Уровень данных (канальный)
Услуги безопасности уровня Данных реализуются для соединений “точка–точка” аналогично Физическому уровню. Действие этой услуги заканчивается в точке приема.
Преимуществом применения услуг безопасности на этом уровне является их независимость от протоколов более высокого уровня. Однако здесь также существует сильная зависимость практической реализации услуги от используемой технологии Физического уровня.
Сетевой уровень
Безопасность на Сетевом уровне обеспечивается между конечными системами независимо от промежуточных межсетевых коммутаторов и мостов уровня Данных. Если услуги безопасности основываются полностью на протоколах Сетевого уровня, это обеспечивает безопасность коммуникации между конечными системами вдоль разнородных сетей, формирующих Интерсеть (Internet)
Рекомендуется применение нескольких услуг безопасности на Сетевом уровне:
Конфиденциальность (для систем с установлением и без установления связи, для защиты от контроля трафика).
Контроль доступа.
Целостность в системах с установлением связи.
Аутентификации источника данных и объекта коммуникации.
Услуги безопасности должны быть совместимы с соответствующими коммуникационными услугами на каждом уровне.
Включение услуг безопасности Сетевого уровня в состав функций конечной системы, как правило, требует модификации ядра операционной системы, так как большинство сетевых операционных систем включают функции сетевого уровня в ядро в целях достижения большей производительности и безопасности системы. Отсюда следует, что включение услуг безопасности Сетевого уровня является задачей поставщиков программных и аппаратных средств конечных и промежуточных систем.
Транспортный уровень
На этом уровне стандарт определяет набор услуг безопасности, очень близкий по составу с Сетевым уровнем.
Конфиденциальность (для систем с установлением и без установления связи).
Контроль доступа.
Целостность в системах с установлением связи и без.
Аутентификация источника данных и объекта коммуникации.
Отличием является то, что услуги безопасности Транспортного уровня обеспечиваются только в конечных системах, в отличие от возможности реализации услуг на базе Сетевого уровня в промежуточных системах.
Как и для Сетевою уровня, многие механизмы безопасности Транспортного уровня интегрированы в состав сетевых операционных систем и определяются их разработчиками.
Сеансовый уровень и уровень Представления данных
Не рекомендуется применение услуг безопасности на Сеансовом уровне и уровне Представления данных. Это вызвано тем, что эти уровни не имеют хорошо определенных коммуникационных услуг и функций.
Кажущаяся уместность применения многих услуг на основе шифрования на уровне Представления данных нецелесообразна потому, что функции этого уровня обычно интегрированы в состав Прикладного уровня.
Прикладной уровень
Разрешается применение всех услуг безопасности на Прикладном уровне, а применение услуги причастности рекомендуется только на этом уровне. Однако использование услуг безопасности только на Прикладном уровне не позволяет полностью защитить системы коммуникаций от всех возможных атак, поэтому рекомендуется обеспечивать поддержку конкретных услуг также на более низких уровнях совместно с Прикладным.
Наиболее привлекательной чертой применения услуг безопасности на Прикладном уровне является их независимость от операционной системы и возможность реализовать эти услуги в составе приложений, но при этом используемые механизмы становятся специфическими для конкретного приложения.
4.5. Обзорсредствзащиты информации
в компьютерных сетях
В настоящее время поставщики предлагают широкий спектр программно-аппаратных средств защиты ресурсов информационных систем, функционирующих в рамках как отдельных рабочих станций, так и локальных или глобальных сетей. Рассмотрим некоторые группы средств защиты информации.
Средства защиты от НСД
Средства этого направления широко представлены на рынке.
В основном они представляют собой программно-аппаратные комплексы с применением личного идентификатора (электронный идентификатор семейства Touch Memory, микропроцессорная карта и т.д.).
Продукты этого класса позволяют разграничивать доступ к информа-ционным ресурсам вычислительной техники, вести аудит сеансов работы, администрировать используемые программные средства. Кроме этого, некоторые из них имеют встроенные антивирусные функции и средства криптографической защиты информации.
При сетевом использовании защищаемых рабочих мест имеется возможность удаленного администрирования каждого из них и получение полной статистики по попыткам доступа к компьютеру и сеансам работы.
Анализаторы протоколов
В процессе управления и решения задач безопасности сетей часто возникает вопрос о сборе информации, декодировании и статистическом анализе информации с помощью сетевых протоколов разных уровней. Некоторые системы мониторинга (например, DSS фирмы Network general) содержат в себе такие средства.
Следует отметить, что программным анализаторам протоколов ЛВС, при всем удобстве работы с ними, свойствен существенный недостаток, связанный с необходимостью использования выделенной рабочей станции для выполнения задач по анализу сетевого трафика.
Практика показывает, что корпоративная сеть представляет собой живой организм, и трудно заранее определить тот участок сети, который нуждается в повышенном уровне контроля. Необходимость установки стационарных анализаторов в конкретных точках корпоративной сети определяется в соответствии с принятой политикой безопасности.
Следует учитывать, что эксплуатация стационарного анализатора трафика представляет собой достаточно сложный процесс, требующий участия в нем квалифицированных специалистов.
Инструментальныесредства тестирования системы защиты
Систему защиты корпоративной сети целесообразно считать достаточно надежной только при условии постоянного тестирования.
В идеале администратор безопасности должен собирать информацию о возможных атаках, систематизировать ее и периодически осуществлять проверки системы защиты путем моделирования возможных атак.
Очевидно, что выполнение этой задачи в полном объеме требует привлечения огромных материальных средств. Но можно обойтись значительно меньшими затратами, если прибегнуть к услугам специальных фирм по производству устройств проверки надежности систем защиты. К таким фирмам относится, например, компания Internet security system, обладающая правами на программу Internet scanner, а также программу SATAN (Security Administrator Tool for Analyzing Networks).
В настоящее время наиболее развитым продуктом тестирования уровня защиты корпоративных сетей является система Internet Scanner SAFEsuite, разработанная фирмой ISS. Этот продукт предоставляет администратору безопасности возможность всесторонней проверки уровня реализации политики безопасности.
Брандмауэры
Брандмауэр – метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами.
Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.
Система Kerberos
Kerberos — это сетевая служба, предназначенная для централизо-ванного решения задач аутентификации и авторизации в крупных сетях. Она может работать в среде многих популярных ОС, например в Windows 2000 система Kerberos встроена как основной компонент безопасности.
В основе этой системы лежит несколько принципов:
В сетях, использующих систему безопасности Kerberos, все процедуры аутентификации между клиентами и серверами сети выполняются через посредника, которому доверяют обе стороны аутентификационного процесса, причем таким авторитетным арбитром является сама система Kerberos.
В системе Kerberos клиент должен доказывать свою аутентичность для доступа к каждой службе, услуги которой он вызывает.
Все обмены данными в сети выполняются в защищенном виде с использованием алгоритма шифрования DES.
Сетевая служба Kerberos построена по архитектуре клиент–сервер, что позволяет ей работать в самых сложных сетях. Kerberos-клиент устанавливается на всех компьютерах сети, которые могут обратиться к какой-либо сетевой службе. В таких случаях Kerberos-клиент от лица пользователя передает запрос на Kerberos-сервер и поддерживает с ним диалог, необходимый для выполнения функций системы Kerberos.