Frame Engineering

Защита локальных сетей от внешних атак

Тесная привязка к сети Интернет, объединение распределенных структур в корпоративные сети обмена и обработки информации дает колоссальные перспективы в построении бизнес-процессов. Однако использование внешних и общественных сетей, в частности - Интернет, , влечет за собой необходимость построения системы защиты корпоративной информации! Межсетевые экраны (firewall, брендмауер) - программные или программно-аппаратные средства, предназначенные для защищенного подключения корпоративной сети к сетям общего пользования на базе протоколов TCP/IP, X.25; разграничения ресурсов внутри корпоративной сети; а также для обеспечения контроля информационных потоков между различными сегментами корпоративной сети и внешними сетями. Межсетевой экран пропускает через себя весь трафик, принимая для каждого проходящего пакета решение, пропускать его или нет, в соответствии с заданными правилами фильтрации. Большинство компонент межсетевого экрана можно отнести к одной из следующих групп:

Маршрутизаторы с фильтрацией пакетов;
Шлюзы сетевого уровня;
Proxy-серверы.

Маршрутизатор с функцией фильтрацией пакетов - относительно не дорогостоящая система с высокой пропускной способностью. Основная задача системы - фильтровать проходящие пакеты на основании информации, находящейся в полях их заголовков:

IP-адрес отправителя;
IP-адрес получателя;
Порт отправителя;
Порт получателя.

Однако можно выделить и ряд недостатков фильтрующих маршрутизаторов:

Прозрачность топологии внутренней сети;
Отсутствие аутентификации на сетевом или пользовательском уровне;
Неспособность защиты от атак с подменой IP-адреса (IP-spoofing);
Трудность конфигурации.

Шлюз сетевого уровня - сервис посредника между внешним и внутренними узлами, нацеленный на исключение их прямого взаимодействия за счет устанавливания доверенной связи между ними. После установления связи шлюз сетевого уровня всего лишь переправляет IP-пакеты между узлами не осуществляя дополнительной фильтрации. Более просто - шлюз сетевого уровня преобразует внутренний IP-адрес узла в адрес шлюза сетевого уровня. Таким образом для всех внешних узлов активен только IP-адрес шлюза. Выполняя данную функцию шлюз сетевого уровня маскирует топологию внутренней сети и частично производят защиту от атак с подменой IP-адреса. Proxy-сервер осуществляющее дополнительную фильтрацию согласно установленной политики фильтрации по параметрам:

имя пользователя;
название сервиса;
сетевое имя компьютера клиента;
способ аутентификации;
время и дата запроса.

Таким образом, proxy-сервер позволяет достигнуть:

невидимости структуры локальной сети из общественных сетей;
возможность организации большого числа проверок, что повышает защищенность локальной сети;
организация аутентификации на пользовательском уровне.

Однако использование proxy-сервера может привести к понижению производительности обмена информацией при достаточно высокой стоимости решения. Кроме того, proxy-сервер вносит ряд ограничений на использования некоторых протоколов.

Каждый из описанных типов межсетевых экранов позволяет защитить корпоративную сеть (информацию, хранимую в ее элементах) лишь частично. Наиболее полноценная защита возможно только при использовании комплексных систем информационной защиты, в большей мере, зависящей от:

Структуры защищаемого объекта;
Характера внешнего информационного обмена;
Уровня секретности защищаемой информации;
Финансовых возможностей организации;
И многих других критериев.

Разработка оптимальной системы информационной защиты - комплексная задача, требующая не только высокой квалификации инженеров, но и понимания принципов построения бизнес-процессов клиента. Наши специалисты готовы предоставить Вашей организации услуги по индивидуальному консультированию по вопросам организации информационной безопасности, аудиту инфраструктуры Вашей организации и, непосредственной, реализации комплексных систем защиты информации!

Системы информационной защиты от Фрейм Инжиниринг - Ваша уверенность в завтрашнем СЕГОДНЯ!

- ИТ-аутсорсинг
- Проектирование и монтаж структурированных кабельных систем
- Беспроводные сети
- Программирование и монтаж мини АТС
- Установка систем видеонаблюдения
- Установка систем контроля доступа
- Системы бесперебойного электропитания
- Поставка продуктов Oracle
- Поставка активного оборудования