Средства защиты информации в ЛВС

• обеспечить конфиденциальность информации при передаче по сети,
• обеспечить целостность документа и аутентификацию автора

    при условии изолированности ПК от сети и ограничения доступа на ПК посторонних  лиц. 

     “Прозрачное” шифрование информации в TCP/IP сетях

     Закрытие  каналов в TCP/IP сетях может осуществляться с помощью виртуальных драйверов, использующих протокол SKIP или подобный ему. Фирмой АНКАД реализован интерфейс  между продуктами ООО ЭЛВИС+, работающими  по протоколу SKIP, и драйвером платы  Криптон или драйвером-эмулятором (см. рис.). Известны и другие реализации, например, в виде драйвера в ОАО “ИнфоТеКС” и в виде аппаратно-программного криптографического комплекса (компьютера с одной из версий UNIX) в МО ПНИЭИ.

     Приведенные системы предназначены для разрешения доступа в ЛВС, аутентификации трафика, шифрования трафика, контроля средств  защиты и т.д.

     Рассмотрим, могут ли надежно выполнить свои функции программные драйвера, не изолированные от ОС. Если принять  во внимание перечисленные выше закладки, ответ очевиден – не могут. Драйвера могут быть отключены, ключи могут  быть перехвачены или использованы для доступа с компьютера пользователя без перехвата. Использование платы  шифрования обеспечит только секретность  ключей, поэтому необходима надежная изоляция процесса шифрования трафика.

     Возможным путем решения этой проблемы может  явиться разработка собственной  сетевой платы, которая или следит за драйвером, или сама выполняет  шифрование. Другой путь - реализация процесса “прозрачного” шифрования трафика  на отдельном компьютере или устройстве, которое должно быть полностью контролируемым. Аппаратно-программный криптографический  комплекс, разработанный в МО ПНИЭИ, мог бы быть таким устройством, если бы используемая в нем ОС была полностью  контролируемой. Однако пока не доказано, что UNIX является такой системой. Фирмой АНКАД разработаны два варианта криптомаршрутизатора, выполняющие  описанные выше функции и работающие под DOS. Структурная схема одного из вариантов приводится на рис.

     Функции защиты такого устройства могут быть усилены путем развязки от возможных  аппаратных прямых обменов сетевых  плат.

     Отметим, что при использовании надежных средств шифрования трафика ограничивается доступ в защищенную таким образом  сеть. Все пользователи, работающие внутри защищенной сети, могут при  желании получить доступ к ПК, для  прямого соединения с которым  у них нет ключей, через общие  ресурсы (например, ПК, к которому подсоединен  принтер).

     Для полного разграничения доступа  необходимо довести реализацию криптомаршрутизатора до полного сервера доступа, фильтрующего трафик и приложения. 

     6. Характеристики выбранного оборудования

• Межсетевой экран D-Link DFL-1100

     Межсетевой  экран – это устройство,  располагающееся между компьютером и

     Интернет,  которое предотвращает несанкционированный  доступ к внутренней сети. Межсетевым экраном может быть компьютер  с установленным программным межсетевым экраном или специализированное устройство.  Во многих случаях межсетевой экран используется для предотвращения несанкционированного доступа в частные сети или корпоративные сети и Интранет.

     Межсетевой  экран просматривает всю информацию, проходящую в сеть и из сети, и анализирует каждый пакет данных.  Каждый пакет данных проверяется на соответствие набору критериев,  который задал администратор.  Если какой-либо пакет не удовлетворяет критериям, он блокируется или отбрасывается. В противном случае пакет пропускается. Данный метод называется пакетной фильтрацией.

     Межсетевой  экран также может выполнять  специальные функции обеспечения безопасности,  основанные на типе приложения или типе используемого порта. Например, межсетевой экран может быть настроен на работу с сервером FTP  или Telnet.  Или межсетевой экран может быть   настроен на работу с определенными портами UDP или TCP, позволяя определенным приложениям или играм правильно работать через Интернет.

     DFL-1100 имеет четыре порта 10/100Мбит/с  Ethernet, которые подразделяются на (1) внутренний порт/LAN, (1) внешний/WAN, (1) порт DMZ и (1) порт, который может  быть настроен как порт синхронизации кластера High Availability  или порт ETH4.  Кроме того,  устройство предоставляет удобный для использования Web-интерфейс управления, с помощью которого пользователи могут настроить параметры системы или следить за сетевой активностью из Web-браузера.

     Функции и преимущества

     •  Межсетевой экран

     •  Поддержка сервера/клиента VPN

     •  Фильтрация содержимого

     •  Функция High Availability (Высокая доступность)

     •  Управление полосой пропускания

     DFL-1100 имеет функцию формирования трафика  (Traffic Shaper) для управления пропускной  способностью.

     •  Web-интерфейс управления

     Возможность настройки с помощью любого подключенного  к сети компьютера, используя Web-браузер Netscape или Internet Explorer.

     •  Поддержка функций управления доступом

     Позволяет назначить различные права доступа  различным пользователем. Например, администратор или обычный пользователь с правами только на чтение. 
 

• Настраиваемый коммутатор D-Link DES-1226G

     представляет  собой экономичное решение для  малого и среднего бизнеса для  создания коммутируемых сетей Ethernet с простой настройкой производительности и безопасности сети. Коммутатор имеет 24 порта 10/100BASE-TX Fast Ethernet и 2 комбо 1000BASE-T/SFP (Mini GBIC) порта для гибкого подключения  по меди или оптике. Агрегирование  портов обеспечивает высокоскоростное подключение к серверам или магистрали сети, в то время как функции  необходимые для приложений, требовательных к полосе пропускания, такие как  очереди приоритетов и VLAN, позволяют  реализовать качество обслуживания QoS и защиту. 

• Характеристики  ПО Kerio Winroute Firewall

     Kerio WinRoute Firewall является межсетевым экраном  (МСЭ) корпоративного уровня, созданным  специально для малого и среднего  бизнеса. Надежная защита от  хакерских атак, клиент-серверная  VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для  управления доступом в Интернет  на базе IBM Orange Web Filter, гибкие настройки  и удобное управление: эти и  многие другие уникальные особенности  делают файерволл Kerio идеальным  решением для защиты Вашей  сети от враждебного Интернет-окружения.

     WinRoute Firewall обеспечивают качественно новый  уровень корпоративной ИТ-безопасности, прозрачности, удобства установки,  настройки и эксплуатации межсетевых  экранов для полномасштабного  контроля доступа пользователей  в Интернет. Созданный специально  для корпоративных сетей, Kerio WinRoute Firewall позволяет создать эффективную  защиту от внешних атак, вирусов  и блокировать доступ к веб-сайтам  сомнительного содержания... 
 
 
 

     Заключение

     Локальная сеть (Local Area Networking, LAN) – это термин,   которым используется для обозначения группы объединенных вместе компьютеров на небольшой площади, например,  в здании или группе зданий. LAN  могут объединяться на больших площадях.  Несколько объединенных на большой площади локальных сетей называются глобальной сетью (Wide Area Network, WAN).

     LAN  состоит из множества объединенных  друг с другом компьютеров.  Существует множество способов соединения компьютеров.  Самой распространенной средой передачи является кабель категории 5 (витая пара UTP или STP). С другой стороны, беспроводные сети не используют проводов;  вместо этого они взаимодействуют с помощью радиоволн.  Каждый компьютер должен иметь сетевой адаптер (Network Interface Card, NIC),  который и передает данные между компьютерами. NIC – это обычно сетевой адаптер 10Мбит/с, 10/100Мбит/с или беспроводной адаптер.

     Большинство сетей используют устройства,  такие  как концентраторы или коммутаторы,  к которым необходимо подключить все кабели для того,  чтобы обеспечить взаимодействие компьютеров.  Концентратор просто принимает любые данные,  поступающие через каждый порт,  и передает данные на все остальные порты.  Коммутатор более интеллектуален,  он может определить порт назначения для определенного пакета.  Коммутатор сводит к минимуму накладные расходы и ускоряет взаимодействие по сети.

     Для правильного планирования и реализации сети потребуется некоторое время. Существует множество способов настройки  сети. Можно потратить некоторое  время, чтобы определить наилучшую  конфигурацию сети,  удовлетворяющую  вашим требованиям. 
 
 
 
 
 
 
 
 
 
 

     Список  литературы

1. Степанов Н.В. Лекционные материалы по курсу Программно-аппаратные средства защиты информации. 2003г.
2. Джанумов В.Э. Лекционные материалы по курсу Комплексные системы защиты информации на предприятии. 2003г.
3. Якунин А.Н. Лекционные материалы по курсу Защита информационных процессов в компьютерных системах. 2003г.
4. Н. Олифер, В.Олифер Центр информационных технологий. Базовые технологии локальных сетей. 2003г.
5. Алексенцев А.И. Защита информации : Словарь базовых терминов и определений. - М.: РГГУ, 2000.
6. Анин Б.Ю. Защита компьютерной информации. - Спб.: БХВ Санкт-Петербурга, 2000.
7. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО ТИД ДС, 2001.