05a32825

Сетевое (телекоммуникационное) оборудование


подразделяется на:

  1. Кабельную систему - это , коннекторы, розетки, короба, шкафы, и прочие "атрибуты проводов". Зависит от категории качества элементов, технологичности монтажа системы и соответственно желаемой скорости передачи данных по сети.
  2. Сетевое оборудование - это , , , , . Оборудование бывает активное и пассивное. Обеспечивает увязку всех проводов в единое целое. В последних сериях типичный дизайн корпуса позволяет составлять несколько сетевых устройств в одну стойку. При этом самые ответственные участки сети подключаются к высокопроизводительным устройствам. Проще говоря - это как железные дороги с различной пропускной способностью линий.
  3. Сервера - см. ;

Необходимо отметить, что сетевое оборудование работает вместе с , которая предоставляет пользователям права, разграничения доступа и т.п.

· Межсетевой экран (МЭ, МСЭ, firewall, брандмауэр) - это сетевое устройство, реализующее контроль за информацией (как поступающей в ЛС, так и выходящей) и обеспечивающая защиту ЛС посредством фильтрации информации. Бывает локальное (однокомпонентное) или функционально-распределенным (комплекс).
  Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в конце 20-го столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.
  Просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом . Например, если в МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика.

Можно сказать, что МЭ - это программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. МЭ защищает соединяемую с Интернет корпоративную сеть от проникновения извне и исключает возможность доступа к конфиденциальной информации. Подразделяют пять типов межсетевых экранов:

  1. Фильтрирующие МЭ - это самые простые экраны, относящиеся к классам 4 и 5. Таким экраном может служить любой .
  2. МЭ, построенные на основе сервисов посредников - экраны, которые анализируют внутри . Относятся к классам 3,2 и 1.
  3. Прозразные МЭ - экраны, которые пользователь вообще не видит.
  4. Комплексные МЭ представляют из себя смесь первых трех вариантов.
  5. Stealth - это самые мощные экраны, которые вообще не имеют IP-адреса.

Любой межсетевой экран состоит из , пакетного фильтра, шлюзов приложений, средств идентификации и аутентификации, средств регистрации и учета, модуля удаленного управления и конфигурации, средств контроля целостности. И лично автор советует использовать МЭ как внешний шлюз. Самыми распространенными видами сетевых атак, отражаемых МЭ являются: сканирование сетевых портов, атаки на отказ в обслуживании, изучение внутренней сети, использование слабостей прикладного уровня, распространение и .
  Межсетевой экран - не панацея! Это просто "ограждение" вокруг Вашей сети. И еще он настраивается людьми (которым свойственно ошибаться). Статистика ассоциации показывает, что до 70% всех работающих межсетевых экранов уязвимы из-за неправильной конфигурации и настройки! Часта ситуация, когда кроме своих ошибок специалистам по защите информации приходится изменять настройки межсетевого экрана, выполняя идиотские распоряжение начальства (типа "...дай мне доступ к..."). Роль черного входа также может выполнять "неизвестный" модем. К тому же стоит отметить, что "дырки" в позволят злоумышленнику пройти через любой экран.

· VPN (Virtual Private Network) - это безопасный канал связи (т.н. туннель) через существующую сеть, которая имеет IP-инфраструктуру. Перед посылкой данных через этот туннель, устройства VPN, создающие его, кодируют данные. Т.о. технология VPN позволяет использовать недоверенную сетевую инфраструктуру, обеспечив при этом защиту передаваемых данных в соответствии с политикой безопасности конкретной организации.
  Сами устройства VPN - это как аппаратные средства (например, или ), так и программное обеспечением, так и (включая компоненты VPN). Существующая IP-сеть, через которую прокладывается этот VPN-туннель, может быть частной корпоративной сетью, но обычно это сеть Internet. В зависимости от решения, VPN может также соединять удаленных пользователей в корпоративную сеть.

При этом VPN-туннели не нужны, если есть высокоуровневое шифрование. Но даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет реализовывать свои атаки.

  Личное мнение... если у Вас простое соединение 2-3 компьютеров, попробуйте сделать сеть самостоятельно, выбрав карты от Intel-а или 3Com-а. Если же у Вас сложная сеть или компьютеров много - обратитесь к профессионалам. Поверьте - оно того стоит...

©


ноябрь 2001г.-июль 2003г.

[ | | сети | | ]
 



Содержание раздела