Средства защиты информации в ЛВС

   На "постсоветском пространстве" также развивается рынок систем и услуг по обеспечению информационной безопасности - хотя и не такими темпами  и не в таких масштабах, как  на Западе. Как сообщила газета "Коммерсант", в России на развитие информационной инфраструктуры различного типа организации  тратят от 1% (металлургия) до 30% (финансовый сектор) своих бюджетов. При этом расходы на защиту составляют пока только лишь порядка 0,1-0,2% в затратной  части бюджетов. Таким образом, общий  объем рынка систем информационной безопасности в 2001 году в России оценен экспертами в размере 40-80 млн долларов. В 2002 году в соответствии с данными, заложенными в проект Государственного бюджета, они должны составить 60-120 млн  долларов. Для сравнения: как продемонстрировали последние исследования IDC, объем  одного только европейского рынка продуктов  защиты информации (программных и  аппаратных) должен возрасти с 1.8 миллиарда USD в 2000 году до $ 6.2 миллиарда в 2005 году. 
 

   4. Средства аппаратной защиты сети

• Конструктивные особенности маршрутизаторов

 

   От  современного маршрутизатора требуется  сочетание функциональности с высокой  скоростью работы. Функциональность определяется разнообразием поддерживаемых сетевых протоколов (правда, в последнее  время в связи с явным доминированием IP требования к поддержанию протоколов IPX, Apple Talk, Token Ring и других стали выдвигаться  значительно реже), протоколов маршрутизации (RIP, IGRP обычно составляют обязательный набор), физических интерфейсов.

   Функциональность  и гибкость на канальном уровне обычно обеспечивается в маршрутизаторах  за счет модульной конструкции, когда  в одно шасси устанавливается  несколько модулей с интерфейсами определенного типа, причем как количество слотов у шасси, так и количество различных типов таких модулей  может быть весьма большим, до нескольких десятков. Примером модульного построения маршрутизатора может служить маршрутизатор Cisco 7206. Этот маршрутизатор выполнен на основе 6-слотового шасси, в которое  можно установить интерфейсные модули свыше 30 типов, в том числе модули Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, последовательных интерфейсов V.35/X.21/HSSI, технологий глобальных сетей ISDN, SONET/SDH и ATM. В маршрутизаторе, представленном на рисунке, установлены: 5-портовый модуль 10BaseFL, 4-портовый модуль 10BaseTX, 4-портовый модуль Token Ring, 4-портовый модуль Serial enchanced и 2-портовый модуль Fast Ethernet. Маршрутизатор также оснащен многофункциональным модулем управления.

   В последнее время из-за резко возросших  скоростей технологий канального уровня важную роль стала играть быстрота обработки пакетов. При нескольких гигабитных и мультимегабитных интерфейсах Ethernet, ATM, SDH и DWDM суммарная скорость продвижения пакетов маршрутизатором  должна составлять десятки гигабит  и даже несколько терабит в  секунду.

   Добиться  подобной производительности при сохранении гибкости и функциональности маршрутизатора – дело очень непростое. До появления  высокоскоростных технологий от маршрутизатора обычно требовалось поддержание  нескольких последовательных интерфейсов  глобальных сетей со скоростями в  несколько десятков Кбит/c, поэтому  почти все функции маршрутизатора могли быть реализованы на основе единственного универсального процессора. Такой подход применяется и сегодня  при реализации маршрутизаторов  для небольших сетей, не поддерживающих высокоскоростных интерфейсов.

       Структурная схема маршрутизатора.

   

   Однако  скоростные возможности однопроцессорного  маршрутизатора принципиально ограничены – как возможностями самого процессора, так и накладными расходами на организацию его совместного  использования. Естественным выходом  из сложившейся ситуации стало появление многопроцессорных маршрутизаторов, при этом наибольшую популярность приобрела схема. Каждый порт такого маршрутизатора оснащен специализированным процессором, выполненным как заказная интегральная схема. Жесткая логика интегральной схемы позволяет очень быстро осуществлять такие рутинные операции по обработке пакетов, как подсчет контрольной суммы, проверка разнообразных условий фильтрации, передача пакетов между внутренними очередями маршрутизатора. Кроме обслуживания портов специализированными процессорами, сверхпроизводительные маршрутизатор могут также включать один или несколько общих процессоров для всех портов специализированных процессоров. Так, магистральные маршрутизаторы, содержат так называемый Internet-процессор – общий для всех портов процессор, который предназначен для одной-единственной операции – просмотра больших таблиц маршрутизации, что типично для маршрутизаторов, работающих на магистрали Internet. Узкая специализация позволяет Internet-процессору производить эту операцию очень быстро – со скоростью до 80 000 обращений в секунду. Кроме того, каждый порт маршрутизатора оснащен двумя микросхемами менеджера ввода/вывода для анализа пришедшего пакета «со скоростью поступления» (т. е. с максимальной скоростью, поддерживаемой данным интерфейсом) и микросхемой менеджера буферов, для управления разделяемой между всеми портами памятью маршрутизатора.

   Как правило, высокоуровневые функции  маршрутизаторов, даже сверхскоростных, выполняются модулями ОС реального  времени на одном процессоре. Так  в маршрутизаторах Cisco Systems – встроенная ОС носит название IOS (Internetwork Opera-ting System). 

• Брандмауэр (firewall) (ISPmanager)

 

   При работе в интернете ваш компьютер  может подвергнуться различным  атакам, которые используют уязвимости программного обеспечения и операционных систем. Для обеспечения безопасности работы интернете Вы можете использовать брандмауэр.

   Брандмауэр (другие названия - "Файерволл","Firewall", межсетевой экран) - это аппаратная или программная система, которая  осуществляет фильтрацию сетевых соединений с сервисами вашего сервера и  предотвращает несанкционированный  доступ.

   Вы  можете настроить фильтр сетевых  соединений с определёнными сервисами  в соответствии с определенными  правилами, которые применяются  брандмауэром.

   В данном случае правило - это разрешающее  или запрещающее действие, применяемое  при обнаружении попытки соединения с вашим сервером.

   Списки  доступа (Access Lists)

• Пакетные  фильтры и их конфигурирование

   Списки  доступа (access-lists) используются в целом  ряде случаев и являются общим  механизмом задания условий, которые  роутер проверяет перед выполнением  каких-либо действий. Некоторые примеры  использования списков доступа:

• Управление передачей пакетов на интерфейсах
• Управление доступом к виртуальным терминалам роутера и управлению через SNMP
• Ограничение информации, передаваемой динамическими протоколами роутинга

Конфигурирование  списков доступа

   Списки  доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных  списков доступа определяется их применением (некоторые протоколы  требуют использования только нумерованных списков, некоторые - допускают как  именованные, так и нумерованные списки).

   Если  используются нумерованные списки, то номера их должны лежать в определенных диапазонах, в зависимости от области  применения списка. Некоторые, наиболее часто применяемые диапазоны  приведены ниже: 

     

   Задачи  и правила построения списков  доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу, линии или логической операции, выполняемой роутером.

   Создание  списков доступа (краткий  обзор)

   Списки  доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке  списка доступа.

   Типичными критериями являются адреса отправителя  и получателя пакета, тип протокола. Однако, для каждого конкретного  протокола существует свой собственный  набор критериев, которые можно  задавать в списках доступа.

   Каждый  критерий в списке доступа записывается отдельной строкой. Список доступа  в целом представляет собой набор  строк с критериями, имеющих один и тот же номер (или имя).

   Запомните, что дополнение списка новыми критериями производится в конец списка. Запомните  также, что нет возможности исключить  какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

   Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением  критериев из данного списка (в  том порядке, в котором они  были введены). Если пакет удовлетворяет  какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям  в списке - НЕ ПРОИЗВОДЯТСЯ

   В конце  каждого списка системой добавляется  неявное правило. Таким образом, пакет, который не соответствует  ни одному из введенных критериев  будет отвергнут.

   Использование tftp-сервера для  создания списков  доступа

   Поскольку порядок строк в списке доступа  очень важен, а также поскольку  невозможно изменить этот порядок или  исключить какие-либо строки из существующего  списка доступа, рекомендуется создавать  списки доступа на tftp-сервере и  загружать их целиком в роутер, а не пытаться редактировать их на роутере.

   Не  забывайте, что если список доступа  с данным номером (именем) существует, то строки с тем же номером (именем) будут добавляться к существующему  списку в конец его. Поэтому, первой строкой в файле, содержащем описание списка доступа для загрузки с tftp-сервера, должна стоять команда отмены данного  списка "no access-list ".

   Назначение  списков доступа  на интерфейсы (Обзор)

   Для каждого  протокола на интерфейс может  быть назначен только один список доступа. Для большинства протоколов можно задать раздельные списки для разных направлений траффика.

   Если  список доступа назначен на входящий через интерфейс траффик, то при  получении пакета, ротуер проверяет  критерии, заданные в списке. Если пакет  разрешен данным списком, то он передается для дальнейшей обработки. Если пакет  запрещен, то он отбрасывается.

   Если  список доступа назначен на выходящий  через интерфейс траффик, то после  приянтия решения о передаче пакета через данный интерфейс роутер проверяет  критерии, заданные в списке. Если пакет  разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

   Не  забывайте, что в конце каждого  списка стоит неявное правило "deny all", поэтому при назначении списков  на интерфейс нужно следить, чтобы  явно разрешить все виды необходимого траффика через интерфейс (не только пользовательского, но и служебного, например, обмен информацией по протоколам динамического роутинга). 

• Шлюзы сеансового уровня

   Шлюз  сеансового уровня следит за подтверждением связи (квитирования ) между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый  сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках IP-пакетов сеансового уровня протокола TCP, т.е. функционирует на два уровня выше, чем брандмауэр с фильтрацией  пакетов.

   Чтобы определить, является ли запрос на сеанс  связи допустимым, шлюз сеансового уровня выполняет примерно следующую  процедуру. Когда авторизованный клиент запрашивает некоторую услугу, шлюз принимает этот запрос, проверяя, удовлетворяет  ли клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное  с ним имя). Затем, действуя от имени  клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением  процедуры квитирования связи по протоколу TCP.