Отчет о научно-исследовательской работе Студента Акимова Михаила Владимировича (Фамилия, имя, отчество) Руководитель Журавлев Сергей Иванович
VPN на базе выделенных аппаратных средств
жүктеу/скачать 1 Mb.
|
- Бұл бет үшін навигация:
- 2.2.3 VPN-шлюзы Alcatel серии 7130
- Выводы ко второй главе
- 3. Проектирование и формирование VPN
- 3.1 Просмотр режимов для защиты сетевых интерфейсов
- 3.2 Выбор настроек для сетевых интерфейсов и разработка правил
| 2.2.2 VPN на базе выделенных аппаратных средств
Выделенные аппаратные VPN-шлюзы реализованы в виде отдельного аппаратного устройства, основная функция которого — высокопроизводительное шифрование трафика. По удобству и простоте инсталляции аппаратные шлюзы превосходят такие комбинированные решения, как шлюзы на основе межсетевых экранов и маршрутизаторов. Аппаратное устройство уже при включении готово к работе, ему не нужно проходить громоздкий процесс инсталляции в среде какой-нибудь операционной системы. 2.2.3 VPN-шлюзы Alcatel серии 7130 Компания Alcatel выпускает семейство защищенных шлюзов для виртуальных частных сетей VPN — Alcatel 7132, 7133, 7134 и 7137 Secure VPN Gateway (SVG) (рис. 5), которые ранее выпускались как серия продуктов 230 SVG. Эти продукты представляют собой шлюзы, защищенные от взлома и предназначенные для защиты данных в корпоративных сетях типа интранет и экстранет, а также в каналах удаленного доступа через Интернет. Эти выделенные сетевые устройства могут сопрягаться с любой существующей сетевой инфраструктурой для поддержки безопасных услуг VPN. Все четыре версии шлюзов могут настраиваться, отслеживаться и проверяться в удаленном режиме из любой точки мира через защищенные виртуальные частные сети с помощью средства удаленной конфигурации Alcatel Secure VPN Remote Configuration Utility. Защищенные шлюзы Alcatel имеют следующие свойства: безопасность и надежность — защищенная от взлома платформа, имеющая сертификат FIPS-140 и предназначенная для установки в помещении заказчика; высокая производительность — алгоритмы шифрования DES и 3DES поддерживают общую пропускную способность, характерную для локальных сетей (LAN); избыточные блоки, находящиеся в режиме «горячего» ожидания, поддерживают все активные настройки безопасности для приложений VPN, имеющих критически важное значение для бизнеса; взаимодействие — шлюзы сертифицированы ICSA на совмести- мость с IPSec; масштабируемость — поддерживаются тысячи одновременных защищенных сессий TCP/IP. Рис. 6. Внешний вид VPN-шлюзов Alcatel серии 71 хх. Шлюз Alcatel 7132 SVG — это недорогое выделенное устройство, которое устанавливается в помещении заказчика и поддерживает платфор- мно-независимый широкополосный доступ для мобильных сотрудников и малых удаленных офисов. Устройства Alcatel 7133 и 7134 SVG предназначены для отделений крупных компаний и небольших корпоративных локальных сетей, а также для внутренних локальных сетей с каналами Т1/Е1. Эти устройства поддерживают сотни удаленных пользователей. Устройство Alcatel 7137 SVG может быть использовано для широкополосных приложений с использованием каналов ТЗ, а также для внутренних локальных сетей Fast Ethernet. Alcatel 7137 SVG поддерживает тысячи удаленных пользователей. Выводы ко второй главе 1. Основные тенденции российского рынка VPN, а именно: высокий уровень государственного регулирования, что приводит к медленному росту этого сегмента рынка ИБ; технологическое преимущество западных продуктов по критериям масштабируемости, простоты обслуживания, и интеграции дополнительных функций; широкий выбор и активное технологическое развитие российских средств построения VPN. Для определения соответствующего типа безопасности нужно выбрать соответствующий VPN. Также основным признаками для определения типа подходящего типа VPN - это: по типу клиента, по типу гибридной сети VPN, стоимость соответствующего продукта VPN. 3. Проектирование и формирование VPN План защиты, обеспечивающая выполнение сформулированных требований: Рис 7. План защиты, обеспечивающая выполнение сформулированных требований. Использование Proxy-сервера Proxy-серверы безопасны в использовании, потому который они дают широкий выбор решений проблем безопасности: Запись информации; Интерфейсы; Аутентификация; Инвертированный прокси; Запись информации. Proxy-серверы позволяют протоколировать всё, что происходит в вашей системе: подключения, отключения, успешную и пустую проверку логина, а также ошибки. Интерфейсы Proxy-серверы позволяют предпочесть, с каким интерфейсом работать. У компьютера может являться больше одной сетевой карты. Proxy-серверы начинают возможность предпочесть ради каждого обслу- живания отдельно, с какой сетью работать и данными какой из сетей пользоваться. Чтобы настроить прокси, который обслуживает Интернет, интерфейсу достаточно являться локальным. Локальный интерфейс начинает прокси намек получать запросы только от домашней сети. Аутенфикация Proxy-серверы поддерживает несколько видов аутентификации: Проверка подлинности прозванье пользователя/пароля, которая является долей протокола (SOCKS5); Допустимое название пользователя, которое проверяется для соответствие имени ЛР компьютера; Аутенфикация заказчика, ради которой компьютер компьютер запускает отдельного заказчика, который совпадает со особым прокси, чтобы пройти аутенфикацию для нем. Инвертированный Proxy-серверы Можно настроить прокси беспричинно, чтобы позволить подключения из Интернета (в этом инциденте интерфейсом довольно Интернет, а не локальная козни) и обращать их к особому серверу, такому подобно вебсервер либо SMTP/POP3 сервер. Таким образом, когда хакеры будут оценивать прокси-сервер компьютером, им может удаться остановить сервис, но у них не получится удалить либо испортить причина. При работе с Proxy-сервером выполняем ниже следующее: Не дозволяем прокси брать подключения из общественных интерфейсов. Для всех сервисов включаем протоколирование данных. Устанавливаем обязательную аутенфикацию ради всех поддерживаемых сервисов. Устанавливаем современное ПО. Proxy-серверы позволяют протоколировать всегда, что происходит в вашей системе: подключения, отключения, успешную и пустую проверку логина, а также ошибки. Интерфейсы Proxy-серверы позволяют предпочесть, с каким интерфейсом работать. У компьютера может являться больше одной сетевой карты. Proxy-серверы начинают возможность предпочесть ради каждого обслуживания отдельно, с какой сетью работать и данными какой из сетей пользоваться. Чтобы настроить прокси, который обслуживает Интернет, интерфейсу достаточно являться локальным. Локальный интерфейс начинает прокси намек получать запросы только от домашней сети. Аутенфикация Прокси-сервер поддерживает несколько видов аутентификации: Проверка подлинности прозванье пользователя/пароля, которая является долей протокола (SOCKS5); Допустимое название пользователя, которое проверяется для соответствие имени/IP компьютера; Аутенфикация заказчика, ради которой компьютер компьютер запускает отдельного заказчика, который совпадает со особым прокси, чтобы пройти аутенфикацию для нем. Инвертированные Proxy-серверы Можно настроить прокси беспричинно, чтобы позволить подключения из Интернета (в этом инциденте интерфейсом довольно Интернет, а не локальная козни) и обращать их к особому серверу, такому подобно вебсервер либо SMTP/POP3 сервер. Таким образом, когда хакеры будут оценивать прокси-сервер компьютером, им может удаться остановить сервис, но у них не получится удалить либо испортить причина. При работе с прокси-сервером выполняем нижеследующее: Не решаем прокси брать подключения из общественных интерфейсов. Для всех сервисов включаем протоколирование данных. Устанавливаем обязательную аутенфикацию ради всех поддерживаемых сервисов. Устанавливаем современное ПО. 3.1 Просмотр режимов для защиты сетевых интерфейсов Принципы, в соответствии с которыми производится фильтрование трафика, высокомерничаются в окнах защищенной сети, открытой сети и туннелируемых ресурсов. Действия надо оберегаемым трафиком из числа одним узлом и иными оберегаемыми узлами полностью определяются в окне Оберегаемая проделки.ткрытый временный траффик, который никак не попал под процедура буква одного с установленных в окне Открытая проделки фильтров, регулярно блокируется. Для локального открытого трафика, для которого никак не определены устремляла фильтрации в окне Открытая проделки, можно определить устремляла выбором режима (2 или 3 процедура) с целью некотором интерфейсе. Кроме того выбором режима с целью интерфейсе можно самостоятельно от фильтров блокировать любой открытый траффик (1 процедура) или пропустить любой открытый локальный траффик (4 процедура). С учетом сказанного возможны дальнейшие системы работы: 1-й порядок (Блокировать IP-пакеты абсолютно всех соединений) блокирует в сетевом интерфейсе любые открытые IP-пакеты, в том количестве туннелируемые. Поэтому такой порядок необходимо использовать в интерфейсах, в каком месте открытые IP-пакеты пропускаться никак не должны. 2-е и 3-и системы функционируют только в открытый локальный и широковещательный траффик, и определяют процесс - наложить запрет или предоставить возможность создание соединений, принципы обработки которых, никак не установлены в локальных и широковещательных фильтрах открытой сети. 2-й режим (Блокировать все соединения кроме разрешенных) блокирует создание всяких таких соединений (установлен по умолчанию). 3-й режим (Пропускать все исходящие соединения кроме запрещенных) пропускает исходящие и блокирует входящие соединения. 4-й режим (Пропускать все соединения) также действует только на локальный трафик. Это тестовый режим, в котором разрешается создание всяких локальных соединений. Компьютер в этом режиме открыт для несанкционированного доступа, в связи с чем этот режим может использоваться только для кратковременного включения. 5-й режим (Пропускать IP-пакеты на всех интерфейсах без обработки) на всех интерфейсах прекращает обработку любого трафика (открытого и закрытого) модулем ViPNet. Прекращаются шифрование и расшифрования трафика, любая фильтрация трафика, трансляция IP-адресов. Информация в канале, компьютер и охраняемые сети в этом режиме открыты для несанкционированного доступа. В связи с чем этот режим также может использоваться только с целью кратковременного тестового введения. По умолчанию в абсолютно всех сетевых интерфейсах координатора вводится 2-й порядок. С целью изъятия уменьшения уровня безопасности координатора, обслуживающего оберегаемую линия, необходимо сторониться установки в координатор любых отраслей, особенно серверов, призывающих взаимодействия с открытыми ключами, равно как локальных, таким образом и наружных сетей. При выполнении данной рекомендации целесообразно: в абсолютно всех интерфейсах координатора защищенной сети определять 2-й порядок, который установлен по умолчанию, не добавлять практически никаких локальных и широковещательных фильтров, при необходимости, необходимо установить фильтры в области транзитных фильтров с целью дозволения создания временных открытых соединений в нужном течении с целью необходимых типов трафика среди сетями, подключенными к разным интерфейсам координатора. В случае если все без исключения ведь необходимо взаимодействие координатора с некоторыми услугами в открытой сети, то в локальных фильтрах необходимо неприятный высокомерничать фильтры только с целью исходящих соединений с целью конкретных протоколов с конкретными IP- адресами. 3-й порядок, позволяющий исходящий локальный траффик, рекомендуется использовать только в координаторах, никак не обслуживающих оберегаемую линия, а используемых с целью организации доступа с локальной сети в Сеть интернет. Настройки режимов безопасности производятся в окне Свойства сетевых интерфейсов в вкладке Порядок (Рисунок 33). С целью вызова окна Свойства сетевых интерфейсов найдите сетевой сокет в окне Сетные интерфейсы и воспользуйтесь пунктом главного рацион Воздействия -> Сетные интерфейсы (или контекстным рацион Свойства...). Для превращения порядка безопасности предпочтете нужный порядок в перечне Порядок интерфейса. Для отключения обработки трафика (открытого и закрытого) модулем ViPNet установите флажок Пропускать IP-пакеты в абсолютно всех интерфейсах в отсутствии обработки. 3.2 Выбор настроек для сетевых интерфейсов и разработка правил жүктеу/скачать 1 Mb. Достарыңызбен бөлісу:
|