Інформаційна безпека в Intranet
Ми переходимо до розгляду мір програмно-технічного рівня, спрямованих на забезпечення інформаційної безпеки систем, побудованих у технології Intranet. На перше місце серед таких мір ми поставимо міжмережеві екрани - засіб розмежування доступу, що служить для захисту від зовнішніх погроз і від погроз з боку користувачів інших сегментів корпоративних мереж.Відзначимо, що бороти з погрозами, властивому мережному середовищу, засобами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, що напевно містить, крім явних помилок, деякі особливості, що можуть бути використані для одержання нелегальних привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в стані врахувати всі наслідки вироблених змін (як і лікар, що не відає всіх побічних впливів лік, що рекомендуються,). Нарешті, в універсальної системі пролому в безпеці постійно створюються самими користувачами (слабкі і/чи рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.).
Як указувалося вище, єдиний перспективний шлях зв'язаний з розробкою спеціалізованих захисних засобів, що у силу своєї простоти допускають формальну чи неформальну верифікацію. Міжмережевий екран саме і є таким засобом, що допускає подальшу декомпозицію, зв'язану з обслуговуванням різних мережних протоколів.
Міжмережевий екран - це напівпроникна мембрана, що розташовується між що захищається (внутрішньої) мережею і зовнішнім середовищем (зовнішніми чи мережами іншими сегментами корпоративної мережі) і контролює всі інформаційні потоки у внутрішню мережу і з її (Рис. 2.3.1). Контроль інформаційних потоків складається в їхній фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран і мережні аспекти, що є вираженням, політики безпеки організації.
Малюнок 2.3.1
Малюнок 2.3.1 Міжмережевий екран як засіб контролю інформаційних потоків.
Доцільно розділити випадки, коли екран установлюється на границі з зовнішньої (звичайно загальнодоступної) чи мережею на границі між сегментами однієї корпоративної мережі. Відповідно, ми буде говорити про зовнішньому і внутрішньому міжмережевих екрани.
Як правило, при спілкуванні з зовнішніми мережами використовується виняткове сімейство протоколів TCP/IP. Тому зовнішній міжмережевий екран повинний враховувати специфіку цих протоколів. Для внутрішніх екранів ситуація складніше, тут варто брати до уваги крім TCP/IP принаймні протоколи SPX/IPX, застосовувані в мережах Novell NetWare.
Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є, скоріше, виключенням, чим правилом. Навпроти, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожний з який підключений до мережі загального користування (Рис. 2.3.2). У цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (керування й аудита) усіх компонентів.
Малюнок 2.3.2
Малюнок 2.3.2 Екранування корпоративної мережі, що складає з декількох територіально рознесених сегментів, кожний з який підключений до мережі загального користування.
При розгляді будь-якого питання, що стосується мережних технологій, основою служить еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати по тому, на якому рівні виробляється фільтрація - канальному, мережному, транспортному чи прикладному. Відповідно, можна говорити про концентратори, що екранують, (рівень 2), маршрутизаторах (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.
У даній роботі ми не будемо розглядати концентратори, що екранують, оскільки концептуально вони мало відрізняються від маршрутизаторів, що екранують.