Настройка фильтров координатора в сети с Proxy-серверами

 

На координаторе "Открытого Интернета" для сетевого интерфейса со стороны локальной сети устанавливается 1 режим (в этом режиме блокируется любой открытый трафик, как снаружи, так и изнутри локальной сети). Для сетевого интерфейса со стороны Интернет режим выбирается в зависимости от варианта установки Proxy-сервера.

Данный вариант более предпочтителен, поскольку открытый трафик Интернет на координатор не попадает. И компьютерам из нашей локальной сети запрещается доступ к Интернет-ресурсам, что и требуется в задании. Тем самым обеспечивается полная безопасность координатора.

При любом варианте:

Любой открытый пакет, поступивший снаружи сети, при его передаче внутрь сети, шифруется и инкапсулируется в единый UDP-формат IP-пакета (IP/241 или UDP). Данный пакет может быть восстановлен в исходный вид только узлом с ViPNet Client, которому он предназначен.

Поступивший изнутри сети инкапсулированный программой ViPNet Client IP-пакет Интернет-приложения преобразуется Координатором в исходный вид, поступает на Proxy- сервер и отправляется им в Интернет.

То есть при любых атаках ни один пакет из Интернета в незашифрованном виде на другие компьютеры попасть не может, а, следовательно, не может нанести и вреда.

 

Выводы

 

В данной главе была сформирована структура защищённой сети, а также произведена настройка Координатора в соответствии с предъявленными требованиями.

Для настройки Координатора потребовалось проанализировать режимы безопасности сетевых интерфейсов - правила, в соответствии с которыми производится фильтрация трафика.

Мною были выбраны подходящие настройки интерфейса и правила фильтрации для исходной незащищенной сети.

И, в самом конце рассмотрели тонкости взаимодействия Proxy-сервера и Координатора и выбрали возможные режимы работы, которые, при необходимости, можно менять.

Таким образом, в данной главе было завершено формирование защищённого туннеля для наших сетей.

 

Заключение

 

В заключении рассмотрим соответствие требованиям, поставленным в первой главе и выполнение их:

Требуется защита информационного обмена при прохождении через открытый Интернет.

Требуется защита информационного обмена внутри локальных сетей.

Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

Для реализации предъявленных требований, действительно, достаточно установки программного обеспечения ViPNet [Координатор] только на шлюзы ЛВС, потому что весь трафик будет проходить через эти шлюзы и контролироваться.

Для выполнения предъявленных требовании необходимо установить 2 режим фильтрации трафика, при котором все соединения, кроме разрешенных, блокируются, и настроить диапазон адресов локальной сети на соответствующем интерфейсе и всех адресов на внешнем интерфейсе.

В результате этого:

координатор полностью защищен от любых видов атак из открытой внешней сети и из локальной сети;

осуществляется защищенное взаимодействие с сетевыми узлами из окна Защищенная сеть и туннелируемыми ресурсами координаторов;

все компьютеры внутренней (локальной) сети не могут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;

соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут невозможны.

соединения извне с защищенных мобильных компьютеров на компьютеры локальной сети будет возможно.

В результате, в трёх главах данной работы мы проанализировали схему незащищенной сети, выявили значимые свойства данной системы, определили основные угрозы безопасности, от которых мы будем защищать нашу систему, а также требования, которым должна соответствовать защищённая нами система и в конце сформировали модель защищаемой сети.

По итогам анализа полученной защищенной системы можно сказать, что предъявленные требования были выполнены, и организована защита нескольких локальных сетей, связанных через Internet, c Proxy-серверами и Координаторами на них, что соответствует цели данной работы.

 

Список литературы

 

1. Конев И.Р., Беляев А.В. Информационная безопасность предприятия - СПб: БХВ - Петербург 2007. - 752с.: ил.

2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов - М: Горячая линия - Телеком, 2004 - 280 с. Ил.

.   Биячуев Т.А. под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. - СПб: СПб ГУ ИТМО, 2006 - 161 с

.   Зепченков С.В., Милославкая Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. пособие для вузов. М.: Горячая линия - Телеком, 2003, - 249 с.

.   Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. / Под ред. В.Ф. Шаньгина - 2-е изд., перераб. и доп. - М: Радио и связь, 2001.- 376 с.: ил.

.   Браун С. Виртуальные частные сети / С. Браун - Н.: Лори, 2001 - 503с.

.   Кульгин М.В. Компьютерные сети. Практика построения. Для профессионалов. 2-е изд. / М.В. Кульгин - СПб.: Питер, 2003 - 462 с.

.   Хелеби С. Принципы маршрутизации в Internet, 2-е изд. / С. Хелеби, Д. Мак-Ферсон - М.: Издательский дом «Вильяме», 2001. - 448 с.

.   Чирилло Д. Обнаружение хакерских атак / Д. Чирилло - СПб.: Питер, 2003 - 864с.

.   Норткат С. Обнаружение нарушений безопасности в сетях / С. Норткат - М.: Вильямс, 2003 - 448с.

.   Оголюк А.А. Технологии построения системы защиты сложных информационных систем / А.А. Оголюк, А.Ю. Щеглов - М.: Экономика и производство 2007 - 263 с.