2020-06-08
148
Пользователь, как правило, не может выбирать меры зашиты на уровне доступа к среде передачи. Поэтому мы пропустим этот уровень и начнем экспериментировать выше.
Меры защиты, предпринимаемые на сетевом и транспортном уровнях, объединёны в общий раздел по двум основным причинам: во-первых, протоколы именно этих двух уровней – наиболее общая часть стека TCP/IP, которая так или иначе используется на всех узлах среды Интернет, а во-вторых потому, что основные программы, которые позволяют защитить информацию на этих уровнях – комплексные, и используют информацию этих двух уровней в совокупности.
Напомним, что сети-посредники не интересуются ни содержанием, ни тем более целью отправки фрагментов. Задача протоколов сетевого уровня – доставить отправленные данные по назначению, то есть узлу-получателю.
Шлюз не обязан проверять «обратные» адреса и уж тем более – определять верные ли они. Как мы видели в предыдущем разделе, это далеко не всегда так.
Данных об узле отправления и узле получения недостаточно для принятия решения о безопасности данных – как мы знаем, на конкретном узле может работать множество клиентов и серверов. Поэтому при анализе также используются данные транспортного уровня – позволяющие определить приложение и стадию обмена.
|
|
|
Логичным решением, повышающим уровень безопасности, является использование специальных программ-фильтров, определяющих откуда и к каким программам можно обращаться.
Программы, выполняющие фильтрацию данных, называются брандмауэрами (они же – файрволы от английского «Firewall» – «огненная стена», «огнеупор», межсетевые экраны).
Современные брандмауэры – сложные и многофункциональные комплексы программ, задача которых – обеспечение безопасного взаимодействия сетей. Они содержат несколько компонентов, как правило это:
Пакетный фильтр. Программа, определяющая на основе правил данных сетевого и транспортного уровней пропускать ли пакет – в сеть или из сети.
Посредники для протоколов прикладного уровня – Proxy. В отличие от пакетного фильтра, сервер-посредник проверяет также данные прикладного уровня – например, URL-адреса. Конечно, такой посредник не универсален, поэтому как правило это WEB-посредник.
Средства организации защищенных каналов – VPN.
Модули обнаружения атак.
Межсетевые экраны – необходимый компонент защиты во всех современных сетях. В тех случаях, когда узлы сети независимы и нет возможности определить общую политику доступа (например, в сети провайдера) применяют персональные межсетевые экраны, т.е. защищающие одну машину. В этом случае такие средства часто интегрируют с антивирусными средствами, добавляют средства контроля за поведением конкретных приложений и т.д.
