Читать «Безопасность информационных систем. Учебное пособие» онлайн - страница 86

Типовое решение этой задачи – установка терминального сервера, который обладает необходимыми функциональными возможностями. Необходимо использовать сетевой терминальный сервер с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью, осуществляется только после соответствующей авторизации и аутентификации внешнего пользователя.

Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы.

Программа Firewall устанавливается на компьютер-шлюз и выполняет основные функции экранирования межсетевого доступа. Структурно Firewall представляет собой административный модуль, управляющий набором модулей фильтров, установленных соответственно на маршрутизаторах, компьютере и при необходимости на выделенных серверах внутри локальной сети. Необходимо установка модулей фильтрации Firewall на компьютер-шлюз и маршрутизаторы экранирующей подсети.

Работа с программой Firewall состоит из следующих этапов:

• выработка правил фильтрации в соответствии с политикой безопасности предприятия;

• определение сетевых объектов, взаимоотношение которых регламентируется правилами фильтрации;

• определение набора используемых сервисов либо на основе встроенной базы данных, имеющей значительный набор TCP/IP сервисов, либо определяя собственные сервисы, используемые в организации;

• определение базы данных пользователей с указанием возможных рабочих мест, времени работы и порядок аутентификации;

• определение правил фильтрации в интерфейсе Firewall;

• проверка внутренней непротиворечивости набора правил фильтрации;

• компиляция фильтра и его установка на фильтрующих модулях;

• анализ протоколов работы для проверки адекватности политики безопасности предприятия.

Дополнительно включается трансляция адресов. Высокая производительность Firewall и прозрачность программы для пользователей позволяет эффективно использовать его как инструмент межсетевого экранирования в соответствии с политикой безопасности предприятия.

Для эффективной защиты компьютерных сетей также совместно с сетевыми экранами должны быть использованы средства аутентификации. В данном контексте информационной безопасности средство аутентификации предназначено для генерации одноразовых паролей, используемых для аутентификации удаленных пользователей. Преимуществом аутентификации является отсутствие передачи пароля через общедоступные коммуникации. Это делает невозможным получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа telnet.

• В средствах аутентификации используются односторонние функции, для которых восстановление значения аргумента по значению функции (обращение) требует практически недоступных вычислительных ресурсов. Работа таких средств состоит из инициализации, когда пользовательский пароль используется как аргумент односторонней функции, применяемой последовательно N раз, и сеансовой аутентификации, которая сводится к следующему: