[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive]
Свободные мысли о свободном софте
[an error occurred while processing this directive]
Logo CitForum CITForum на CD Форумы Газета Море(!) аналитической информации!
[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive]
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive]

16.09.2019

Google
WWW CITForum.ru
[an error occurred while processing this directive]

Новости мира IT:

Архив новостей

[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive]
Пятнадцатая техническая конференция «Корпоративные базы данных-2010»
Москва, 22–23 апреля
С Новым годом!

Генеральный спонсор
Техническая конференция
Корпоративные базы данных – 2008
Москва, 24–25 апреля
При поддержке РФФИ

Спонсор
[an error occurred while processing this directive] [an error occurred while processing this directive]
На правах рекламы

Специальная публикация NIST 800-10

Джон Вэк и Лиза Карнахан
"Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры))"
Реферат

Перевод Владимира Казеннова

  1. Введение в Интернет и безопасность в нем
    1.1. Интернет
    1.2 Обзор внутреннего устройства TCP/IP
    1.3 Проблемы, связанные с безопасностью
    1.4 Насколько уязвимы сети организаци в Интернете?

  2. Введение в брандмауэры
    2.1 Понятие брандмауэра
    2.2 Почему именно брандмауэры?
    2.3 Проблемы, возникающие из-за брандмауэров
    2.4 Компоненты брандмауэра

  3. Объединение частей в единое целое - примеры брандмауэров
    3.1 Брандмауэр с фильтрацией пакетов
    3.2 Брандмауэр на основе машины, подключенной к двум сетям
    3.3 Брандмауэр с изолированным хостом
    3.4 Брандмауэр с изолированной подсетью
    3.5 Интеграция модемных пулов с брандмауэрами

  4. Следующие шаги
    4.1 Политика брандмауэра
    4.2 Приобретение брандмауэра
    4.3 Организационные вопросы с брандмауэрами

  5. Библиография

  6. Приложение. Онлайновые информационные ресурсы

Этот документ содержит обзор проблем, связанных с безопасностью в Интернете. Он также кратко описывает все компоненты брандмауэра и основные причины, приводящие к необходимости использовать брандмауэры. Описывается несколько типов политик сетевого доступа и техническая реализация этих политик. В конце документ содержит библиографию по данной теме.

Целью этого документа является помощь пользователям понять природу проблем, связанных с безопасностью в Интернете, и то, какие типы брандмауэров могут решить эти проблемы. Пользователи могут использовать этот документ как руководство при проектировании или приобретении брандмауэра.

Предисловие

Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных. Большое число организаций сейчас присоединяются к Интернету для того, чтобы воспользоваться преимуществами и ресурсами Интернета. Бизнесмены и государственные организации используют Интернет в самых различных целях - включая обмен электронной почтой, распространение информации среди заинтересованных лиц и проведение исследований. Многие организации сегодня присоединяют существующие локальные сети к Интернету , чтобы рабочие станции этих ЛВС могли получить прямой доступ к сервисам Интернета.

Присоединение к Интернету может дать огромные преимущества, хотя при этом нужно серьезно учесть вопросы, связанные с безопасностью соединения. Существуют достаточно серьезные риски безопасности, связанные с Интернетом, которые зачастую являются неочевидными для пользователей-новичков. В частности, в мире наблюдается деятельность злоумышленников, при этом имеется много уязвимых мест, которые могут ее облегчить. Действия злоумышленников трудно предсказать и порой ее бывает трудно обнаружить и прекратить. Многие организации уже потеряли много времени и понесли значительные финансовые потери из-за деятельности злоумышленников; некоторым организациям был нанесен урон их репутации, когда стало известно о проникновениях в их сети.

Эта публикация будет рассматривать вопросы, связанные с безопасностью, которые нужно учесть как организациям, собирающимся присоединиться к Интернету , так и организациям, уже присоединенным к Интернету. В частности, это документ подробно рассматривает брандмауэры для Интернета, как один из механизмов и методов, используемых для защиты внутренних сетей от угроз, связанных с Интернетом. Этот документ рекомендует организациям использовать технологию брандмауэров и другие, связанные с ними, средства, для фильтрации соединений и управления доступом в сети.

Цель

Цель этого документа - объяснить, как работают брандмауэры, и какие шаги необходимы для их реализации. Пользователи могут использовать это документ как помощь при проектировании или приобретении брандмауэра.

Для кого написана эта книга

В-основном, эта публикация для технических администраторов, то есть для тех, кто может отвечать за реализацию или поддержание соединений с Интернетом. Она также будет полезна и для другого руководящего состава, кто хочет узнать больше о безопасности соединения с Интернетом.

Предполагается знание некоторых основ в областях компьютерной безопасности и сетей передачи данных. Тем не менее, этот документ является введением; более детальная информация о бехопасности в Интернете и брандмауэрах может быть найдена в литературе, указанной в библиографии.

Структура документа

Этот документ начинается с обзора Интернета и его основных сервисов. Детально описываются проблемы безопасности, связанные с Интернетом, связанные с различными сервисами TCP/IP, а также другие факторы, которые приводят к небезопасности работы в Интернете. Глава 2 описывает брандмауэры, их преимущества и недостатки, и после этого, различные компоненты брандмауэра, включая средства усиленной аутентификации и политику сетевого доступа. Глава 3 описывает различные конфигурации брандмауэров, которые иллюстрируют, как компоненты брандмауэра соединяются друг с другом, и могут быть использованы для реализации различных политик. Глава 4 рассматривает вопросы надзора, административные вопросы и другие действия, которые должны предпринять организации для защиты своих систем, присоединенных к Интернету. Приложение А содержит список литературы и других источников инфомации о брандмауэрах и безопасности в Интернете. Приложение В содержит набор часто задаваемых вопросов о брандмауэрах, который доступен в режиме online.

Терминология

Интернетовские брандмауэры часто называются в литературе безопасными Интернетовскими шлюзами. Этот документ использует термин брандмауэр для обозначения безопасного Интернетовского шлюза.

Брандмауэр, согласно данному документу, включает ряд элементов, таких как политика, внесение изменений в структуру сети, а также технические средства и организационные меры. Этот документ будет использовать термин система брандмауэра для обозначения хостов или маршрутизаторов, реализующих брандмауэр.

Сеть, защищаемая брандмауэром, называется защищенной подсетью или защищенной ЛВС.

Некоторые люди не могут понять, следует ли рассматривать протоколы TCP/IP как протоколы или как сервисы. Можно, например, доказывать, что TELNET является протоколом, сервисом или командой. Там, где это нужно, в документе используется термин протокол, в остальных случаях используется термин сервис.

В этом документе прикладными шлюзами называются ряд систем брандмауэров в противоположность хостам-бастионам.

Насколько это возможно, этот документ избегает использования таких терминов, как хакер и кракер, и использует вместо этого менее тендециозные термины злоумышленник и атакующий.

Предыстория

Интернет стал жизненно необходимой и постоянно растущей сетью, которая изменила образ жизнедеятельности многих людей и организаций. Тем не менее, из-за Интернета возникло много серьезных проблем с безопасностью. Многие организации были атакованы или зондированы злоумышленниками( Злоумышленники часто проверяют сети организаций на возможность проникновения в них путем методического сканирования систем в них на наличие уязвимых мест. Злоумышленники часто используют средства автоматического зондирования, то есть программы, которые сканируют все хосты, присоединенные к сети организации. Эта деятельность называется иногда зондирование сети организации ) что привело к большим потерям во времени и ущербу репутации. В некоторых случаях, организации вынуждены были временно отсоединиться от Интернета, и потратить значительные средства для решения возникших проблем с конфигурацией хостов и сети. Сети организаций, которые неосведомлены или игнорируют эти проблемы, подвергают себя большому риску быть атакованными сетевыми злоумышленниками. Даже те организации, в которых безопасности уделяется внимание, могут подвергаться риску из-за появления новых уязвимых мест в сетевом программном обеспечении или упорства некоторых злоумышленников.

Данное положение дел сложилось по ряду причин. Одной из основных причин может быть то, что при разработке Интернет требования безопасности не учитывались, так как гланым требованием при реализации Интернета было требование удобства при обмене информацией при проведении научных исследований. Тем не менее, феноменальный успех Интернета в сочетании с появлением большого числа категорий пользователей , включая пользователей , у которых отсутствует понятие этики, усугубило существующие недостатки в обеспечении безопасности до такой степени, что сети, открытые для доступа со стороны Интернета, стали подвергаться риску проникновений в них и нанесения им разрушений. Другими причинами являются следуюшие:

  • уязвимость сервисов TCP/IP - ряд сервисов TCP/IP являются небезопасными и могут быть скомпрометированы умными злоумышленниками; сервисы, использующиеся в ЛВС для улучшения управления сетью, особенно уязвимы
  • легкость наблюдения за каналами и маскарада - большинство траффика Интернета незашифровано; электронная почта, пароли и передаваемые файлы могут быть перехвачены, используя легкодоступные программы, затем злоумышленники могут использовать пароли для проникновения в системы
  • отсутствие политики - многие сети могут быть сконфигурированы по незнанию таким образом, что будут позволять доступ к ним со стороны Интернета, не подозревая при этом о возможных злоупотреблениях этим; многие сети допускают использование большего числа сервисов TCP/IP, чем это требуется для деятельности их организации, и не пытаются ограничить доступ к информации об их компьютерах, которая может помочь злоумышленникам проникнуть в сеть
  • сложность конфигурирования - средства управления доступом в хостах зачастую являются сложными в настройке и контроле за ними; неправильно сконфигурированные средства часто приводят к неавторизованному доступу.

Решение

К счастью, существуют простые и надежные решения, которые могут быть использованы для улучшения безопасности сети организации. Система брандмауэра является одним из способов, который доказал свою высокую эффективность при повышении общей безопасности сети. Система брандмауэра - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом и политики доступа, определяющей правила их работы. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации вместо паролей. Кроме того, брандмауэр может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервсиы TCP/IP, или обеспечить другие меры безопасности. Хорошо сконфигурированная система брандмауэра может выполнять роль пресс-службы организации и помочь сформировать у пользователей Интернета хорошее впечатление об организации.

Самой простой политикой сетевого доступа, которая может быть реализована с помощью брандмауэра, является предоставление доступа от внутренних к внешним системам и запрет, полный или частичный, доступа от внешних к внутренним системам. Но использование брандмауэра не должно позволять администраторам забыть о необходимости обеспечения безопасности отдельных систем. Существует большое число средств для системных администраторов, позволяющих повысить безопасность систем и обеспечить улучшыенные возможности по протоколированию. Такие средства могут проверять пароли, журналы с информацией о соединениях, обнаруживать изменения системных файлов или обеспечивать другие меры безопасности, которые помогут администраторам обнаружить деятельность злоумышленников и проникновения в их системы.

Рекомендации авторов

Мы рекомендуем организациям перед присоединением к Интернету разработать политику, которая бы ясно указывала, какие сервисы Интернета будут использоваться, и как они будут использоваться. Эта политика должна быть простой, четкой и понятной, со встроенными механизмами по ее изменению. Организации должны рассмотреть возможность использования систем брандмауэров как часть плана по реализации этой политики. (Образец такой политики приведен в приложении). Также рекомендуется использовать меры усиленной аутентификации: смарткарты или другие механизмы одноразовых паролей как составную часть брандмауэров при аутентификации соединений с системами сети.

Вперед

[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive]

Планирование сроков проекта и вопросы осуществления лидерством проекта рассматриваются на сайте по управлению проектами.

[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive]

Размещение рекламы — тел. +7 495 6608306, ICQ 232284597

[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive]

Редакция рекомендует:

Последние комментарии:

Что мы знаем об iPhone 4G? (7)
16 июля, 20:25

Подписка на новости CITForum.ru

Новые публикации:

7 июля

  • Управление параллелизмом с низкими накладными расходами для разделенных баз данных в основной памяти

  • Рекурсивные запросы в Oracle

  • Жесткий диск WD10EARS с сектором 4 КБ. Подготовка к эксплуатации в Linux.

    Обзоры журнала Computer:

    Газета:

  • Московские пробки - исследование IBM

  • От Osborne до iPad: эволюция портативных компьютеров

    19 мая

  • Прозрачный механизм удаленного обслуживания системных вызовов

  • Система моделирования Grid: реализация и возможности применения

    Газета:

    Майкл Стоунбрейкер:

  • Ошибки в системах баз данных, согласованность "в конечном счете" и теорема CAP

  • Дискуссия по поводу "NoSQL" не имеет никакого отношения к SQL

    29 апреля

  • Материалы конференции "Корпоративные Базы Данных-2010"

  • Разные облики технологии баз данных (отчет о конференции)

    14 апреля

  • MapReduce: внутри, снаружи или сбоку от параллельных СУБД?

  • Научные вызовы технологиям СУБД

    Обзоры журнала Computer:

    31 марта

  • Рационализация согласованности в "облаках": не платите за то, что вам не требуется

  • Взаимные блокировки в Oracle

  • Архитектура среды тестирования на основе моделей, построенная на базе компонентных технологий

  • Объектное представление XML-документов

    Газета:

  • Microsoft для российских разработчиков: практика с элементами фундаментальности

    10 марта

  • HadoopDB: архитектурный гибрид технологий MapReduce и СУБД для аналитических рабочих нагрузок

  • Классификация OLAP-систем вида xOLAP

  • BGP. Три внешних канала. Балансировка исходящего и входящего трафиков

    Газета:

  • Что мы знаем об iPhone 4G?

    17 февраля

  • MapReduce и параллельные СУБД: друзья или враги?

  • Объектно-ориентированное программирование в ограничениях: новый подход на основе декларативных языков моделирования данных

  • Системологический подход к декомпозиции в объектно-ориентированном анализе и проектировании программного обеспечения

    Газета:

  • Эволюция Wine

    3 февраля

  • Дом на песке

  • Реальное переосмысление "формальных методов"

  • Интервью с Найджелом Пендзом

    Газета:

  • iPad. Первый взгляд на долгожданный планшет от Apple

  • Я не верю в iPad [an error occurred while processing this directive]

    20 января

  • SQL/MapReduce: практический подход к поддержке самоописываемых, полиморфных и параллелизуемых функций, определяемых пользователями

  • Данные на лету: как технология потокового SQL помогает преодолеть кризис

    Обзоры журнала Computer:

    2 декабря

  • Сергей Кузнецов. Год эпохи перемен в технологии баз данных

    18 ноября

  • Генерация тестовых программ для подсистемы управления памятью микропроцессора

  • Сравнительный анализ современных технологий разработки тестов для моделей аппаратного обеспечения

    Все публикации >>>


    [an error occurred while processing this directive]
  • [an error occurred while processing this directive] [an error occurred while processing this directive]
    Купить сотовые телефоны в М.Видео
    Отличные цены на сотовые телефоны. Бесплатная доставка. Заказ в интернет-магазине и по телефону (495) 644-28-51
    www.mvideo.ru [an error occurred while processing this directive]

    Регистрация доменов в зонах .ru, .com, .net. Компания Rusonyx.

    IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    [an error occurred while processing this directive]
    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 6608306, ICQ 232284597 Пресс-релизы — pr@citforum.ru
    Послать комментарий
    Информация для авторов

    Редакция раздаёт котят!

    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2009 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...
    [an error occurred while processing this directive]


    [an error occurred while processing this directive] [an error occurred while processing this directive] реклама:
    Производство и продажа серверов | забронировать гостиницу Санкт Петербурга | платный хостинг | IBM Rational. Аналитика и инструменты
    [an error occurred while processing this directive] [an error occurred while processing this directive]