarmoq darajali tizimlari.

Xavfsizlik tekshiruvlarini amalga oshirish uchun mijoz server server arxitekturasidan foydalaniladi. Server cheklarni amalga oshiradi va mijoz kompyuterda tekshirilgan sessiyalarni ko'rib chiqadi va boshqaradi. Mijoz va server ajratilishi mumkinligi, bir nechta afzalliklarni ta'minlaydi. Birinchidan, skanerlash serveringiz sizning tarmog'ingizdan tashqarida joylashtirish mumkin, ammo mijoz orqali u tarmoq ichidagi tarmoqdan bog'laning. Ikkinchidan, turli xil mijozlar turli xil operatsion tizimlarni qo'llab-quvvatlashlari mumkin.
Collning xavfsizlik tahlili tahlilini tahlil qilishning kamchiliklari quyidagilarni o'z ichiga oladi:

ularning muayyan tizimlarga bog'liqligi;
Ishonchlilik yetarli emas (ulardan foydalanish ba'zan tahlil qilingan tizimlarning ishlashiga olib kelishi mumkin, masalan, qo'ng'iroqning etishmovchiligini tekshirish paytida xavfsizlikni tekshirish paytida);
Qisqa muddatli foydalanishning qisqa muddatlari (yangi kashf etilgan zaifliklar hisobga olinmaydi, bu eng xavfli hisoblanadi);
Voyaga etmaganlarni politsiyaga hujum qilishga tayyorgarlik ko'rish uchun foydalanish qobiliyati (Xavfsizlik ma'muri uni tashkil etishning kompyuter tizimining zaifligini skanerlash uchun maxsus ruxsat olish kerak).

Intishni aniqlash tizimlari - ID dasturlarini aniqlash dasturidan quyidagi vazifalarni hal qilish uchun foydalanish mumkin:

Xavfsizlik Joure tahliliga asoslangan hujumlar belgilari operatsion tizim, Men jurnallar va boshqa xizmatlar (mezbon darajalar tizimlari);
Ma'lumotlarni to'plash inspektsiyalari To'g'ridan-to'g'ri aloqa kanallarida (shu jumladan ko'p-agentlik tizimidan foydalangan holda) - tarmoq darajasidan foydalanish tizimlari.

Qoida tariqasida, haqiqiy tizimlar ushbu toifalarning imkoniyatlarini o'z ichiga oladi.
Ikkala holatda ham, hujumni aniqlash vositalarida hujumni aniqlash vositalarida batafsil tarmoqqa oid voqealar va taniqli hujumlar shablonlari bo'lgan. Ushbu vositalar real vaqt rejimida ishlaydi va taniqli politsiya zaifliklarini yoki tashkilotning himoya qilinadigan qismini ruxsatsiz tadqiqotlar ishlatishga urinishlar, shuningdek keyingi tahlil uchun qayd etilgan voqealar kitobini olib boradi.
Hujumni aniqlash tizimlari himoyalangan tizim uchun qo'shimcha himoya darajasini ta'minlaydi, chunki ular boshqa himoya mexanizmlari uchun eng muhim bo'lgan korporativ servlom serverlar va ma'lumotlar fayllarini boshqaradilar. Qarzdorning harakatlarining strategiyasi ko'pincha hujumlarni amalga oshirishni yoki ma'lum bir maqsadning xavfsizligini ta'minlaydigan hujumlarni amalga oshirishni yoki himoya vositalarining tuzilishini o'z ichiga oladi. Hujumni aniqlash tizimlari bu birinchi hujum belgilarini va printsipialni, ularga javob berish, mumkin bo'lgan zararni minimallashtirish imkoniyatiga ega bo'ladi. Bundan tashqari, ushbu qurilmalar hujum yoki foydalanuvchi xatolari tufayli konfiguratsiya xatolari tufayli rad etilgan bo'lsa, hujumni aniqlash tizimlari bu muammoni taniydi va kadrlar vakilini xabardor qilishi mumkin.
Hujumni aniqlash vositalarining asosiy kamchiliklari quyidagilardan iborat:

Yuqori tezlikdagi tarmoqlarda samarali faoliyat olmaslik (ID ishlab chiqaruvchilar maksimal o'tkazish qobiliyatini hisoblaydi, unda ushbu tizimlar barcha trafikni 100% trafik tahlilisiz, o'rtacha 65 Mbit / sek) miqdorida zarar etkazmaydi);
noma'lum hujumlarni etishish imkoniyati;
Bitta ma'lumotlar bazasini doimiy ravishda Hujum imzolari bilan yangilash zarurati;
Ushbu mablag'larning topilgan hujum belgilariga ushbu mablag'larning maqbul javobini aniqlashning murakkabligi.

Tarmoqqa tartibdagi identifikatorlar xavfsizlik devori bo'yicha korporativ mahalliy tarmoqning perimetri bo'yicha eng samarali hisoblanadi. Ba'zida ushbu server bilan trafikni boshqarish uchun kritik serverlar (masalan, ma'lumotlar bazasi serveri) oldin IDlar o'rnatiladi. Biroq, bu holatda, muammo ichki tarmoqdagi transport tashqi tarmog'iga qaraganda yuqori tezlikda uzatiladi, bu esa barcha tirbandlikni engish qobiliyatiga kiradi va natijada tarmoq o'tkazish qobiliyatini kamaytiradi Mahalliy tarmoq. Shuning uchun tarmoq darajasining idishi faqat ma'lum bir birikmalarni boshqarib, ma'lum bir serverga o'rnatiladi. Bunday hollarda, ba'zan har bir himoyalangan serverda mezbon darajani aniqlash tizimini aniqlash va unga hujumlarni aniqlash afzalroqdir.
Ish joyida Internetga Internetga ulanishning mavjudligi o'zining salbiy tomonlariga ega. Ular ish vaqtini latifalar, o'yinlar, do'stlar bilan aloqa qilish uchun sarflashni boshlaydilar. Kino va musiqani "in'ektsiya qilish va o'tishni davom ettirish uchun" in'ektsiya qilinadi ". biznes haqida ma'lumot. Xodimlar mijozlarni kiritish uchun tasodifiy yig'iladi va juda ko'p miqdordagi materiallarni yuboradi (erotik rasmlar, karikatura va boshqalar). Va nihoyat, Elektron interfeysga ega bo'lgan elektron pochta xizmatlari orqali maxfiy ma'lumotlarning oqib chiqishi mumkin.
Tarkibni boshqarish tizimlari quyidagi tahdidlardan himoya qilish uchun mo'ljallangan:

Kompyuter trafikini to'lash xarajatlarini asossiz oshirish;
Tashkilot xodimlarining mehnat unumdorligini kamaytirish;
biznes ehtiyojlari uchun korporativ tarmoqning o'tkazish qobiliyati kamayishi;
Maxfiy ma'lumotlar oqishi;
Tashkilotning rasmiga qaytarish.

Download 0,83 Mb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8