Обеспечение информационной безопасности в сетях ip
Три уровня развертывания защиты
Download 331.73 Kb.
|
Грузинский Технический Университет
- Bu sahifa navigatsiya:
- Ключи защиты
|
Три уровня развертывания защиты
На первом этапе развертывания защиты локальной сети адаптеры Intel® PRO/100 S должны быть установлены на ПК пользователей, которым нужна защищенная связь и на серверы, которые используются этими пользователями. После того, как адаптеры установлены согласно правилам IPSec, при установлении связи компьютер предложит использовать протокол IPSec и если оба компьютера допускают использование протокола IPSec, то передаваемые ими данные будут зашифрованы. Если сервер или клиентская рабочая станция не поддерживает протокол IPSec, то последует открытая передача данных. Благодаря этому все передаваемые данные между выбранными клиентами и серверами будут зашифрованы, и информация не может быть перехвачена другими пользователями внутри локальной сети предприятия. Для идентификации пользователя используются предварительно распределенные ключи. На следующем этапе должны определяться различные уровни кодирования и идентификации для каждого пользователя в зависимости от роли ПК и исходя из трафика проходящего через него. Для усиления защиты локальной сети создаются две рабочие группы. Одна рабочая группа - эксклюзивная, она использует индивидуальную политику защиты, кроме того, эта рабочая группа входит и в общую политику защиты. Это позволяет надежно дифференцировать сообщения между эксклюзивной рабочей группой и основной сетью. При этом выделенная рабочая группа может посылать кодированные сообщения доступные для всех пользователей или только для определенных клиентов внутри самой группы. Третий этап – авторские полномочия. Как только политика защиты для выделенной рабочей группы построена и хорошо работает, они могут быть сгруппированы вместе, и развертывание IPSec может быть расширенно на других членов группы. Таким образом, модель выделенной рабочей группы может быть расширена на часть или на всю компанию. На определенном этапе этого процесса предприятие может решить, что ему необходима более строгая защита. Хотя предварительно распределенные ключи обеспечивают превосходную идентификацию для начального этапа защиты локальной сети, но это не самый строгий уровень, который возможен. Строгий уровень идентификации можно обеспечить, используя стандарт X.509 дл цифровых удостоверений, которые проверяются авторскими полномочиями. В решениях Intel используется Entrust* - один из наиболее уважаемых видов авторских полномочий. В рассмотренном примере, при выдачи цифровых удостоверений, возможно, уникально идентифицировать каждого пользователя выделенной группы. Это позволяет системному администратору дифференцировать запросы сделанные разными по приоритету пользователями. Ключи защиты Процесс аутентификации IPSec требует уникального идентификатора или ключа для каждого привлеченного компьютера. Распределение и обслуживание этих ключей может быть произведено одним из двух способов: Download 331.73 Kb. Do'stlaringiz bilan baham: 
|