Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Протоколы и схемы аутентификацииСодержание книги Поиск на нашем сайте
Межсетевые экраны могут использовать встроенные и внешние схемы и протоколы аутентификации. Выбор схемы аутентификации зависит от требования надежности и возможности интеграции с существующим программным обеспечением.
- Клиент, аутентичность которого необходимо доказать - Сервер, услугами которого хочет воспользоваться клиент - Сервер проверки подлинности (третья сторона)
Обнаружение вторжений и аномальной активности
Под аномальной активностью понимаются такие сетевые события, которые нельзя классифицировать как атаку, но в тоже время их поведение отличается от нормального. К аномальной активности можно отнести возрастание объема сетевых подключений, трафика, сообщений протокола ISMP. Существует класс программного обеспечения решающих задачу обнаружения вторжений и аномальной активности – IDS.
Управление бюджетами пользователей
В большой организации может стать проблемой, как для сетевых администраторов, так и для пользователей сети. Доступ к таким корпоративным ресурсам как web-сервер, почтовый сервер и т.д. требуют процедуру аутентификации, а это значит, что для каждого пользователя всех информационных ресурсов должны существовать его учётные записи или бюджеты. Помимо этого проблема усугубляется тем что: 1. Прикладные службы установлены физически на разных хостах 2. Наличие в сети нескольких серверных платформ 3. Разделение обязанностей между администраторами Бюджет пользователя на межсетевом экране может быть сформирован одним из следующих образов: 4. Создан непосредственно на межсетевом экране В этом случае администратор межсетевого экрана вводит самостоятельно всю необходимую учётную информацию, в том числе и пароль. Это применяется только в небольшой организации. 5. Импорт бюджетов пользователей Большинство межсетевых экранов под управление ОС Windows позволяет импортировать и даже синхронизировать бюджеты пользователей с доменов Windows 6. Импорт централизованной базы данных или сервера аутентификации, Для этого используется технология LDAP Контроль времени действия правил политики безопасности
Политика безопасности может быть значительно усилена за счёт использования временных ограничений правил действия межсетевого экрана. Преимущества: 7. Позволяет сосредоточить анализ аудита безопасности в строго определённое время 8. Повысить организацию дисциплины рабочего времени 9. Предотвратить несанкционированное использование рабочих станций в целях НСД к сетевым ресурсам в нерабочее время 10. Выполнять в установленное время технологические мероприятия на сервера сети без потери рабочего времени сотрудников
Технология VPN
Технология VPN выполняет 2 основные функции: 11. Шифрование данных, за счёт чего обеспечивается безопасность сетевых соединений(RC4, DES, Triple DES). 12. Туннелированние протоколов, что обеспечивает прозрачность использования данной технологии(L2TP, PPTP, IPSec). Продукты VPN могут быть реализованные в виде: 13. самостоятельных программных продуктов 14. аппаратных устройств 15. дополнительных функций маршрутизаторов и коммутаторов 16. дополнительных функций межсетевого экрана 17. дополнительных функций операционной системы. Под термином VPN понимается организация защищённых информационных потоков между объектами виртуальной сети организованных через сети общего пользования. Защищенные потоки могут быть созданы между VPN-шлюзами сети, VPN-шлюзом и VPN-клиентом и между клиентами сети. VPN-шлюз - это сетевое устройство, установленное на границе сети, выполняющее функции образования защищенных VPN-канала, аутентификации и авторизации клиентов VPN-сети.VPN-шлюз располагается аналогично межсетевому экрану, таким образом чтобы через него проходил весь сетевой трафик организации. VPN-клиент - программное обеспечение иногда с аппаратной частью, устанавливаемое на хостах пользователей и осуществляющее подключение к сети VPN. Существует 5 вариантов расположения VPN-шлюза относительно межсетевому экрану: 1. Межсетевой экран перед VPN-шлюзом 2. VPN-шлюз перед межсетевым экраном 3. Межсетевой экран с VPN-шлюзом 4/5. Межсетевой экран параллельно VPN-шлюзу
Протоколы VPN
Стек протоколов IPSec
Схема протоколов IPSec обеспечивает решение следующих задач: 1. При инициализации защищенного канала 2. Шифрование и аутентификацию передаваемых данных между конечным точками защищенного канала. 3. Безопасное снабжение конечных точек секретными ключами. Решение данных задач реализует три протокола: ¾ AH (Authentification Header) - Заголовок аутентификации, обеспечивающий целостность и аутентификацию данных и опционально предоставляет сервис от ложного воспроизведения. ¾ ESP (Encapsulation Security) - Обеспечивает прежде всего конфиденциальность трафика. работает в двух режимах: в транспортном и в туннельном. ¾ IKE (Internet Key Exchange) - Выполняет функции инициализации защищенного канала и управление ключами шифрование и дешифрования.
Протокол РРТР (Point-to-point tunneling protocol)
Основное преимущество РРТР заключается в его многопротокольности, т.е. возможности инкапсулирования различных протоколов IP, IPX и т.д. РРТР инкапсулирует PPP пакеты в IP пакеты с помощью заголовка GRE.
Протокол РРТР использует протоколы аутентификации MSChap и EAP-TLS. Шифрование пакетов в РРТР реализуется с помощью протокола МРРЕ в котором использован алгоритм RC-4, с длино1 ключа 40 или 128 бит. Инициализация канала PPTP выполняется удаленным пользователем путем установки ТСР соединения(порт: 1723) с сервером RAS, выполняющим функции однонаправленного VPN-шлюза.
Прокол L2TP
К основным свойствам L2TP относятся: 1. Прозрачность для конечных систем(протокол использует схему, в которой туннель образуется между сервером удаленного доступа провайдера LAC и маршрутизатором корпоративной сети LNS). 2. Аутентификация в рамках возможностей, заложенных в протокол РРР (MSChap, Pap-Chap, Radius, Tacacs). 3. Назначение адреса клиенту выполняется сервером LNS, а не провайдером. L2TP может работать поверх любого транспортного прокола с коммутацией пакетов. L2TP используется пакеты UDP на порте 17.01.
Протокол аутентификации L2F ...
|
|||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2016-12-30; просмотров: 492; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.129.253.21 (0.008 с.) |