Остановимся еще на некоторых возможностях FireWall-1.
АУТЕНФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ С FTP
FireWall-1 позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации, FireWall-1 заменяет стандартные FTP и telnet демоны UNIX на свои собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задается при описании пользователей или групп пользователей и может проводиться следующими способами:
· Unix-пароль;
· программа S/Key генерации одноразовых паролей;
· карточки SecurID с аппаратной генерацией одноразовых паролей.
ГИБКИЕ АЛГОРИТМЫ ФИЛЬТРАЦИИ UDP-ПАКЕТОВ, ДИНАМИЧЕСКОЕ ЭКРАНИРОВАНИЕ
UDP-протоколы, входящие в состав набора TCP/IP, представляют собой особую проблему для обеспечения безопасности. С одной стороны на их основе создано множество приложений. С другой стороны, все они являются протоколами "без состояния", что приводит к отсутствию различий между запросом и ответом, приходящим извне защищаемой сети.
Пакет FireWall-1 решает эту проблему созданием контекста соединений поверх UDP сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов (читай: незаконных запросов), поскольку их параметры хранятся в памяти FireWall-1.
Следует отметить, что данная возможность присутствует в весьма немногих программах экранирования, распространяемых в настоящий момент.
Заметим также, что подобные механизмы задействуются для приложений, использующих RPC, и для FTP сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые FireWall-1 отслеживает аналогичным образом, запоминая необходимую информацию при запросах на такие сеансы и обеспечивая только "законный" обмен данными.
Данные возможности пакета FireWall-1 резко выделяют его среди всех остальных межсетевых экранов. Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Internet.
Заключение.
Составление грамотной политики безопасности, охватывающей все возможные угрозы информационной безопасности, является одной из главных задач, а конкретная ее реализация может использоваться с помощью различных программных продуктов. Адекватный уровень информационной безопасности в современной организации может быть обеспечен только на основе комплексного подхода, реализация которого начинается с разработки и внедрения эффективных политик безопасности. Эффективные политики безопасности определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности процессов в организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того, чтобы политика безопасности оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах информационной безопасности и обучать их выполнению правил, предписываемых политикой безопасности. Регулярный пересмотр и корректировка правил политики безопасности необходимы для поддержания ее в актуальном состоянии. Составление грамотной политики безопасности, охватывающей все возможные угрозы информационной безопасности, является одной из главных задач, а конкретная ее реализация может использоваться с помощью различных программных продуктов.
Список литературы
1. В.А. Семененко, Н.В. Федоров Программно-аппаратная защита информации. Учебное пособие. - М.: МГИУ, 2007 -340 с.
2. В.А. Семененко, Н.В. Федоров Компьютерная безопасность. Учебное пособие. - М.: МОСУ, 2006 - 356 с.
3. О.Н. Сергеев, Н.В. Федоров Компьютерная защита информации. Учебное пособие. - М.: МГГУ, 2007 - 179 с.
4. А. Ю. Щербаков Компьютерная безопасность. Теория и практика. - М.: Молгачева С.В., 2001, 352 с.
5. http://www.bre.ru
6. http://www.diwaxx.ru
7. http://www.zahist.narod.ru
8. http://www.citforum.ru
Глоссарий
Аутентификация – процедура входа в систему с предоставлением идентификационных данных. Является необходимым условием обеспечения секретности обмена данными. Пользователи должны иметь возможность подтвердить свою подлинность и проверить идентификацию других пользователей, с которым они общаются.
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия.
Интернет-серфинг (Internet surfing, серфинг, surfing) — посещение веб-сайтов, поиск информации в сети Интернет.
Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных.
Интернет-провайдер, иногда просто Провайдер, (англ. Internet Service Provider, ISP, букв. "поставщик Интернет-услуги") — организация, предоставляющая услуги доступа к Интернету и иные связанные с Интернетом услуги.
Сервер – это техническое решение, которое предоставляет множеству компьютеров доступ к файлам, данным, ресурсам принтеров и факсов и все такое.
Смарт-карты (англ. Smart card) представляют собой пластиковые карты со встроенной микросхемой (ICC, integrated circuit(s) card — карта с интегрированными электронными схемами). В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.
Учётная запись — запись, содержащая сведения, которые пользователь сообщает о себе некоторой компьютерной системе.
Хост – это любая единица компьютерной техники, которая подключена к компьютерной сети. Хостом может быть сервер, компьютер и т.д. Чтобы обозначить имя хоста, используется его сетевое имя – это для локальной сети, или IP-адрес или доменное имя если мы говорим об Интернете.
FTP (англ. File Transfer Protocol – протокол передачи файлов) - протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер.
Сетевой адаптер – устройство, служащее для подключения компьютера к локальной сети. Сетевой адаптер контролирует доступ к среде передачи данных и обмен данными между единицами сети.
Сетевой шлюз – аппаратный маршрутизатор (англ. gateway) или программное обеспечение для сопряжения компьютерных сетей, использующих разные протоколы (например, локальной и глобальной).
Политика информационной безопасности – совокупность правил, определяющих и ограничивающих виды деятельности объектов и участников, системы информационной безопасности.
Сетевой коммутатор или свитч (жарг. от англ. switch – переключатель) – устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента.
Маршрутизатор или роутер, рутер (от англ. router) - сетевое устройство, на основании информации о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня (уровень 3 модели OSI) между различными сегментами сети.
В терминологии сетей TCP/IP маской подсети или маской сети называется битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая – к адресу самого узла в этой сети.
Домен – определенная зона в системе доменных имён Интернет, выделенная владельцу домена (какой-либо стране, международной организации, региону, юридическому или физическому лицу) для целей обеспечения доступа к предоставляемой в Интернете информации, принадлежащей владельцу домена. Здесь доменом называется группа ресурсов информационной сети, которые работают или под одним компьютером, или под одной сетевой рабочей машиной или сетевым узлом. Примеры доменов:.ru,.com,.org и т.д.
Идентификация – присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов. Например идентификация по штрихкоду.
Тестовые вопросы
1. Что такое политика безопасности предприятия?
Совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации;
Совокупность программных средств;
Документ, зафиксированный на материальном носителе.
2. Метод оценки информационной безопасности «исследование снизу вверх» предполагает:
Анализ схемы хранения и обработки информации;
Проверка возможных атак;
3. Политика допустимого использования определяет:
Права и ответственность сотрудников компании за защиту конфиденциальной информации;
Способы удаленного соединения с информационной системой;
Правила допустимого использования интернет-ресурсов.
4. Политика безопасности периметра определяет:
Порядок и правила получения привилегированного доступа к системам безопасности периметра сети компании;
Процедуру инициации и обработки запросов на изменение конфигурации систем безопасности сети;
Правила и порядок создания и изменения паролей сотрудников компании;
Порядок и периодичность проверки конфигурации системы безопасности сети.
5. Модель нарушителя – это:
Категории нарушителей;
Цели нарушителей;
Типовые сценарии возможных действий нарушителей.
6. Содержательная модель нарушителей – это:
Формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей;
Классификационные типы совершаемых нарушителями акций с конкретизацией алгоритмов и этапов;
Система принятых руководством объекта взглядов на континент потенциальных нарушителей.
7. Второй уровень возможностей нарушителей предполагает:
Возможность управления функционированием автоматизированной системы;
Создание и запуск собственных программ с новыми функциями по обработке данных;
Запуск задач (программ) из фиксированного набора.
8. К политике безопасности среднего уровня относятся:
Вопросы, касающиеся отдельных аспектов информационной безопасности;
Решения, затрагивающие организацию в целом;
Вопросы, рассматривающие конкретные сервисы.
9. Обязанности администраторов локальной сети:
Организовать обучение персонала мерам безопасности;
Обеспечить защиту оборудования локальной сети, в т.ч. интерфейсов с другими сетями;
Следить за новинками в области информационной безопасности, информировать о них пользователей и руководство;
Проводить анализ рисков, выявляя уязвимые места систем и выбирая эффективные средства защиты.
10. В реализации политики безопасности организации с помощью программного пакета FireWall-1, к уровню отдела компьютерной безопасности относится:
Создание правил доступа;
Распределение исполнимых кодов;
Регистрация событий и тревоги;
Анализ событий, создание отчетов и предложений.