Протоколы и схемы аутентификации

Межсетевые экраны могут использовать встроенные и внешние схемы и протоколы аутентификации. Выбор схемы аутентификации зависит от требования надежности и возможности интеграции с существующим программным обеспечением.

1. Firewall Password, OS Password.
2. S\key – программная схема аутентификации, использующая одноразове пароли. Клиент на основе секретного ключа известного и клиенту и серверу для каждого соединения генерирует одноразовый пароль.
3. Kerberos – стандартный протокол безопасности в интернете использующий трехуровневую архитектуру:

- Клиент, аутентичность которого необходимо доказать

- Сервер, услугами которого хочет воспользоваться клиент

- Сервер проверки подлинности (третья сторона)

1. Secure ID – технология аутентификации, использующая генерацию одноразовых паролей (ОТР).
2. CryptoCard – технология, в основе которой заложены принципы двухфакторной аутентификации. В отличии от Secure ID используется более защищенные методы управления и лицензирования токенов.
3. Tacacs/Radius – данные системы разработаны для централизованного контроля доступа к сети. Серверы Tacacs/Radius выступают в качестве посредников между серверами удаленного доступа и сетевыми сервисами межсетевого экрана, являющимися клиентами.

Обнаружение вторжений и аномальной активности

Под аномальной активностью понимаются такие сетевые события, которые нельзя классифицировать как атаку, но в тоже время их поведение отличается от нормального. К аномальной активности можно отнести возрастание объема сетевых подключений, трафика, сообщений протокола ISMP. Существует класс программного обеспечения решающих задачу обнаружения вторжений и аномальной активности – IDS.

Управление бюджетами пользователей

В большой организации может стать проблемой, как для сетевых администраторов, так и для пользователей сети. Доступ к таким корпоративным ресурсам как web-сервер, почтовый сервер и т.д. требуют процедуру аутентификации, а это значит, что для каждого пользователя всех информационных ресурсов должны существовать его учётные записи или бюджеты. Помимо этого проблема усугубляется тем что:

1. Прикладные службы установлены физически на разных хостах

2. Наличие в сети нескольких серверных платформ

3. Разделение обязанностей между администраторами

Бюджет пользователя на межсетевом экране может быть сформирован одним из следующих образов:

4. Создан непосредственно на межсетевом экране

В этом случае администратор межсетевого экрана вводит самостоятельно всю необходимую учётную информацию, в том числе и пароль. Это применяется только в небольшой организации.

5. Импорт бюджетов пользователей

Большинство межсетевых экранов под управление ОС Windows позволяет импортировать и даже синхронизировать бюджеты пользователей с доменов Windows

6. Импорт централизованной базы данных или сервера аутентификации,

Для этого используется технология LDAP

Контроль времени действия правил политики безопасности

Политика безопасности может быть значительно усилена за счёт использования временных ограничений правил действия межсетевого экрана.

Преимущества:

7. Позволяет сосредоточить анализ аудита безопасности в строго определённое время

8. Повысить организацию дисциплины рабочего времени

9. Предотвратить несанкционированное использование рабочих станций в целях НСД к сетевым ресурсам в нерабочее время

10. Выполнять в установленное время технологические мероприятия на сервера сети без потери рабочего времени сотрудников

Технология VPN

Технология VPN выполняет 2 основные функции:

11. Шифрование данных, за счёт чего обеспечивается безопасность сетевых соединений(RC4, DES, Triple DES).

12. Туннелированние протоколов, что обеспечивает прозрачность использования данной технологии(L2TP, PPTP, IPSec).

Продукты VPN могут быть реализованные в виде:

13. самостоятельных программных продуктов

14. аппаратных устройств

15. дополнительных функций маршрутизаторов и коммутаторов

16. дополнительных функций межсетевого экрана

17. дополнительных функций операционной системы.

Под термином VPN понимается организация защищённых информационных потоков между объектами виртуальной сети организованных через сети общего пользования.

Защищенные потоки могут быть созданы между VPN-шлюзами сети, VPN-шлюзом и VPN-клиентом и между клиентами сети.

VPN-шлюз - это сетевое устройство, установленное на границе сети, выполняющее функции образования защищенных VPN-канала, аутентификации и авторизации клиентов VPN-сети.VPN-шлюз располагается аналогично межсетевому экрану, таким образом чтобы через него проходил весь сетевой трафик организации.

VPN-клиент - программное обеспечение иногда с аппаратной частью, устанавливаемое на хостах пользователей и осуществляющее подключение к сети VPN.

Существует 5 вариантов расположения VPN-шлюза относительно межсетевому экрану:

1. Межсетевой экран перед VPN-шлюзом

2. VPN-шлюз перед межсетевым экраном

3. Межсетевой экран с VPN-шлюзом

4/5. Межсетевой экран параллельно VPN-шлюзу

Протоколы VPN