Шпаргалка по предмету "Защита информации (ЗИ)"

Узнать цену работы по вашей теме


Брандмауэр и виртуальная частная сеть.

Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому очень важно понимать основы взаимодействия брандмауэров и виртуальных частных сетей: - В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовмес-тимой с некоторыми реализациями VPN. - VPN способны создавать сквозные связующие "туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный трафик. - Только конечные точки VPN-канала обладают доступом к данным в незашифрованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств. Благодаря своим функциям шифрования и охраны конфиденциальности передаваемых данных, VPN можно использовать для обхода IDS-систем (IDS - Intrusion Detection Systems, Системы обнаружения вторжений), не способных обнаружить вторжения со стороны зашифрованных каналов связи. По сути, во время принятия решения о внедрении VPN-компонентов в сетевую архитектуру администратор сети стоит перед выбором из двух вариантов: поддержка VPN-модуля в качестве обособленного от брандмауэра устройства или же интеграция VPN в брандмауэр для обеспечения обеих функций одной системой. Разумеется, каждый из этих вариантов наделен своими сильными и слабыми сторонами. Брандмауэр плюс VPN в качестве обособленного, внешнего устройства. Существует множество вариантов проектирования сети, позволяющих сделать конечную точку VPN внешним по отношению к брандмауэру устройством. Далее перечислены наиболее типичные варианты размещения аппаратного обеспечения VPN: - внутри DMZ-зоны, между брандмауэром и граничным маршрутизатором;- внутри подзащитной сети, на сетевых адаптерах брандмауэра;- внутри экранированной сети, позади брандмауэра;- параллельно с брандмауэром на точке входа в подзащитную сеть. Система трансляции адресов NAT является причиной большинства проблем, возникающих в случае обособленного по отношению к брандмауэру варианта размещения VPN-оборудования. Например, в случае применения какой-либо схемы аутентификации вроде АН-заголовка, исходящие пакеты, которые вначале проходят обработку в VPN-устройстве и лишь затем обрабатываются брандмауэром для трансляции адресов, скорее всего не смогут пройти проверку целостности на другом конце VPN-соединения. Это происходит потому, что во время расчета контрольной суммы пакета с АН-аутентификацией принимаются во внимание все его заголовки. Проблема в том, что во время последующей трансляции адресов, NAT заменяет адрес источника пакета, а, значит, рассчитанная на предыдущем этапе контрольная сумма оказывается ошибочной. Еще одна проблема отдельно расположенных VPN-устройств заключается в управлении адресами: некоторые из VPN-спецификации требуют, чтобы внешнее VPN-устройство обладало легальным IP-адресом. Например, в случае аутентификации согласно стандарту Х. 509, сбой может произойти на IKE-фазе работы IPSec из-за того, что данный стандарт привязан к конкретным сетевым адресам, которые заменяются согласно схеме NAT-преобразования. Большинство вышеперечисленных потенциальных проблем с NAT-преобразованиями адресов можно решить путем размещения VPN-устройств ближе к внешнему миру, т. е. между брандмауэром и маршрутизатором, но это, в свою очередь, может вызвать ряд принципиально иных проблем. Многие читатели, вероятно, знают, что большинство приложений, использующих в своей работе DCOM-протоколы (Distributed Component Object Model - распределенная модель компонентных объектов) не работают с некоторыми применениями NAT. Это вызвано тем, что система трансляции адресов NAT преобразует только расположенные в заголовках пакетов адреса источника, а приложения (на уровне протоколов прикладного уровня OSI) вкладывают информацию об адресе и в содержимое пакета. Еще одним очевидным недостатком размещения VPN-устройств перед брандмауэром является отсутствие соответствующей защиты с его стороны. Другими словами, в случае взлома VPN-системы, злоумышленник получает прямой доступ к данным, конфиденциальность которых обеспечивалась средствами VPN. Брандмауэр и VPN, размещенные как единое целое. Вариант устройства, объединяющего функции брандмауэра и VPN в одной системе, наверняка позволит сэкономить определенное количество денег по сравнению с решением, использующим два отдельных устройства. Правда, большая часть этой экономии не касается первоначальных затрат на приобретение соответствующего комплекса средств, поскольку добавление к брандмауэру VPN-функциональности потребует покупки дополнительных программных лицензий, а также, возможно, обновления аппаратной части. Иначе говоря, интегрированное решение оказывается менее дорогостоящим в плане своего дальнейшего технического сопровождения. Более того, коммерческие реализации VPN наподобие Check Point VPN-1 могут похвастаться интеграцией в графическую оболочку, используемую для управления соответствующим брандмауэром Check Point. Большинство интегрированных решений попросту не вызывают ранее описанных проблем, связанных с NAT, а значит, обеспечивают более надежный доступ к данным, за который отвечает брандмауэр. Один из главных минусов интегрированного решения заключается в ограниченности вариантов оптимизации соответствующих VPN и брандмауэр-компонент. Другими словами, максимально удовлетворяющие запросам реализации брандмауэров могут оказаться не приспособленными к построению на их основе VPN-компонентов. А значит, вполне возможны ситуации, в которых выгоднее обратиться к ранее рассмотренному варианту применения внешнего специализированного VPN-устройства. Иначе использование интегрированного решения лишь привяжет сеть к пожизненно неизменному и неоптимальному применению брандмауэра и VPN в рамках одной системы.


Не сдавайте скачаную работу преподавателю!
С помощью нашего сервиса Вы можете собрать свою коллекцию шпаргалок по нужному предмету, и распечатать готовые ответы в удобном для вырезания виде. Для этого начните собирать ответы, добавляя в "Мои шпаргалки".

Доработать Узнать цену работы по вашей теме
Поделись с друзьями, за репост + 100 мильонов к студенческой карме:

Делаем шпаргалки правильно:
! Шпаргалки для экзаменов Какие бывают шпаргалки, как их лучше подготовить и что писать.
! Делаем правильную шпаргалку Что представляет собой удобная и практичная шпаргалка, как ее сделать.
! Как воспользоваться шпаргалкой В какой момент лучше достать шпаргалку, как ей воспользоваться и что необходимо учесть.

Читайте также:
Сдаем экзамены Что представляет собой экзамен, как он проходит.
Экзамен в виде тестирования Каким образом проходит тестирование, в чем заключается его суть.
Готовимся к экзаменам Как правильно настроиться, когда следует прекратить подготовку и чем заниматься в последние часы.
Боремся с волнением Как преодолеть волнение, как внушить себе уверенность.
Отвечаем на экзамене Как лучше отвечать и каким идти к преподавателю.
Не готов к экзамену Что делать если не успел как следует подготовиться.
Пересдача экзамена На какое время назначается пересдача, каким образом она проходит.
Микронаушники Что такое микронаушник или "Профессор .. ллопух ...".

Виды дипломных работ:
выпускная работа бакалавра Требование к выпускной работе бакалавра. Как правило сдается на 4 курсе института.
магистерская диссертация Требования к магистерским диссертациям. Как правило сдается на 5,6 курсе обучения.