Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Экранирующий модуль встраивается в ядро операционной системы между канальным и сетевым уровнями. Он перехватывает все пакеты, поступающие из/в сетевой/ую карты/у, и обрабатывает их в соответствии со специфицированной базой правил. Такая обработка производится для калс-дого сетевого интерфейса на серверах и шлюзах. При фильтрации все правила, заданные для данного интерфейса, просматриваются по очереди. Если подходящее правило найдено, выполняются заданные в нем действия (протоколирование, шифрование и т.д.), после чего пакет пропускается или отвергается. Таким образом, экранирующий модуль FireWaIl-I
Применение межсетевых экранов
331
функционирует независимо от сетевых механизмов операционной системы. Работа в пространстве ядра позволяет избежать многочисленных переключений контекстов процессов, что существенно повышает эффективность фильтрации.
Экранирующий модуль FireWaIl-I способен выполнять еще одну очень важную функцию - трансляцию сетевых адресов. Она не только уменьшает потребность в легальных IP-адресах (в пределах защищаемой сети могут использоваться произвольные адреса, которые при выходе во внешние сети преобразуются и попадают в диапазон, выделенный данной организации), но и скрывает топологию защищаемой сети, что существенно затрудняет действия злоумышленников.
Шифрование в Checkpoint Fi reWall-1
По мере становления и развития VPN в системе Internet и использования этой информационной магистрали для совершения кредитных операций, продаж и электронного документооборота резко усилились попытки несанкционированного доступа в сети подобного вида. При ведении торговли через Internet, включая пересылку денелшых средств, получение и проверку кредитной информации, продажу и далее поставку, требуется надежная и эффективная защита. Новинка для семейства Checkpoint FireWaIl-I версии 2.Х - это отдельная линия продуктов с расширенными возможностями шифрования. Теперь все продукты Checkpoint Fire Wall-1 поддерживают работу с шифрованными данными (поставляется как дополнение).
Checkpoint FireWaIl-I предоставляет безопасную двунаправленную связь через Internet и механизм шифрования, а также подписи для гарантии целостности данных и конфиденциальности при соединении виртуальных частных сетей. Checkpoint FireWaIl-I обеспечивает все потребности защиты предприятия:
• конфиденциальность (подслушивание на линии невозможно);
• подлинность (невозможны подстановки сетевых адресов);
• целостность (подстановка и модификация данных на лету невозможна).
Checkpoint FireWaIl-I реализует единую интегрированную стратегию защиты с распознаванием клиентов и шифрованием данных. Предлагая различные схемы шифрования и интегрированные системы распределения ключей, Checkpoint FireWaIl-I позволяет предприятию полностью использовать возможности Internet для ведения бизнеса и обеспечения связи.
Checkpoint FireWaIl-I поддерживает скорость шифрования более 10 Мб/с на обычных настольных рабочих станциях. Управление полностью интегрировано в редактор базы правил графического интерфейса пользователя
332 Компьютерная безопасность и практическое применение криптографии
Private
Admin
RartdD
HQ (RreWalled gateway) n
maiisrvr......tuMZ-rmt
ftp.....{
http.....i
Щ > зашифрованный трафик -4-*~ открытый трафик
Private
London-net
(Я
Sales
Рис. 3.24. Пример корпоративной сети
Checkpoint FireWaIl-I и охватывает средства просмотра регистрационных записей. Продукт версии 2.1 поставляется с алгоритмом шифрования FWZl и реализует выборочное шифрование для широкого спектра сетевых протоколов. Кодирование, декодирование и распределение ключей интегрировано с другими продуктами Checkpoint.
На рис. 3.24 изображена общая корпоративная сеть, где две частных сети соединены через Internet, а также через шлюз Fire Wall. HQ- станция управления для обеих сетей. Частные сети (hq-сеть и DMZnet) защищены шлюзом Fire Wall, но внешняя часть сети Internet рассматривается как открытая и небезопасная.
Шлюзы выполняют шифрование для каждой из своих областей; либо для локальной вычислительной сети, либо для группы сетей, которые защищаются шлюзом. За шлюзом, во внутренних сетях, пакеты не шифруются. Область шифрования HQ состоит из HQnet и DMZnet, а область шифрования в London из London-net. Если администратор системы определил, что связь между HQ и London должна быть зашифрована, Checkpoint FireWaIl-I начнет шифровать пакеты, проходящие через шлюзовой вход (gateway) в Internet.
Таким образом, шифрование может использоваться в гетерогенной сети без установки и конфигурирования сети на каждом отдельном компьютере.
Применение межсетевых экранов
333
Аутентификация в Checkpoint Fi reWall-1
Checkpoint FireWaIl-I обеспечивает пользователям, в том числе удаленным и клиентам dial-up, защищенный доступ к сетевым ресурсам организации с установлением подлинности пользователя при помощи различных схем ее проверки.
Прежде чем соединение пользователя будет разрешено, механизм установления подлинности FireWaIl-I определит, какой именно пользователь пытается установить соединение и как он себя авторизует. Заметим, что для этого не потребуется каких-либо изменений на серверах и в клиентских приложениях.
