Программно-аппаратные методы защиты от удаленных атак

1) Аппаратные шифраторы сетевого трафика;

2) Использование межсетевых экранов, как программных, так и программно-аппаратных;

3) Защищенные сетевые криптопротоколы;

4) Программно-аппаратный анализатор сетевого трафика;

5) Защищенная сетевая ОС;

6) Защищенные системы аутентификации сетевых ресурсов (Керберс).

Классификация и определение политики мсэ

Firewall, брандмауэр.

МСЭ представляют основное устройство сетевой защиты. МСЭ может анализировать содержимое пакетов любого уровня из модели ТСР/IP,это позволяет осуществить более точную настройку его политики. Может поддерживать дополнительные сервисы – это трансляция сетевых адресов (NAT), функция прокси-сервера, поддержка протокола DHCP (динамическая конфигурация хостов), быть конечной точкой UPN шлюза.

1) Пакетные фильтры. Является простейшим МСЭ, составной частью устройств маршрутизации, которые управляются на уровне сетевых адресов и коммуникационных сессий.

Анализируется следующее информационное содержание в заголовке сетевого и транспортного уровней:

• Адрес источника;

• Адрес назначения;

• Тип сессии или сетевой протокол, используемый для взаимодействия систем;

• Характеристики коммуникационных сессий (номера портов);

• Информация об интерфейсе роутера, с которого пришел пакет;

• Информация, характеризующая направление;

• Свойства, относящиеся к созданию log-ов для данного пакета.

Основное место сетевой инфраструктуры, в которой устанавливается пакетный фильтр, является пограничный роутер.

«+»:

1) Скорость работы, т.к. количество анализируемой информации минимально;

2) пакетный фильтр прозрачен для пакетов и серверов, т.к. не разрывает сетевые соединения.

«-»:

1) невозможность предотвратить атаки, использующие уязвимости приложений»

2) ограниченная информация для ведения логов;

3) нет возможности аутентификации пользователя;

4) уязвимы для атак подмены IP адреса;

5) сложности конфигурации.

Пример политики для пакетного фильтра

Для каждого правила политики возможно указание следующих видов деятельности:

1) ACCEPT, ALLOW, PASS - разрешение

Пакет, попадающий под это правило, Firewall пропускает, при этом может происходить создание лога или нет.

2) Deny – пакет, попадающий под это правило, возвращается без передачи, при этом источнику возвращается сообщение об ошибке, типа HOST UNREACHABLE или DESTINATION UNREACHABLE, при этом создание лога производится или нет.

3) DISCARD, BLOCK, UNREACH. Firewall отбрасывает пакет, попадающий под это правило, и не возвращает сообщение об ошибке источнику, т.е. Firewall не обнаруживает себя для внешней стороны, лог создается или нет.

Адрес источника	Порт источника	Адрес получателя	Порт получателя	Действия
192.168.1.2	Any	Any	Any	Allow
Any	Any	192.168.1.2	>1023	Allow
192.168.1.1	Any	Any	Any	Deny
Any	Any	192.168.1.1	Any	Deny
Any	Any	192.168.1.3	80	Allow
Any	Any	192.168.1.4	25	Allow
Any	Any	Any	Any	Deny