1. Засоби захисту в розподілених інформаційно-комунікаційних системах ст. групи СН-41 Кордяк Микола Володимирович Тернопіль 2011

2. Протидія прослуховування трафіку Відмова від використання таких фізичних і логічних мереж, в яких можливе безпосереднє прослуховування трафіку цілого сегмента мережі з будь-якого вузла у ній. Відмова від концентраторів (hub), заміна їх на комутатори (switch). Відмова від використання незахищеного протоколу Telnet і заміна його на SSH. 2

3. Сегментація мережі Сегментація на канальному рівні OSI моделі (data link layer) – використання VLAN (Virtual Local Area Network). Сегментація на мережевому рівні OSI моделі (network layer) – використання маршрутизаторів. При цьому хорошою практикою є ще й використання програмно-апаратних пристроїв таких, як брандмауер. 3

4. Графічне зображення VLAN сегментації 4

5. Графічне зображення сегментації мережі на мережевому рівні 5

6. Резервування мережевого обладнання і каналів зв’язку Необхідно мати резервні копії робочого мережевого обладнання, якщо це можливо, для його швидкої заміни і, відповідно, відновлення нормальної роботи мережі. Резервування каналів зв’язку на канальному рівні OSI моделі – використання протоколу STP (Spanning Tree Protocol). Резервування каналів зв’язку на мережевому рівні OSI моделі – використання протоколів динамічної маршрутизації (routing protocols)RIP, RIPv2, OSPF, BGP, IS-IS та ін. Використання протоколу резервування віртуального маршрутизатора VRRP (Virtual Router Redundancy Protocol). 6

7. Графічне зображення резервування каналів зв’язку на канальному рівні 7

8. Міжмережний екран Міжмережевийекранабомережевийекран – комплекс апаратних і програмнихзасобів, щоздійснюють контроль і фільтраціюпроходячих через ньогомережевихпакетіввідповідно з заданими правилами. Інша назва - Брандмауер(нім. Brandmauer) – запозичений з німецькоїтермін, що є аналогом англійськоготермінуfirewall в його оригінальному значенні (стіна, що розділяє суміжні споруди, захищаючи їх від розповсюдження пожежі). Цікаво, що в області комп’ютерних технології в німецькій мові вживається слово «firewall». 8

9. Можливості міжмережевих екранів Робота міжмережного екрану базується на динамічному виконанні двох груп функцій: Фільтрація інформаційних потоків, що проходять крізь нього. Посередництво під час реалізації міжмережної взаємодії (проксі-сервер). 9

10. Дії, що можуть бути застосовані до пакета при проходженні через міжмережевий екран Пакет вилучається з інформаційного потоку і знищується. Пакет пропускається, тобто надсилається на адресу призначення. Пакет передається певній програмі на оброблення (наприклад, антивірусної перевірки, шифрування-дешифрування тощо). Пакет передається для аналізу наступним фільтром, визначеним із послідовності. 10

11. Розміщення міжмережевих екранів 11

12. Рівні реалізації міжмережевих екранів Пакетні фільтри або керуючі маршрутизатори. Функціонують на мережевому рівні OSI моделі. Шлюзи сеансового рівня. Функціонують, відповідно, на сеансовому рівні OSI моделі (session layer). Прикладні, або екранні шлюзи. Функціонують на прикладному рівні OSI моделі (application layer). 12

13. Недоліки міжмережевого екрану Проникнення в захищену мережу через неконтрольований МЕ. Атака з середини захищеної мережі. Є можливість проникнення через мережеві протоколи (наприклад, SMTP та HTTP). Захист мережі: Аутентифікація. Поєднання МЕ і VPN. Комплексні заходи, поєднання різних засобів. 13

14. Перелік використаних джерел Безпека інформаційно-комунікаційних систем. – К.: Видавнича група BHV, 2009. – 608 с.:іл. http://ru.wikipedia.org/wiki/Межсетевой_экран (05.04.2011)