Уровень данных (канальный)

Услуги безопасности уровня Данных реализуются для соединений “точка–точка” аналогично Физическому уровню. Действие этой услуги заканчивается в точке приема.

Преимуществом применения услуг безопасности на этом уровне является их независимость от протоколов более высокого уровня. Однако здесь также существует сильная зависимость практической реализации услуги от используемой технологии Физического уровня.

Сетевой уровень

Безопасность на Сетевом уровне обеспечивается меж­ду конечными системами независимо от промежуточ­ных межсетевых коммутаторов и мостов уровня Дан­ных. Если услуги безопасности основываются полностью на протоколах Сетевого уровня, это обес­печивает безопасность коммуникации между конечны­ми системами вдоль разнородных сетей, формирующих Интерсеть (Internet)

Рекомендуется применение нескольких услуг безо­пасности на Сетевом уровне:

 Конфиденциальность (для систем с установлением и без установления связи, для защиты от контроля трафика).

 Контроль доступа.

 Целостность в системах с установлением связи.

 Аутентификации источника данных и объекта ком­муникации.

Услуги безопасности должны быть совместимы с соответствующими коммуникационными услугами на каждом уровне.

Включение услуг безопасности Сетевого уровня в состав функций конечной системы, как правило, тре­бует модификации ядра операционной системы, так как большинство сетевых операционных систем вклю­чают функции сетевого уровня в ядро в целях дости­жения большей производительности и безопасности системы. Отсюда следует, что включение услуг безопас­ности Сетевого уровня является задачей поставщиков программных и аппаратных средств конечных и про­межуточных систем.

Транспортный уровень

На этом уровне стандарт определяет набор услуг безо­пасности, очень близкий по составу с Сетевым уров­нем.

 Конфиденциальность (для систем с установлением и без установления связи).

 Контроль доступа.

 Целостность в системах с установлением связи и без.

 Аутентификация источника данных и объекта ком­муникации.

Отличием является то, что услуги безопасности Транспортного уровня обеспечиваются только в конеч­ных системах, в отличие от возможности реализации услуг на базе Сетевого уровня в промежуточных сис­темах.

Как и для Сетевою уровня, многие механизмы бе­зопасности Транспортного уровня интегрированы в состав сетевых операционных систем и определяются их разработчиками.

Сеансовый уровень и уровень Представления данных

Не рекомендуется применение услуг безопасности на Сеансовом уровне и уровне Представления данных. Это вызвано тем, что эти уровни не имеют хорошо определенных коммуникационных услуг и функций.

Кажущаяся уместность применения многих услуг на основе шифрования на уровне Представления данных нецелесообразна потому, что функции этого уровня обычно интегрированы в состав Прикладного уровня.

Прикладной уровень

Разрешается применение всех услуг безопасности на Прикладном уровне, а применение услуги причастно­сти рекомендуется только на этом уровне. Однако ис­пользование услуг безопасности только на Прикладном уровне не позволяет полностью защитить системы ком­муникаций от всех возможных атак, поэтому рекомен­дуется обеспечивать поддержку конкретных услуг так­же на более низких уровнях совместно с Прикладным.

Наиболее привлекательной чертой применения ус­луг безопасности на Прикладном уровне является их независимость от операционной системы и возмож­ность реализовать эти услуги в составе приложений, но при этом используемые механизмы становятся специ­фическими для конкретного приложения.

4.5. Обзорсредствзащиты информации
в компьютерных сетях

В настоящее время поставщики предлагают широкий спектр программно-аппаратных средств защиты ресурсов информа­ционных систем, функционирующих в рамках как от­дельных рабочих станций, так и локальных или глобаль­ных сетей. Рассмотрим некоторые группы средств защиты ин­формации.

Средства защиты от НСД

Средства этого направления широко представлены на рынке.
В основном они представляют собой программ­но-аппаратные комплексы с применением личного идентификатора (электронный идентификатор семей­ства Touch Memory, микропроцессорная карта и т.д.).

Продукты этого класса позволяют разграничивать доступ к информа-ционным ресурсам вычислительной техники, вести аудит сеансов работы, администриро­вать используемые программные средства. Кроме это­го, некоторые из них имеют встроенные антивирусные функции и средства криптографической защиты ин­формации.

При сетевом использовании защищаемых рабочих мест имеется возможность удаленного администриро­вания каждого из них и получение полной статистики по попыткам доступа к компьютеру и сеансам работы.

Анализаторы протоколов

В процессе управления и решения задач безопасности сетей часто возникает вопрос о сборе информации, декодировании и статистическом анализе информации с помощью сетевых протоколов разных уровней. Неко­торые системы мониторинга (например, DSS фирмы Network general) содержат в себе такие средства.

Следует отметить, что программным анализаторам протоколов ЛВС, при всем удобстве работы с ними, свойствен существенный недостаток, связанный с не­обходимостью использования выделенной рабочей станции для выполнения задач по анализу сетевого тра­фика.

Практика показывает, что корпоративная сеть представляет собой живой организм, и трудно зара­нее определить тот участок сети, который нуждается в повышенном уровне контроля. Необходимость уста­новки стационарных анализаторов в конкретных точ­ках корпоративной сети определяется в соответствии с принятой политикой безопасности.

Следует учитывать, что эксплуатация стационарно­го анализатора трафика представляет собой достаточ­но сложный процесс, требующий участия в нем квали­фицированных специалистов.

Инструментальныесредства тестирования системы защиты

Систему защиты корпоративной сети целесообразно считать достаточно надежной только при условии по­стоянного тестирования.

В идеале администратор безопасности должен соби­рать информацию о возможных атаках, систематизиро­вать ее и периодически осуществлять проверки систе­мы защиты путем моделирования возможных атак.

Очевидно, что выполнение этой задачи в полном объеме требует привлечения огромных материальных средств. Но можно обойтись значительно меньшими затратами, если прибегнуть к услугам специальных фирм по производству устройств проверки надежнос­ти систем защиты. К таким фирмам относится, напри­мер, компания Internet security system, об­ладающая правами на программу Internet scanner, а также программу SATAN (Security Administrator Tool for Analyzing Networks).

В настоящее время наиболее развитым продуктом тестирования уровня защиты корпоративных сетей является система Internet Scanner SAFEsuite, разрабо­танная фирмой ISS. Этот продукт предоставляет адми­нистратору безопасности возможность всесторонней проверки уровня реализации политики безопасности.

Брандмауэры

Брандмауэр – метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами.

Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Система Kerberos

Kerberos — это сетевая служба, предназначенная для централизо-ванного реше­ния задач аутентификации и авторизации в крупных сетях. Она может работать в среде многих популярных ОС, например в Windows 2000 система Kerberos встроена как основной компонент безопасности.

В основе этой системы лежит несколько прин­ципов:

 В сетях, использующих систему безопасности Kerberos, все процедуры аутен­тификации между клиентами и серверами сети выполняются через посредни­ка, которому доверяют обе стороны аутентификационного процесса, причем таким авторитетным арбитром является сама система Kerberos.

 В системе Kerberos клиент должен доказывать свою аутентичность для досту­па к каждой службе, услуги которой он вызывает.

 Все обмены данными в сети выполняются в защищенном виде с использова­нием алгоритма шифрования DES.

Сетевая служба Kerberos построена по архитектуре клиент–сервер, что позволяет ей работать в самых сложных сетях. Kerberos-клиент устанавливается на всех компьютерах сети, которые могут обратиться к какой-либо сетевой службе. В та­ких случаях Kerberos-клиент от лица пользователя передает запрос на Kerberos-сервер и поддерживает с ним диалог, необходимый для выполнения функций системы Kerberos.

Наши рекомендации