На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


реферат Средства защиты информации в ЛВС

Информация:

Тип работы: реферат. Добавлен: 29.05.2012. Сдан: 20 Я. Страниц: 14. Уникальность по antiplagiat.ru: < 30%

Описание (план):


   Оглавление
   Введение 
1.Современное состояние информационной безопасности
2.Угрозы  безопасности информации
3. Атаки  сети
4. Средства  аппаратной защиты сети
    Конструктивные особенности маршрутизаторов
    Брандмауэр (firewall) (ISPmanager)
    Пакетные  фильтры и их конфигурирование
    Шлюзы сеансового уровня
    Шлюзы прикладного  уровня
    SPI-брандмауэры  Протокол NAT
    Зоны защиты
    Методы аутентификации
    Виртуальные сети VPN
5. Структурная схема защиты от НСД
6. Характеристики  выбранного оборудования
    Межсетевой экран D-Link DFL-1100
    Настраиваемый коммутатор D-Link DES-1226G
    Характеристики ПО Kerio Winroute Firewall
    Заключение 
    Список  литературы
 
 
 
 
 
 
 
     Введение
     На  современном этапе развития нашего общества многие традиционные ресурсы  человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня  главным ресурсом научно-технического и социально-экономического развития мирового сообщества.  
Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков.

     Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного  обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем  разрыв межгосударственных экономических  отношений. Поэтому в современных  условиях возникает масса проблем, связанных с обеспечением сохранности  коммерческой (предпринимательской) информации как вида интеллектуальной собственности. 
     Учитывая  известный афоризм цель оправдывает  средства, информация представляет определенную цену. И поэтому сам факт получения  информации злоумышленником приносит ему определенный доход, ослабляя тем  самым возможности конкурента. Отсюда главная цель злоумышленника получение  информации о составе, состоянии  и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и  внесение определенных изменений в  состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к  дезинформации по определенным сферам деятельности, учетным данным, результатам  решения некоторых задач. Более  опасной целью является уничтожение  накопленных информационных массивов в документальной или магнитной  форме и программных продуктов. Полный объем сведений о деятельности конкурента не может быть получен  только каким-нибудь одним из возможных  способов доступа к информации.
     Чем большими информационными возможностями  обладает злоумышленник, тем больших  успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет  необходимую информацию, переработает ее и примет правильное решение. От целей зависит как выбор способов действий, так и количественный и  качественный состав привлекаемых сил  и средств посягательства.  
Одним из самых распространенных на сегодня источником получения информации являются компьютерные сети. Они постепенно превратились в такую же повседневность, как и телевидение или телефон. Множество компаний имеют свои собственные официальные страницы в Internet, подразделения компаний используют компьютерные сети для оперативного обмена коммерческой информацией, тысячи рядовых граждан используют сеть для получения важных для них данных (лент новостей, курсов валют и т.д.). Короче говоря, в Internet стала храниться и передаваться действительно важная информация (причем не только на Западе, но и у нас), стало обычной практикой подключение корпоративной компьютерной сети к Internet, стало все больше пользователей, чей компьютер, обладая важной информацией, также используется и для работы в Internet. 

     По  словам бывшего директора Центрального разведывательного управления США  Роберта Гейтса, возглавлявшего это  учреждение с 1991 по 1993 год, в настоящее  время безопасность конфиденциальной информации все чаще оказывается  под угрозой, причем источников опасности  становится все больше. Неприятностей  можно ждать как со стороны  организованных преступных синдикатов и террористов, так и от разведывательных центров, финансируемых правительством. Крупные компании, работающие в области  высоких технологий, не должны строить  никаких иллюзий, а руководители компаний должны помнить о существовании  угрозы и предпринимать необходимые  меры для обеспечения безопасности внутриведомственной информации. 
     Любое компьютерное преступление представляет собой факт нарушения того или  иного закона. Оно может быть случайным, а может быть специально спланированным; может быть обособленным, а может  быть составной частью обширного  плана атаки. Нанесение ударов по жизненно важным элементам, таким как  телекоммуникации или транспортные системы предпринимаются экономическими противниками или террористическими  группами. 
     В США для расследования случаев  компьютерного вымогательства ФБР  образовало три самостоятельных  подразделения, которые расследуют деятельность компьютерных вымогателей. В качестве примера этого вида деятельности злоумышленников-кибергангстеров  приведем следующие события, произошедшие в Лондоне за достаточно короткий промежуток времени: 
    6 января 1993 года деятельность одной из брокерских контор была полностью парализована после угрозы вымогателей и созданной ими аварийной ситуации в компьютерной системе. Выкуп в размере 10 миллионов фунтов был переведен на счет в Цюрихе; 
    14 января 1993 года один из первоклассных банков выплатил вымогателям 12,5 миллионов фунтов; 
    29 января 1993 года одной из брокерских контор пришлось заплатить 10 миллионов фунтов отступного после аналогичных угроз; 
    17 марта 1995 года одна оборонная фирма была вынуждена откупиться 10 миллионами фунтов стерлингов. 
     Во  всех четырех случаях компьютерные террористы угрожали высшим руководителям  и демонстрировали имеющиеся  у них возможности разрушить  компьютерную систему. Все жертвы уступали требованиям вымогателей через  несколько часов и переводили деньги на счета банков, располагающихся  в офшорных зонах, откуда злоумышленники снимали их в считанные минуты.
     Обычно  когда речь заходит о безопасности компании, ее руководство недооценивает  важность информационной безопасности. Основной упор делается, как правило, на физической защите. Крепкие входные  двери, защищенные окна, разнообразные  датчики и видеокамеры, надежная служба охраны эти компоненты помогут  предупредить угрозу взлома рабочего помещения. Но как предотвратить  компьютерный взлом? Для того чтобы  проникнуть в тайны компании, нет  необходимости перелезать через  заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами  помещения, вскрывать сейфы и  т. п. Достаточно проникнуть в информационную систему и перевести сотни  тысяч долларов на чужие счета  или вывести из строя какой-либо узел корпоративной сети. Все это  приведет к огромному ущербу. Причем не только к прямым потерям, которые  могут выражаться цифрами со многими  нулями, но и к косвенным. Например, выведение из строя того или иного  узла приводит к затратам на обновление или замену программного обеспечения. А атака на публичный Web-сервер компании и замена его содержимого на любое  другое может привести к снижению доверия к фирме и, как следствие, потере части клиентуры и снижению доходов. Системы физической защиты имеют аналоги в мире информационной безопасности локальных вычислительных сетей, функцию стальной двери выполняет  межсетевой экран. Традиционно он ограждает  внутреннюю сеть от внешних несанкционированных  вмешательств. Существует несколько  систем сетевой защиты, например, такие  как Firewall или Broundmouer. Они контролируют все входящие и исходящие соединения между защищаемым сегментом локальной  сети и сети Internet. Одним из элементов  защиты является криптографирование, т. е. шифрование информации, которая  передается по открытым каналам связи. 

1.Современное состояние информационной безопасности
     Сегодня невозможно представить практически  ни одну сферу деятельности без средств  вычислительной техники и телекоммуникаций. Информационные технологии предлагают все новые и новые сервисы. Через Интернет становятся доступными электронные платежные системы, персональные финансовые порталы, электронные биржи и т. д. Внедряя новые услуги, компании укрепляют свое положение на рынке.
     С другой стороны, вопросы информационной безопасности всегда, как минимум, на шаг отстают от нововведений. Достаточно посмотреть, сколько версий должно миновать, пока тот или иной программный  продукт не приобретет репутацию  надежного.
     Эти две очевидные тенденции приводят к необходимости здорового консерватизма  в построении информационных систем корпоративного уровня. Нужен взвешенный подход, учитывающий риски и стоимость  отдачи от вложенных средств.
     С ростом экономики России, появлением больших экономических структур, все глубже проникают в нашу жизнь  международные стандарты построения информационных систем и систем информационной безопасности (BASEL II, SOX, Cobit, BS 17799, ITIL и  др.), которые суть не что иное, как  собранные в одном документе  передовые практики построения подобных систем. Центральный Банк России имеет  планы по распространению BASEL II, работа на международных биржах требует  сертификации по соответствующим стандартам безопасности. Все больше входят в  наш обиход такие понятия, как  управление рисками, сервис-ориентированная  модель построения ИТ.
     Информационные  технологии все шире применяются  в качестве инструмента ведения  бизнеса. И понятие риска является краеугольным как для бизнеса, так  и для системы организации  информационной безопасности.
     Но  при этом следует понимать, что  стандарты и передовые практики обычно не рассматривают конкретные программы и детальные методики, а концентрируются на основных принципах  и примерах.
     С точки зрения рисков следует иметь  в виду два аспекта:
    Во-первых, любую систему безопасности можно взломать, имея достаточно ресурсов и времени. Поэтому риски могут быть идентифицированы и уменьшены, но никогда не сведены полностью на нет.
    Во-вторых, все организации разные, поэтому процесс смягчения рисков для каждой имеет свои уникальные черты. Исторические примеры могут помочь, но адекватная оценка реальности — лучший советчик, ведь даже небольшие изменения в методике или организационной структуре могут повлечь значительные последствия, связанные с рисками. К тому же при внедрении нужны средства, учитывающие локальные особенности. Например, средства шифрования во всех развитых странах имеют свои системы стандартов, свои сертификаты и, соответственно, свои регламенты использования.
     C точки зрения построения информационных  систем, решения вопросов информационной  безопасности и управления рисками  Россия идет вслед за развитыми  странами, что позволяет избегать  некоторых распространенных ошибок.
     Рост  экономики, усиливающаяся конкуренция  порождают и еще одну проблему безопасности — слияние организаций, поглощение мелких и средних компаний более крупными. При этом неизмеримо возрастают трудности межоперационного взаимодействия, возникает необходимость  интеграции разнородных систем.
     Минимизация рисков, построение всеохватывающей  системы информационной безопасности — процесс весьма сложный, длительный и дорогостоящий. В мире нет ни одной организации, которая внедрила бы весь набор средств и реализовала  все необходимые, описанные в  стандартах процессы. Выбор подходящих методов и степени защиты является субъективным процессом, лишь отчасти  регламентируемым нормативными актами.
     Рисков  существует великое множество, включая  стихийные бедствия, проблемы с коммунальными  услугами (перебои в доставке электроэнергии и др.), хищения, политический и информационный терроризм, ошибки в программном  обеспечении, вирусы, спам, внутренние и внешние хакеры и т. д. и т. п. Не следует избегать и обыкновенного  человеческого фактора, ошибок администраторов  или операционистов. Добавление одной  неправильной строки в настройку  маршрутизатора может вывести из строя всю телекоммуникационную сеть; одна лишняя цифра в номере счета — и денежный перевод  идет совсем в другую страну.
     Но  часто ответственные лица отсрочивают  затраты на безопасность ввиду некоторых объективных трудностей:
    Очень трудно, а зачастую и невозможно качественно и количественно оценить все уязвимости.
    Трудно измерить вероятность наступления события.
    Анализ начат с рисков, защита от которых стоит очень дорого или ее вообще нет.
     Они могут также надеяться на то, что  механизмы защиты можно встроить в рамки имеющихся бизнес-систем.
     Опыт  говорит о том, что, даже имея комплексное  видение цели построения систем защиты, необходимо подходить к вопросу  последовательно. Сначала определить угрозы, оценить риски, найти и  оценить соответствующие контрмеры, внедрить соответствующие средства и бизнес-процессы, посмотреть, что  получилось (мониторинг и аудит) и  опять начинать все с начала, постепенно раскручивая спираль развития.
     При этом можно выделить два основных метода минимизации рисков, которые  каждая организация выбирает сама:
    Определить риски и внедрять требуемые контрмеры. 
    По этому пути часто идут департаменты информационной безопасности, которым выделен определенный, достаточно узкий круг возможностей. И в пределах своей зоны ответственности эти департаменты и пытаются решать проблемы по максимуму, зачастую входя в конфликт с другими подразделениями.

    Спокойно строить систему управления ИТ и информационной безопасности. 
    Это — более последовательный путь развития, когда сотрудничество отделов информационных технологий и информационной безопасности позволяет решать многие вопросы комплексно.

 
 
    2.Угрозы безопасности информации 

    Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
    Если  говорить об угрозах информационно-технического характера, можно выделить такие  элементы как кража информации, вредоносное  ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные  сбои, финансовое мошенничество, кража  оборудования.
    Согласно  статистике применительно к этим угрозам, можно привести следующие  данные (по результатам исследований, проведённых в России компанией InfoWath):
    Кража информации – 64%
    Вредоносное ПО – 60%
    Хакерские атаки – 48%
    Спам – 45%
    Халатность сотрудников – 43%
    Аппаратные и программные сбои – 21%
    Кража оборудования – 6%
    Финансовое мошенничество – 5%
    Как видно, из приведенных данных, наиболее распространены кража информации и  вредоносное ПО.  
В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником.

    Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять  же, опираясь на статистику, наибольшее распространение имеют нарушения  конфиденциальности и искажение.
    Так или иначе, утечка информации происходит по каналам утечки. Большую часть  в данном аспекте представляет, так  называемый «человеческий фактор». То есть сотрудники организации, что  не удивительно, потому что кто, как  не они имеют достаточно полномочий и возможностей для завладения информацией.
    Но  совсем не обязательно похищать информацию с целью, например, последующей продажи. Если сотруднику захочется подпортить репутацию компании, или нанести  какой либо ущерб в силу каких-то обстоятельств (понижение по должности, сокращение, разногласия с руководством и т.д.), в полнее достаточно исказить информацию представляющую ценность для  организации, в следствии чего, данная информация может потерять свою актуальность и ценность, или же окажется просто недостоверной, не подлинной, что может  обернуться, например, обманутыми клиентами, партнерами. К счастью, таких «ущемленных» сотрудников не так много. Если же говорить о мотивах, побудивших человека, сотрудника организации к таким  шагам, первое место занимает кража  денег с электронных счетов (изменение  программ по начислению заработной платы  и зачислению её на индивидуальные счета, создание файлов с вымышленными вкладчиками, изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, фальсификацию  в базе данных фирм информации о  клиентах). Но и не обходится без  фальсификации информации, или повреждения  программного обеспечения, вывод из работы сайтов и прочее.
    Наиболее  опасным являются неумышленные действия персонала. Примером может являться, уже обыденная вещь для современного человека – «флешка», или USB накопитель на основе Flash-memory. Нередко, сотрудники организации используют «флешки» в  работе. Или из самых лучших побуждений, человек, может взять некоторую  информацию домой, для того чтобы  поработать над ней (к примеру, подготовка какой либо отчетности или других документов). В данном случае велик  процент утечки информации из-за потери самого носителя – «флешки», в силу ее габаритных характеристик.
    По  мимо всего выше перечисленного, стоит  сказать о внешних и внутренних источниках угроз безопасности в  более глобальном смысле.
    Внешние источники: 
    Деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере.
    Стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков.
    Обострение международной конкуренции за обладание информационными технологиями и ресурсами.
    Деятельность международных террористических организаций.
    Увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий.
    Деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств.
    Разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов ресурсов, получение несанкционированного доступа к ним.
    Внутренние  источники:
    Закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам.
    Противоправные сбор и использование информации.
    Нарушения технологии обработки информации.
    Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не
    предусмотренные документацией на эти изделия.
    Разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации.
    Уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем
    обработки информации, телекоммуникации и связи.
    Воздействие на ключевые системы защиты автоматизированных систем обработки и передачи информации.
    Компрометация ключей и средств криптографической защиты информации.
    Утечка информации по техническим каналам.
    Внедрение электронных устройств для перехвата информации в ТСОИ по каналам связи, а также в служебные помещения;
    Уничтожение, повреждение, разрушение или хищение машинных и других носителей информации.
    Перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации.
    Использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.
    Несанкционированный доступ к информации, находящейся в банках и базах данных.
    Нарушение законных ограничений на распространение информации.
 
   3. Атаки сети 

   Атаки сети, виды и защита
   Разумеется, целенаправленное применение таких  традиционных средств управления безопасностью, как антивирусное ПО, межсетевые экраны, средства криптографии и так далее, способствует предотвращению несанкционированного доступа к информации. Однако в данном случае на сцену выходит человеческий фактор. Человек, конечный пользователь, оказывается самым слабым звеном системы информационной безопасности, и хакеры, зная это, умело применяют методы социальной инженерии. Какие бы ни были многоуровневые системы идентификации, от них нет никакого эффекта, если пользователи, к примеру, используют простые для взлома пароли. При профессиональном подходе к вопросам безопасности подобные проблемы в компаниях решают путем централизованной выдачи уникальных и сложных паролей или установкой жестких корпоративных правил для сотрудников и адекватных мер наказания за их несоблюдение.
   Классификация
   Сетевые атаки столь же разнообразны, сколь  разнообразны системы, против которых  они направлены. Чисто технологически большинство сетевых атак использует ряд ограничений, изначально присущих протоколу TCP/IP. В спецификациях ранних версий интернет-протокола (IP) отсутствовали  требования безопасности, а потому многие реализации IP изначально являются уязвимыми. Только спустя много лет, когда началось бурное развитие электронной  коммерции и произошел ряд  серьезных инцидентов с хакерами, наконец, начали широко внедряться средства обеспечения безопасности интернет-протокола. Однако, поскольку изначально средства защиты для IP не разрабатывались, его  реализации начали дополнять различными сетевыми процедурами, услугами и продуктами, призванными снижать риски, "от рождения" присущие этому протоколу.
   Почтовая  бомбардировка
   Бомбардировка электронной почтой (т.н. mailbombing) - один из самых старых и примитивных  видов интернет-атак. Правильнее даже будет назвать это компьютерным вандализмом (или просто хулиганством - в зависимости от тяжести последствий). Суть мэйлбомбинга - в засорении  почтового ящика "мусорной" корреспонденцией или даже выведении из строя почтового  сервера интернет-провайдера. Для  этого применяются специальные  программы - мэйлбомберы. Они попросту засыпают указанный в качестве мишени почтовый ящик огромным количеством  писем, указывая при этом фальшивые  данные отправителя - вплоть до IP-адреса. Все, что нужно агрессору, использующему  такую программу, - указать e-mail объекта  атаки, число сообщений, написать текст  письма (обычно пишется что-нибудь оскорбительное), указать фальшивые данные отправителя, если программа этого не делает сама и нажать кнопку "пуск". Впрочем, большинство интернет-провайдеров  имеют собственные системы защиты клиентов от мэйлбомбинга. Когда число  одинаковых писем из одного и того же источника начинает превышать  некие разумные пределы, вся поступающая корреспонденция такого рода просто уничтожается. Так что сегодня почтовых бомбардировок можно всерьез уже не опасаться.
   Атаки с подбором пароля
   Атакующий систему хакер часто начинает свои действия с попыток раздобыть  пароль администратора или одного из пользователей. Для того чтобы узнать пароль, существует великое множество  различных методов. Вот основные из них: IP-спуфинг и сниффинг пакетов - их мы рассмотрим ниже. Внедрение в  систему "троянского коня" - один из наиболее распространенных в хакерской  практике приемов, про него мы также  расскажем подробнее в дальнейшем. Перебор "в лоб" (brute force attack - "атака  грубой силой"). Существует множество  программ, которые осуществляют простой  перебор вариантов паролей через  Интернет или напрямую на атакуемом  компьютере. Одни программы перебирают пароли по определенному словарю, другие просто генерируют случайным образом  различные последовательности символов. Логический перебор вариантов пароля. Использующий этот метод злоумышленник  просто перебирает вероятные комбинации символов, которые могут быть использованы пользователем в качестве пароля. Такой подход обычно оказывается  на удивление эффективным. Специалисты  по компьютерной безопасности не перестают  удивляться, до чего часто пользователи используют в качестве пароля такие "загадочные" комбинации как, 1234, qwerty или собственное имя, написанное задом наперед. Серьезные хакеры, подбирая заветный пароль, могут досконально  изучить человека, этот пароль использующего. Имена членов семьи и прочих родственников, любимой собаки/кошки; за какие команды  и в каких видах спорта "объект" болеет; какие книги и кинофильмы любит; какую газету читает по утрам - все эти данные и их комбинации идут в дело. Спастись от подобных атак можно, только используя в качестве пароля случайную комбинацию букв и  цифр, желательно сгенерированную специальной  программой. И, разумеется, необходимо регулярно менять пароль - следить  за этим обязан системный администратор. Социальная инженерия. Это использование  хакером психологических приемов "работы" с пользователем. Типичный (и самый простой) пример - телефонный звонок от якобы "системного администратора" с заявлением вроде "У нас тут  произошел сбой в системе, и информация о пользователях была утеряна. Не могли бы вы сообщить еще раз свой логин и пароль?". Так жертва сама отдает пароль в руки хакеру. Защититься от таких атак, помимо обычной бдительности, помогает система "одноразовых паролей". Впрочем, из-за своей сложности она  до сих пор не получила достаточно широкого распространения. 
 

   Вирусы, почтовые черви и "троянские  кони"
   Эти напасти поражают, в основном, не провайдеров или корпоративные  коммуникации, а компьютеры конечных пользователей. Масштабы поражения  при этом просто впечатляют - вспыхивающие все чаще глобальные компьютерные эпидемии приносят многомиллиардные убытки. Авторы же "зловредных" программ становятся все изощреннее, воплощая в современных  вирусах самые передовые программные  и психологические технологии. Вирусы и "троянские кони" - это разные классы "враждебного" программного кода. Вирусы внедряются в другие программы  с целью выполнения заложенной в  них вредоносной функции на рабочей  станции конечного пользователя. Это может быть, например, уничтожение  всех или только определенных файлов на винчестере (чаще всего), порча оборудования (пока экзотика) или другие операции. Часто вирусы запрограммированы  на срабатывание в определенную дату (типичный пример - знаменитый WinChih, он же "Чернобыль"), а также на рассылку своих копий посредством электронной  почты по всем адресам, найденным  в адресной книге пользователя. "Троянский  конь", в отличие от вируса, - самостоятельная  программа, чаще всего не ориентированная  на грубое разрушение информации, свойственное вирусам. Обычно цель внедрения "троянского коня" - получение скрытого удаленного контроля над компьютером для  того, чтобы манипулировать содержащейся на нем информацией. "Троянские  кони" успешно маскируются под  различные игры или полезные программы, великое множество которых бесплатно  распространяется в Интернете. Более  того, хакеры иногда встраивают "троянских  коней" в совершенно "невинные" и пользующиеся хорошей репутацией программы. Попав на компьютер, "троянский  конь" обычно не афиширует свое присутствие, выполняя свои функции максимально  скрытно. Такая программа может, к примеру, тишком отсылать своему хозяину-хакеру пароль и логин для доступа  в Интернет с данного конкретного  компьютера; делать и отправлять по заложенному в нее адресу определенные файлы; отслеживать все, что вводится с клавиатуры, и т.д. Более изощренные версии "троянских коней", адаптированные для атаки на конкретные компьютеры конкретных пользователей, могут по указанию хозяина заменять те или  иные данные на другие, заранее заготовленные, или видоизменять хранящиеся в файлах данные, вводя тем самым в заблуждение  владельца компьютера. К слову, довольно распространенный прием из арсенала промышленного шпионажа и провокаций. Борьба с вирусами и "троянскими конями" ведется при помощи специализированного  программного обеспечения, причем, грамотно выстроенная защита обеспечивает двойной  контроль: на уровне конкретного компьютера и на уровне локальной сети. Современные  средства борьбы с вредоносным кодом  достаточно эффективны, и практика показывает, что регулярно вспыхивающие глобальные эпидемии компьютерных вирусов происходят во многом благодаря "человеческому фактору" - большинство пользователей и многие системные администраторы (!) попросту ленятся регулярно обновлять базы данных антивирусных программ и проверять на вирусы приходящую электронную почту перед ее прочтением (хотя сейчас это все чаще делают сами провайдеры услуг Интернет).
   Сетевая разведка
   Собственно  говоря, сетевую разведку нельзя назвать  атакой на компьютерную систему - ведь никаких "зловредных" действий хакер  при этом не производит. Однако сетевая  разведка всегда предшествует собственно нападению, так как при его  подготовке злоумышленникам необходимо собрать всю доступную информацию о системе. При этом информация собирается с использованием большого набора общедоступных  данных и приложений - ведь хакер  старается получить как можно  больше полезной информации. При этом производится сканирование портов, запросы DNS, эхо-тестирование раскрытых с  помощью DNS адресов и т.д. Так удается, в частности, выяснить, кому принадлежит  тот или иной домен и какие  адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты  реально работают в данной сети, а средства сканирования портов позволяют  составить полный список услуг, поддерживаемых этими хостами. Анализируются при  проведении сетевой разведки и характеристики приложений, работающих на хостах, - словом, добывается информация, которую впоследствии можно использовать при взломе или  проведении DoS-атаки. Полностью избавиться от сетевой разведки невозможно, в  первую очередь потому, что формально  враждебных действий не производится. Если, например, отключить эхо ICMP и  эхо-ответ на периферийных маршрутизаторах, можно избавиться от эхо-тестирования, однако при этом окажутся потеряны данные, которые необходимы для диагностики  сбоев в Сети. К тому же, просканировать порты злоумышленники могут и  без предварительного эхо-тестирования. Защитные и контролирующие системы  на уровне сети и хостов обычно вполне справляются с задачей уведомления  системного администратора о ведущейся  сетевой разведке. При добросовестном отношении администратора к своим  обязанностям это позволяет лучше  подготовиться к предстоящей  атаке и даже принять упреждающие  меры, например, оповестив провайдера, из сети которого кто-то проявляет чрезмерное любопытство.
   Сниффинг  пакетов
   Сниффер пакетов представляет собой прикладную программу, которая использует сетевую  карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер ("нюхач") перехватывает все сетевые пакеты, которые передаются через атакуемый домен. Особенность ситуации в данном случае в том, что сейчас во многих случаях снифферы работают в сетях на вполне законном основании - их используют для диагностики неисправностей и анализа трафика. Поэтому далеко не всегда можно достоверно определить, используется или нет конкретная программа-сниффер злоумышленниками, и не произошло ли банальной подмены программы на аналогичную, но с "расширенными" функциями. При помощи сниффера злоумышленники могут узнать различную конфиденциальную информацию - такую, например, как имена пользователей и пароли. Связано это с тем, что ряд широко используемых сетевых приложений передает данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.). Поскольку пользователи часто применяют одни и те же логин и пароль для множества приложений и систем, даже однократный перехват этой информации несет серьезную угрозу информационной безопасности предприятия. Единожды завладев логином и паролем конкретного сотрудника, хитроумный хакер может получить доступ к пользовательскому ресурсу на системном уровне и с его помощью создать нового, фальшивого, пользователя, которого можно в любой момент использовать для доступа в Сеть и к информационным ресурсам. Впрочем, используя определенный набор средств, можно существенно смягчить угрозу сниффинга пакетов. Во-первых, это достаточно сильные средства аутентификации, которые трудно обойти, даже используя "человеческий фактор". Например, однократные пароли (One-Time Passwords). Это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. При этом аппаратное или программное средство генерирует по случайному принципу уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Но это касается только паролей - к примеру, сообщения электронной почты все равно остаются незащищенными. Другой способ борьбы со сниффингом - использование анти-снифферов. Это работающие в Сети аппаратные или программные средства, которые распознают снифферы. Они измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" трафик. Подобного рода средства не могут полностью ликвидировать угрозу сниффинга, но жизненно необходимы при построении комплексной системы защиты. Однако наиболее эффективной мерой, по мнению ряда специалистов, будет просто сделать работу снифферов бессмысленной. Для этого достаточно защитить передаваемые по каналу связи данные современными методами криптографии. В результате хакер перехватит не сообщение, а зашифрованный текст, то есть непонятную для него последовательность битов. Сейчас наиболее распространенными являются криптографические протоколы IPSec от корпорации Cisco, а также протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).
   IP-спуфинг
   Спуфинг - это вид атаки, при которой хакер внутри организации или за ее пределами выдает себя за санкционированного пользователя. Для этого существуют различные способы. Например, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных к применению в рамках Сети данной организации IP-адресов, или авторизованным внешним адресом, в случае если ему разрешен доступ к определенным сетевым ресурсам. Кстати, IP-спуфинг часто используется как составная часть более сложной, комплексной атаки. Типичный пример - атака DDoS, для осуществления которой хакер обычно размещает соответствующую программу на чужом IP-адресе, чтобы скрыть свою истинную личность. Однако чаще всего IP-спуфинг используется для выведения из строя системы при помощи ложных команд, а также для воровства конкретных файлов или, наоборот, внедрения в базы данных ложной информации. Полностью устранить угрозу спуфинга практически невозможно, но ее можно существенно ослабить. Например, имеет смысл настроить системы безопасности таким образом, чтобы они отсекали любой трафик, поступающий из внешней сети с исходным адресом, который должен на самом деле находиться в сети внутренней. Впрочем, это помогает бороться с IP-спуфингом, только когда санкционированными являются лишь внутренние адреса. Если таковыми являются и некоторые внешние адреса, использование данного метода теряет смысл. Неплохо также на всякий случай заблаговременно пресечь попытки спуфинга чужих сетей пользователями вашей сети - эта мера может позволить избежать целого ряда неприятностей, если внутри организации объявится злоумышленник или просто компьютерный хулиган. Для этого нужно использовать любой исходящий трафик, если его исходный адрес не относится ко внутреннему диапазону IP-адресов организации. При необходимости данную процедуру может выполнять и провайдер услуг Интернет. Этот тип фильтрации известен под названием "RFC 2827". Опять-таки, как и в случае со сниффингом пакетов, самой лучшей защитой будет сделать атаку абсолютно неэффективной. IP-спуфинг может быть реализован только при условии, что аутентификация пользователей происходит на базе IP-адресов. Поэтому криптошифрование аутентификации делает этот вид атак бесполезными. Впрочем, вместо криптошифрования с тем же успехом можно использовать случайным образом генерируемые одноразовые пароли.
   Атака на отказ в обслуживании
   Сегодня одна из наиболее распространенных в  мире форм хакерских атак - атака  на отказ в обслуживании (Denial of Service - DoS). Между тем, это одна из самых  молодых технологий - ее осуществление  стало возможно только в связи  с действительно повсеместным распространением Интернета. Не случайно о DoS-атаках широко заговорили только после того, как  в декабре 1999 года при помощи этой технологии были "завалены" web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay и E-Trade. Хотя первые сообщения  о чем-то похожем появились еще  в 1996 году, до "рождественского сюрприза" 1999 года DoS-атаки не воспринимались как серьезная угроза безопасности в Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки  стали уже обычным делом. Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или манипулирования  ею. Основная их цель - парализовать работу атакуемого web-узла. В сущности, это  просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы  крупных корпораций стоят пресловутые  антиглобалисты. Действительно, одно дело швырнуть кирпич в витрину "Макдональдса" где-нибудь в Мадриде или Праге, и совсем другое - "завалить" сайт этой суперкорпорации, давно уже  ставшей своего рода символом глобализации мировой экономики. DoS-атаки опасны еще и тем, что для их развертывания  кибертеррористам не требуется обладать какими-то особенными знаниями и умениями - все необходимое программное  обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Интернете. К тому же от подобного рода атак очень сложно защититься. В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему  миру. В результате, обслуживающие  узел серверы оказываются парализованы и не могут обслуживать запросы  обычных пользователей. При этом пользователи компьютеров, с которых  направляются ложные запросы, и не подозревают  о том, что их машина тайком используется злоумышленниками. Такое распределение "рабочей нагрузки" не только усиливает  разрушительное действие атаки, но и  сильно затрудняет меры по ее отражению, не позволяя выявить истинный адрес  координатора атаки. Сегодня наиболее часто используются следующие разновидности DoS-атак:
   - Smurf - ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной  рассылки. Используемый в пакетах  этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и "затапливают" сеть, в которой находится сервер-мишень.
   - ICMP flood - атака, аналогичная Smurf, только  без усиления, создаваемого запросами  по направленному широковещательному  адресу.
   - UDP flood - отправка на адрес системы-мишени  множества пакетов UDP (User Datagram Protocol), что приводит к "связыванию" сетевых ресурсов.
   - TCP flood - отправка на адрес системы-мишени  множества TCP-пакетов, что также  приводит к "связыванию" сетевых  ресурсов.
   - TCP SYN flood - при проведении такого  рода атаки выдается большое  количество запросов на инициализацию  TCP-соединений с узлом-мишенью,  которому, в результате, приходится  расходовать все свои ресурсы  на то, чтобы отслеживать эти  частично открытые соединения.
   В случае атаки трафик, предназначенный  для переполнения атакуемой сети, необходимо "отсекать" у провайдера услуг Интернет, потому что на входе  в Сеть сделать это уже будет  невозможно - вся полоса пропускания  будет занята. Когда атака этого  типа проводится одновременно через  множество устройств, говорится  о распределенной атаке DoS (Distributed Denial of Service - DDoS). Угрозу DoS-атак можно снизить  несколькими способами. Во-первых, необходимо правильно сконфигурировать функции  анти-спуфинга на маршрутизаторах и  межсетевых экранах. Эти функции  должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии  замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно  сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число  полуоткрытых каналов, не позволяя перегружать  систему. Также рекомендуется при  угрозе DoS-атаки ограничить объем  проходящего по Сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно при этом ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.
   Атаки типа Man-in-the-Middle
   Этот  тип атак весьма характерен для промышленного  шпионажа. При атаке типа Man-in-the-Middle хакер должен получить доступ к пакетам, передаваемым по Сети, а потому в  роли злоумышленников в данном случае часто выступают сами сотрудники предприятия или, к примеру, сотрудник  фирмы-провайдера. Для атак Man-in-the-Middle часто используются снифферы пакетов, транспортные протоколы и протоколы  маршрутизации. Цель подобной атаки, соответственно, - кража или фальсификация передаваемой информации или же получение доступа к ресурсам сети. Защититься от подобных атак крайне сложно, так как обычно это атаки "крота" внутри самой организации. Поэтому в чисто техническом плане обезопасить себя можно только путем криптошифрования передаваемых данных. Тогда хакер вместо необходимых ему данных получит мешанину символов, разобраться в которой, не имея под рукой суперкомпьютера, попросту невозможно. Впрочем, если злоумышленнику повезет, и он сможет перехватить информацию о криптографической сессии, шифрование данных автоматически потеряет всяческий смысл. Так что "на переднем крае" борьбы в данном случае должны находиться не "технари", а кадровый отдел и служба безопасности предприятия.
   Использование "дыр" и "багов" в ПО
   Весьма  и весьма распространенный тип хакерских  атак - использование уязвимых мест (чаще всего банальных недоработок) в широко используемом программном  обеспечении, прежде всего для серверов. Особо "славится" своей ненадежностью  и слабой защищенностью ПО от Microsoft. Обычно ситуация развивается следующим  образом: кто-либо обнаруживает "дыру" или "баг" в программном обеспечении  для сервера и публикует эту  информацию в Интернете в соответствующей  конференции. Производитель данного  ПО выпускает патч ("заплатку"), устраняющий данную проблему, и публикует  его на своем web-сервере. Проблема в  том, что далеко не все администраторы, по причине элементарной лени, постоянно  следят за обнаружением и появлением патчей, да и между обнаружением "дыры" и написанием "заплатки" тоже какое-то время проходит: Хакеры же тоже читают тематические конференции  и, надо отдать им должное, весьма умело  применяют полученную информацию на практике. Не случайно же большинство  ведущих мировых специалистов по информационной безопасности - бывшие хакеры.
   Основная  цель подобной атаки - получить доступ к серверу от имени пользователя, работающего с приложением, обычно с правами системного администратора и соответствующим уровнем доступа. Защититься от подобного рода атак достаточно сложно. Одна из причин, помимо низкокачественного ПО, состоит в том, что при проведении подобных атак злоумышленники часто пользуются портами, которым разрешен проход через межсетевой экран и которые не могут быть закрыты по чисто технологическим причинам. Так что лучшая защита в данном случае - грамотный и добросовестный системный администратор.
   Вместе  с расширением посевов какой-либо сельскохозяйственной культуры всегда увеличивается и численность  насекомых-вредителей этой самой культуры. Так и с развитием информационных технологий и проникновением их во все сферы современной жизни  растет число злоумышленников, активно  эти технологии использующих. Поэтому  в обозримом будущем вопросы защиты компьютерных сетей будут становиться все более актуальными. Причем, защита будет вестись по двум основным направлениям: технологическому и консалтинговому. Что же касается основных тенденций развития отрасли защиты информации, то, по мнению специалистов известной компании The Yankee Group, в ближайшие годы они будут таковы:
   1. Акцент при построении защитных  систем будет плавно перемещаться - от противодействия "внешним"  хакерским нападениям к защите  от нападений "изнутри".
   2. Будут развиваться и совершенствоваться  аппаратные средства защиты от  хакерских атак. На рынке появится  новый класс сетевого оборудования - "защитные сервисные коммутаторы". Они смогут обеспечивать комплексную  защиту компьютерных сетей, тогда  как современные устройства обычно  выполняют довольно ограниченный  набор конкретных функций, а  основная тяжесть все равно  ложится на специализированное  программное обеспечение.
   3. Стремительное развитие обеспечено  рынку услуг по защищенной  доставке цифрового контента  и защите самого контента от  нелегального копирования и несанкционированного  использования. Параллельно с  развитием рынка защищенной доставки  будут развиваться и сответствующие  технологии. Объем же этого рынка  специалисты The Yankee Group оценивают  в 200 млн долл. по итогам 2001 года  и прогнозируют рост до 2 млрд  долл. к 2005 году.
   4. Гораздо шире будут применяться  системы биометрической аутентификации (по сетчатке глаза, отпечаткам  пальцев, голосу и т.д.), в том  числе и комплексные. В повседневную  корпоративную жизнь войдет многое  из того, что сейчас можно увидеть  разве что в остросюжетных  кинофильмах.
   5. К 2005 году львиную долю услуг  безопасности будут оказывать  своим клиентам интернет-провайдеры. Причем основными их клиентами  станут компании, бизнес которых  строится именно на интернет-технологиях,  то есть активные потребители  услуг web-хостинга, систем электронной  коммерции и т.д.
   6. Быстрый рост ожидает рынок  интеллектуальных услуг сетевой  защиты. Это связано с тем, что  новые концепции защиты IT-систем  от хакеров акцентируют внимание  не столько на реагирование  на уже произошедшие события/атаки,  а на их прогнозирование, предупреждение  и проведение упреждающих и  профилактических мероприятий.
   7. Существенно повысится спрос  на коммерческие системы криптошифрования  передаваемых данных, включая "индивидуальные" разработки для конкретных компаний  с учетом их сфер деятельности.
   8. На рынке решений по IT-безопасности  будет происходить постепенный  отход от "систем стандартной  комплектации", в связи с чем  возрастет спрос на консалтинговые  услуги по разработке концепций  информационной безопасности и  построению систем управления  информационной безопасностью для  конкретных заказчиков.
   На "постсоветском пространстве" также развивается рынок систем и услуг по обеспечению информационной безопасности - хотя и не такими темпами  и не в таких масштабах, как  на Западе. Как сообщила газета "Коммерсант", в России на развитие информационной инфраструктуры различного типа организации  тратят от 1% (металлургия) до 30% (финансовый сектор) своих бюджетов. При этом расходы на защиту составляют пока только лишь порядка 0,1-0,2% в затратной  части бюджетов. Таким образом, общий  объем рынка систем информационной безопасности в 2001 году в России оценен экспертами в размере 40-80 млн долларов. В 2002 году в соответствии с данными, заложенными в проект Государственного бюджета, они должны составить 60-120 млн  долларов. Для сравнения: как продемонстрировали последние исследования IDC, объем  одного только европейского рынка продуктов  защиты информации (программных и  аппаратных) должен возрасти с 1.8 миллиарда USD в 2000 году до $ 6.2 миллиарда в 2005 году. 
 

   4. Средства аппаратной защиты сети
      Конструктивные особенности маршрутизаторов
 
   От  современного маршрутизатора требуется  сочетание функциональности с высокой  скоростью работы. Функциональность определяется разнообразием поддерживаемых сетевых протоколов (правда, в последнее  время в связи с явным доминированием IP требования к поддержанию протоколов IPX, Apple Talk, Token Ring и других стали выдвигаться  значительно реже), протоколов маршрутизации (RIP, IGRP обычно составляют обязательный набор), физических интерфейсов.
   Функциональность  и гибкость на канальном уровне обычно обеспечивается в маршрутизаторах  за счет модульной конструкции, когда  в одно шасси устанавливается  несколько модулей с интерфейсами определенного типа, причем как количество слотов у шасси, так и количество различных типов таких модулей  может быть весьма большим, до нескольких десятков. Примером модульного построения маршрутизатора может служить маршрутизатор Cisco 7206. Этот маршрутизатор выполнен на основе 6-слотового шасси, в которое  можно установить интерфейсные модули свыше 30 типов, в том числе модули Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, последовательных интерфейсов V.35/X.21/HSSI, технологий глобальных сетей ISDN, SONET/SDH и ATM. В маршрутизаторе, представленном на рисунке, установлены: 5-портовый модуль 10BaseFL, 4-портовый модуль 10BaseTX, 4-портовый модуль Token Ring, 4-портовый модуль Serial enchanced и 2-портовый модуль Fast Ethernet. Маршрутизатор также оснащен многофункциональным модулем управления.
   В последнее время из-за резко возросших  скоростей технологий канального уровня важную роль стала играть быстрота обработки пакетов. При нескольких гигабитных и мультимегабитных интерфейсах Ethernet, ATM, SDH и DWDM суммарная скорость продвижения пакетов маршрутизатором  должна составлять десятки гигабит  и даже несколько терабит в  секунду.
   Добиться  подобной производительности при сохранении гибкости и функциональности маршрутизатора – дело очень непростое. До появления  высокоскоростных технологий от маршрутизатора обычно требовалось поддержание  нескольких последовательных интерфейсов  глобальных сетей со скоростями в  несколько десятков Кбит/c, поэтому  почти все функции маршрутизатора могли быть реализованы на основе единственного универсального процессора. Такой подход применяется и сегодня  при реализации маршрутизаторов  для небольших сетей, не поддерживающих высокоскоростных интерфейсов.
       Структурная схема маршрутизатора.
   
   Однако  скоростные возможности однопроцессорного  маршрутизатора принципиально ограничены – как возможностями самого процессора, так и накладными расходами на организацию его совместного  использования. Естественным выходом  из сложившейся ситуации стало появление многопроцессорных маршрутизаторов, при этом наибольшую популярность приобрела схема. Каждый порт такого маршрутизатора оснащен специализированным процессором, выполненным как заказная интегральная схема. Жесткая логика интегральной схемы позволяет очень быстро осуществлять такие рутинные операции по обработке пакетов, как подсчет контрольной суммы, проверка разнообразных условий фильтрации, передача пакетов между внутренними очередями маршрутизатора. Кроме обслуживания портов специализированными процессорами, сверхпроизводительные маршрутизатор могут также включать один или несколько общих процессоров для всех портов специализированных процессоров. Так, магистральные маршрутизаторы, содержат так называемый Internet-процессор – общий для всех портов процессор, который предназначен для одной-единственной операции – просмотра больших таблиц маршрутизации, что типично для маршрутизаторов, работающих на магистрали Internet. Узкая специализация позволяет Internet-процессору производить эту операцию очень быстро – со скоростью до 80 000 обращений в секунду. Кроме того, каждый порт маршрутизатора оснащен двумя микросхемами менеджера ввода/вывода для анализа пришедшего пакета «со скоростью поступления» (т. е. с максимальной скоростью, поддерживаемой данным интерфейсом) и микросхемой менеджера буферов, для управления разделяемой между всеми портами памятью маршрутизатора.
   Как правило, высокоуровневые функции  маршрутизаторов, даже сверхскоростных, выполняются модулями ОС реального  времени на одном процессоре. Так  в маршрутизаторах Cisco Systems – встроенная ОС носит название IOS (Internetwork Opera-ting System). 

      Брандмауэр (firewall) (ISPmanager)
 
   При работе в интернете ваш компьютер  может подвергнуться различным  атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр.
   Брандмауэр (другие названия - "Файерволл","Firewall", межсетевой экран) - это аппаратная или программная система, которая  осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и  предотвращает несанкционированный  доступ.
   Вы  можете настроить фильтр сетевых  соединений с определёнными сервисами  в соответствии с определенными  правилами, которые применяются  брандмауэром.
   В данном случае правило - это разрешающее  или запрещающее действие, применяемое  при обнаружении попытки соединения с вашим сервером.
   Списки  доступа (Access Lists)
      Пакетные  фильтры и их конфигурирование
   Списки  доступа (access-lists) используются в целом  ряде случаев и являются общим  механизмом задания условий, которые  роутер проверяет перед выполнением  каких-либо действий. Некоторые примеры  использования списков доступа:
      Управление передачей пакетов на интерфейсах
      Управление доступом к виртуальным терминалам роутера и управлению через SNMP
      Ограничение информации, передаваемой динамическими протоколами роутинга
    Конфигурирование  списков доступа
   Списки  доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных  списков доступа определяется их применением (некоторые протоколы  требуют использования только нумерованных списков, некоторые - допускают как  именованные, так и нумерованные списки).
   Если  используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области  применения списка. Некоторые, наиболее часто применяемые диапазоны  приведены ниже: 

   
Протокол Диапазон номеров
Стандартный список IP 1 to 99
Расширенный список IP 100 to 199
MAC Ethernet address 700 to 799
IPX 800 to 899
Extended IPX 900 to 999
IPX SAP 1000 to 1099
 
   Задачи  и правила построения списков  доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.
   Создание  списков доступа (краткий  обзор)
   Списки  доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке  списка доступа.
   Типичными критериями являются адреса отправителя  и получателя пакета, тип протокола. Однако, для каждого конкретного  протокола существует свой собственный  набор критериев, которые можно  задавать в списках доступа.
   Каждый  критерий в списке доступа записывается отдельной строкой. Список доступа  в целом представляет собой набор  строк с критериями, имеющих один и тот же номер (или имя).
   Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните  также, что нет возможности исключить  какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.
   Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением  критериев из данного списка (в  том порядке, в котором они  были введены). Если пакет удовлетворяет  какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям  в списке - НЕ ПРОИЗВОДЯТСЯ
   В конце  каждого списка системой добавляется  неявное правило. Таким образом, пакет, который не соответствует  ни одному из введенных критериев  будет отвергнут.
   Использование tftp-сервера для  создания списков  доступа
   Поскольку порядок строк в списке доступа  очень важен, а также поскольку  невозможно изменить этот порядок или  исключить какие-либо строки из существующего  списка доступа, рекомендуется создавать  списки доступа на tftp-сервере и  загружать их целиком в роутер, а не пытаться редактировать их на роутере.
   Не  забывайте, что если список доступа  с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему  списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного  списка "no access-list ".
   Назначение  списков доступа  на интерфейсы (Обзор)
   Для каждого  протокола на интерфейс может  быть назначен только один список доступа. Для большинства протоколов можно задать раздельные списки для разных направлений траффика.
   Если  список доступа назначен на входящий через интерфейс траффик, то при  получении пакета, ротуер проверяет  критерии, заданные в списке. Если пакет  разрешен данным списком, то он передается для дальнейшей обработки. Если пакет  запрещен, то он отбрасывается.
   Если  список доступа назначен на выходящий  через интерфейс траффик, то после  приянтия решения о передаче пакета через данный интерфейс роутер проверяет  критерии, заданные в списке. Если пакет  разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.
   Не  забывайте, что в конце каждого  списка стоит неявное правило "deny all", поэтому при назначении списков  на интерфейс нужно следить, чтобы  явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга). 

      Шлюзы сеансового уровня
   Шлюз  сеансового уровня следит за подтверждением связи (квитирования ) между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый  сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках IP-пакетов сеансового уровня протокола TCP, т.е. функционирует на два уровня выше, чем брандмауэр с фильтрацией  пакетов.
   Чтобы определить, является ли запрос на сеанс  связи допустимым, шлюз сеансового уровня выполняет примерно следующую  процедуру. Когда авторизованный клиент запрашивает некоторую услугу, шлюз принимает этот запрос, проверяя, удовлетворяет  ли клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное  с ним имя). Затем, действуя от имени  клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением  процедуры квитирования связи по протоколу TCP.
   Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить). Первый пакет  сеанса TCP, помеченный флагом SYN и со-держащий произвольное число, например 1000, является запросом клиента на открытие сеанса. Внешний хост, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете (в нашем случае 1001 - razgovorodele.ru), подтверждая, таким образом, прием  пакета SYN от клиента. После этого  осуществляется обратная процедура: хост посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001.
   На  этом процесс квитирования связи  завершается. Шлюз сеансового уровня «считает»  запрошенный сеанс допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически  связанными между собой. После того как шлюз «определил», что доверенный клиент и внешний шлюз являются авторизованными  участниками сеанса TCP, и проверил допустимость данного сеанса, он устанавливает  соединение.
   Начиная с этого момента шлюз просто копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных  соединений, пропуская данные, относящиеся  к одному из сеансов связи, которые  зафиксированы в этой таблице. Когда  сеанс завершается, шлюз удаляет  соответствующий элемент из таблицы  и разрывает цепь, использовавшуюся в данном сеансе. Для копирования  и перенаправления пакетов в  шлюзах сеансового уровня используются специальные приложения, которые  иногда называют канальными посредниками (pipe proxies), поскольку они устанавливают  между двумя сетями виртуальную  цепь, или канал, а затем разрешают  пакетам (которые генерируются приложениями TCP/IP) проходить по этому каналу.
   Шлюз  сеансового уровня выполняет еще  одну важную функцию защиты: он используется в качестве сервера-посредника (proxy server). И хотя этот термин предполагает наличие сервера, на котором работают программы-посредники (что справедливо  для шлюза сеансового уровня), в  данном случае он означает несколько  другое. Сервером-посредником может  быть брандмауэр, использующий процедуру  трансляции адресов, при которой  происходит преобразование внутренних IP-адресов в один «надежный» IP-адрес. Этот адрес ассоциируется с брандмауэром, из которого передаются все исходящие  пакеты.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.