Локальные сети. Архитектура и протоколы

Защита вычислительных сетей.

Архитектура системы защиты вычислительных сетей.

Классификация вторжений в вычислительную сеть (ВС).

Под специальными свойствами информации обрабатываемой и передаваемой в сетях ЭВМ понимается способность этой информации в результате специальных преобразований, проводимых в вычислительной сети, противостоять различного рода вторжениям, несанкционированным операциям, воздействиям и влияниям нарушителя (“злоумышленника”).

Безопасность информации обеспечивается, а вычислительная сеть считается защищенной, если все операции в вычислительной сети выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов сети, ее ресурсов и операций. Метрика маршрута в BGP В BGP в качестве метрики используется число шагов до цели, и время распространения маршрутной информации велико, у разных маршрутизаторов может быть прописана разная маршрутная политика

Злоумышленник при вторжении в ВС может использовать как пассивные, так и активные методы вторжения. На рис.15.1 показаны возможные угрозы для ВС. 

Рис. 15.1. Конфигурация ИВС с распределенными ресурсами с указанием возможных угроз.

При пассивном вторжении нарушитель только наблюдает за прохождением информации по линии связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. Как правило “злоумышленник” выполняет анализ потока сообщений (трафика), фиксируя пункты назначений и идентификаторы, или только факт прохождения информации, ее длину и частоту обмена, если содержимое сообщения нераспознаваемо.

При активном вторжении предполагают, что существует связь между двумя объектами. Нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильное или неправильное сообщение, удалить, задержать или изменить порядок следования сообщений. “Злоумышленник” может также аннулировать или задержать все сообщения, передаваемые по сети: такое вторжение равносильно отказу в передаче сообщений.

Необходимо исходить из того, что существует угроза искажения информации в любой точке вычислительной сети, на любом уровне ее физической и программной структуры, начиная от места ввода сообщения в сеть до места назначения. В частности, информация наиболее подвержена угрозе при передачи по линиям связи. Поэтому защита информации необходима на всех стадиях обработки и передачи по сети.

Для того, чтобы реализовать такую интегрированную систему защиты для ВС, необходимо в первую очередь выявить все угрозы и пути их устранения, проведя три стадии анализа:

 анализ требований к защите (анализ угроз);

 анализ способов защиты;

 анализ возможных реализаций функций, процедур и средств защиты.

Первая стадия включает:

  анализ уязвимых элементов ВС;

 оценку угроз;

 анализ риска.

Вторая стадия включает ответы на следующие вопросы:

  какие угрозы должны быть устранены и в какой мере;

 какие ресурсы сети должны быть защищены и в какой мере;

 с помощью каких средств должна быть реализована защита;

  каковы должны быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз.

Третья стадия - определение функций, процедур и средств защиты, реализуемых в виде некоторых механизмов защиты. Для того, чтобы реализовать и эффективно использовать механизмы защиты, необходимы дополнительные действия по обеспечению их поддержки, относящиеся к специфической функции управления защитой.

Примечание

Оценочные версии продуктов Intranet фирмы Novel можно загрузить с узла www novell corn

Кроме того, средства составления Webпубликаций в интрасетях под держивает текущая версия сервера Lotus Domino.

Пример: установка IIS 4

Windows NT Server 4 поставляется вместе с компонентом IIS 2, который можно установить, запустив программу SETUP из папки Internet Tools, помещенной в раздел Programs меню Start (Пуск). Сервер IIS 3 входит в состав Service Pack 3 (и последующих пакетов). Чтобы установить последнюю версию IIS 4, следует использовать пакет Option Pack, записанный на компактдиске с месячной подпиской на Microsoft TechNet (выпущенный на конференции TechEd фирмы Microsoft в 1998 г.). Кроме того, его можно бесплатно загрузить с Webузла фирмы Microsoft. Так или иначе, сервер IIS 4 всегда доступен всем, кому он нужен.

Подготовка к установке IIS 4

Прежде чем начать установку Option Pack на ваш компьютер, рабо тающий под управлением Windows NT Server, следует установить Internet Explorer 4.x (IE4) и Service Pack 3 (SP3) (либо самую последнюю его версию), если вы еще не сделали этого. Можете и не использовать IE4 в качестве броузера вашего Webсервера, если это вам не нужно, однако IIS 4 обра щается к некоторым файлам IE4.

Где взять эти файлы? SP3 входит в состав Option Pack. SP4 доступен на узле фирмы Microsoft. IE4, хотя и включен в компактдиск Option Pack, не входит в состав Webузла "Option Pack". Его следует загрузить с того раздела Webузла Microsoft, который относится к Internet Explorer

Управление защитой - это контроль за распределением информации в открытых системах, осуществляемый для обеспечения функционирования средств и механизмов защиты, фиксации выполняемых функций и состояний механизмов защиты и фиксации событий, связанных с нарушением защиты.

Защита объектов ВС. С каждым объектом ВС связана некоторая информация, однозначно идентифицирующаяся ею.

Защита линий связи ВС. Линии связи - один из наиболее уязвимых компонентов ВС.

Защита баз данных (БД) ВС. Защита БД означает защиту самих данных и их контролируемое использование на рабочих ЭВМ сети, а также защиту любой сопутствующей информации, которая может быть извлечена или сгенерирована из этих данных. Функции, процедуры и средства защиты, которые обеспечивают защиту данных на рабочих ЭВМ, могут быть описаны следующим образом: Защита содержания данных - предупреждает несанкционированное раскрытие конфиденциальных данных и информации из БД.

Защита подсистемы управления процессами в ВС. Среди большого числа различных процедур защиты подсистемы управления процессами в ВС следует выделить следующие шесть:

Транспортная сеть. Специальные уровни управления передачей (уровни защиты информации).

Межконцевые методы защиты.Точки применения межконцевых методов защиты: (ЭВМ-ЭВМ), (терминал-терминал),  (терминал-ЭВМ).

Электронная почта может принести значительно больше пользы, чем планирование совещаний. Пожалуй, в настоящее время она — самое "вездесущее" сетевое приложение. И хотя избыточный сетевой трафик, генерируемый электронной почтой, может вызывать раздражение, она неоценима как быстрый метод принятия оперативных решений и плани рования личных встреч. Электронная почта очень проста и удобна Людям, которые слишком заняты, чтобы выкраивать время для личных встреч, программапланировщик не нужна. Почта позволяет быстрее рассмотреть проблему и, к тому же конфиденциальна. Если босс зайдет в вашу комнату, это заметит каждый, но если он пошлет вам сообщение по электронной почте, в котором просит зайти для оценки ваших успехов, об этом никто не узнает. Таким образом, офисная электронная почта удобна для любых сообщений, требующих относительной конфиденциальности распростра нения, либо краткости.
Кабельные системы для локальных сетей