Система обеспечения защищенности локальной сети отдела воинской части
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
ством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
На предприятии установлены два МЭ FireWall-1, разработанные компанией Check Point Software Technologies. Брандмауэр FireWall-1 сертифицирован организацией National Computer Security Association (NCSA), а также имеет сертификат Гостехкомиссии по 3-му классу защищенности для межсетевых экранов. FireWall-1 построен на основе разработанной компанией технологии защитных систем, которая получила название Stateful Inspection и является межсетевым экраном экспертного уровня. Архитектура Stateful Inspection позволяет проектировать защищенные вычислительные системы, отличающиеся высокой масштабируемостью, производительностью и удобством.
Система FireWall-1 предлагает новый подход к безопасности сети, обеспечивая полный и простой контроль доступа к каждой службе и компьютеру сети. FireWall-1 поддерживает все семейство TCP/IP протоколов.
FireWall-1 проверяет прохождение пакетов через все важнейшие точки сети (шлюз интернет, серверы, рабочие станции, маршрутизаторы, коммутаторы и пакетные фильтры), предлагая блокировать все нежелательные попытки связи. Мощная аудиторская система централизует все регистрации в системном журнале и оповещения всей сети на рабочей станции системного администратора.
FireWall-1 совершенно прозрачна к пользовательским приложениям. Характеристики системы никак не затрагиваются, это касается установок программ и устройств, и переустановки не требуется. FireWall-1 сосуществует с другими защитными системами.
Говорится, что хост - хост FireWall, если на него установлен модуль FireWall. Модуль FireWall устанавливается на хост при установке системы FireWall-1 и загружается в ядро системы хоста. Модуль Управления позволяет компилировать правила работы на хосту FireWall. Эти правила можно задействовать на системах FireWall: хостах, серверах, маршрутизаторах, коммутаторах или шлюзах.
При установке на шлюзе модуль FireWall проверяет трафик между сетями. FireWall-1 модуль FireWall устанавливается внутри ядра операционной системы между каналом данных (Data Link) и слоями сети. Поскольку канал данных по сути является сетевой картой (NIC), а слой первого уровня сети - это протокол (например, IP), следовательно, FireWall-1 находится на самом низком программном уровне. Проверка на таком уровне гарантирует то, что модуль FireWall обработает и проверит все входящие и исходящие пакеты в шлюзе. Ни один пакет не будет обработан на более высоком уровне, пока не будет проверен модулем FireWall на соответствие Политике Безопасности. Модуль FireWall проверяет адреса IP, номера портов, а также другую информацию для принятия решения стоит ли принимать пакеты к обработке в соответствии с Правилами Безопасности.
FireWall-1 воспринимает внутреннюю структуру семейства протоколов IP и приложений, построенных на них, и позволяет выделять данные приложений из пакетов, сохранять их и обеспечивать их контекстом в случаях, когда приложение не делает это.
Модуль Управления FireWall-1 используется для конфигурирования Политики Безопасности в рамках предприятия, управления шлюзами и хостами коммутации (Модули FireWall-1), просмотра системного журнала и оповещений.
FireWall работает независимо от интерфейса сети и поэтому поддерживается всеми сетевыми интерфейсами, работающими в ОС [2].
Как упоминалось выше, в отделе установлено два межсетевых экрана фирмы Check Point для создания трех выделенных межсетевыми экранами контуров доставки, адресования и обмена с АС. Межсетевой экран 1 (МЭ 1) обеспечивает фильтрацию пакетов для всех контуров и трансляцию IP-адресов для открытого контура (имеющего произвольные, не доступные из Интернет, IP-адреса). Также Межсетевой экран 1 настроен таким образом, что запрещаются инициированные публичными серверами соединения с контуром адресования. Однако сами сервера должны оставаться доступны для соединений, инициированных как из Интернет, так и из контура адресования. Настройки межсетевого экрана 2 (МЭ 2) обеспечивают обмен между контурами адресования и обмена с АС только по одному порту с помощью специально разработанной программы обмена. Все остальные порты МЭ 2 закрыты. Инициатором обмена может выступать только контур обмена с АС.
в)Программные средства антивирусной защиты для защиты от вредоносных программ. В отделе используется ПО Касперского Business Optimal [10].
д)СЗИ Windows NT 4.0 Service Pack 6. ЛВС отдела построена как домен Windows NT. Сервер БД является первичным контроллером домена (PDC). Также имеется резервный контроллер домена, на который копируется БД PDC. База данных PDC содержит информацию обо всех пользователях и группах в системе. Каждый пользователь, получающий доступ к компьютеру, должен быть распознан системой. При входе в систему средствами Windows NT обеспечивается следующее.
1)Идентификация и аутентификация пользователя или группы. Это выполняется с помощью диспетчера учетных записей защиты (SAM - Security Account Manager). SAM поддерживает базу данных учетных записей защиты (security account datebase), которая обычно называется базой данных SAM и содержит данные обо всех учетных записях пользователей и групп. SAM генерирует идентификаторы защиты (SID), которые уникальным образом обозначают каждую учетную запись пользователя или группы. SAM используется LSA для опознавания пользователей в процессе входа в систему путем сравнения имени пользователя и пароля, введенных пользователем, с соответствующей его записью в базе данных SAM. База данных учетных записей хранится на сервере БД в отдельном файле в каталоге %WinNT%/System32 системы. Копия файла %SystemRoot%\SYSTEM32\CONFIG\SAM содержится в директории %SystemR