Системы информационной безопасности нового поколения на базе сетевых процессоров

Заборовский В.С.
20.05.2005 | 14:06

   В настоящее время большинство локальных вычислительных сетей (ЛВС) подключены к сети Интернет. Однако отсутствие эффективных средств защиты информации в существующих сетевых протоколах является причиной различных нарушений целостности передаваемых данных. Поэтому расширение спектра и повышение требований к уровню конфиденциальности сетевых приложений требует использования специальных технических средств разграничения доступа к информационным ресурсам и контроля обмена данными между различными компьютерными сетями.

   В качестве таких средств защиты широко применяются межсетевые экраны, называемые в англоязычной литературе firewall. 
   Стандартный межсетевой экран, например Cisco PIX, представляет собой сетевое устройство со встроенной операционной системой, которое включается между двумя сегментами ЛВС таким образом, что весь обмен сетевыми пакетами между этими сегментами ограничивается с помощью специальных правил фильтрации входящих и исходящих потоков данных. При этом используемые правила фильтрации пакетного трафика могут включать запрет на передачу информации как изнутри, так и вовнутрь защищаемого сегмента ЛВС, включая контроль определенных пользователей в установленные интервалы времени.
   Так как набор защищаемых сетевых узлов экранируется одним сетевым интерфейсом рассматриваемого устройства защиты, то на канальном уровне каждый из этих узлов идентифицируется по соответствующему физическому адресу этого же сетевого интерфейса. В результате процедура проверки подлинности абонента сети, уполномоченного на получение доступа к конфигурационному файлу, уязвима для злоумышленников, что подразумевает возможность несанкционированного доступа к информационным ресурсам самого устройства защиты за счет не выявленного разработчиками несовершенства его программного обеспечения.
С целью преодоления указанных выше угроз безопасности, в основу межсетевых экранов ССПТ, положен новый принцип гарантированной безопасности, основанный на полном сокрытии адресов сетевых интерфейсов самих устройств защиты. Технически эта задача решается с помощью того, что межсетевой экран, обладая двумя интерфейсами для обмена данными между открытым и защищенным сегментами сети, рассматривается как неадресуемый (пассивный) сетевой узел. В результате наличие межсетевого экрана не может быть обнаружено никакими техническими средствами, расположенными в открытом или защищенном сегменте сети.
Межсетевой экран сохраняет неизменной информацию об адресах отправителя и/или получателя обрабатываемого с помощью правил фильтрации пакетов, что позволяет полностью сокрыть факт существования межсетевого экрана для пользователей защищенного сегмента сети.
Все внесения изменений в программу фильтрации пакетного трафика, а также управление сетевыми соединениями могут быть выполнены исключительно через специальный интерфейс управления, что полностью устраняет возможность несанкционированного доступа к межсетевому экрану со стороны пользователей расположенных как в защищенном, так и открытом сегментах ЛВС.