К вопросам информационной
Download 0.77 Mb.
|
- Bu sahifa navigatsiya:
- Динамические
- Межсетевые экраны уровня приложений
- Система
|
Статические межсетевые экраны реализуют пакетную фильтрацию на основе анализа портов протоколов и адресов отправителя и получателя, оперируя данными сетевого и канального уровней эталонной модели OSI (Open System Interconnection). Использование статических межсетевых экранов является допустимым решением по защите межсетевого взаимодействия, особенно в случаях, когда требуется поддержание высокой производительности сети, однако имеет некоторые функциональные ограничения, в виде отсутствия возможности анализа сетевого трафика на более высоких уровнях модели OSI.
Динамические межсетевые экраны представляют собой расширение системы статической фильтрации, дополняя еѐ возможностью анализа содержимого сетевых пакетов и выявления некорректного использования протоколов, путѐм анализа пакетов на транспортном уровне. Преимущество использования динамических межсетевых экранов по сравнению с использованием статических средств межсетевого экранирования заключается в их возможности отслеживать текущие соединения и пропускать только те пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих транспортных протоколов, снижая риск реализации таких атак на отказ в обслуживании, как SYN-flood атака (SYN - synchronize). Межсетевые экраны уровня приложений, осуществляя анализ сетевых пакетов на всех уровнях модели OSI, производят проверку соответствия использования высокоуровневых протоколов их описанию в RFC (Request for Comments), контролируют целостность обмена информацией в рамках сетевого сеанса и могут динамически подстраиваться под логику работы сетевых приложений. Использование межсетевых экранов уровня приложений предоставляет широкие возможности по контролю сетевого трафика и защите от атак на сетевые приложения. Некоторые межсетевые экраны могут выполнять свои функции в так называемом прозрачном режиме. В этом случае межсетевой экран работает на канальном уровне, не имея сетевых адресов, однако может выполнять все вышеописанные функции. Использование прозрачных межсетевых экранов имеет ряд преимуществ: не имея сетевых адресов, межсетевой экран становится невидимым для злоумышленника, кроме того, это дает возможность анализа различных протоколов канального уровня. Данные межсетевые экраны обладают, как правило, высокой производительностью, благодаря чему, они могут использоваться для защиты центров обработки данных, а также конвергентных сетевых сегментов, чувствительных к задержкам прохождения сетевого трафика. Также стоит отметить, что интеграция прозрачных межсетевых экранов с IP-устройствами не требует внесения изменений в схему сети. Межсетевые экраны могут представлять собой программно- аппаратные комплексы, функционирующие под управлением специально разработанной операционной системы, а также могут являться программными решениями, предназначенными для работы на разнообразных платформах под управлением таких операционных систем как Windows или Solaris. Поддерживая работу сервисом QoS (Quality of Service) и с такими протоколами как h.323 или SIP, и обладая функционалом высокой доступности, межсетевые экраны могут обеспечить надѐжную защиту как обычных, так и конвергентных сетей. Кроме того, на рынке средств межсетевого экранирования присутствуют системные межсетевые экраны, предназначенные для защиты отдельных рабочих мест или серверов. Работая совместно с комплексами централизованного управления, системные межсетевые экраны предоставляют широкие возможности по защите корпоративной информационной системы, позволяя гибко реализовывать корпоративную политику безопасности. Для защиты ЦОД от внешних угроз межсетевые экраны устанавливаются на границе сети и, являясь первым рубежом защиты периметра ЦОД, образуют, как правило, три зоны: внутреннюю зону – зону локальной сети ЦОД; зону публичных сервисов, в которой размещаются общедоступные сетевые ресурсы; недоверенную зону – зону Интернет. Межсетевые экраны, устанавливаемые на границе сети, помимо пакетной фильтрации могут выполнять ряд дополнительных функций, таких как трансляция сетевых адресов (NAT), поддержку работы VPN (Virtual Private Network) или обнаружение и предотвращение вторжений. Межсетевые экраны устанавливаются в разрыв канала связи, поэтому основными критериями выбора средств межсетевого экранирования наряду с эффективностью являются производительность, надѐжность и обеспечение функционала высокой доступности. Высокая доступность, как правило, обеспечивается резервированием, путём установки нескольких дублирующих межсетевых экранов. Существует ряд архитектурных решений, которые обеспечивают высокопроизводительную и отказоустойчивую работу системы межсетевого экранирования. Средства межсетевого экранирования в составе ЦОД могут работать совместно с рядом подсистем обеспечения информационной безопасности (ИБ). Интеграция с подсистемами управления и мониторинга позволяет реализовать централизованный контроль функционирования межсетевых экранов, сократить трудозатраты на реализацию политик безопасности, а также на основе собранных данных мониторинга принимать своевременные меры по предотвращению и минимизации последствий инцидентов ИБ. Интеграция межсетевых экранов с такими подсистемами как подсистема организации VPN или подсистема обнаружения и предотвращения вторжений даѐт возможность совместить функции безопасности в одном устройстве, и организовать единый интерфейс управления. Данный подход позволяет увеличить рентабельность использования средств защиты в малых организациях и филиалах, однако в ряде случаев такой подход не применим, поскольку может привести к появлению единой точки отказа. Подсистема межсетевого экранирования может быть построена на базе таких решений как: Cisco ASA 5500 series, Cisco Firewall Services Module; Check Point Firewall-1 GX, VPN-1; Nortel Switched Firewall 6000/5100 Series; Juniper NetScreen 5000, ISG;ZoneAlarm. Система обнаружения и предотвращения вторжений Обнаружение вторжений – это процесс мониторинга событий, происходящих в ЦОД и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - это процесс блокировки выявленных вторжений. Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения [33, 34]. По способу мониторинга средства подсистемы делятся на: средства предотвращения вторжений сетевого уровня (network- based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети. средства предотвращения вторжений системного уровня (host- based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла. Выделяется несколько методов анализа событий: обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой. обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния. В подсистеме выделяются средства защиты от DDoS атак (Distributed Denial of Service), которые анализируют пограничный сетевой трафик методом обнаружения аномалий. Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров. Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами. Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции. Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации. Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений. Download 0.77 Mb. Do'stlaringiz bilan baham: 
|