Секретной является информация, с помощью которой пользователь удостоверяет свою личность.

Обычно это пароль, который пользователь хранит в голове или в своих секретных записях и вводит с клавиатуры.

Для хранения пароля могут применяться специальные устройства: магнитные карты, чип карты, электронные ключи, брелки с USB- интерфейсом и т.д.

Средства зашиты вычислительных сетей предназначены для борьбы с внешними и внутренними угрозами. Для отражения угроз такого рода используют межсетевые экраны или как их еще называют firewall или брандмауэр (brandmauer).

Межсетевой экран – это программная или программно – аппаратная система защиты, обеспечивающая разделение сети на две части.

Суть защиты – пропуск сетевых пакетов с данными из одной части сети в другую в соответствии с установленным набором правил.

Межсетевые экраны могут устанавливаться внутри ЛВС предприятия для создания внутренних защищенных сегментов сети.

Для защиты сети от внешних угроз межсетевой экран устанавливается на границе между ЛВС и глобальной сетью Интернет.

Таким образом, с помощью брандмауэра можно запретить доступ из Интернет во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет.

Брандмауэр может быть установлен и на отдельный персональный комп ьютер или сервер с целью защиты их от несанкционированного доступа со стороны других компьютеров локальной сети или сети Интернет.

В персональном брандмауэре устанавливаются параметры, регулирующие функционирование ПК в сети, например:

- какие программы имеют право на выход в сеть;

- правила пропуска пакетов из сети;

- список доверенных сетевых адресов.

В операционную систему Windows, начиная с ХР, встроен персональный брандмауэр, выполняющий вышеперечисленные функции. Будучи включенным брандмауэр блокирует доступ к компьютеру из сети. Но бывают ситуации, когда для некоторых программ необходимо предоставить возможность доступа к ним из сети, например, программа сетевого общения Skype.

Как правило, межсетевые экраны включают в себя следующие компоненты:

фильтрующий маршрутизатор,

шлюз сетевого уровня,

шлюз прикладного уровня.

Фильтрующий маршрутизатор принимает решение о фильтрации пакетов с данными на основе сведений, содержащихся в IP-заголовке пакета: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя. Тем самым можно запретить общение с нежелательными сервисами в Интернет. Так как кроме IP-заголовка маршрутизатор ничего не проверяет, то, изменив адрес в заголовке, злоумышленник может преодолеть этот барьер и проникнуть в сеть.

Шлюз сетевого уровня выполняет преобразование внутренних IP-адресов в один внешний IP-адрес, через который и происходит обмен данными с внешней сетью. Внутренняя структура локальной сети, таким образом, скрыта от внешнего мира. При этом шлюз при установке связи проверяет допустимость связи клиента с запрашиваемым ресурсом во внешней сети. Однако,такой шлюз пропускает пакеты в обоих направлениях, не проверяя их содержимого.

Шлюз прикладного уровня исключает прямое взаимодействие компьютера локальной сети и внешнего компьютера и дает возможность фильтрации протокола. Кроме этого шлюз предоставляет возможность регистрировать все попытки доступа извне в локальную сеть и предупреждать о возможных атаках на сеть.

Внешний экран на основе специальных правил (списков доступа) не пропускает внешний трафик, приходящий с «запрещенных» адресов сети Интернет. В список «запрещенных» обычно включают адреса спамеров, порносайтов и т.п.

В демилитаризованной зоне размещаются ресурсы, которые должны быть доступны из внешней сети, такие как WEB-сервер, почтовый сервер и т.п. Компьютеры, на которых расположены эти ресурсы имеют реальные IP-адреса, т.е. они «видны» в сети Интернет и к ним может обратиться любой пользователь, но опасность входящего трафика значительно снижена.

Схема взаимодействия внутренней и внешней сетей.

 

Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей.

Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.