Объединение модемного пула с Firewall
Многие сети разрешают доступ через модемы, размещенные в различных точках сети. Такой доступ сам является потенциально опасным и может свести на нет всю защиту, обеспечиваемую Firewall.Управлять модемами будет намного легче, если сосредоточить их в модемном пуле, а затем осуществлять безопасные соединения с этим пулом. Модемный пул состоит из терминального сервера, представляющего собой специальный компьютер, разработанный для соединения модемов с сетью. Пользователь по модему соединяется с терминальным сервером, а затем с его помощью осуществляет необходимые соединения (например, с помощью протокола TELNET)с другими системами. Некоторые терминальные серверы содержат средства обеспечения безопасности и могут ограничивать соединения с некоторыми системами или потребовать от пользователей применения аутентификации.
Модем
Системы сети
Маршрутизатор
Internet
Прикладной шлюз
На рисунке показан модемный пул и Firewallс экранированным хостом. Поскольку к соединениям с модемами нужно относиться с тем же подозрением, как и к соединениям с Internet,размещение модемного пула на внешней стороне Firewallзаставляет модемные соединения осуществляться через Firewall.
Для аутентификации пользователей, устанавливающих связи как по модему, так и через Internet,могут быть использованы средства усиленной аутентификации прикладного шлюза. Для предохранения внутренних систем от соединения непосредственно с модемным пулом можно использовать фильтрующий маршрутизатор.
Недостатком данной схемы является то, что модемный пул напрямую связан с Internetи, следовательно, подвержен атакам. Если нарушителю удастся проникнуть в модемный пул, то он может использовать его как базу для атаки других системInternet.Для предотвращения этого кроме прикладного шлюза должен использоваться терминальный сервер, обладающий свойствами безопасности.
Firewallс двойным шлюзом и экранированной подсети реализует более безопасный метод управления модемными аулами. На рисунке изображен терминальный сервер, расположенный во внутренней экранированной подсети, где доступ к модемному пулу и от него можно тщательно контролировать с помощью маршрутизаторов и прикладных шлюзов. Маршрутизатор со стороны Internetпредохраняет модемный пул от любого прямого доступа, кроме доступа от прикладного шлюза.
В случае Firewallэкранированной подсети доступ к модемному пулу со стороны Internetи от систем сети запрещается соответствующими маршрутизаторами. В случае Firewallс простым шлюзом доступ к модемному пулу контролирует сам шлюз, в котором должны использоваться средства усиленной аутентификации.
Прикладной шлюз
Маршрутизатор Маршрутизатор
Модем Системы сети Internet
Прикладной шлюз Маршрутизатор
Модем
Если сеть использует для защиты модемного доступа подобные средства, она должна строго придерживаться политики, предотвращающей подключение к модемам любого пользователя в любом месте защищенной подсети. Даже если модемы обладают свойствами безопасности, это усложняет схему защиты с помощью Firewallи тем« самым добавляет в цепь еще одно слабое звено.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.