Назначение программного обеспечения и задачи администрирования
Назначение программного обеспечения сводится к следующему: Kerio Control/Winroute Firewall обеспечивает контроль доступа пользователей к ресурсам сети и Интернета, позволяет обеспечить доступ в Интернет по средствам proxy-сервера, позволяет настроить политику доступа пользователей к ресурсам в зависимости от их приоритета. Ведет статистику по компьютерам, пользователям, сайтам, в том числе и по трафику. Kerio Control/Winroute Firewall контролирует доступ приложений к Интернету, ведет Log ошибок и атак.
В Kerio Control/Winroute Firewall возможна доустановка специальных компонентов, которые позволяют удаленно производить администрирование серверов, за это отвечает программный компонент VPN Clients (VPN - Virtual Private Network), это нужно для того чтобы иметь возможность управлять сетью и обеспечивать безопасность сети находясь вне колледжа.
К основным задачам администрирования можно отнести:
- подключение и удаление пользователей - создание профилей для новых пользователей и удаление профилей тех пользователей, которые уже не работают. Процесс включения и удаления пользователей можно автоматизировать, но некоторые решения, от которых зависит включение нового пользователя, должен принимать системный администратор. Если необходимо прекратить доступ пользователя к системе, его бюджет должен быть отключен. Все файлы, относящиеся к этому бюджету, необходимо удалить, чтобы они не занимали места на диске;
- подключение и удаление аппаратных средств - в случае приобретения новых аппаратных средств или подключения уже имеющихся аппаратных средств к другой машине систему нужно сконфигурировать таким образом, чтобы она распознала и использовала эти средства;
- резервное копирование - выполнение резервного копирования является одной из наиболее важных задач системных администраторов, процедура резервного копирования довольно утомительна и занимает много времени, но выполнять ее необходимо;
- инсталляция новых программных средств - после приобретения нового программного обеспечения его нужно инсталлировать и протестировать. Если программы работают нормально, пользователям необходимо сообщить об их наличии и местонахождении. Локальное программное обеспечение следует инсталлировать туда, где его можно будет легко отличить от программных средств, поставляемых в составе операционной системы (например, UNIX). Это значительно упрощает задачу расширения операционной системы, поскольку исчезает опасность уничтожения локального программного обеспечения в ходе подобного расширения;
- мониторинг системы - существует великое множество обязательных для исполнения ежедневных операций. Это, например, проверка правильности функционирования электронной почты и телеконференций, просмотр регистрационных файлов на предмет наличия ранних признаков неисправностей, контроль за подключением локальных сетей, контроль за наличием системных ресурсов;
- поиск неисправностей - различные операционные системы и аппаратные средства, на которых они работают, время от времени выходят из строя. Задача администратора - диагностировать сбои в системе и в случае необходимости вызвать специалистов;
- ведение локальной документации - системный администратор должен документировать все инсталлируемые программные средства, не входящие в стандартный комплект поставки, документировать разводку кабелей, вести записи по обслуживанию всех аппаратных средств, регистрировать состояние резервных копий, документировать локальные процедуры и правила работы с системой;
- контроль защиты - системный администратор должен реализовывать стратегию защиты и периодически проверять, не нарушена ли защита системы. В системах с низким уровнем безопасности эта процедура может быть сведена всего лишь к нескольким текущим проверкам на предмет несанкционированного доступа. В системах с высоким уровнем безопасности обычно применяется сложная система ловушек и программ контроля.
Инструкция по установке
WinRoute необходимо установить на компьютер, который используется как шлюз, связанный с локальной сетью и Интернетом. Этот компьютер должен иметь по меньшей мере один интерфейс для связи с локальной сетью ((Ethernet, TokenRing), и по меньшей мере один интерфейс для связи с Интернетом. В качестве интерфейса для связи с Интернетом, можно использовать сетевой адаптер (Ethernet, WaveLAN) или модем (аналоговый, ISDN). Также рекомендуется проверить следующие пункты прежде, чем начать установку WinRoute:
должно быть верно установлено время в операционной системе (для своевременного выполнения функций, обновлений антивирусных программ);
последние пакеты обновления и любые, рекомендуемые Microsoft, обновления безопасности были применены;
параметры TCP/IP должны быть установлены для всех доступных адаптеров сети;
все сетевые подключения (к местной сети и к Интернет) должны функционировать должным образом. Можно использовать, например команду ping, чтобы определить время, которое необходимо для соединения.
Эти проверки и прединсталяционные испытания могут защитить от более поздних проблем и осложнений. Базовая установка всех поддержанных операционных систем включает все компоненты, требуемые для нормального функционирования WinRoute.
Как только программа инсталяции запущена (то есть через kerio-kwf-mcafee-6.0.1-win.exe), гид проведет через установку основных параметров брандмауэра. Будет предложено сделать выбор между двумя типами установки - полной или выборочной. Выборочная установка позволит устанавливать индивидуальные компоненты WinRoute:
брандмауэр WinRoute — ядро программы;
монитор WinRoute — утилита Брандмауэр WinRoute управляющий и контролирующий его статус (иконка в системном трее);
VPN Support — частное VPN решение разработанное Kerio Technologies;
администраторский терминал Kerio — универсальная консоль для всех серверных приложений Kerio Technologies.
Рисунок 3.1 – Интерфейс выбора между двумя типами установки
Если указать выборочный способ инсталляции, поведение инсталяционной программы будет следующим:
все выбранные компоненты будут установлены или обновлены;
все выбранные компоненты не будут установлены или будут удалены.
В течение обновления, все компоненты, которые необходимо оставить, должны быть помечены. Завершив этот шаг, можно начать инсталяционный процесс. Все файлы будут скопированы на жесткий диск, и все необходимые установки системы будут выполнены. Начальный мастер будет запущен автоматически после ввода первого логина.
После завершения установки, необходимо перезагрузить компьютер. При этом в ядро операционной системы будет установлен низкоуровневый драйвер WinRoute. После перезагрузки автоматически запустится брандмауэр WinRoute. Он работает как сервисная программа. Монитор WinRoute будет запущен после регистрации пользователя. Эта программа позволяет отслеживать статус брандмауэра и используется для его запуска и отключения. Иконка монитора WinRoute отображается в области задач.
Инструкция по настройке
Для того чтобы запустить программу Kerio Control/WinRoute Firewall необходимо произвести минимум настроек:
В первую очередь необходимо настроить меню Interfaces и меню Routing Table.
Рисунок 3.2 – Меню настроек Interfaces
Interfaces - используется для идентификации интерфейсов в WinRoute. Для легкого доступа, желательно, чтобы оно было однозначным, например Интернет для интерфеса соединения с Интернет. Иконка, расположенная слева от имени, представляет тип интерфейса (сетевой адаптер, dial-up соединение, спутниковое соединение, VPN-сервер, VPN-туннель).
IP Adress and Mask - IP адрес и маска подсети этого интерфейса.
Adapter Name - название связи (например “связь по ЛВС 2”).
Adapter Info - идентификационная строка адаптера, возвращенная драйвером устройства.
Add - добавляет новый dial-up интерфейс или VPN канал (см. ниже).
Edit - отображает подробную информацию и позволяет редактировать параметры интерфейса.
Remove - удаляет выбранный интерфейс из WinRoute.
Refresh - используйте эту кнопку, чтобы обновить список интерфейсов.
Dial-In - этот интерфейс представляет сервер удаленного доступа RAS (dial-up содединение сети) на хосте WinRoute. Этот интерфейс может использоваться для определения правил трафика для клиентов RAS которые присоединяются к серверу. Dial-In не может быть сконфигурирован или удален.
VPN сервер - этот интерфейс представляет сервер, который обеспечивает связь для частного VPN клиента Kerio Technologies. Кликните два раза на этом интерфейсе, или кликните Edit, чтобы редактировать назначения и параметры VPN сервера. VPN интерфейс сервера не может быть удален.
Кликните на кнопке Add, чтобы добавить новый интерфейс, dial-up или VPN туннель (то есть сервер-сервер VPN соединение).
Рисунок 3.3 – Меню настройки Routing Table
В данных разделах меню настройки программы необходимо указать:
настройки подключения к Интернету (IP, маску сети);
прописать настройки локальной сети (IP, маску сети).
Используя Администраторский Терминал Kerio, можно просматривать и редактировать таблицу маршрутизации - Routing Table узла WinRoute. Это особенно полезно для удаленного решения проблем маршрутизации (нет необходимости использовать приложения для доступа к терминалам, удаленному рабочему столу и т.д.).
Следующим шагом нужно произвести настройку меню DNS Forwarder (рисунок 3.4), что позволит в совокупности с ранее произведенными настройками меню Interfaces запустить программу для работы в виде межсетевого экрана. Это позволит данному серверу на котором установлен межсетевой экран Kerio Control/WinRoute Firewall выполнить аутентификацию на одном из DNS-серверов провайдера для получения доступа к Интернету.
Enable DNS forwarding - активизировать пересылку. Эта опция переключает режимы включен/выключен для DNS Форвардера (сервис работает на порту 53 и использует протокол UDP). Если DNS Форвардер не используется в конфигурации сети, его можно отключить. Если вы хотите использовать на том же узле другой DNS сервер, DNS Форвардер должен быть отключен, иначе на порту возникнет конфликт.
DNS forwarding - пересылка DNS. DNS Форвардер должен знать по меньшей мере один DNS-сервер для пересылки запросов. Эта опция определяет, как DNS Форвардер будет идентифицировать IP адрес сервера:
l Автоматически пересылать запросы DNS на другой сервер... (Forward DNS queries to the server automatically...) — требуется функциональное интернет-соединение. В конфигурации TCP/IP необходимо указать по меньшей мере один DNS сервер (в Windows DNS серверы определяются для определенных адаптеров, но эти настройки будут автоматически использоваться в DNS Форвардер).
l Пересылать запросы DNS указанному DNS серверу (серверам) (Forward DNS queries to the specified DNS сервер(s)) — запросы DNS будут пересылаться указанному DNS серверу/серверам (если указан более чем один сервер, они будут считаться как главный, вторичный и т.д.).
Enable cache for faster response of repeated queries - позволить кеширование для ускорения ответов на повторяющиеся запросы. Если эта опция включена, все ответы будут храниться в локальной кеш-памяти DNS Форвардера (обычно это 24 часа). Ответы на повторяющиеся запросы заметно ускорятся (один запрос, посылаемый разными клиентами, тоже считается повторяющимся запросом).
Use custom forwarding - использовать пользовательскую пересылку. Эта опция определяет пользовательские установки для пересылки определенных запросов DNS другим серверам DNS. Это может помочь, например, когда нужно использовать локальный сервер DNS для локального домена (другие запросы DNS будут пересылаться прямо в Интернет - это ускорит ответ).
Используйте кнопку «Определить» (Define), чтобы открыть диалог определения пользовательских правил.
Simple DNS Resolution - режим простого DNS - DNS Форвардер может использоваться как простой DNS-сервер для одного из локальных доменов. Это может выполняться благодаря следующим функциям:
"host file" (файл узла) — этот файл можно найти в любой операционной системе, поддерживающей TCP/IP. Каждая строчка в этом файле включает IP-адрес узла и список соответствующих имен DNS. При получении DNS-запроса, в первую очередь проверяется этот файл, чтобы выяснить, содержится ли там нужное имя или IP-адрес. Если нет, то запрос пересылается на сервер DNS.
Если эта функция активирована, DNS Форвардер будет следовать тому же правилу. Используйте кнопку "Правка", чтобы открыть специальный редактор, где host file можно редактировать с использованием Администраторского Терминала, даже если последний удаленно связан с WinRoute.
Таблица DHCP — если узлы локальной сети настроены с помощью сервера DHCP в WinRoute, то сервер DHCP будет знать, какой IP-адрес определен для каждого узла. После запуска системы узлы посылают запрос для определения IP-адреса, куда входит имя узла. DNS Форвардер имеет доступ к таблицам DHCP и может выяснить, какой IP-адрес был назначен для определенного имени узла. Если потребовать сообщить локальное имя узла, DNS Форвардер всегда будет сообщать текущий IP-адрес.
Рисунок 3.4 – Меню настройки DNS Forwarder
Теперь необходимо произвести настройки HTTP Policy/Proxy Server (рисунок 3.5), так как данная программа позволяет использовать себя в качестве простого Proxy Servera. Здесь необходимо указать порт Proxy-Servera, по средствам которого будет производиться подключение к Интернету.
Можно также Перенаправить на родительский Прокси-сервер - parent proxy server с указанием пераметров аутентификации или Установить автоматическую конфигурацию прокси (Direct access - прямой доступ — браузеры не используют никаких прокси-серверов; WinRoute прокси-сервер — браузер будет использовать IP-адрес хоста WinRoute и порта, на котором запущен прокси-сервер).
Рисунок 3.5 – Меню настроек HTTP Policy Proxy Server
Следующим пунктом меню настроек будет настройка Traffic Policy (рисунок 3.6).
В данном меню необходимо указать правила для приложений в соответствии со следующими полямя:
Name - название правила для приложения;
Source – источник данных;
Destination – приемник данных;
Service – отдельные протоколы, порты или службы, по которым будет происходить обмен данных;
Log – ведение Log-файла (ведется или нет);
Translation – переадресация, например с Firewall’а на конкретный компьютер или на прямую с локального компьютера в Интернет, в обход Proxy-Servera.
Необходимо указать правила для протоколов (ICMP, TCP/IP, UDP), в соответствии с которыми будет осуществляться доступ в Интернет.
Рисунок 3.6 а – Меню настройки Traffic Policy
ICMP трафик - это правило может быть добавлено в любое время, независимо от установок на каждом этапе. Вы можете использовать команду PING, для того чтобы отправить запрос об ответе с хоста WinRoute. Использованием этой команды могут быть решены важные вопросы (например, можно проверить функционирование Интернет).
Примечание: правило ICMP-трафик не позволяет пользователям использовать команду PING из локальной сети в Интернет. Если вы намереваетесь использовать команду в любом случае, вы должны добавить возможность Ping в правила NAT.
NAT - если добавлено это правило, то адреса источников (частные IP) всех пакетов, направленных из локальной сети в Интернет, будут подменены адресами интерфейса (внешним IP), соединенного с Интернет.
В колонке Source также включен интерфейс Dial-In. Это означает, что RAS-приложения, соединенные с сервером, могут использовать NAT-технологию для доступа к Интернет.
Локальный трафик (Local Traffic) - это правило разрешает весь трафик между локальными хостами и хостом WinRoute. Пункты этого правила Source и Destination включают все интерфейсы хоста WinRoute, кроме интерфейса, соединенного с Интернет.
Пункты Source и Destination этого правила также затрагивают интерфейсы Dial-In и VPN. Это значит, что правило Локальный трафик также разрешает трафик между локальными хостами и RAS-клиентами/VPN-клиентами, соединенными с сервером.
Примечание: так как мастер предполагает, что хост WinRoute принадлежит локальной сети, то доступ к нему не ограничен. Ограничения могут быть заданы изменением соответствующего правила или созданием нового. Некорректное правило, ограничивающее доступ к хосту WinRoute, может блокировать удаленное администрирование или стать причиной недоступности служб Интернет (все трафики, направленные к Интернет, передаются через этот хост).
Трафик Брандмауэра (Firewall Traffic) - это правило разрешает доступ к определенным службам через хост WinRoute. Оно подобно NAT-правилу, но, в отличие от него, не поддерживает трансляцию IP (этот хост соединяется с Интернет напрямую).
HTTP и HTTPS - эти правила устанавливают все HTTP и HTTPS-службы, запущенные в хосте с IP-адресом 192.168.1.10. Эти службы будут доступны по IP-адресам внешнего интерфейса.
ISS OrangeWeb Filter - при использовании ISS OrangeWeb Filter (модуль классификации Web-сайтов), это правило разрешает взаимодействие с соответствующей базой данных. Не выключайте этот трафик, в противном случае, ISS OrangeWeb Filter не будет нормально функционировать.
Правило по умолчанию (Default rule) - это правило запрещает все соединения, не разрешенные другими. Правило по умолчанию всегда стоит в конце списка и не может быть удалено. Правило по умолчанию позволяет администратору выбрать действие, которое лучше всего подойдет для предотвращения нежелательных трафиков (Запрет или Удаление) и разрешения регистрации пакетов.
Рисунок 3.6 б – Меню настройки Traffic Policy
Следующий пункт меню настроек это HTTP Policy URL Groups и Forbidden Words. Эти пункты меню настройки отвечают за возможность доступа или наоборот блокирования к конкретно указанным файлам и сайтам.
Рисунок 3.7 – Меню настройки HTTP Policy URL Groups
Рисунок 3.8 – Меню настройки Forbidden Words (Фильтрация по Словам)
Данные пункты необходимо настроить в соответствии с требованиями доступа в сеть Интернет (запреты на доступ к «вредным» сайтам, файлам, разрешение доступа к определенным сайтам в Интернете) как различных пользователей, так и приложений обращающихся к данной сети.
WinRoute также может фильтровать Web-страницы, содержащие нежелательные слова - Forbidden Words. Эта фильтрация применяется глобально на весь HTTP-трафик. Начинает работать после выполнения правил URL (только если доступ к требуемой странице разрешен).
Принцип фильтрации: запрещенные слова, совпадающие со значениями, называемыми весом (представлеными целым положительным числом). Вес этих слов, содержащихся в требуемой странице, суммируется (вес каждого слова считается только один раз, несмотря на то, сколько раз это слово встречается на странице). Если общий вес превысит определенный лимит, страница будет блокирована.
Следующий пункт меню настроек это Address Groups. Выделяется несколько групп компьютеров, с которых осуществляется доступ в Интернет. Группы могут включать сочетания IP-адресов, IP-диапазонов, IP-подсетей или даже других групп.
Рисунок 3.9 – Меню настройки Address Groups
В данном случае в настройках рассмотрены 2 группы компьютеров, но для упрощения администрирования можно создать ещё 1 группу, в которую можно внести все остальные компьютеры, находящиеся на местах.
Настройка пункта меню Services. Службы WinRoute позволяют администраторам легко задавать правила соединения (разрешением или запрещением доступа к Интеренет из локальной сети, или разрешением доступа к локальной сети из Интеренет). Службы определяются протоколами связи и номерами портов (например, служба HTTP использует протокол TCP с номером порта 80).
Службы могут быть заданы в Configurations / Definitions / Services. Некоторые стандартные службы, такие как HTTP, FTP, DNS и т.д., уже заданы в установке WinRoute по умолчанию
Рисунок 3.10 – Меню настройки Services
В данном пункте необходимо ввести все возможные протоколы, службы, сервисы, которые позволят организовать работу в сети.
Порт отправки и порт назначения (Source Port и Destination Port). При использовании протоколов связи TCP или UDP, служба определяется ее номером порта. Порты отправления и назначения могут быть определены как:
· Any (Любой) — доступны все порты (1-65535)
· Equal to (Адекватный) — определенный порт (например,80)
· Greater than, Less than (Больше чем, Меньше чем) — определяются порты с номерами, либо больше либо меньше заданных
· Not equal to (Кроме) — определяются порты с номерами, не равными заданному
· In range (В диапазоне) — все порты, соответствующие диапазону (включая начальный и конечный)
· List (Список) — список портов, разделенный запятыми (например, 80,8000,8080)
Protocol Inspector - Инспекторы протоколов. WinRoute включает специальные плагины, контролирующие весь трафик, используя протоколы HTTP, FTP или другие. Эти модули могут использоваться для изменения (фильтрации) соединения или работать в качестве брандмауэров, в зависимости от типа протоколов. Преимущества протоколов-инспекторов можно понять лучше на просмотре двух следующих примеров:
1. HTTP протокол-инспектор контролирует трафик между приложениями (браузерами) и Web-серверами. Он может быть использован для блокирования соединений с определенными страницами или загрузкой определенных объектов (например, изображений, pop-ups, и т.д.).
2. С помощью активного FTP, сервер открывает соединение с приложением. При определенных условиях этот тип соединения не может быть произведен через брандмауэр, поэтому FTP может использоваться только в пассивном режиме. FTP protocol inspector определяет, что FTP активен, открывает соответствующий порт и переадресует соединение соответствующему приложению в локальной сети. Благодаря этому, пользователи локальной сети не ограничены брандмауэром и могут использовать оба режима FTP (активный/пассивный).
Протокол-инспектор активен, если он включен в службу, использующую правила трафика. Если правило для каждой службы задано, все протокол-инспекторы WinRoute, следующие этим правилам будут активированы автоматически.
Примечания:
1. Протокол-инспекторы различают протоколы приложений через транспортные протоколы (TCP или UDP) и номер порта, который используется соответствующей службой. Если служба запущена через нестандартный порт (например, HTTP через номер 8080), протокол-инспектор не будет работать. В данном случае, вы можете создать службу для порта 8080, использующую HTTP протокол-инспектор.
2. При определенных обстоятельствах, применение протокол-инспектора нежелательно. Поэтому, можно временно отключать соответствующего инспектора.
Для получения Log-файлов, которые можно будет анализировать, необходимо произвести настройку пункта меню Logs & Alters (рисунок 3.11). Здесь нужно выбрать конкретные виды логов, которые будет вести Kerio Control/WinRoute Firewall.
WinRoute позволяет автоматически отправлять сообщения, информируя администратора о важных событиях, которые можно установить на закладке Alerts settings (Настройки предупреждений). Администратор WinRoute может указать, какие предупреждения кому посылать, а также определить формат предупреждений.
Рисунок 3.11 – Меню настройки Logs & Alters
Настройка пункта меню Users & Groups, где необходимо указать как конкретных пользователей, так и группы пользователей, которые будут получать доступ к сети Интернет.
Рисунок 3.12 – Меню настройки Users
Рисунок 3.13 – Меню настройки Groups
Инструкция по эксплуатации
В период эксплуатации программы Kerio Control/WinRoute Firewall, сетевой администратор должен производить следующие действия:
добавлять новых пользователей в базу данных по мере их появления путем нажатия на кнопку import или ADD на вкладке Users в меню настроек рисунок 3.12;
создавать группы пользователей для упрощения функций администрирования путем нажатия на кнопку ADD на вкладке Groups в меню настроек рисунок 3.13;
в случае необходимости прописывать новые правила для работы приложений путем нажатия на кнопку ADD на вкладке Traffic Policy в меню настроек рисунок 3.6;
производить постоянный мониторинг и обновление сайтов и доменов в URL Groups путем нажатия на кнопку ADD на вкладках HTTP Policy URL Groups и Forbidden Words рисунки 3.7 и 3.8;
проверять статистику, как по пользователям, так и по компьютерам, производить ежемесячную проверку Log-файлов и их резервирование.
4. Задание на лабораторную работу
1. Изучите теоретический материал и ответьте на контрольные вопросы.
2. Изучите работу программы «Kerio Control/WinRoute Firewall».
3. Проверьте работу локальной сети и Интернета без Kerio.
4. Установите программу. Посмотрите в статистике и логах, какие используются протоколы при работе в локальной сети и в Интернете.
5. Настройте Traffic Policy для работы в локальной сети и доступа в Интернет (прописать протоколы) с условием, что не все должно быть разрешено.
6. Сделайте другие основные настройки Kerio Control/WinRoute Firewall.
(видео по установке http://forum.x-mu.net/topic17152.html)
5. Контрольные вопросы
1. Назовите 3 основные задачи межсетевых экранов.
2. Что такое NAT?
3. Чем грозить несанкционированное проникновение?
4. Перечислите 4 возможные стандартные угрозы безопасности.
5. Назовите основы виды атак (8 шт.). Чем они характеризуются, отличаются? Как обезопасится от каждой?
6. Назовите три основных типа «зловредного» ПО?
7. Какие бывают активные и пассивные атаки на уровне TCP? Чем они характеризутся, отличаются?
8. Какие существуют защищенные протоколы?
9. Как происходит установка TCP-соединения? Что при этом можно перехватить?
10. Что происходит с системой-клиентом при активных атаках?
11. Опишите разновидности DoS-атак.
12. Классифицируйте средства защиты.
13. Назовите правила использования паролей и файлов паролей.
14. Назовите основные функции межсетевых экранов.
15. Опишите 3 основных типа межсетевых экранов.
16. Какие существуют средства усиления защиты сети?
17. Какие решения по защите могут приниматься на уровне архитектуры внутренней сети?
18. Назовите основные функции и назначение Kerio Control/WinRoute Firewall.
19. Назовите 8 основных задач администрирования.
20. Основные настройки Kerio Control/WinRoute Firewall и их назначение?
Вопросы по лекциям:
21. Типы VPN.
Заключение
Вместе с расширением посевов какой-либо сельскохозяйственной культуры всегда увеличивается и численность насекомых-вредителей этой самой культуры. Так и с развитием информационных технологий и проникновением их во все сферы современной жизни растет число злоумышленников, активно эти технологии использующих. Поэтому в обозримом будущем вопросы защиты компьютерных сетей будут становиться все более актуальными. Что же касается основных тенденций развития отрасли защиты информации, то, по мнению специалистов известной компании The Yankee Group, в ближайшие годы они будут следующие.
1. Акцент при построении защитных систем будет плавно перемещаться - от противодействия "внешним" хакерским нападениям к защите от нападений "изнутри".
2. Будут развиваться и совершенствоваться аппаратные средства защиты от хакерских атак. На рынке появится новый класс сетевого оборудования - "защитные сервисные коммутаторы". Они смогут обеспечивать комплексную защиту компьютерных сетей, тогда как современные устройства обычно выполняют довольно ограниченный набор конкретных функций, а основная тяжесть все равно ложится на специализированное программное обеспечение.
3. Стремительное развитие обеспечено рынку услуг по защищенной доставке цифрового контента и защите самого контента от нелегального копирования и несанкционированного использования. Параллельно с развитием рынка защищенной доставки будут развиваться и сответствующие технологии.
4.Гораздо шире будут применяться системы биометрической аутентификации (по сетчатке глаза, отпечаткам пальцев, голосу и т.д.), в том числе и комплексные. В повседневную корпоративную жизнь войдет многое из того, что сейчас можно увидеть разве что в остросюжетных кинофильмах.
5. Львиную долю услуг безопасности будут оказывать своим клиентам интернет-провайдеры. Причем основными их клиентами станут компании, бизнес которых строится именно на интернет-технологиях, то есть активные потребители услуг web-хостинга, систем электронной коммерции и т.д.
6. Быстрый рост ожидает рынок интеллектуальных услуг сетевой защиты. Это связано с тем, что новые концепции защиты IT-систем от хакеров акцентируют внимание не столько на реагирование на уже произошедшие события/атаки, а на их прогнозирование, предупреждение и проведение упреждающих и профилактических мероприятий.
7. Существенно повысится спрос на коммерческие системы криптошифрования передаваемых данных, включая "индивидуальные" разработки для конкретных компаний с учетом их сфер деятельности.
8. На рынке решений по IT-безопасности будет происходить постепенный отход от "систем стандартной комплектации", в связи с чем возрастет спрос на консалтинговые услуги по разработке концепций информационной безопасности и построению систем управления информационной безопасностью для конкретных заказчиков.
ПРИЛОЖЕНИЕ 1. ТЕХНИКА СЕТЕВЫХ АТАК
А. Красоткин Опубликовано в журнале
Chip № 4, 2003 www.ichip.ru
Не имеет значения, обычный ли вы пользователь, выходящий в Интернет с домашнего компьютера, или администратор сети, в зоне ответственности которого десятки машин. От действий злоумышленников могут пострадать все.
Проверить надежность защиты можно только одним способом — попробовать ее взломать. Для этого можно пригласить «варягов» со стороны или попробовать самому. Не подвергая сомнению квалификацию и способности «варягов», лучше выполнять проверку сетевой защиты своими силами, а их помощью воспользоваться уже для окончательной проверки.
Нельзя построить и поддерживать надежную систему защиты без представления методов и особенностей сетевых нападений. Безопасность через незнание — плохой принцип. Поэтому необходимо обладать некоторыми сведениями и инструментарием взломщика. Рассмотрим общую методику анализа и взлома систем.
В общих чертах сетевая атака содержит следующие фазы:
· перехват и анализ сетевого трафика;
· сканирование портов — определение доступных сервисов;
· идентификация сетевых сервисов;
· исполнение сетевой атаки на основании полученных данных.
А сейчас подробнее о первых трех исследовательских фазах сетевой атаки.