Безопасность и Internet - статьи

         

Защита локальной сети при подключении к Internet - часть 2


  • режим роутера выключен полностью. Информация между сетями передается

    только посредством транслирующих серверных программ (proxy)

  • систему определения атак с подменой адресов

  • поддержка VPN

  • поддержка прозрачного режима для proxy

  • выключена обработка пакетов со специальными признаками

  • добавлена возможность заносить в журнал все попытки соединения с МЭ

    по несконфигурированным видам сервиса

    • Дополнительные возможности системы включают в себя особые фильтры, позволяющие

    организовать на самом МЭ определенные информационные сервисы, такие как

  • электронная почта

  • DNS

  • ftp

  • WWW

    • Этот МЭ - единственный из существующих, позволяющий защитить

    пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные

    сетевые вирусы, причем независимо от платформы.

    Gauntlet разработан по принципу "белого ящика", что на практике означает

    его распространение вместе с исходными текстами. Кроме того, наиболее

    простые и эффективные приемы написания программ значительно упрощают

    анализ исходных текстов.

    При изначальной разработке МЭ особое внимание уделялось следующим

    принципам:

  • Минимализм. Простое лучше сложного. Разработка велась четко по принципу

    "сверху вниз". В результате был получен минимальный по объему а наиболее

    эффективный по производительности программный интерфейс, легко позволяющий

    реализовать proxy для протокола, не входящего в базовый комплект.

    Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает

    вероятность скрытых ошибок.

  • Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок

    администратора. Неправильная директива интерпретируется как глобальное

    запрещение данного сервиса. Кроме того, таким образом введено умолчание

    - запрещено. Введение любого нового сервиса обязательно влечет за собой

    его увязывание с политикой безопасности.

  • На МЭ не должно быть пользователей. Единственный пользователь,

    имеющий возможность только локальной работы - администратор.

  • Записывать в журнал все, что возможно. Избыточность статистической

    информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и

    с точки зрения оценки производительности и т.д.

  • Работа МЭ легко контролируется. Наличие единой базы пользователей и

    эффективного интерфейса для работы с ней легко позволяют осуществлять

    контроль пользователей, их блокировку, изменение атрибутов и т. д.

  • Простая и логичная конфигурация. Основной конфигурационный файл МЭ

    имеет текстовый формат, его логическая структура довольно очевидна

    и не составляет препятствия для системного администратора.




    • Содержание  Назад  Вперед