Контрольная работа по "Информационным технологиям в туризме"

Благодаря практически полному  отсутствию ограничений на количество поддерживаемых элементами FireWall-l/VPN^I сетевых  интерфейсов, возможна реализация Распределенной Демилитаризованной Зоны. В этом случае распределение по отдельным сетевым  интерфейсам общедоступных серверов гарантирует устойчивость отдельных  серверов к атакам даже в случае наличия ошибки в конфигурации или  закладки в программном обеспечении  одного из серверов. В случае успеха атаки на один из серверов, доступ ко всем остальным все равно будет защищен модулем FireWalM/VPN-I.

Система FireWall-l/VPN-I обеспечивает сбор детальной информации о каждом сетевом  сеансе. Туда включается информация о  пользователе, сетевом сервисе и  адресате, продолжительности сеанса, времени его начала и многое другое. Собранную статистику можно в  дальнейшем использовать для интеллектуальной обработки, для чего Check Point предоставляет  специальный интерфейс экспорта статистики.

Помимо этого, в FireWall-l/VPN-I администратор  системы безопасности может, используя  то же средство просмотра и анализа  статистики, отслеживать активные соединения через модули межсетевых экранов  и VPN. Эта статистика в реальном времени  обрабатывается и предоставляется  оператору так же, как и обычные  записи. Для последних можно использовать те же механизмы отбора событий, как  и при работе с обычной статистикой. При этом использование опции  сбора дополнительной информации о  соединениях обеспечивает непрерывное  обновление данных интегральной статистики, и администратор безопасности может  отслеживать не только факт наличия  соединения, но и интенсивность информационного  обмена по нему в реальном времени.

Система FireWall-l/VPN-I включает в себя множество различных вариантов  уведомления операторов: от электронной  почты до посылки SNMP-исключений (traps) для интеграции с платформами  сетевого управления типа HP OpenView, SunNet Manager, IBM NetView 6000 и др. Дополнительно предусмотрена  возможность создания собственных  вариантов обработки ситуаций, требующих  уведомления, что позволяет сопрягать  систему защиты с пэйджинговыми  службами или специальными системами  быстрого реагирования.

 

Аутентификация пользователей

 

Одной из важнейших задач системы  защиты информации в сетях является установление подлинности пользователей, работающих в ней, и обеспечение  им соответствующих привилегий доступа. Check Point FireWalll/VPN-I обеспечивает удаленным  пользователям и пользователям, подключающимся к сети по коммутируемым  линиям, защищенный доступ к сетевым  ресурсам организации с установлением  их подлинности при помощи различных  схем ее проверки.

Пользователь не будет обладать правами доступа до тех пор, пока он не пройдет успешную аутентификацию, которая будет проведена надежным методом. Для многих реализуемых  схем не требуется проводить какие-либо модификации или устанавливать  что-либо на компьютер пользователя или серверы.

Как и все средства системы FireWalll/VPN-I, элементы, обеспечивающие установление подлинности пользователей, полностью  интегрированы в систему работы с политикой безопасности масштаба предприятия и, соответственно, могут  централизованно управляться посредством  графического интерфейса администратора безопасности. Система сбора и  обработки статистики также включает в общий журнал статистики события  установления подлинности пользователей.

Система FireWall-l/VPN-I имеет три основных варианта использования аутентификации пользователей, для которых приняты  следующие названия: 

1. Аутентификация пользователя. 

2. Аутентификация клиента. 

3. Прозрачная аутентификация сессий.

Аутентификация пользователя – это прозрачный метод установления подлинности пользователя системы FireWalll/VPN-I, который предоставляет возможность определять привилегии, доступа каждого пользователя в отдельности, даже если он осуществляется с многопользовательский ЭВМ. Данный метод реализуется для таких протоколов, как FTP, TELNET, HTTP и RLOGIN, и не зависит от IP-адреса компьютера клиента. Как правило, его используют в том случае, если пользователь вынужден работать с серверами организации удаленно. Для этого администратор безопасности может разрешить ему доступ во внутреннюю сеть. При этом полученные в результате аутентификации привилегии не будут распространяться на другие приложения, выполняющиеся на компьютере пользователя.

Для этого FireWall-l/VPN-I выполняет проверку подлинности при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. FireWall-l/VPN-I перехватывает  все попытки авторизации пользователя на сервере и переправляет их соответствующему Серверу Безопасности. После того, как подлинность установлена, Сервер Безопасности FireWall-l/VPN-I открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также  перехватываются и инспектируются FireWalll/VPN-I на шлюзе. На первый взгляд может  показаться, что Сервер Безопасности в данном случае представляет собой  не что иное, как процесс "посредник - proxy", со всеми присущими этим элементам сетевой защиты недостатками. Однако для FireWall-l/VPN-I это не так. С  одной стороны, ни один пакет из сети не достигнет сервера безопасности, не будучи инспектированным модулем  защиты FireWall-l/VPN1. Этим исключаются обычные  недостатки программ посредников, выливающиеся в необходимость использования  специально модифицированных ядер операционных систем для "упрочения" IP стека протоколов. С другой стороны, это специальный процесс "посредник-ргоху", более тесно взаимодействующий с ядром системы защиты, что, в свою очередь, исключает присущие многим сетевым приложениям недостатки, выливающиеся в потенциальную возможность получения доступа в систему компьютера при правильно реализованной его перегрузке.

Аутентификация клиента позволяет администратору предоставлять привилегии доступа определенным компьютерам сети; пользователи которых прошли соответствующие процедуры аутентификации. В отличие от Аутентификации пользователя этот вариант не ограничивается определенными службами и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.

Однако Аутентификация клиента  не является прозрачной для пользователя, но в то же время для ее осуществления  не требуется какого-либо дополнительного  программного обеспечения или модификации  имеющегося.

Пользователь перед началом  работы в сети авторизуется на соответствующем FiTeWall1/VPN-1, используя либо программу telnet, либо обычный "Интернет броузер", после чего система предоставляет ему доступ к сетевым ресурсам.

Для данной разновидности аутентификации администратор может указать: как  каждый из пользователей должен будет  авторизоваться, какие схемы паролей  использовать, какой сервер и какие  службы будут доступны, как долго, в какое время и сколько  сессий может быть открыто.

Механизм Прозрачная Аутентификация Сессий можно использовать для любых служб-сервисов. При этом установление подлинности будет происходить для каждой сессии в отдельности. После того, как пользователь инициировал соединение, обратившись напрямую к серверу, шлюз с установленным FireWall-l/VPN-I распознает, что для этой сессии требуется провести аутентификацию. Он инициирует соединение с Агентом Аутентификации сессий, который ее и проводит. Затем FireWall-l/VPN-I разрешает данное соединение, если подлинность клиента успешно установлена.

Организации могут предъявлять  особые требования к элементам установления подлинности пользователей, поэтому продукты Check Point FireWall-l и VPN-1 поддерживают широкий спектр вариантов аутентификации, в частности:

• серверы RADIUS (vl.O и v2.0)- запрашиваемый пароль сравнивается с паролем, хранимым в RADIUS сервере;
• серверы TACACS/TACACS+ - запрашиваемый пароль сравнивается с паролем, хранимым на серверах TACACS;
• •вариант одноразовых паролей/ключей (S/Key);
• обычный пароль операционной системы;
• внутренний пароль, известный только в системе FireWall-l или VPN-1;
• сервер Axent - запрашиваемый пароль сравнивается с хранимым в Axent Defender сервере;
• securlD - пользователь набирает в качестве пароля номер, высвечиваемый в текущий момент карточкой Security Dynamics SecurlD;
• X.509 digital certificates - пользователь ayтентифицируется, передавая свой сертификат, подписанный доверенным сертификационным центром.

 

Трансляция сетевых адресов

 

Технологии Интернет базируются на использовании IP-протокола, и для  обеспечения взаимодействия через IP-сеть каждое устройство должно иметь  уникальный адрес. Это требование легко  удовлетворяется в корпоративных  сетях, которые ограничены внутренними  сетями предприятия, не подключенными  к глобальным сетям. Но когда организация  подключается к глобальной сети (Internet), возникает требование обеспечить уникальность адресов для всей глобальной сети, то есть по всему миру. На данном этапе  появляются проблемы, связанные с  ограничением на количество доступных  для использования адресов.

Обычно организациям выделяют диапазон адресов существенно меньший, чем  необходимо, что делает невозможным  присвоение каждому устройству, участвующему в сетевом обмене, реального адреса.

С другой стороны, даже если вы можете обеспечить все ресурсы и пользователей  сети реальными адресами, этот вариант  не является предпочтительным, так  как каждый пользователь глобальной сети может потенциально взаимодействовать  с вашими ресурсами. Более того, необдуманное опубликование-IP-адресов ваших сетевых устройств: может привести к появлению атак на эти устройства и сеть целом.

 

Защита IP-пространства

 

Возможность FireWall-l производить трансляцию адресов позволяет полностью  изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной. Путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей легко решаются проблемы нехватки этих пространств.

FireWall-l поддерживает целостность  внутреннего адресного пространства, транслирует его на официально  зарегистрированные адреса организации  в Интернет для обеспечения  к нему полноценного доступа.

В FireWall-l имеются два основных способа  отображения таких адресов - статический  и динамический.

Динамическая мода:

1) обеспечивает доступ пользователей  к сети Internet, экономя зарегистрированное  адресное пространство и скрывая  внутренние адреса ресурсов сети;

2) использует единственный IP-адрес  для отображения всех соединений, проходящих через защищенную  точку доступа;

3) использует IPадрес только для выходных соединений, но не для реальных ресурсов, что делает невозможными подмену адреса или взлом.

Этот вариант трансляции полностью динамичный. Механизм FireWall-l позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.

Хотя известны отдельные реализации, где подстановка адресов выполняется  по схеме выбора свободного из диапазона  назначенных, однако для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.

Статическая мода призвана удовлетворить потребность в обеспечении доступа пользователей Internet к ресурсам организации (например, для работников компании, работающих удаленно, или стратегических партнеров) пу.тсм однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариавт трансляции применяется: 1) если администратор не хочет использовать реальные адреса на сетевых серверах; 2) если по историческим яричинам сеть использует нелегальные (ваутреание) адреса, которым необходимо соводаздть реальные, чтобы пользователи Interapt могли получить доступ к ним.

В обоих случаях, как для динамической, так и для статической мод  трансляции адресов, Check Point FireWall-l предоставляет  неограниченные возможности контроля и удобство настройки в сетях  предприятий.

 

Задача  №2. Поиск информации в  Интернет

Таблица 1 -  Маршрут

Маршрут	Требования к отелю, S	Категория, звезды  К
Вена (3 ночи)- Зальцбург (3 ночи)	Наличие бассейна	****  –  *****

 

1. Найти информацию и подготовить расчеты для индивидуального тура продолжительностью 7-10 дней на 2-х взрослых и одного ребенка на любой период  дней по произвольному маршруту. Предусмотреть затраты на билеты и бронирование мест.
2. Найти информацию о стране посещения и городах (не менее двух листов на тему и одной- двух фотографий на каждый лист с информацией). Предложить не менее 2-х различных по тематике экскурсий по каждой стране (городу).
3. Подготовить расчеты стоимости тура в виде таблицы, указав при этом стоимость в долларах или в валюте соответствующей страны (или Евро), а также в рублях по курсу   ЦБ  на определенную дату.

 

Тур «Очаровательная Вена»

 

Маршрут: Вена, Зальцбург 

Цена: от 102 710 руб по курсу на 17 мая 2012

 

Ночей	Курорт	Отель	Питание	Размещение	Номер					Цена, руб.	Цена
7	Вена	Arcotel Wimberger 4*	завтрак + ужин	2-е взрослых с ребенком	стандартный однокомнатный номер, без опред. вида из номера	+	+	+	+	100133	(2506 €) 3182 $