Охрана Калуга.

 КАЛУГА

 
     Контакты : Информация о компании : Охрана объектов :  Пультовая охрана : Сопровождение грузов : Инкассация : Видеонаблюдение : Статьи
монтаж систем видеонаблюдения  
 

Охрана Калуга. Видеонаблюдение в Калуге. Контроль доступа в Калуге.

 

Охрана объектов

Пультовая охрана

Сопровождение грузов

Инкассация

Системы видеонаблюдения

Контроль доступа

Охрана периметра

Досмотровое и антитерор-оборудование

Все для защиты информации

Прокладка локальных сетей

Детективное агентство

Заказать монтаж оборудования

Наши услуги

Прайс-лист
 
 


  Rambler's Top100  
  На доработке!!!  
  На доработке!!!  
   

      

 

Межсетевые экраны осваивают российский рынок.

уков Вячеслав Сергеевич,
кандидат технических наук

МЕЖСЕТЕВЫЕ ЭКРАНЫ ОСВАИВАЮТ РОССИЙСКИЙ РЫНОК

Источник: журнал "Специальная Техника"

С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов. В статье на основе анализа российского рынка рассмотрены особенности и возможности использования наиболее эффективного в настоящее время и динамично развивающегося средства сетевой защиты — межсетевых экранов.

Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны. Но наиболее часто используется термин “межсетевые экраны” (МЭ).

В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия “внутри” и “снаружи”, причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.

Современные требования к межсетевым экранам

1. Основное требование — это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.
7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.

Классификация анализируемых межсетевых экранов

Как известно, для проведения сравнительного анализа необходимо, в первую очередь, провести классификацию анализируемых средств. Поскольку межсетевые экраны ориентированы на защиту информации в открытых сетях типа Интернет/Интранет, основой подхода служит семиуровневая модель ISO/OSI (Международной организации по стандартизации). В соответствии с этой моделью МЭ классифицируются по тому, на каком уровне производится фильтрация: канальном, сетевом, транспортном, сеансовом или прикладном. Поэтому можно говорить об экранирующих концентраторах (канальный уровень), маршрутизаторах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).

Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.

Особенности современных межсетевых экранов

Результаты более тонкого сравнительного анализа различных типов межсетевых экранов приведены в табл. 1.

Таблица 1 Особенности межсетевых экранов

Тип межсетевого экрана

Принцип работы

Достоинства

Недостатки

Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов) Фильтрация пакетов осуществляется в соответствии с IP- заголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:

- адрес отправителя;
- адрес получателя;
- информация о приложении или протоколе;
- номер порта источника;
- номер порта получателя.

· Низкая стоимость
· Минимальное влияние на производительность сети
· Простота конфигурации и установки
· Прозрачность для программного обеспечения
· Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов
· Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита
Экранирующий шлюз (ЭШ) Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня · Отсутствие сквозного прохождения пакетов в случае сбоев
· Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные
· Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети
· Использование только мощных хостов-бастионов из-за большого объема вычислений
· Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации
Экранирующие подсети (ЭП) Создается изолированная подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным · Возможность скрытия адреса внутренней сети
· Увеличение надежности защиты
· Возможность создания большого трафика между внутренней и открытой сетями при использовании нескольких  хостов-бастионов в ЭП
· “прозрачность” работы для любых сетевых служб и любой структуры внутренней сети
· Использование только мощных хостов-бастионов из-за большого объема вычислений
· Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами

Как видно из табл.1 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия. Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными. При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие — на регламентировании разрешенного межмашинного обмена.

Типовые варианты включения межсетевых экранов


Сравнительные характеристики современных межсетевых экранов

По результатам анализа российского рынка в табл.2 приведены сравнительные характеристики современных межсетевых экранов.

Таблица 2. Сравнительные характеристики современных межсетевых экранов

Продукт Тип Платформа Компания Особенности
Solstice Firewall - 1 Комплексный экран SunOS, UNIX, Solaris Sun Microsystems Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются.В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, запускают механизмы тревоги, требующие реакции администратора.
Black Hole Экранирующий

шлюз прикладного уровня

Различные аппаратные платформы Milkyway Networks Corporation Не использует механизм фильтрации пакетов. Принцип действия: то, что явно не разрешено, является запрещенным. Регистрирует все действия сервера, предупреждает о возможных нарушениях. Может использоваться как двунаправленный шлюз.
BorderWare Firewall Server Экранирующий шлюз прикладного уровня UNIX, Windows, DOS Secure Computing Corporation Программное средство защиты, обеспечивающее работу под управлением ОС (собственная разработка). Позволяет фиксировать адреса, время, попытки, используемый протокол.
ALF (Application Layer Filter) Экранирующий шлюз прикладного уровня BSDI SOS Corporation Может фильтровать IP-пакеты по адресам, диапазонам портов, протоколам и интерфейсам. Приходящий пакет может пропустить, ликвидировать или отослать по его адресу.
ANS InterLock Service Экранирующий шлюз прикладного уровня UNIX ANS CO + RE Systems Использует программы-посредники для служб Telnet, FTR, HTTR. Поддерживает шифрование соединения точка-точка, причем, в качестве средств аутентификации могут использоваться аппаратные.
Brimstone Комплексный экран SunOS, BSDI на Intel, IRIX на INDY и Challenge SOS Corporation Для анализа использует время, дату, адрес, порт и т.д. Включает программы-посредники прикладного уровня для служб Telnet, FTR, SMTP, X11, HTTP, Gopher и др. Поддерживает большинство пакетов аппаратной аутентификации.
Centri Экранирующий шлюз прикладного уровня SunOS, BSDI, Solaris, HP- UX, AIX Global Internet Закрытая сеть видится извне как единственный хост. Имеет программы-посредники для служб: электронной почты, протокола FTR и др. Регистрирует все действия сервера, предупреждает о нарушениях.
CONNECT Экранирующий шлюз прикладного уровня UNIX Sterling Software Является программным продуктом, обеспечивающим защиту информации от НСД при соединении закрытой и открытой сетей. Позволяет регистрировать все действия сервера и предупреждать о возможных нарушениях.
CyberGuard Firewall Двунаправленный шлюз комплексного типа (хост-бастион как фильтр, шлюз прикладного уровня или комплексный экран) Платформа RISC, OS UNIX Harris Computer Systems Corporation Использованы комплексные решения, включающие механизмы защиты ОС UNIX и интегрированные сетевые средства, предназначенные для RISC-компьютеров. Для анализа используется исходный адрес, адрес назначения и др.
Digital Firewall

for UNIX

Комплексный экран Digital Alpha Digital Equipment Corporation Предустанавливается на системы Digital Alpha и представляет возможности экранирующего фильтра и шлюза прикладного уровня.
Eagle Enterprise Экранирующий шлюз прикладного уровня Реализация технологии Virtual Private Networking Raptor Systems Включает в себя программы-посредники прикладного уровня для служб FTR, HTTP, Telnet. Регистрирует все действия сервера и предурпеждает о нарушениях.
Firewall IRX Router Экранирующий маршрутизатор DOS, MS-Windows Livingston Позволяет произвести анализ сети в целях оптимизации сетевого трафика, безопасно связать локальную сеть с удаленными сетями на основе открытых сетей.
Firewall-1 Комплексный межсетевой экран Intel x86, Sun Sparc и др. Check Point Software Technologies Обеспечивает защиту от хакерских нападений типа address-spoofing (подделка адресов пакетов) и представляет комбинацию средств защиты сетевого и прикладного уровней.
Firewall-1/ VPN-1 Комплексный межсетевой экран Intel x86, Sun Sparc и др. Check Point Software Technologies Представляет открытый интерфейс приложения OPSEC API. Обеспечивает:

- выявление компьютерных вирусов;
- сканирование URL;
- блокирование Java и ActiveX;
- поддержку протокола SMTP;
- фильтрацию HTTP;
- обработку протокола FTP

TIS Firewall Toolkit Набор программ для создания и управления системами firewall BSD UNIX Trusted Information Systems Распространяется в исходном коде, все модули написаны на языке С. Набор предназначен для программистов- экспертов.
Gauntlet Internet Firewall Экранирующий шлюз прикладного уровня UNIX, Secured BSD Trusted Information Systems Поддерживает сервисы: электронная почта, Web-сервис, терминальные сервисы и др. Возможности: шифрование на сетевом уровне, защита от хакерских нападений типа address-spoofing, защита от попыток изменения маршрутизации.
FireWall/Plus Мульти-протокольный межсетевой экран Различные аппаратные платформы Network-1 Software and Technology Контроль реализован на уровне кадров, пакетов, каналов и приложений (для каждого протокола). Позволяет работать с более чем 390 протоколами, дает возможность описать любые условия фильтрации для последующей работы.
Застава-Джет Комплексный межсетевой экран SPARC, Solaris, UNIX Jet Infosystems Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются.Имеет российский сертификат по второму классу защиты

Как видно из табл. 2, в настоящее время на российском рынке межсетевых экранов представлена обширная номенклатура технических и программных средств сетевой защиты с достаточно широким диапазоном технических характеристик. По существу, любая организация, выбирающая межсетевой экран, может найти оптимальное решение в доступном для неё ценовом диапазоне и с приемлемыми характеристиками.

Практическая реализация современного межсетевого экрана

Ограничения журнальной статьи не позволяют подробно остановиться на всех типах МЭ, представленных в табл.2. Поэтому в качестве примера более подробно рассмотрим возможности использования мультипротокольного межсетевого экрана FireWall/Plus.

Межсетевой экран FireWall/Plus предназначен для решения трех основных задач:

  • защита ресурсов корпоративных сетей от атак со стороны Internet;
  • реализация мер безопасности (для выделенного сервера/группы серверов);
  • разделение сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.

Существенной особенностью данного МЭ является возможность работы с более 390 протоколами различных уровней. Благодаря мощному встроенному языку написания фильтров имеется возможность описать любые условия фильтрации. Такая особенность позволяет более эффективно решать задачи разделения сегментов корпоративной сети, в которой используются продукты, работающие со стеками TCP/IP, IPX, DECNet протоколов. Механизм описания протоколов прикладного уровня позволяет создать специфические схемы разграничения доступа пользователей. FireWall/Plus обеспечивает защиту при работе с Web, FTR, URL, приложениями ActiveX и Java, а также с электронной почтой.

Межсетевой экран FireWall/Plus обеспечивает обнаружение и борьбу со следующими атаками:

  • Атаки на аутентификацию сервера;
  • атаки на протокол finger (с внешней и внутренней стороны);
  • определение номера начального пакета соединения TCP;
  • незаконная переадресация;
  • атаки на DNS-доступ;
  • атаки на FTR-аутентификацию;
  • атаки на несанкционированную пересылку файлов;
  • атаки на удаленную перезагрузку;
  • подмена IP-адресов;
  • спуфинг МАС-адреса;
  • атаки на доступность (шторм запросов);
  • атаки на резервный порт сервера;
  • атаки с помощью серверов удаленного доступа;
  • атаки на анонимный FTR-доступ.

Такое количество блокируемых атак определяется прежде всего тем, что FireWall/Plus поддерживает три метода преобразования сетевых адресов: один к одному; один ко многим; многие ко многим. Ему не нужен собственный IP-адрес. Эта особенность делает его полностью прозрачным в сети и практически неуязвимым при различных атаках. Рассмотренные возможности межсетевого экрана FireWall/Plus, являющегося представителем современного поколения МЭ, показывают, насколько динамично развивается данное направление средств защиты.

Сертификация межсетевых экранов

В настоящее время Гостехкомиссией России принят рабочий документ “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”. Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.

С учетом перспектив в области сертификации средств защиты информации под руководством Гостехкомиссии России Центром безопасности информации (г. Юбилейный Московской области) организована разработка типовой методики по проведению сертификационных испытаний межсетевых экранов. Эта методика прошла испытания в ряде лабораторий, аккредитованных в системе сертификации Гостехкомиссии России. В настоящее время на российском рынке уже появились сертифицированные межсетевые экраны высокого класса защищенности, в том числе “Застава-Джет” (2 класс), “Застава” и “AltaVista Firewall 97” (3 класс защищенности). Эти изделия обеспечивают надежную защиту информационных ресурсов от несанкционированного доступа.

Выводы

Таким образом, проведенный анализ средств сетевой защиты, представленных на российском рынке, показал, что в настоящее время межсетевые экраны являются достаточно эффективным средством защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами. Они обеспечивают высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP. Кроме того, современные межсетевые экраны характеризуются прозрачностью для легальных пользователей, большим быстродействием и высокой эффективностью. Основной тенденцией развития средств сетевой защиты является интеграция, в частности, межсетевых экранов с криптографическими и антивирусными средствами, а также средствами анализа уровня обеспечения безопасности.

Однако, наряду с достоинствами, присущими межсетевым экранам, не следует забывать, что в настоящее время МЭ хотя и является наиболее проработанным средством защиты в сетях Интернет/Интранет, но не решает всего комплекса задач по обеспечению безопасности в открытых сетях. Поэтому при решении задач, связанных с обеспечением информационной безопасности, по большому счету, необходимо всегда использовать комплексный подход, включающий в себя не только технические средства, но и организационные меры защиты информации.

                 

              

            

 
 

ОХРАННАЯ ДЕЯТЕЛЬНОСТЬ В КАЛУГЕ

ЧОП КАЛУГА

 

Подробнее...

 

Новости          

Система видеонаблюдения из 12 видеокамер установлена в жилом доме в Калуге...

Подробнее...


Система видеонаблюдения из 8 видеокамер на основе видеорегистратора установлена на загородном складе в Калуге....

 

Подробнее...


Ведется монтаж системы видеонаблюдения в г. Калуга по ранее сделанному нами проекту...

 

Подробнее...


Архив новостей

Установка систем охраны периметра в Калуге.......

Охрана периметра в Калуге 89109168532

Подробнее...