Средства безопасности сервиса удаленного доступа

. Безопасность является важнейшим фактором при выборе программного обеспечения для удаленного доступа.

Обеспечение безопасности данных при удаленном доступе — проблема, если и не номер один, то, по крайней мере, номер два, после проблемы обеспечения приемлемой для пользователей пропускной способности.

А при активном использовании Интернета она становится главной проблемой.

Неотъемлемым свойством систем удаленного доступа является наличие глобальных связей. По своей природе глобальные связи,

217


Рис. 5.19. Схема работы программы удаленного администрирования Windows Remote Desktop Services

простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля, точке пространства некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинаково присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей, подобные Интернету. Однако использование общественных сетей (Интернет) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход с анализатором протоколов. Кроме того, огромное число пользователей увеличивает вероятность попыток несанкционированного доступа.

Безопасная система — это система, которая, во-первых, надежно хранит информацию и всегда готова предоставить ее своим пользователям, а во-вторых, система, которая защищает эти данные от несанкционированного доступа.

Межсетевой экран (firewall, брандмауэр) — это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности.


218



Межсетевые экраны базируются на двух основных приемах защиты: пакетной фильтрации и сервисах-посредниках (proxy- services) .

1. Пакетная фильтрация. Использование маршрутизаторов (т. е. специализированных сетевых компьютеров, имеющих как минимум один сетевой интерфейс и пересылающих пакеты данных между различными сегментами сети) в качестве firewall.

Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные («неразрешенные») значения, отбрасываются (рис.

5.20).

Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Интернете 80 % пакетных фильтров работают на базе маршрутизаторов. Однако


Рис. 5.20. Схема пакетной фильтрации с анализом состояния

219



маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.

Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в том, что:

■ межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;

■ у межсетевого экрана большие возможности аудита (проверки) всех событий, связанных с безопасностью.

2. Сервисы-посредники (proxy-services). Они не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того чтобы обратиться к удаленному сервису, клиент — пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране (рис. 5.21). Сервис-посредник устанавливает отдельное соединение с «настоящим» сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту — пользователю защищенной сети.

Сервисы-посредники не только пересылают запросы на услуги. Например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством


Рис. 5.21. Схема работы прямого прокси-сервера



сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.

Трансляция сетевых адресов — новый вид сервиса-посредника. Трансляторы адресов заменяют внешние IP-адреса серверов своих сетей на внутренние. При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа.

Кроме того, трансляция адресов дает еще одно преимущество — позволяет иметь внутри сети собственную систему адресации, не согласованную с Интернетом, что снимает проблему дефицита IP-адресов.

Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, а также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.

<< | >>

Еще по теме Средства безопасности сервиса удаленного доступа:

  1. Статья 200. Незаконные действия с документами на перевод, платежными карточками и иными средствами доступа к банковским счетам, оборудованием для их изготовления
  2. 2.2.5. Область создания и применения средств и механизмов информационной безопасности
  3. 13.10.3. Права и обязанности средств массовой информации с позиций государственной (национальной) безопасности
  4. 4.3.4. Информационные правоотношения, возникающие при создании и применении средств и механизмов информационной безопасности
  5. НАЗОЙЛИВЫЕ ПРОДАВЦЫ И НАВЯЗЧИВЫЙ СЕРВИС
  6. Упражнение № 3. Удаление обид
  7. Статья 275. Нарушение правил, касающихся безопасного использования промышленной продукции или безопасной эксплуатации зданий и сооружений
  8. 3. Доступ к источникам информации.
  9. Прямой доступ к информации и предузнавание
  10. Непосредственный доступ и предсказания
  11. § 6. Равный доступ к государственной службе
  12. 2.1.4. Классификация информации по доступу к ней
  13. Статья 306. Использование средств, полученных от незаконного оборота наркотических средств, психотропных веществ, их аналогов или прекурсоров