Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса по составу документации.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования пятого класса по составу документации.
Дополнительно документация должна содержать:
· описание средств и процесса централизованного управления компонентами межсетевого экрана.
• несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;
• несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате не санкционированного входа в эту сеть.
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:
• аутентификации взаимодействующих сторон;
• криптографическом закрытии (шифровании) передаваемых данных;
• проверке подлинности и целостности доставленной информации.
Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.
Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным.
Туннелирование
Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крипто защищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографический защищенные пакеты сообщений.
Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность - путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию.
Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.
В качестве примера решения на базе межсетевых экранов можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в межсетевой экран, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.
К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. На рис. 2.9 показано пример совмещения межсетевого экрана и VPN.
При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.
94
Рис. 2.9. Пример совмещения межсетевого экрана и VPN
SonicWall 170
Cisco PIX 501
Symantec Firewall/VPN
Цена в долларах
410
495
499
Контроль на прикладном уровне с учетом состояния
Нет
Контроль прикладного протокола
Да (ограничено)
Проверка пакетов на соответствие заданным условиям
Да
Прозрачная аутентификация Windows
Протоколирование всех имен пользователей и приложений Web и Winsock
Контроль на прикладном уровне через туннели SSL
Поддержка Exchange
Контроль шлюзового и клиентского трафика VPN на прикладном уровне
Обнаружение и предотвращение несанкционированного доступа
Сервер удаленного доступа VPN и шлюз VPN
VPN-клиент
10/100-Мбит/с порты ЛВС
5
4
Порты WAN
1
Балансировка нагрузки
Число пользователей
10
15-25
Передача функций отказавшего межсетевого экрана исправному устройству
Аналоговый коммутируемый доступ через внешний модем
Переключение Internet-провайдера и объединение полосы пропускания
Настройка
Web-интерфейс
Командная строка и Web-интерфейс
Процессор
SonicWall Security Processor
AMD SC520
ARM7
Web-кэширование и proxy-сервер
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13