Информационная защита локальных сетей с Proxy-серверами и координаторами внутри сети

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование



ом между объектами системы либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.

.Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая атака "Отказ в обслуживании".

Глава 3. Разработка защищенной сети

3.1 Выбор средств защиты

Сегодня даже в небольших компаниях есть несколько персональных компьютеров, где содержится конфиденциальная информация (сведения о партнерах и конкурентах, договоры, бухгалтерские отчеты и т.п.). Как правило, они объединены в локальную сеть и подключены к Интернету. Однако выход из локальной в глобальную сеть подразумевает и обратный процесс: вход из глобальной сети в локальную. В результате секретная информация, хранящаяся в компьютерах компании, становится уязвимой, появляется возможность для несанкционированного доступа к ней. Существует даже решение Государственной технической комиссии при Президенте РФ №61, предусматривающее запрет на "подключение к международным информационным системам, включая сеть Интернет, технических средств, которые обрабатывают составляющие государственную тайну сведения. до тех пор, пока не будут решены технические и организационные вопросы, гарантирующие надежность защиты этих средств" (пункты 2 и 3).

Одним словом, весьма актуальна проблема защиты информации от "любителей" подбирать пароли, портить программное обеспечение, искажать данные в локальных сетях и на отдельных компьютерах, уничтожать конфиденциальную информацию, подбрасывать вирусы, производить информационное блокирование серверов.

Один из лидеров в области программного обеспечения для защиты данных - компания "Инфотекс", которая выпустила серию программных продуктов под торговой маркой ViPNet: ViPNet CUSTOM, ViPNet CORPORATE, ViPNet OFFICE, ViPNet TUNNEL, ViPNet DESK.

В основе решений ViPNet - пакет программ, являющийся универсальным программным средством для создания виртуальных защищенных сетей (VPN) любой конфигурации, интегрированных с системой распределенных персональных и межсетевых экранов (МЭ).

Виртуальная сеть строится путем установки на компьютеры (сетевые узлы) двух типов программного обеспечения: ViPNet-клиента и ViPNet-координатора. ViPNet-клиент обеспечивает сетевую защиту и включение в VPN отдельных компьютеров. Компьютер с ViPNet-координатором обычно устанавливается на границах локальных сетей и их сегментов, обеспечивает включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах независимо от типа адреса, выделяемого им, разделение и защиту сетей от сетевых атак, а также оповещение ViPNet-клиента о состоянии других сетевых узлов, связанных с ним.

Пакет программ ViPNet реализован для операционных систем Windows, Linux, Solaris. Управление виртуальной сетью, допустимыми связями и распределением ключевой информации между узлами обеспечивается из Центра управления сетью (ЦУС).

.2 Общие принципы взаимодействия узлов в виртуальной сети

Сетевые узлы (абонентские пункты и координаторы) сети ViPNet могут работать в глобальной сети как автономно, то есть не устанавливаться ни за какие типы межсетевых экранов (Firewall), так и могут устанавливаться за различные типы Firewall и другие устройства, выполняющие функции преобразования адресов (NAT). Выбор того или иного режима работы модуля ViPNet определяется местом и способом подключения узла ViPNet к сети.

Оповещение абонентского пункта о состоянии других узлов сети для взаимодействия с ними осуществляет сервер IP-адресов (функциональная составляющая координатора). По умолчанию функции сервера IP-адресов для абонентского пункта выполняет координатор, на котором этот абонентский пункт был зарегистрирован в ЦУСе. Этот координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с данным абонентским пунктом.

Однако пользователь, при необходимости, может выбрать в качестве сервера IP-адресов и любой другой координатор, доступный ему. В этом случае абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе. Команда о назначении сервера IP-адресов может быть прислана также из ЦУСа. Технология обмена информацией о сетевых настройках узлов в сети ViPNet выполняется на прикладном уровне операционной системы, но здесь подробно не рассматривается. Все основные технические решения, обеспечивающие создание туннельных VPN-соединений и фильтрацию трафика, реализованы в низкоуровневом драйвере модуля ViPNet. Этот драйвер взаимодействует с драйверами сетевых интерфейсов (реальных или их эмулирующих) операционной системы и для него нет принципиального значения, каким способом подключен компьютер к сети. Это может быть сеть Ethernet или PPPoE через XDSL-подключение, PPP через обычный Dial UP или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. Модуль ViPNet автоматически поддерживает разнообразные протоколы канального уровня. Для