ія захищених інформаційних потоків між об'єктами віртуальної мережі, організованих через мережі загального користування.
При цьому потоки данихлокальної і загальної мереж не повинні впливати один на одного. Термін віртуальна вказує на те, що з'єднання між двома вузлами мережі не є постійним і існує тільки під час проходження трафіку по мережі. Об'єктами віртуальної корпоративної мережі можуть виступати об'єднання локальних мереж і окремих комп'ютерів.
Інфраструктура мережі VPN моделюється на основі реальних каналів зв'язку: виділених ліній - провідних ліній, з'єднаних з провайдером, який має високошвидкісні магістральними каналами (оптоволоконними, супутниковими, радіорелейними), об'єднаними в Інтернет, або комутованих ліній - звичайних телефонних каналів. При цьому реальна відкрита мережа може служити основою для цілого безлічі VPN, кінцеве число яких визначається пропускною здатністю відкритих каналів связі.позволяют організувати прозоре для користувачів з'єднання локальних мереж, зберігаючи секретність і цілісність переданої інформації за допомогою шифрування. При цьому при передачі по Інтернет шифрується не тільки дані користувача, але і мережева інформація - мережеві адреси, номери портів і т.д. Технологія віртуальних приватних мереж дозволяє використовувати мережі загального користування для побудови захищених мережевих з'єднань.
Технологія VPN виконує дві основні функції: шифрування даних для забезпечення безпеки мережевих з'єднань і туннелирование протоколів.
Під туннелированием розуміють безпечну передачу даних через відкриті мережі за допомогою безпечного логічного з'єднання, що дозволяє упаковувати дані одного протоколу в пакети іншого.
Захищений потоки (канали) віртуальної приватної мережі можуть бути створені між VРN: -шлюзамі мережі, VРN-шлюзами і VРN-клієнтами, а також між VPNкліентамі. Створення віртуальних захищених каналів досягається за рахунок шифрування трафіку і тунелювання протоколів між об'єктами VРN-сеті.РN-шлюз - мережевий пристрій, встановлений на межі мережі, що виконує функції освіти захищених VРN-каналів, аутентифікації та авторизації клієнтів VPN-мережі. VРN-шлюз розташовується аналогічно МЕ таким чином, щоб через нього проходив весь мережевий трафік організації. У більшості випадків VPN-мережу для користувачів внутрішньої мережі залишається прозорою і не вимагає установки спеціального програмного обеспеченія.РN-клuеllт - програмне оБGспеченіе (іноді з апаратним акселератором), що встановлюється на кqмпьютери користувачів, що здійснюють підключення до сетіVРN (через VРN-шлюзи). VРN-клієнт виконує функції передачі параметрів аутентифікації і шифрування/дешифрування трафіку.
У більшості випадків необхідно одночасно забезпечити функціонування двох каналів - Internet і VPN. При цьому можна використовувати або різні фізичні лінії зв'язку, або одну. Однак вартість експлуатації одного каналу зв'язку для доступу до мережі Internet і підтримки VPN обходиться значно нижче.
3. Програмні засоби виявлення і відбиття загроз
Процес здійснення атаки на АС включає три етапи. Перший етап, підготовчий, полягає в пошуку передумов для здійснення тієї чи іншої атаки. На цьому етапі шукаються уразливості, використання яких призводить до реалізації атаки, т. Е. До другого етапу. На третьому етапі атака завершується, заметені сліди і т. д. При цьому перший і третій етапи самі по собі можуть бути атаками.
Виявляти, блокувати і запобігати атакам можна кількома шляхами. Перший спосіб, і найпоширеніший, - це виявлення вже реалізованих атак. Даний спосіб функціонує на другому етапі здійснення атаки. Цей спосіб застосовується в класичних системах виявлення атак:
серверах аутентифікації;
системах розмежування доступу;
міжмережевих екранах і т. п.
Основним недоліком коштів даного класу є те, що атаки можуть бути реалізовані повторно. Вони також повторно виявляються і блокуються. І так далі, до нескінченності.
Другий шлях - запобігти атакам ще до їх реалізації. Здійснюється це шляхом пошуку вразливостей, які можуть бути використані для реалізації атаки.
І нарешті, третій шлях - виявлення вже скоєних атак і запобігання їх повторного здійснення.
Таким чином, системи виявлення атак можуть бути класифіковані по етапах здійснення атаки.
. Системи, що функціонують на першому етапі здійснення атаки і дозволяють виявити уразливості інформаційної системи, що використовуються порушником для реалізації атаки. Засоби цієї категорії називаються системами аналізу захищеності (security assessment systems) чи сканерами безпеки (security scanners)....
