Файл: Программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей».pdf
Добавлен: 01.04.2023
Просмотров: 145
Скачиваний: 1
Межсетевые экраны
|
Бесплатные |
Ashampoo FireWall Free • Comodo • Core Force (англ.) • Online Armor • PC Tools • PeerGuardian (англ.) • Sygate (англ.) |
|
Проприетарные |
Ashampoo FireWall Pro • AVG Internet Security • CA Personal Firewall • Jetico (англ.) • Kaspersky • Microsoft ISA Server • Norton • Outpost • Trend Micro (англ.) • Windows Firewall • Sunbelt (англ.) • WinRoute (англ.) • ZoneAlarm |
|
Аппаратные |
Fortinet • Cisco • Juniper • Check Point |
|
FreeBSD |
Ipfw • IPFilter • PF |
|
Mac OS |
NetBarrier X4 (англ.) |
|
Linux |
Netfilter (Iptables • Firestarter • Iplist • NuFW • Shorewall) • Uncomplicated Firewall |
Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).
VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.
4. РЕАЛИЗАЦИЯ ФУНКЦИИ ПОДСИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
защита данные локальный сетевой
Возможности межсетевого экрана. В качестве метода защиты в межсетевых экранах компании Cisco используются разновидность алгоритма контекстной проверки Adaptive Security Algorithm (ASA) и внутренняя операционная система PIX OS, позволяющие обеспечить высокую надежность и безопасность со стороны возможных атак.
Комплект продуктов сетевой безопасности, называемый Check Point FireWall, обеспечивает контроль доступа в сетях Интернет, интранет, экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям нашей организации. Набор продуктов, называемых Check Point «Открытой платформой безопасного взаимодействия предприятий» (OPSEC - Open Platform for Secure Enterprise Connectivity) - основывается на концепции объединения технологии зашиты информации вокруг единого средства представления информационной безопасности предприятия в виде единой, комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе Fire Wall. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.Wall позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и у справлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также и элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа Check Point FireWall -1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого IР протокола и высокоскоростной технологии передачи данных
Для реализации защиты сети предприятия мы воспользуемся аппаратными средствами компании Cisco Systems которая предлагает нам серию межсетевых экранов «Cisco PIX Firewall» которые обеспечивающих высокий уровень безопасности, производительности и надежности. Для нашей сети мы воспользуемся такой моделью как PIX 506E.
Технические характеристики Cisco PIX 506E:
Корпус - монтируемый в шкаф-стойку корпус,синего цвета
встроенные устройства. DHCP сервер
WAN - Тип линии связи: Ethernet
Встроенные службы:
DHCP сервер
брандмауэр- Тип сети: Ethernet, Fast Ethernet
Кол-во базовых портов: 2
Скорость передачи по базовым портам:
100 Мбит/сек.
Специальные функции:
128-бит. шифрование
168-бит. шифрование
256-бит. шифрование
3DES шифрование
56-бит. шифрование
AES (Расширенная система шифрования)
DES шифрование
Протоколы маршрутизации:
DHCP
Протоколы удаленного управления:
RS-232
Поддерживаемые стандарты:
IEEE 802.3 (Ethernet)
IEEE 802.3u (Fast Ethernet)
Процессор - Intel Celeron • 300 МГц
Дополнительные характеристики:
Устройство хранения - SDRAM 32 МБ
флэш 8 МБ
Интерфейсы - последовательный RS-232 -RJ-45(консольный порт)
x Ethernet 10/100BaseT • RJ-45
Характеристики:
Электропитаниевнешний адаптер питания
/ 240 В (перемен. ток)
Вт
Размеры, вес21.6 x 4.4 x 30.0 см, 2.71 кг
СертификатыAS/NZS3548 Class A, AS/NZS3548 Class B, CISPR 22 Class A, CISPR 22 Class B, CSA C22.2 No. 950, EN 50082-1, EN 55022 Class A, EN 55024, EN 60825-1, EN 60950, EN 61000-3-2, EN 61000-3-3, FCC Часть 15 Класс А, ICES-003 Class A, IEC 60950, UL-1950, VCCI класс А, VCCI класс B
Данная модель предназначена для использования в корпоративных сетях небольших компаний, а также для обеспечения безопасности удаленных клиентов корпоративных сетей предприятий. Модель 506Е имеет производительность 20 Мбит/с. Шифрование потока данных может осуществляться как с использованием алгоритма DES с 56-битным ключом, так и TripleDES с 168-битным ключом. Пропускная способность Cisco PIX 506E при шифровании DES - 20 Мбит/с, TripleDES - 16 Мбит/с. Модель 506E поддерживает до 2 тыс. туннелей VPN.
В качестве метода защиты в межсетевых экранах компании Cisco используются разновидность алгоритм а контекстной проверки Adaptive Security Algorithm (ASA) и внутренняя операционная система PIX OS, позволяющие обеспечить высокую надежность и безопасность со стороны возможных атак.
Программно-аппаратные средства защиты информации, основным из которых является межсетевой экран. Согласно определению межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство, реализующее контроль за информацией, поступающей в АС или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в АС.
Создаваемый комплекс защиты информации будет реализовывать следующие функции:
Ограничение входного трафика со стороны провайдера
Запрет доступа сервера к сети провайдера
Ограничение доступа к коммутационному оборудованию сети
Организация контроля за пользователями системы
Шифрование данных на сервере
Ограничение доступа пользователей (аутентификация и идентификация)
Для этого нам потребуется.
Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты - клиентские, гигабитные порты - аплинки.vlan USER tag 2 create vlan MANAGEMENT tag 3 config vlan USER add untagged 1-8 config vlan USER add tagged 9-10 config vlan MANAGEMENT add tagged 9-10
Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout
Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp config stp ports 1-8 fbpdu disable state disable
Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-8 state enable config loopdetect ports 9-10 state disable
Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny
Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny
И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.