Методы защиты информации в интернет
При всем многообразии информационных услуг которые предоставляет интернет, все средства защиты делятся на 2 больших класса:
Средства защиты внутренних информационных ресурсов
Средства защиты информации в процессе ее передачи через интернет
В первом случае, от несанкционированного доступа нужно защищать все ресурсы (аппаратные, программные, информационные) которые находятся внутри собственной корпоративной сети. Для этого необходимо контролировать входящий и исходящий трафик, и стараться перекрыть доступ к любой информации с помощью которой злоумышленник может попытаться использовать ваше внутренние ресурсы. Основным средством, для такой защиты, на сегодняшний день, является межсетевой экран (Fire Wall , брандмауэр).
называют локальные или распределенные, программно аппаратные средства, реализующие контроль за информацией, поступающей и выходящей из автоматизированной системы.
Задачи межсетевого экрана, как контрольного пункта:
Контроль всего трафика входящего во внутреннюю корпоративную сеть.
Контроль всего исходящего трафика соответственно.
Контроль информационных потоков состоит в их фильтрации и преобразовании, в соответствии с заданным набором правил.
При этом каждый фильтр на основе анализа проходящих, через него данных принимает решение: пропустить дальше, блокировать, перебросить за экран и т.д.
Классификация межсетевых экранов (с учетом уровней моделей OSI)
Мостиковые экраны (канальный уровень модели OSI)
Фильтрующие маршрутизаторы (сетевой и транспортный уровень модели OSI)
Шлюзы сеансового уровня (сеансовый уровень)
Шлюзы прикладного уровня (прикладной уровень модели OSI)
Комплексный экраны (от сетевого уровня до прикладного уровня модели OSI)
к 1 данный класс межсетевых экранов является скрытым или прозрачным. Межсетевые экраны здесь работают с фреймами или с кадрами. Достоинства:
Высокая производительность
Прозрачность (у межсетевого экрана нет IP адреса, поэтому атаковать его из интернета крайне сложно)
Нет необходимость в настройках внутренней корпоративной сети.
к 2 Фильтрующие маршрутизаторы - это межсетевые экраны которые осуществляют фильтрацию пакетов, на основе информации, содержащийся в TCP\IP пакетов. Характеристики – достаточно производительный, не дорогой, но эффективность не очень высокая.
к 3 шлюзам сеансового уровня это межсетевые экраны которые исключают прямое взаимодействие, между авторизированным клиентом и внешним хостом. С начала межсетевой экран принимает запрос от доверенного клиента на определенные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты, в обоих направлениях, не осуществляя их фильтрации. Характеристики: Не дорогой, высокопроизводительный, более эффективный чем второй, но менее чем первый класс.
к 4 шлюзам прикладного уровня, это межсетевые экраны которые включает любое взаимодействие между авторизированным клиентом и внешним хостом, но при этом фильтруя все входящие и исходящие пакеты на прикладном уровне. Для межсетевых экранов данного класса, появляется возможность использования функций прокси сервера. (Прокси сервер контролирует доступ к локальной сети, фильтрует и блокирует запросы) при этом интернет доступен только прокси.
к 5 Комплексным экранам это экраны, которые пытаются интегрировать свойства второго, третьего и четвертого класс.
Схемы подключений межсетевых экранов:
Рисунок - Схема Единой защиты локальной сети
Интернет
Router
МЭ
Сервер WWW
Сервер FTP
ЛВС
Рисунок – Схема с закрытой и незащищенной подсетями.
Интернет
Router
МЭ
Сервер WWW
Сервер FTP
ЛВС
МЭ
Рисунок – Схема с раздельной защитой с закрытой и открытой частью.
Участок сети между межсетевыми экранами называется демилитаризованной зоной. (на экзамене спросят достатки достоинства)