- •Занятие12. Защита и управление доступом в Интернет
- •Определение требований к защите доступа в Интернет
- •Ограничение набора разрешенных приложений
- •Фильтрация по номеру порта
- •Ограничение прав пользователей
- •Применение nat
- •Nat и проверка пакетов spi
- •Выбор метода доступа в Интернет
- •Упражнение 1. Настройка службы rras в режиме маршрутизатора nat
- •Упражнение 2. Отключение службы rras
Занятие12. Защита и управление доступом в Интернет
Помимо указания типа канала связи и перечня необходимых услуг ISP в плане организации доступа в Интернет необходимо описать способы защиты сети от взлома мошенниками, действующими через Интернет, а также ограничения на действия в Интернете ваших пользователей. Подключение к Интернету — это дверь во внешний мир, открытая в обе стороны, поэтому жизненно важно свести к минимуму риск проникновения злоумышленников извне. Однако угроза безопасности может идти не только извне, но и изнутри, скажем, от пользователей, запускающих запрещенные приложения, узурпирующих канал доступа в Интернет и допускающих заражение вирусами.
Определение требований к защите доступа в Интернет
Можно сказать, что организация доступа пользователей в Интернет — это компромисс между функциональностью и безопасностью. Вы узнали, чем отличаются зарегистрированные IP-адреса от незарегистрированных в плане сетевой безопасности. Выбор типа IP-адресов для различных компьютеров сети — первый шаг в обеспечении безопасности доступа в Интернет.
Можно дать пользователям полный доступ в Интернет, назначив их компьютерам зарегистрированные IP-адреса. Это позволит им запускать любые клиентские и серверные приложения и полностью завладеть каналом связи, но такое решение открывает дорогу разного рода злоупотреблениям.
Внимание! Опасность для компьютеров с зарегистрированными адресами представляет не только несанкционированный доступ из Интернета, но и злоупотребления со стороны собственных пользователей, которые устанавливают и запускают личные Web-серверы и другие запрещенные приложения.
Один из способов защиты сети с зарегистрированными IP-адресами — развертывание брандмауэра между ней и Интернетом. Это необходимо сделать, если в вашей сети есть Web-серверы или другие компьютеры, требующие зарегистрированных IP-адресов. Однако проще защитить клиентов Интернета, назначив им незарегистрированные IP-адреса, к тому же этот способ позволяет использовать более совершенные механизмы защиты и управления доступом.
Выбор степени защиты сети и способа реализации мер безопасности имеет большое значение для разработки стратегии доступа в Интернет. Выбрав тип канала для связи с Интернетом и стратегию IP-адресации, можно подумать о степени свободы, которая будет дана пользователям в Интернете. Требования к безопасности сети помогут узнать, какое дополнительное оборудование и ПО потребуется для ее защиты.
Ограничение набора разрешенных приложений
Один из способов защиты доступа в Интернет — ограничение набора разрешенных пользователям приложений. В простейшем варианте эта мера может быть реализована путем применения незарегистрированных IP-адресов. Компьютер с незарегистрированным IP-адресом невидим из Интернета, поэтому ни одна внешняя система не сможет вступить с ним в контакт. Таким образом, на нем смогут работать только клиентские Интернет-приложения, которые по определению должны быть инициаторами взаимодействия с Интернет-серверами.
Совет Ограничив набор разрешенных программ клиентскими приложениями, вы автоматически запретите пользователям развертывать собственные Интернет-серверы, включая Web- и FTP-серверы.
Другой метод ограничения набора приложений, которым разрешен доступ в Интернет, заключается в фильтрации пакетов, проходящих через канал связи, по номеру порта. В каждом TCP/IP-пакете записан номер исходного порта, который идентифицирует приложение, сгенерировавшее этот пакет, и номер порта назначения, идентифицирующий приложение, которому этот пакет адресован (номера портов содержатся в заголовке, добавляемом протоколом транспортного уровня).