Захист інформації в комп`ютерних системах.

Відео: "пізнавальний фільм": Захист інформації

Коли заходить мова про апаратної захисту в цілому, недостатньо було б згадати про дані засобах тільки щодо певного комп`ютера або ж конкретного програмного забезпечення.

Крім цього, термін «Апаратний захист» має на увазі комплексний підхід для вирішення ряду завдань і проблем, що стоять перед системним адміністратором, по правильному налаштуванні досить захищеної внутрішньої локальної мережі, має вихід в глобальну мережу Інтернет. Виходячи з цього, апаратну захист можна класифікувати на такі види:
-апаратний захист програмного забезпечення-
-локальна апаратний захист (Апаратний захист комп`ютера та інформації) -

-апаратний захист мережі (Апаратний захист внутрішньої локальної мережі з одним або декількома виходами в Інтернет).
Апаратна захист мережі
На сьогоднішній день багато досить розвинені компанії і організації мають внутрішню локальну мережу. розвиток ЛВС прямо пропорційно зростанню компанії, невід`ємною частиною життєвого циклу якої є підключення локальної мережі до безкрайніх просторах Інтернету. Разом з тим мережу Інтернет непідконтрольна (в цьому неважко переконатися), тому компанії мають серйозно подбати про безпеку своїх внутрішніх мереж. підключаються до WWW ЛВС в більшості випадків дуже вразливі до неавторизований доступ і зовнішнім атакам без належного захисту. таку захист забезпечує міжмережевий екран (брандмауер або firewall).
брандмауери

брандмауери існують двох видів: програмні і апаратні. Однак крім цього їх ділять ще й на типи: брандмауер мережевого рівня (Фільтри пакетів) і прикладного рівня (шлюзи додатків). Фільтри пакетів швидші і гнучкі, на відміну від брандмауерів прикладного рівня. Останні направляють спеціальному додатку-обробника всі, хто входить пакети ззовні, що уповільнює роботу.
для програмних брандмауерів необхідний окремий комп`ютер на базі традиційних операційними системами Unix або Windows NT. такий брандмауер може служити єдиною точкою входу у внутрішню мережу. Слабкість і ненадійність такого захисту полягає не стільки в можливих порушеннях коректної роботи самого програмного брандмауера, скільки в уразливості використовуваних операційних систем, на базі яких функціонує міжмережевий екран.
апаратні брандмауери побудовані на базі спеціально розроблених для цієї мети власних операційних систем. Далі приступимо до розгляду саме апаратних брандмауерів.
Правильна установка та конфігурація брандмауера - перший крок на шляху до наміченої мети. Щоб виконати установку апаратного брандмауера потрібно підключити його в мережа і виробити необхідну конфігурацію. У найпростішому випадку, брандмауер - це пристрій, що запобігає доступ у внутрішню мережа користувачів ззовні. Він не є окремою компонентою, а являє собою цілу стратегію захисту ресурсів организации. Основна функція брандмауера - централізація управління доступом. Він вирішує багато видів завдань, але найголовнішими є аналіз пакетів, фільтрація і перенаправлення трафіку, аутентифікація підключень, блокування протоколів або вмісту, шифрування даних.
Методика побудови захищеної мережі і політика безпеки. У процесі конфігурування брандмауера слід піти на компроміси між зручністю і безпекою. До певної міри міжмережеві екрани повинні бути прозорими для внутрішніх користувачів мережі й забороняти доступ інших користувачів ззовні. Така політика забезпечує досить гарний захист.
Важливим завданням є захист мережі зсередини. Для забезпечення гарної функціональної захисту від зовнішньої і внутрішньої загрози, слід встановлювати кілька брандмауерів. Саме тому на сьогоднішній день широкого поширення набули саме апаратні міжмережеві екрани. Досить часто використовується спеціальний сегмент внутрішньої мережі, захищений ззовні і ізольована від інших, так звана демілітаризована зона (DMZ). іноді брандмауери різних типів об`єднують. різна конфігурація брандмауерів на основі декількох архітектур забезпечить належний рівень безпеки для мережі з різним ступенем ризику. Припустимо, послідовне з`єднання брандмауерів мережевого і прикладного рівня в мережі з високим ризиком може виявитися найкращим рішенням.

Існує досить-таки багато рішень щодо більш-менш безпечних схем підключення брандмауерів для проектування правильної захисту внутрішньої мережі. В даному випадку розглянуті тільки найоптимальніші щодо поставленого завдання види підключень.
Досить часто підключення здійснюється через зовнішній маршрутизатор. В такому випадку зовні видно тільки брандмауер, саме тому подібна схема найбільш переважна з погляду безпеки ЛВС.
брандмауер також може використовуватися в якості зовнішнього маршрутизатора. програмні брандмауери створюються на базі останніх і інтегруються в них. Це найбільш комплексне і швидке рішення хоч і досить дороге. Такий підхід не залежить від типу операційної системи і додатків.
У разі, коли сервера повинні бути видимі зовні, брандмауером захищається тільки одна підмережа, підключається до маршрутизатора. Для підвищення рівня безпеки інтранету великих компаній можливо комбіноване використання брандмауерів і фільтруючих маршрутизаторів для забезпечення суворого управління доступом і проведення належного аудиту мережі. У подібних випадках використовуються такі методи як екранування хостів і підмереж.

зауваження
брандмауер не є абсолютною гарантією захисту внутрішньої мережі від віддалених атак, незважаючи на те, що здійснює мережеву політику розмежування доступу до певних ресурсів. В багатьох випадках досить вивести з ладу лише один міжмережевий екран, захищає певний сегмент, щоб відключити всю мережа від зовнішнього світу і при цьому завдати достатній збиток, викликавши великі збої в роботі організації або компанії.
Не варто ігнорувати той факт, що брандмауери будь-коли вирішували внутрішніх проблем, пов`язаних з фізичним доступом до серверів і робочих станцій неуповноважених осіб, слабкими паролями, вірусами з дискет користувачів і багатьом іншим.
Але з усього вищесказаного аж ніяк не випливає, що їх використання абсолютно безглуздо і неефективно. Навпаки, застосування брандмауерів - необхідна умова забезпечення безпеки мережі, проте потрібно пам`ятати, що всіх проблем вони не вирішать.
Декілька порад.
В умовах поставлених завдань, різних між собою, необхідно розглядати відповідно різні можливі варіанти рішення, засновані саме на програмно-апаратних методах захисту.
побудова правильної топології мережі вирішить багато проблем, пов`язаних з виникненням потенційних точок уразливості і зведе вже існуючі до мінімуму.
Зверніть увагу на розміщення сервера (Серверів) і обмежте фізичний доступ користувачів до нього. Робіть заходи по захисту окремих робочих станцій. Особливу увагу приділіть тим комп`ютерам, на яких зберігається важлива інформація.
Використовуйте стійкі до перебору паролі. Пароль повинен містити не менше 8 символів у верхньому і нижньому регістрі, цифри і неалфавітні символи.
Контролюйте запущені процеси та періодично перевіряйте журнал підключень сервера.
І останнє: ніколи не переоцінюйте захищеність власної мережі або системи - ідеального захисту не існує.
Слід зауважити, що всі три види апаратного захисту можуть інтегруватися і рідко згадуються без взаємозв`язку. Між ними ні чітких кордонів. систематизація правил апаратного захисту ще раз доводить пряму спряженість з програмними методами її реалізації. У комплексному підході до вирішення такого класу задач для запобігання проникненню у внутрішню мережу і знищення / копіювання інформації, необхідно спеціалізовано об`єднувати вже існуючі методи з можливо новими рішеннями в цій галузі. проблема забезпечення безпеки комп`ютерної інформації поки не може бути вирішена повністю навіть при ідеальній з точки зору системного адміністратора налаштування мережі, але комбіноване застосування програмно-апаратних засобів захисту від несанкціонованого доступу в поєднанні з криптозащитой дозволяє звести ризик до мінімуму.

Відео: ІБ-лекторій - Рустем Хайретдінов (InfoWatch): Agile і безпеку

Як працює драйвер

Розглянемо роботу Lan2net Firewall на прикладі шлюзу, тобто комп`ютера з двома мережевими картами. Одна з мережевих карт підключена до Інтернет, інша до локальної мережі. Спосіб підключення і тип мережевої карти значення не має.

Відео: Урок 1. Системний підхід при формуванні системи захисту інформації

На малюнку схематично показані сервер, зовнішній і внутрішній адаптери. A, B, C, D - напрямки встановлення з`єднання.
Фільтрація або модифікація може бути здійснена на будь-якому з напрямів A, B, C, D.
До кожного з цих напрямків прив`язані свої правила. з`єднання визначає адаптер, якому належить правило. Напрямок визначається параметром <Направление> користувача. Таким чином, З`єднання + Користувач визначає, до якого напрямку прив`язані правила.

NAT - Network Address Translation
трансляція мережевих адрес - це спосіб, за допомогою якого хостам локальної мережі дозволяється доступ до хостів зовнішньої мережі, з використанням єдиного зареєстрованого IP-адреси. NAT-трансляція завжди відбувається на зовнішній адаптер. Lan2net приховує деталі налаштування NAT.

Приклад №1.
сервер (локальна машина) з`єднується з хостом 213.180.194.129 на порт 80. Тобто відкриваємо головну сторінку yandex.ru. Напрямок С.

Перше, що має бути зроблено, це аутентифікація. драйвер визначить, якому користувачеві належить запиту. Для даного прикладу це буде вихідний користувач, прив`язаний до з`єднання <Интернет>, з відповідним параметрами аутентифікації (наприклад <локальні адреси>). Якщо користувач не знайдений, мережевий пакет буде відкинутий, з`єднання не встановиться. далі, драйвер знаходить правила цього користувача (з кожним користувачем пов`язані правила). якщо драйвер знаходить дозволяє правило, запит на з`єднання буде відправлений далі. драйвер чекатиме відповідь від сервера з параметрами пакета, відповідними відповіді сервера. Відповідь хоста 213.180.194.129 буде пізнаний драйвером що відповідь на запит з локальної машини. з`єднання буде установлено. весь трафік цього з`єднання буде записаний на локального користувача. Ця схема гарантує правильний підрахунок трафіку і запис трафіку на того користувача, який ініціював з`єднання.

приклад №2
хост з Інтернет сканує порти.
запити на з`єднання від сканера портів будуть потрапляти на напрям D. Припустимо, до цього напрямку прив`язаний ні одні користувач. Тобто, немає небажаних користувачів, пов`язаних із з`єднанням Інтернет. У такій ситуації всі з`єднання будуть відкинуті, оскільки запит на з`єднання не пройде аутентифікацію. Ці відкинуті з`єднання будуть приписані до користувача system.