5.1 Предотвращение неконтролируемого доступа к информации
Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы зоны влияния, например в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети теряется. Оборудование в помещении компании должно находиться под пристальным наблюдением.
Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с компьютерами должны закрываться на замок или находиться под круглосуточным наблюдением. Если кто-то из сотрудников компании работает круглосуточно, то это комнату закрывать не обязательно - но только в том случае, если персонал не дежурит по одному. В идеале доступ в подобные помещения должен контролироваться, например, путем регистрации в журнале. Резервные носители, такие как ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии на сервере или рабочей станции, оставлять картриджи и CD на столе или в незапертом ящике. [13]
5.2 Firewall
Firewall - это программа, представляющая собой защитный барьер между компьютером и внешним миром. Хакеры используют специальное программное обеспечение для сканирования интернета и поиска незащищенных компьютеров. Такие программы посылают маленький пакет данных компьютеру. Если на компьютере нет Firewall, то он автоматически отвечает на принятое сообщение, и это означает для хакера, что система открыта и может быть взломана. Firewall распознает такие случаи и не отвечает на подобные сообщения. Таким образом, хакеры даже не могут узнать, что компьютер подключен к сети.
Внутри локальной сети, которую от внешних угроз защищает корпоративный Firewall, рабочая станция остается беззащитной. Настройки общего Firewall, не позволяют разрешить или запретить активность тех или иных приложений, которые запущены на рабочей станции, а так же предотвратить распространение вирусов. При помощи специальных типов атак злоумышленник может в локальной сети получить любые данные, которые передаются по сети с Вашего компьютера. Переговоры по ICQ, почтовые пароли, письма и любая другая конфиденциальная информация может быть перехвачена до того, как она дойдет до получателя. Даже в случае если используются защищенные соединения (SSL), все равно есть известные способы получать перехваченные данные сразу в расшифрованном виде.
Классификация firewall'ов и определение политики firewall'а
Классификация firewall'ов. Исследуются существующие технологии firewall'ов: пакетные фильтры, stateful inspection firewall'ы, прокси прикладного уровня. Рассматривается сервис NAT. Приводятся примеры использования firewall'ов различного типа: выделенные прокси серверы, host-based firewall'ы, персональные firewall'ы.
Различные типы окружений firewall'а. Рассматриваются различные типы окружений, в которых может функционировать firewall. Приведены основные принципы построения окружения firewall'а. Дается определение DMZ сети. Исследуются различные топологии DMZ сетей с использованием firewall'ов разного типа. Разбирается взаимное расположение конечных точек VPN и firewall'ов. Вводятся понятия интранет, экстранет. Задаются принципы создания политики firewall'а.
Пример пакетных фильтров в ОС FreeBSD 6.0. Рассматриваются пакетные фильтры, реализованные в ОС FreeBSD 6.0: IPF и IPFW. Приводится синтаксис каждого из этих пакетных фильтров и возможности поддержки состояния ТСР соединения в них. Приводится порядок прохождения пакета через правила пакетного фильтра. Изучается применение функции трансляции сетевых адресов (NAT). Приведены примеры набора правил в IPF и IPFW.[14,13]
5.3 Разработка спецификации на оборудование
Спецификация PIX Firewall 515
Таблица 3- Спецификация PIX Firewall 506 и 515
| Характеристики | Модель | |
| PIX Firewall 506 | PIX Firewall 515 | |
| Корпус (модуль) | монтируемый в 19-ти дюймовую стойку или отдельный модуль | монтируемый в 19-ти дюймовую стойку или отдельный модуль |
| Процессор | 200 MГц Intel Pentium MMX | 200 MГц Intel Pentium MMX |
| Оперативная память | 32 Mб | 64 Mб |
| Flash память | 16 Mб | 16 Mб |
| Консольный порт | RJ-45 | RJ-45 |
| Загрузка/Обновление | только TFTP | только TFTP |
| Failover порт * | Disabled | DB-25 EIA/TIA-232 |
| H x W x D (см.) | 4.1 x 42.5 x 30 | 4.1 x 42.5 x 30 |
| Напряжение | 100-240 В | 100-240 В |
| Частота питания | 50-60 Гц | 50-60 Гц |
| Сила тока | 1.5-0.75 А | 1.5-0.75 А |
Таблица 4 - Эксплуатационные параметры PIX Firewall 506 и 515
| Характеристики | Модель | |
| PIX Firewall 506 | PIX Firewall 515 | |
| Температура хранения | от -25 до +70ºC | от -25 до +70ºC |
| Относительная влажность | от 20 до 95% | от 20 до 95% |
| Стандарты EMI | CE, VCCI class II, FCC, BCIQ, Austel | CE, VCCI class II, FCC, BCIQ, Austel |
| Рабочая_температура | от -5 до +45ºC | от -5 до +45ºC |
6. Требования к технологии управления сетью
Международная Организация по Стандартизации (ISO) внесла большой вклад в стандартизацию сетей. Модель управления сети этой организации является основным средством для понимания главных функций систем управления сети. Эта модель состоит из 5 концептуальных областей:
- Управление эффективностью
- Управление конфигурацией
- Управление учетом использования ресурсов
- Управление неисправностями
- Управление защитой данных
- Управление эффективностью
Цель управления эффективностью - измерение и обеспечение различных аспектов эффективности сети для того, чтобы межсетевая эффективность могла поддерживаться на приемлемом уровне. Примерами переменных эффективности, которые могли бы быть обеспечены, являются пропускная способность сети, время реакции пользователей и коэффициент использования линии.
Управление эффективностью включает несколько этапов:
Сбор информации об эффективности по тем переменным, которые представляют интерес для администраторов сети.
Анализ информации для определения нормальных (базовая строка) уровней.
Определение соответствующих порогов эффективности для каждой важной переменной таким образом, что превышение этих порогов указывает на наличие проблемы в сети, достойной внимания.
Управляемые объекты постоянно контролируют переменные эффективности. При превышении порога эффективности вырабатывается и посылается в NMS сигнал тревоги.
Каждый из описанных выше этапов является частью процесса установки реактивной системы. Если эффективность становится неприемлемой вследствие превышения установленного пользователем порога, система реагирует посылкой сообщения. Управление эффективностью позволяет также использовать проактивные методы. Например, при проектировании воздействия роста сети на показатели ее эффективности может быть использован имитатор сети. Такие имитаторы могут эффективно предупреждать администраторов о надвигающихся проблемах для того, чтобы можно было принять контрактивные меры.
Управление конфигурацией
Цель управления конфигурацией - контролирование информации о сете- вой и системной конфигурации для того, чтобы можно было отслеживать и управлять воздействием на работу сети различных версий аппаратных и программных элементов. Т.к. все аппаратные и программные элементы имеют эксплуатационные отклонения, погрешности, или то и другое вместе, которые могут влиять на работу сети, такая информация важна для поддержания гладкой работы сети.
Чтобы обеспечить легкий доступ, подсистемы управления конфигурацией хранят эту информацию в базе данных. Когда возникает какая-нибудь проблема, в этой базе данных может быть проведен поиск ключей, которые могли бы помочь решить эту проблему.
Управление учетом использования ресурсов
Цель управления учетом использования ресурсов - измерение параметров использования сети, чтобы можно было соответствующим образом регулировать ее использование индивидуальными или групповыми пользователями. Такое регулирование минимизирует число проблем в сети (т.к. ресурсы сети могут быть поделены исходя из возможностей источника) и максимизировать равнодоступность к сети для всех пользователей.
Как и для случая управления эффективностью, первым шагом к соответствующему управлению учетом использования ресурсов является измерение коэффициента использования всех важных сетевых ресурсов. Анализ результатов дает возможность понять текущую картину использования. В этой точке могут быть установлены доли пользования. Для достижения оптимальной практики получения доступа может потребоваться определенная коррекция. Начиная с этого момента, последующие измерения использования ресурсов могут выдавать информацию о выставленных счетах, наряду с информацией, использованной для оценки наличия равнодоступности и оптимального коэффициента использования источника.
Управление неисправностями
Цель управления неисправностями - выявить, зафиксировать, уведомить пользователей и (в пределах возможного) автоматически устранить проблемы в сети с тем, чтобы эффективно поддерживать работу сети. Т.к. неисправности могут привести к простоям или недопустимой деградации сети, управление неисправностями, по всей вероятности, является наиболее широко используемым элементом модели управления сети ISO.
Управление неисправностями включает в себя несколько шагов: