gn="justify">. 2.1 Методи захисту
Проаналізувавши загрози можна помітити, що найнебезпечнішими для інфраструктури підприємства є «пасивні» атаки, тобто атаки без фізичного доступу до мережі підприємстві, спрямовані на аналіз і перехоплення мережевого трафіку між головним офісом і філією підприємства, тому захист каналів зв'язку буде самої пріоритетним завданням.
Таблиця 1. аналіз загроз
Найменування угрозиУщербАналіз мережевого трафікаізученіе логіки роботи розподіленої НД, перехоплення потік данних.Подмена довіреної об'єкта або суб'єкта розподіленої ВСНарушенія конфіденційності та цілісності інформацііМодіфікація і підміна інформаціімодіфікація інформації призводить до її часткового спотворення, підміна - до її повного ізмененію.Отказ в обслужіванііЗацікліваніе процедури обробки запиту, переповнення буфера з наступним зависанням системи і т. п.
Таблиця 2. Засоби захисту
Найменування засобів защітиНаіменованіе угрозиVPN на базі протоколу IPsecАналіз мережевого трафікаКонтроль сполук, Політики безопасностіПодмена довіреної об'єкта або суб'єкта розподіленої ВСАнтівірусиМодіфікація і підміна інформацііНастройкі брандмауераОтказ в обслуговуванні
Одним з найбільш ефективних методів захисту каналів обміну інформації між філіями, є шифрування трафіку, але і це не гарантує безпеку переданої інформації. Тому, на мою думку, для підвищення безпеки інформації, необхідно використовувати термінальний доступ.
Для внутрішньої інфраструктури підприємства найбільшу небезпеку представляють атаки спрямовані на модифікацію інформації, тобто вірусні атаки, а так само програми-шпигуни. Проникнення вірусів, можливо лише двома шляхами, локально (переносні запам'ятовуючі пристрої, компакт диски) і через мережу інтернет. Для захисту від інтернет загроз, а так само для економії трафіку використовується Proxy сервер з вбудованим антивірусом. Від «локальних» вірусних погроз використовується антивірус, встановлений на кожному комп'ютері користувачів, який так само служить і другим засобом захисту від інтернет-загроз.
Так само, для підвищення безпеки використовуються обмеження прав доступу користувачів. Це необхідно не тільки для «приховування» важливої ??інформації між користувачами різних відділів, але й тому що для ураження системних файлів віруси використовують саме права доступу користувача.
. 2.2 IPsecSecurity - це комплект протоколів, що стосуються питань шифрування, аутентифікації і забезпечення захисту при транспортуванні IP-пакетів; до його складу входять близько 20 пропозицій за стандартами і 18 RFC.
Специфікація IP Security (відома сьогодні як IPsec) розробляється IETF (Internet Engineering Task Force - проблемна група проектування Internet) В даний час IPsec включає 3 Алгоритм-незалежні базові специфікації, опубліковані в якості RFC-документів Архітектура безпеки IP raquo ;, аутентифицирующей заголовок (AH) raquo ;, Інкапсуляція зашифрованих даних (ESP) raquo ;. Необхідно зауважити, що в березні 1998 року Робоча група IP Security Protocol запропонувала нові версії цих специфікацій, що мають в даний час статус попередніх стандартів. Крім цього, існують декілька алгоритмів-залежних специфікацій, що використовують протоколи MD5, SHA, DES.
Рис. 1 Архітектура IPSec
Робоча група IP Security Protocol розробляє також і протоколи управління ключовою інформацією. У завдання цієї групи входить розробка протоколу IKMP (Internet Key Management Protocol), протоколу управління ключами прикладного рівня, не залежного від використовуваних протоколів забезпечення безпеки. В даний час розглядаються концепції управління ключами з використанням специфікації ISAKMP (Internet Security Association and Key Management Protocol) і протоколу Oakley встановлення ключа (Oakley Key Determination Protocol). Специфікація ISAKMP описує механізми узгодження атрибутів використовуваних протоколів, у той час як протокол Oakley дозволяє встановлювати сесійні ключі на комп'ютери мережі Інтернет. Розглядаються також можливості використання механізмів управління ключами протоколу SKIP. Створювані стандарти управління ключовою інформацією, можливо, будуть підтримувати Центри розподілу ключів, аналогічні використовуваним в системі Kerberos.
Гарантії цілісності та конфіденційності даних в специфікації IPsec забезпечуються за рахунок використання механізмів аутентифікації і шифрування відповідно. Останні, у свою чергу, засновані на попередньому узгодженні сторонами інформаційного обміну т.з. контексту безпеки - Застосовуваних криптографічних алгоритмів, алгоритмів управління ключовою інформацією і їх параметрів. Специфікація IPsec передбачає можливість підтримки сторонами інформаційного об...
