Защитный экран (FireWall, firewall) — узел сети, служащий барьером для предотвращения передачи трафика из одного сегмента в другой. Межсетевой защитный экран используется как для уменьшения трафика, так и для повышения безопасности сети; может работать в качестве барьера между частной сетью и сетью общего пользования; может быть реализован с помощью маршрутизатора или другого специального сетевого устройства. Применительно к Интернету и Интранету защитный экран означает систему защиты средств технического, программного и информационного обеспечения компьютерной сети от несанкционированного доступа и различного рода действий, связанных с нарушением их штатной работы или состояния. Защитный экран строится на гибком использовании механизмов разрешающего и запрещающего действия, работа которых основана на принципах фильтрации данных. В составе защитного экрана могут использоваться:
экранирующий шлюз — часть защитного экрана, управляющая отдельными видами сервиса и обеспечивающая безопасное обслуживание ими. Шлюз реализует связь между корпоративными и открытыми сетями, состоит из программ, поддерживающих распространенные виды сервиса сетей Интернета (WWW, FTP, Gopher), называемые сервисными агентами. В процессе сеанса экранирующий шлюз производит детальную аутентификацию пользователей и после этого разрешает или запрещает связь с сетью. Преимущество экранирующих шлюзов — высокая надежность; недостатки — повышенная сложность (в том числе работы для пользователей), узкая специализация, требующая установки для каждого нового сервиса дополнительных агентов, и сравнительно небольшая скорость передачи данных;
пакетный фильтр (экранирующий маршрутизатор) — маршрутизатор, обеспечивающий передачу данных по адресу, установленному системным администратором, а не по указанному в пакете. Это позволяет построить зону статической маршрутизации, включив в нее безопасные почтовые серверы. Фильтры этого типа оперируют наиболее полными данными о топологии сети и направлениях передачи информации. Недостатки: сложность определения их «взлома», отсутствие возможности оптимизации маршрутов передачи данных с учетом содержания сообщений, количественных и других показателей;
транспортный фильтр — фильтр, управляющий сеансами связи. Во время открытия информационного канала и обмена сообщениями он может проверять соответствие адресов, записывать данные в системный журнал, контролировать количественные показатели передаваемых сообщений. Критерии, используемые для блокировки связи: адресные данные (подсети или порта отправителя и/или получателя данных), вид сервиса, время его запроса или предоставления. Достоинства: возможность контроля передаваемых данных, предупреждение о нападении, нахождение ошибок управления и конфигурации экранов, отслеживание подделки адресов, а также блокировки при необходимости вызова соответствующего сервиса.
пакетный фильтр (экранирующий маршрутизатор) — маршрутизатор, обеспечивающий передачу данных по адресу, установленному системным администратором, а не по указанному в пакете. Это позволяет построить зону статической маршрутизации, включив в нее безопасные почтовые серверы. Фильтры этого типа оперируют наиболее полными данными о топологии сети и направлениях передачи информации. Недостатки: сложность определения их «взлома», отсутствие возможности оптимизации маршрутов передачи данных с учетом содержания сообщений, количественных и других показателей;
транспортный фильтр — фильтр, управляющий сеансами связи. Во время открытия информационного канала и обмена сообщениями он может проверять соответствие адресов, записывать данные в системный журнал, контролировать количественные показатели передаваемых сообщений. Критерии, используемые для блокировки связи: адресные данные (подсети или порта отправителя и/или получателя данных), вид сервиса, время его запроса или предоставления. Достоинства: возможность контроля передаваемых данных, предупреждение о нападении, нахождение ошибок управления и конфигурации экранов, отслеживание подделки адресов, а также блокировки при необходимости вызова соответствующего сервиса.
Термины, связанные с защитным экраном:
Агент (прокси, proxy) — программное обеспечение, установленное на защитном экране, которое действует от имени внутреннего пользователя корпоративной сети. Агент устанавливает связь с внешним пользователем, аутентифицирует его и разрешает или запрещает использовать ресурсы данной сети. Агентом называют также компьютер, который функционирует как интерфейс между двумя вычислительными системами, использующими различные стандарты, форматы или протоколы.
Прокси-сервер (proxy server) — вспомогательный (промежуточный) Web-сервер, используемый как посредник между браузером и Web-сервером. Основное назначение прокси-сервера — обеспечить защиту локальной сети от атак. Он экономит объем трафика и ускоряет доступ к данным за счет их кэширования на своем локальном диске.
Анонимный CGI прокси-сервер (анонимайзер; anonymous CGI proxy server) — CGI прокси-сервер, который дает знать удаленному Web-серверу о том, что с ним работает proxy, однако IP-адрес своего клиента ему не сообщает. Отдельную категорию анонимных CGI прокси-серверов составляют реальные анонимные CGI прокси-серверы, которые не дают знать Web-серверу о том, что он работает не с клиентом, а с ним.
Анализ системного журнала (log processing) — процесс проверки системного журнала, поиск в нем признаков атаки и составление отчетов.
Безопасность, обеспечиваемая хостом (host-based security) — защита ЭВМ каждого абонента сети, обеспечиваемая программно-аппаратными средствами хоста.
Виртуальная сеть (virtual network perimeter) — защищаемая сеть, которая разбита на несколько сегментов, связанных в единую систему защищенными каналами через ненадежные сети.
Защищенная подсеть (screened subnet) — подсеть (часть сети), защищенная экранирующим маршрутизатором. Уровень ее доступности и безопасности определяется установленными на маршрутизаторе правилами фильтрации данных.
Защищенный шлюз хоста (screened host gateway) — конфигурация защитного экрана, основанная на использовании экранирующего маршрутизатора хоста. Уровень доступности и безопасности защищенных ЭВМ зависит от установленных для маршрутизатора правил фильтрации данных.
Зона риска (zone of risk) — ЭВМ корпоративной сети, которые могут быть доступны для пользователей при правильной работе защитного экрана. Чтобы обнаружить на них нападение, администратору системы достаточно контролировать лишь зону риска.
Обнаружение нападения (intrusion detection) — поиск признаков нападения в системных журналах или других средствах контроля и регистрации работы вычислительной системы.
Ограничение полномочий (least privilege) — принцип реализации безопасности, в соответствии с которым для каждого пользователя устанавливается необходимый минимум доступных ему полномочий, чем достигается сокращение процессов авторизации и вероятности несанкционированных действий пользователей.
Основной принцип защиты (stance) — стратегия построения защитного экрана, в соответствии с которой «запрещено все, кроме необходимого» или «разрешено все, кроме опасного».
Периметр безопасности (perimeter-based security) — контроль доступа во всех пунктах выхода корпоративной сети к глобальной.
Политика безопасности (policy) — совокупность правил, регламентирующих работу защищаемых средств, а также мер и действий, обеспечивающих их надежную защиту.
Преобразующий маршрутизатор (tunneling router) — маршрутизатор или шлюз, шифрующий поток данных для передачи его через ненадежные сети.
Режим разрушения (failure mode) — характеристика устанавливаемого уровня защиты при настройке экранирующей системы.
Сетевой экран (Network-Level FireWall) — защитный экран, который контролирует поток данных на уровне IP-пакетов.
Срок хранения системного журнала (log retention) — установленное регламентом сети время хранения и анализа системных журналов.
Устройство аутентификации (authentification token) — портативное устройство, используемое для аутентификации пользователя. В основе его работы могут быть заложены различные принципы и алгоритмы (запрос/ответ, списки одноразовых паролей).
Хост-бастион (компьютер-бастион, bastion host) —защищенная ЭВМ, которая устанавливается в уязвимом месте корпоративной сети для создания экранирующей системы.
Шлюзовой экран (dual homed gateway) — экранирующая ЭВМ, связанная каналами передачи данных с двумя или более различными сетями, блокирует прямую передачу IP-пакетов между разделяемыми сетями.
Экранирующий маршрутизатор (screening router) — маршрутизатор, фильтрующий пакеты соответствии с набором правил, установленных администратором сети.
Экранирующий шлюз (application-level FireWall) — фильтр-посредник между пользователями различных сетей. Установление прямого канала связи между отправителем и получателем информации блокируется.
Эшелонированная оборона (defence in depth) — принцип построения системы безопасности, при котором защита устанавливается как на общесистемном уровне (защитный экран), так и на уровнях отдельных ее звеньев, включая ЭВМ конечных пользователей.
AAA (Authentication, Authorisation, Accounting; аутентификация, авторизация, учет) — дополнительная к защитному экрану совокупность мер защиты вычислительных систем и их сетей как от внешних, так и внутренних атак. Аутентификация в телекоммуникационных системах осуществляется под контролем протокола IEEE 802.IX и открытого протокола аутентификации EAP (Extensible Authentication Protocol). Функции учета — при помощи протокола RADIUS.
AAA, 3A (Authentication, Authorisation, Administration; аутентификация, авторизация, администрирование) — концепция построения комплексной системы информационной безопасности корпоративных сетевых инфраструктур, которая предполагает многоуровневое эшелонированное построение средств их защиты от разнородных видов угроз и централизованное управление ими. Рынок программных средств AAA разделяют на два сегмента: управления безопасностью и устранением уязвимостей — SVM (Security and Vulnerability Management) и управления идентификацией и доступом — IAM (Identity and Access Management). К SVM отнесены приложения, которые обеспечивают оценку уязвимостей, управление процедурами настройки средств защиты и автоматическим распространением программных «заплаток» на места «уязвимостей». В IAM входят IM-приложения (Identity Management), которые являются системами централизованного управления учетными записями и разграничения прав доступа пользователей к информационным ресурсам, а также AM-приложения (Access Management) — системы, обеспечивающие логическую связь аутентификации и авторизации пользователей с корпоративными приложениями и сервисами однократной регистрации — SSO (Single Sign-On).
IDS (Intrusion Detection System, система обнаружения вторжений) — один из видов средств защиты, предназначенных для контроля попыток и фактов несанкционированного доступа в информационные системы (локальные и/или распределенные) — ID (Intrusion Detection). Учитывая принцип действия систем обнаружения вторжений, который непосредственно не связан с поиском и устранением уязвимых мест защищаемой системы, их принято относить к пассивным средствам защиты. Различают два вида IDS: создаваемых на базе сети NIDS (Network Intrusion Detecting Systems) и на базе хоста HIDS (Host Intrusion Detecting Systems). IDS называют также программный модуль, используемый в защитных экранах для автоматического обнаружения попыток и/или фактов несанкционированного доступа к сети, блокировки сети и аварийной сигнализации. C 2002-2003 годов модули информационной безопасности стали встраиваться в сетевую инфраструктуру (маршрутизаторы и коммутаторы), а ПО управления — интегрировать с системами управления сетью.
IPS (Intrusion Prevention System, система предотвращения вторжений) — программный модуль для защиты каналов связи. Функции IPS и IDS обычно интегрируют в одном устройстве — ID&PS (Intrusion Detection and Prevention System). Они образуют второй уровень в комплексной системе защиты сети.
LSA (LAN Security Architecture, архитектура безопасности ЛВС) — технология защиты данных в ЛВС, запатентована фирмой 3Com; основана на применении для каждого порта концентратора специальной микросхемы LSA, которая отключает незарегистрированных пользователей, вносит искажения в пакеты данных, не предназначенных для принимающих их пользователей, предупреждает администратора сети о попытках несанкционированного доступа.
Агент (прокси, proxy) — программное обеспечение, установленное на защитном экране, которое действует от имени внутреннего пользователя корпоративной сети. Агент устанавливает связь с внешним пользователем, аутентифицирует его и разрешает или запрещает использовать ресурсы данной сети. Агентом называют также компьютер, который функционирует как интерфейс между двумя вычислительными системами, использующими различные стандарты, форматы или протоколы.
Прокси-сервер (proxy server) — вспомогательный (промежуточный) Web-сервер, используемый как посредник между браузером и Web-сервером. Основное назначение прокси-сервера — обеспечить защиту локальной сети от атак. Он экономит объем трафика и ускоряет доступ к данным за счет их кэширования на своем локальном диске.
Анонимный CGI прокси-сервер (анонимайзер; anonymous CGI proxy server) — CGI прокси-сервер, который дает знать удаленному Web-серверу о том, что с ним работает proxy, однако IP-адрес своего клиента ему не сообщает. Отдельную категорию анонимных CGI прокси-серверов составляют реальные анонимные CGI прокси-серверы, которые не дают знать Web-серверу о том, что он работает не с клиентом, а с ним.
Анализ системного журнала (log processing) — процесс проверки системного журнала, поиск в нем признаков атаки и составление отчетов.
Безопасность, обеспечиваемая хостом (host-based security) — защита ЭВМ каждого абонента сети, обеспечиваемая программно-аппаратными средствами хоста.
Виртуальная сеть (virtual network perimeter) — защищаемая сеть, которая разбита на несколько сегментов, связанных в единую систему защищенными каналами через ненадежные сети.
Защищенная подсеть (screened subnet) — подсеть (часть сети), защищенная экранирующим маршрутизатором. Уровень ее доступности и безопасности определяется установленными на маршрутизаторе правилами фильтрации данных.
Защищенный шлюз хоста (screened host gateway) — конфигурация защитного экрана, основанная на использовании экранирующего маршрутизатора хоста. Уровень доступности и безопасности защищенных ЭВМ зависит от установленных для маршрутизатора правил фильтрации данных.
Зона риска (zone of risk) — ЭВМ корпоративной сети, которые могут быть доступны для пользователей при правильной работе защитного экрана. Чтобы обнаружить на них нападение, администратору системы достаточно контролировать лишь зону риска.
Обнаружение нападения (intrusion detection) — поиск признаков нападения в системных журналах или других средствах контроля и регистрации работы вычислительной системы.
Ограничение полномочий (least privilege) — принцип реализации безопасности, в соответствии с которым для каждого пользователя устанавливается необходимый минимум доступных ему полномочий, чем достигается сокращение процессов авторизации и вероятности несанкционированных действий пользователей.
Основной принцип защиты (stance) — стратегия построения защитного экрана, в соответствии с которой «запрещено все, кроме необходимого» или «разрешено все, кроме опасного».
Периметр безопасности (perimeter-based security) — контроль доступа во всех пунктах выхода корпоративной сети к глобальной.
Политика безопасности (policy) — совокупность правил, регламентирующих работу защищаемых средств, а также мер и действий, обеспечивающих их надежную защиту.
Преобразующий маршрутизатор (tunneling router) — маршрутизатор или шлюз, шифрующий поток данных для передачи его через ненадежные сети.
Режим разрушения (failure mode) — характеристика устанавливаемого уровня защиты при настройке экранирующей системы.
Сетевой экран (Network-Level FireWall) — защитный экран, который контролирует поток данных на уровне IP-пакетов.
Срок хранения системного журнала (log retention) — установленное регламентом сети время хранения и анализа системных журналов.
Устройство аутентификации (authentification token) — портативное устройство, используемое для аутентификации пользователя. В основе его работы могут быть заложены различные принципы и алгоритмы (запрос/ответ, списки одноразовых паролей).
Хост-бастион (компьютер-бастион, bastion host) —защищенная ЭВМ, которая устанавливается в уязвимом месте корпоративной сети для создания экранирующей системы.
Шлюзовой экран (dual homed gateway) — экранирующая ЭВМ, связанная каналами передачи данных с двумя или более различными сетями, блокирует прямую передачу IP-пакетов между разделяемыми сетями.
Экранирующий маршрутизатор (screening router) — маршрутизатор, фильтрующий пакеты соответствии с набором правил, установленных администратором сети.
Экранирующий шлюз (application-level FireWall) — фильтр-посредник между пользователями различных сетей. Установление прямого канала связи между отправителем и получателем информации блокируется.
Эшелонированная оборона (defence in depth) — принцип построения системы безопасности, при котором защита устанавливается как на общесистемном уровне (защитный экран), так и на уровнях отдельных ее звеньев, включая ЭВМ конечных пользователей.
AAA (Authentication, Authorisation, Accounting; аутентификация, авторизация, учет) — дополнительная к защитному экрану совокупность мер защиты вычислительных систем и их сетей как от внешних, так и внутренних атак. Аутентификация в телекоммуникационных системах осуществляется под контролем протокола IEEE 802.IX и открытого протокола аутентификации EAP (Extensible Authentication Protocol). Функции учета — при помощи протокола RADIUS.
AAA, 3A (Authentication, Authorisation, Administration; аутентификация, авторизация, администрирование) — концепция построения комплексной системы информационной безопасности корпоративных сетевых инфраструктур, которая предполагает многоуровневое эшелонированное построение средств их защиты от разнородных видов угроз и централизованное управление ими. Рынок программных средств AAA разделяют на два сегмента: управления безопасностью и устранением уязвимостей — SVM (Security and Vulnerability Management) и управления идентификацией и доступом — IAM (Identity and Access Management). К SVM отнесены приложения, которые обеспечивают оценку уязвимостей, управление процедурами настройки средств защиты и автоматическим распространением программных «заплаток» на места «уязвимостей». В IAM входят IM-приложения (Identity Management), которые являются системами централизованного управления учетными записями и разграничения прав доступа пользователей к информационным ресурсам, а также AM-приложения (Access Management) — системы, обеспечивающие логическую связь аутентификации и авторизации пользователей с корпоративными приложениями и сервисами однократной регистрации — SSO (Single Sign-On).
IDS (Intrusion Detection System, система обнаружения вторжений) — один из видов средств защиты, предназначенных для контроля попыток и фактов несанкционированного доступа в информационные системы (локальные и/или распределенные) — ID (Intrusion Detection). Учитывая принцип действия систем обнаружения вторжений, который непосредственно не связан с поиском и устранением уязвимых мест защищаемой системы, их принято относить к пассивным средствам защиты. Различают два вида IDS: создаваемых на базе сети NIDS (Network Intrusion Detecting Systems) и на базе хоста HIDS (Host Intrusion Detecting Systems). IDS называют также программный модуль, используемый в защитных экранах для автоматического обнаружения попыток и/или фактов несанкционированного доступа к сети, блокировки сети и аварийной сигнализации. C 2002-2003 годов модули информационной безопасности стали встраиваться в сетевую инфраструктуру (маршрутизаторы и коммутаторы), а ПО управления — интегрировать с системами управления сетью.
IPS (Intrusion Prevention System, система предотвращения вторжений) — программный модуль для защиты каналов связи. Функции IPS и IDS обычно интегрируют в одном устройстве — ID&PS (Intrusion Detection and Prevention System). Они образуют второй уровень в комплексной системе защиты сети.
LSA (LAN Security Architecture, архитектура безопасности ЛВС) — технология защиты данных в ЛВС, запатентована фирмой 3Com; основана на применении для каждого порта концентратора специальной микросхемы LSA, которая отключает незарегистрированных пользователей, вносит искажения в пакеты данных, не предназначенных для принимающих их пользователей, предупреждает администратора сети о попытках несанкционированного доступа.
Ошибки и искажения передачи данных, средства их коррекции:
Equalizer — устройство, компенсирующее амплитудные, частотные и фазовые искажения, а также затухание сигнала.
Bit error rate (вероятность ошибок) — отношение числа битов, принятых с ошибками, к общему числу переданных битов; обычно измеряется числом, являющимся отрицательной степенью десяти.
Error correction (исправление ошибок) — метод восстановления целостности данных, принятых с ошибками. Существуют два основных метода исправления ошибок: преобразования полученной избыточной информации и посылкой запроса на повтор данных.
Error detection (обнаружение ошибок) — методы обнаружения ошибок, анализ битов четности, а также вычисление контрольной суммы блока и последующее ее сравнение со значением, переданным вместе с блоком.
Error level (уровень ошибок) — численное значение частоты появления ошибок передачи данных; используется в концентраторах для предотвращения аварийных ситуаций: если уровень ошибок данных, следующих через порт, достигает определенного порога, то порт отключается.
Equalizer — устройство, компенсирующее амплитудные, частотные и фазовые искажения, а также затухание сигнала.
Bit error rate (вероятность ошибок) — отношение числа битов, принятых с ошибками, к общему числу переданных битов; обычно измеряется числом, являющимся отрицательной степенью десяти.
Error correction (исправление ошибок) — метод восстановления целостности данных, принятых с ошибками. Существуют два основных метода исправления ошибок: преобразования полученной избыточной информации и посылкой запроса на повтор данных.
Error detection (обнаружение ошибок) — методы обнаружения ошибок, анализ битов четности, а также вычисление контрольной суммы блока и последующее ее сравнение со значением, переданным вместе с блоком.
Error level (уровень ошибок) — численное значение частоты появления ошибок передачи данных; используется в концентраторах для предотвращения аварийных ситуаций: если уровень ошибок данных, следующих через порт, достигает определенного порога, то порт отключается.