Автор работы: Пользователь скрыл имя, 21 Сентября 2014 в 12:00, лекция
ель
Защитить сетевой периметр и информационные ресурсы компании заказчика от несанкционированного доступа извне и изнутри.
Дано:
Локальная сеть (Internal), сеть DMZ, публичная сеть Internet (External)
Необходимо:
- Разделить сети МСЭ
- Организовать доступ пользователей к сетевым сервисам
- Организовать контроль трафика
Цель
Защитить сетевой периметр и информационные ресурсы компании заказчика от несанкционированного доступа извне и изнутри.
Дано:
Локальная сеть (Internal), сеть DMZ, публичная сеть Internet (External)
Необходимо:
- Разделить сети МСЭ
- Организовать доступ пользователей к сетевым сервисам
- Организовать контроль трафика
Узел подключения Internet
Подключение к внешней сети может быть одноканальное и многоканальное (наличие резервного канала, используемого при выходе из строя основного).
При одноканальном соединении необходим один комплект сетевого оборудования (аппаратные средства: маршрутизатор, сетевой интерфейс и т.д.)
При многоканальной схеме подключения необходимо использование дополнительных аппаратных средств.
Одноканальная схема подключения достаточна несложная по реализации.
Интернет канал может быть предоставлен для непосредственного предоставления сервисов от провайдера, или только для организации VPN канала с головным офисом компании заказчика. Т.е. все основные виды сервисов предоставляются центральным узлом.
Локальные сети компании, расположенные в разных географических точках, могут быть объединены с помощью технологии VPN в еденную сеть Intranet. Схемы подключения узлов в единую сеть может быть различными.
При многоканальной схеме подключения ЛВС к внешней сети, необходимо предусмотреть механизм переключения с одного канала связи на другой и наоборот. При этом следует помнить не только о трафике, который исходит из внутренней сети, но и о трафике который приходит из сети внешней (наличие сервисов типа SMTP, HTTP, FTP и др., для которых необходимы соответствующие записи в DNS зонах..).
Тип сетевых сервисов может быть приватный (для использования внутри ЛВС) и публичный (для использования не только внутри ЛВС). Под такими сервисами подразумеваются: SMTP, FTP, HTTP, специализированное ПО (работа с базами данных, управление ресурсами).
Для организации публичных ресурсов используется DMZ (демилитаризованная зона). По сути, это отдельная сеть, которая физически разделена от внешней и внутренней ЛВС сетевыми интерфейсами и МСЭ.
DMZ организуется для того, чтобы разделить публичные сервисы и приватную (для внутреннего использования) информацию, а также для осуществления возможности контроля за доступом к соответствующим сервисам. По типу организации DMZ бывает простая и расщеплённая.
Пример организации простой DMZ
Пример организации расщепленной DMZ
Внутренняя сеть обработки и передачи данных.
Наряду с внешними сетями, DMZ – существует и внутренняя локальная сеть (ЛВС) компании, ресурсы, которой используют непосредственно сотрудники компании. По своей структуре она может быть простая, содержащая небольшое количество узлов и сложная, содержащая в себе большое количество узлов и подсетей.
Узел подключения локальной сети
Для разделения различных подсетей используется технология VLan (виртуальные сети). Эта технология позволяет при использовании одного физического сетевого интерфейса коммутировать несколько сетей. При этом каждый заголовок сетевого пакета имеет свою метку (ID) о принадлежности этого пакета к определённому VLan. Правда в этом случае разделение по сетям происходит не на физическом уровне (сетевыми интерфейсами), а на пакетном, что несколько понижает безопасность сетевого периметра.
Чтобы обеспечить разделение сетей и контроль доступа к информационным ресурсам применяется схема сетевой топологии по типу «Звезда».
Любые узлы информационных сетей взаимодействуют между собой с помощью сетевых протоколов.
Стек TCP/IP - самый распространенный транспортный протокол вычислительных сетей.
Это объясняется лёгкостью настройки и функциональной гибкостью TCP/IP, содержащего в себе большое подмножество протоколов. От протоколов транспортных (Х25, Х400), до протоколов взаимодействия сетевых приложений (SMTP, MS Terminal и т.д.).
Благодаря своей структуре, стек протокола TCP/IP позволяет достаточно легко организовывать сессии для получения – отправки данных. С другой стороны, это свойство стека протокола TCP/IP является потенциальной возможностью несанкционированного доступа к закрытой информации. Чтобы этого не произошло и существуют средства защиты информации.
Надо понимать, что вышеозначенные средства должны обладать рядом необходимых свойств. В идеале, они должны уметь тестировать информационный поток на содержание и производить над ним некие, заранее определённые действия. К этой категории можно отнести межсетевые экраны (МСЭ), антивирусы, программы проверки контента (антиспамовые программы, программы проверки содержимого Web страниц).
На сегодняшний день это условие в полной мере позволяет осуществить технология Stateful Inspection.
Данная технология представляет собой проверку сетевых пакетов, начиная со второго уровня модели OSI и до седьмого, реализуемую благодаря некой виртуальной машине, и выполняется на уровне ядра системы.
Т.е., все приходящие – уходящие сетевые пакеты проходят через эту виртуальную машину, которая находится на МСЭ.
Благодаря этой технологии, сетевые пакеты не рассматриваются дискретно, а трактуются виртуальной машиной как осмысленные данные, которые можно классифицировать, и над которыми можно производить некие действия по заранее определённым правилам.
В наше время главной ценностью является информация. Развитие бизнеса подразумевает увеличение её потока в геометрической прогрессии. Возникает необходимость организации её движения таким образом, чтобы с одной стороны обеспечить лёгкий доступ для решения насущных бизнес – задач, с другой стороны – надёжную защиту от несанкционированного вмешательства.