Безопасность и Internet - статьи



         

Типичный пример реализации системы защиты при доступе к Internet - часть 4


Удаленный доступ в схеме "корпорация и провайдер"

Во многих организациях необходимо обеспечить возможность работы удаленных или мобильных пользователей с каким-либо ресурсом внутренней сети компании по телефонной линии через модем или через ближайшего к ним провайдера. Оба случая требуют особого внимания к аутентификации пользователей и защите передаваемых данных.

Хорошим решением в таких случаях могут стать средства Firewall-1 SecuRemote. Этот пакет может быть установлен на компьютерах удаленных пользователей для защиты от прослушивания и изменения конфиденциальной информации и обеспечения безопасности процедур входа и регистрации при загрузке или аутентификации. SecuRemote использует средства с открытым ключом, причем использование их возможностей может быть ограничено лишь отдельными видами трафика, тогда как остальной обмен (например, выход в глобальную сеть) может передаваться в открытом виде. Аутентификация firewall поддерживает целый ряд программных и аппаратных средств других производителей - ActiveCard, Axent/ AssureNet, Funk Software, Security Dynamics/RSA, VASCO Data Security. При реализации удаленного доступа мы рекомендуем устанавливать устройства удаленного доступа на отдельный интерфейс системы firewall. Как отмечалось выше, это позволяет полностью контролировать как доступ к серверам удаленного доступа, так и все процессы авторизации пользователей (обычно в крупных системах используются внешние серверы авторизации).

Схема с полностью скрытым шлюзом (и VPN)

Как бы ни была построена сеть компании и система защиты, главным является сам firewall.

Как правило, большинство ограничений и проверок выполняются именно этой машиной, и firewall имеет интерфейсы во все основные сети предприятия. Защита самого firewall по этой причине является одной из важных задач в обеспечении безопасности сети. Для решения этой задачи используются два основных элемента. Во-первых, выключение на компьютере всех, не относящихся к firewall служб и запрещение любого трафика, адресатом или инициатором которого мог бы быть firewall. Модули Firewall-1 устанавливаются сразу за драйверами сетевых адаптеров до операционной системы, что позволяет оградить firewallот различных атак, направленных на стек TCP/IP. Во-вторых, для затруднения неавторизованного доступа к firewall используют адреса из пространства, зарезервированного самим firewall. Для попытки подключения к такой машине необходимо узнать ее IP-адрес, что практически невозможно при отсутствии доступа к расположенным поблизости от firewall маршрутизаторам. Если такой адрес все же стал известен, для доставки пакета с таким "нелегальным" адресом назначения через открытую сеть потребуются определенные усилия.

Организация такой схемы защиты предполагает наличие маршрутизатора между firewall и внешней сетью для использования зарезервированных адресов на всех интерфейсах firewall, а также для фильтрации нежелательных пакетов с его внешнего интерфейса.

Конечно, необходимо обеспечить защиту внешнего маршрутизатора, но эта задача несоизмеримо проще. Как правило, предоставляемые маршрутизаторами средства фильтрации прекрасно приспособлены для защиты самого устройства и в меньшей степени пригодны для реализации полнофункциональной защиты предприятия. Для облегчения задачи создания правил фильтрации можно использовать Firewall-1 Router Extension, который поддерживает генерацию и установку списков фильтрации на маршрутизаторы Bay Networks, Cisco, 3Com. Этот механизм полностью интегрирован в политику безопасности Firewall-1, его средства управления и мониторинга.




Содержание  Назад  Вперед