Защита от несанкционированного доступа в открытых сетях
В процессе подключения любой закрытой компьютерной сети (локальной LAN или кампусной CAN) к открытым сетям (например, к глобальной сети Internet) повышается вероятность угрозы несанкционированного вторжения в закрытую сеть из открытой, а также угроза несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При разграничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений. Таким образом, если в качестве внешней сети используется открытая либо любая другая потенциально враждебная сеть, то появляются угрозы нарушения установленных правил межсетевого взаимодействия, а именно:
1. угрозы неправомерного вторжения во внутреннюю сеть из внешней;
2. угрозы несанкционированного доступа во внешнюю сеть из внутренней. .
Неправомерное вторжение во внутреннюю сеть из внешней может выполняться как с целью несанкционированного использования ресурсов внутренней сети, например хищения информации, так и с целью нарушения ее работоспособности. Без соответствующих средств защиты вероятность успешной реализации данных угроз является достаточно высокой. Это связано с недостатками, присущими наиболее широко используемому для межсетевого взаимодействия набору протоколов TCP/IP. Данный стек протоколов изначально был разработан для глобальной сети Internet, которая создавалась как открытая система для свободного обмена информацией и обладает высокой степенью универсальности, а значит, доступности.
В наиболее ранних версиях, а также в текущей версии протокола IP (версия IP v.4) не предусматривались какие-либо функции защиты от несанкционированных действий.
Угрозы несанкционированного доступа во внешнюю сеть из внутренней сети актуальны в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации. Такое ограничение является наиболее характерным для взаимодействия с открытыми сетями (например, сетью Internet) и может понадобиться в следующих случаях:
1. для предотвращения утечки конфиденциальных данных;
2. при запрете доступа, например, в учебных заведениях, к информации нецензурной и нежелательной направленности;
3. в случае запрета служебного доступа к развлекательным компьютерным ресурсам в рабочее время.
Бороться с рассмотренными угрозами безопасности межсетевого взаимодействия средствами универсальных операционных систем (ОС) не представляется возможным. Универсальная операционная система — это слишком большой и сложный комплекс программ, который, с одной стороны, может содержать внутренние ошибки и недоработки, а с другой — не всегда обеспечивает защиту от ошибок администраторов и пользователей.
Современная технология программирования не позволяет сделать столь большие программы безопасными. Для операционных систем характерны как явные ошибки разработки, так и существенные недостатки, связанные с недоработкой концептуальных и ряда детальных требований к системе безопасности. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии эффективно ее настроить и сконфигурировать. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями, например, тривиальные и редко изменяемые пароли.
Следует учитывать также неоднородность современных компьютерных сетей. Сеть любой организации в общем случае представляет собой неоднородный набор из различных компьютеров, управляемых различными операционными системами и связанных между собой с помощью сетевого оборудования. Компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно разные конфигурации. В таких условиях проблематично осуществить надежную защиту от внешнего враждебного сетевого окружения каждого компьютера в отдельности.
Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями успешно может быть решена только с помощью специализированных программно-аппаратных комплексов, обеспечивающих целостную защиту компьютерной сети от враждебной внешней среды. Такие комплексы называют межсетевыми экранами, брандмауэрами или системами FireWall. Межсетевой экран устанавливается на стыке между внутренней и внешней сетями и функции противодействия несанкционированному межсетевому доступу берет на себя.