Отчет о научно-исследовательской работе Студента Акимова Михаила Владимировича (Фамилия, имя, отчество) Руководитель Журавлев Сергей Иванович



бет14/16
Дата06.07.2022
өлшемі1 Mb.
#459619
түріОтчет
1   ...   8   9   10   11   12   13   14   15   16
НИР(I-ая часть магистерской диссертации, М.В.Акимов)

фильтрации информации
Рассмотрим некоторые простейшие варианты использования ViPNet Coordinator:

  1. Нуждается обеспечить возможность взаимодействия каждых компьютеров локальной сети, в том количестве туннелируемых, с открытыми родниками Интернета, а также взаимодействие туннелируемых ресурсов с защищенными узлами.

В этом инциденте для всех интерфейсах наступает установить 2 порядок.

  • В окне Открытая сеть следует создать транзитное правило для диапазона адресов локальной сети на соответствующем интерфейсе (устройства 1) и всех адресов на внешнем интерфейсе (устройства 2). Для этого правила создать фильтр Все протоколы, в котором задать направление соединения от устройств 1 к устройствам 2.

  • Для работы туннелируемых устройств никаких дополнительных правил создавать не надо, поскольку правило по умолчанию в окне Туннелируемые источники разрешает работу туннелируемых устройств (если их адреса заданы на координаторе в качестве туннелируемых) со всеми защищенными узлами, с которыми связан Ваш координатор. При таких настройках:

  • координатор полностью защищен от всяких видов атак из откры­той внешней сети (Интернет) и из локальной сети;

  • осуществляется защищенное взаимодействие с сетевыми узлами

из окна;

  • защищенная сеть и туннелируемыми источниками координаторов;

  • все компьютеры (туннелируемые и нетуннелируемые) внутренней (локальной) сети смогут устанавливать инициативные соединения с открытыми источниками во внешней сети;

  • соединения извне с открытых компьютеров показной сети для компьютеры локальной сети будут невозможны.

  1. Когда нуждается установить какие-либо ограничения для работу пользователей локальной сети с родниками показной сети (предполагать, Интернет), то наступает воспользоваться последующими рекомендациями

  • Когда ViPNet Coordinator используется ради организации взаимодействия только защищенных компьютеров (с ПО ViPNet), то устанавливайте ради всех сетевых интерфейсов один порядок работы.

  • Когда ViPNet Coordinator осуществляет туннелирование незащи-щенных компьютеров локальной сети и присутствие этом должна являться исключена возможность работы этих и других открытых компьютеров локальной сети с открытыми родниками во показной сети, то ради внешних сетевых интерфейсов, устанавливайте первый порядок работы, а ради домашних - второй порядок.

  • Если требуются какие-либо ограничения для туннелируемых ком­пьютеров при их взаимодействии с внешними сетевыми узлами, то в окне Туннелируемые источники можно задать частные (пропускающие либо блокирующие) фильтры между туннелируемыми IP-адресами и сетевыми узлами.

  1. Когда ViPNet Coordinator используется ради организации доступа из показной сети со стороны открытых источников к отдельным открытым родникам, расположенным в демилитаризованной зоне - ДМ3 (после отдельным интерфейсом координатора), то:

  • На всех интерфейсах следует установить второй режим.

  • В транзитных фильтрах добавьте правило ради всех адресов со стороны внешних интерфейсов (Устройства 1) и конкретных адресов серверов со стороны интерфейса ДМ3. В этом правиле создайте фильтры ради пропуска конкретных протоколов и портов с веянием соединения от устройств 1 к устройствам 2. Предполагать, чтобы позволить работу с FTP-сервером в ДМ3 достаточно задать пропускающий фильтр ради TCP- протокола для 21 порт.

  1. Когда всегда же используются для координаторе какие-либо сетевые услуги, которые должны работать с открытыми родниками локальной либо показной сети, то в этом случае:

  • Можно установить на соответствующем интерфейсе третий порядок, который разрешит все исходящие соединения этой службы на координаторе с открытыми источниками соответствующей сети. Но класснее оставить интерфейсы во 2 режиме и настроить в локальных фильтрах правила для исходящих соединений по конкретным протоколам данной службы.

3.3 Режим фильтров координатора в сети с Proxy-серверами


В координаторе "Открытого Интернета" с целью сетевого интерфейса со стороны локальной сети вводится 1 порядок (в этом порядке блокируется любой открытый траффик, равно как внешне, таким образом и внутри локальной сети). С целью сетевого интерфейса со стороны Сеть интернет порядок избирается в зависимости от вида установки Proxy-сервера.
Данный вид более предпочтителен, поскольку открытый траффик Сеть интернет в координатор никак не попадает. И компьютерам с нашей локальной сети запрещено доступ к сеть интернет ключам, что и необходимо в задании. Этим наиболее обеспечивается полная безопасность координатора.
При любом виде:

  1. Любой открытый комплект, поступивший внешне сети, присутствие его передаче внутрь сети, шифруется и инкапсулируется в целостный UDP- формат IP-пакета (IP/241 или UDP). Этот комплект может являться восстановлен в исходный тип только узлом с ViPNet Client, которому он предуготовлен.

  2. Поступивший внутри сети инкапсулированный программой ViPNet Client IP-комплект Сеть интернет-приложения преобразуется Координатором в исходный тип, поступает в Proxy- компьютер и отправляется им в Сеть интернет.

То есть при всяких атаках ни один пакет из Интернета в незашифрованном виде на другие компьютеры попасть не может, а, следовательно, не может нанести и урона.
Для координатора "Открытого Интернета" в сетевом интерфейсе со стороны локальной сети устанавливается 1 порядок (в этом режиме блокируется любой открытый трафик, подобно снаружи, беспричинно и изнутри локальной сети). Ради сетевого интерфейса со стороны Интернет порядок выбирается в зависимости от варианта установки Proxy-сервера.
Этот вид более предпочтителен, поскольку открытый трафик Интернет для координатора не попадает. И компьютерам из нашей локальной сети запрещён доступ к интернет родникам, что и нуждается в задании. Тем самым обеспечивается полная безопасность координатора.
Для любого варианта:

  1. Любой открытый часть, поступивший снаружи сети, присутствие его передаче вовнутрь сети, шифруется и инкапсулируется в целый UDP-формат IP-пакета (IP/241 либо UDP). Определенный часть может являться восстановлен в исходный тип только узлом с ViPNet Client, которому он предуготовлен.

  2. Поступивший изнутри сети инкапсулированный программой ViPNet Client IP-часть Интернет-приложения преобразуется Координатором в исходный тип, поступает для Proxy- сервер и отправляется им в Интернет.

То употреблять присутствие каждых атаках ни один часть из Интернета в незашифрованном образе для другие компьютеры попасть не может, а, следовательно, не может нанести и урона.



Достарыңызбен бөлісу:
1   ...   8   9   10   11   12   13   14   15   16




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет