2. интрасетей ЯК ОСНОВНИЙ об'єктом нападу ІЗINTERNET
2.1. Поняття локальної мережі та завдання її захисту
Функціональні можливості интрасети охоплюють дуже широкий спектр - починаючи від роботи зі статичними Web-сторінками, які замінюють корпоративні друковані документи або забезпечують новий спосіб спільного використання інформації, і закінчуючи складними клієнтськими інтерфейсами для офісних серверних додатків [14-17].
1) мережевої інфраструктури,
няться. Інтрамережа використовує ще один протокол - HTTP (Hypertext Transfer Protocol). Він застосовується для передачі текстів, зображень і гіперпосилань (тобто зв'язків з іншими електронними документами), що вказують на Web-сторінки. Можна сказати, що TCP / IP - це основний спосіб, за допомогою якого комп'ютери зв'язуються в мережі, a HTTP - якийсь верхній рівень, що дає їм можливість обмінюватися інформацією.
Документи. Вміст интрасети - тобто переглядається інформація - зберігається в документах. За замовчуванням вони мають формат HTML (Hypertext Makeup Language) - текстовий формат, що складається з власне тексту, тегів, які керують форматуванням, і гіперпосилань, що вказують на інші документи. Мова HTML має успіх з кількох причин:
• документи HTML мають невеликі розміри, що полегшує їх передачу по мережі;
• мова HTML є текстовим і не залежить від будь-якої платформи, так що сервери і клієнти можуть бути встановлені на будь-яких комп'ютерних платформах;
• формат HTML є більш-менш відкритим стандартом, і кошти розробки для нього створюються безліччю компаній.
Хоча документи HTML є ключовим компонентом будь-якої локальної мережі, документи інших типів також можуть відігравати важливу роль.
• пошук інформації та підключення до Web-серверу;
• завантаження, форматування і виведення на екран документів на мові HTML;
• розпізнавання гіперпосилань і перехід до відповідних документів;
• забезпечення таких стандартних засобів роботи, як кнопки Back (Назад) і Next (Далі), папки Favorites (Вибране) і History (Журнал).
Крім різноманітного мережевого устаткування, интрасеть складається з наступних програмних компонент:
1) програмного забезпечення (ПО) внутрішнього Web-сервера організації, що містить відомості про діяльність фірми (товари, ціни, розпорядження керівництва, документи для узгодження і обговорення і т. П.) І поєднаного з наявними базами даних ( "Склад", "Фонди "," Бухгалтерія "і т. д.);
• визначення кола користувачів;
• вибір технічних стандартів;
• вироблення принципів підготовки інформаційного наповнення Web-вузлів і його поновлення;
Стандартизація браузерів, серверів і специфікацій HTML спрощується у міру того, як характеристики різних продуктів і API стають приблизно однаковими. Однак деякі тонкі відмінності все ж залишаються - навіть в тому, яким чином браузери підтримують основні можливості HTML, такі як таблиці і фрейми.
Зазначимо чотири основних види интрасетей, розглядаючи їх від найпростіших моделей до тих, які тільки прогнозуються до появи.
1). Базова мережева інфраструктура організації доповнюється браузерами і Web-серверами з базовим інформаційним наповненням. Значимість цього наповнення сприяє тому, що різні підрозділи компанії приєднуються до системи ^ і до-
добавляють інформацію, а, отже, значимість интрасети експоненціально збільшується. Коли мережа починає широко використовуватися і з'являється можливість доступу до "критичної" маси даних, увагу адміністратора перемикається на структуру і організацію інформації.
2). На додаток до першої моделі вводяться пошукові засоби інформації. Механізми пошуку інформації та путівники по Web спрощують користувачам знаходження документів, проте призводять до ускладнення системи, оскільки потребують управлінні індексами пошуку. Крім того, вони змушують адміністраторів з підвищеною увагою ставитися до системної і мережевий продуктивності. При цьому користувачі отримують динамічний доступ до статичних даних.
3). На додаток до другої моделі реалізуються інтерфейси між системою і існуючими базами даних і додатками. Це дозволяє пов'язати з внутрішнім Інтернетом фінансові, кадрові, інженерні, комерційні та інші додатки та бази даних, щоб забезпечити до них більш широкий доступ за допомогою простого у використанні клієнтського інтерфейсу.
Для того щоб забезпечити інтерфейс з зовнішніми ресурсами, потрібно спеціалізований програмний код. У багатьох випадках необхідний додатковий код для інтеграції інформації з багатьох джерел в єдине уявлення.
Користувачі отримують кошти доступу нового покоління, які базуються на "виштовхує" (push) моделі надання інформації. Замість здійснення запитів і пошуку (за системою "витягування" інформації), користувачі створюють свої профілі за інтересами, на які орієнтується система, приймаючи рішення, яку інформацію видати даному пользова-
телю. Користувач отримує повідомлення, коли його цікавлять дані надходять в интрасеть або коли відбуваються певні зміни елемента бази даних. Тепер интрасеть забезпечує динамічний доступ до динамічних даними.
У такій интрасети корпорація може будувати додатки, що забезпечують інтеграцію даних з багатьох джерел.
4). Маючи доступ до всієї корпоративної інформації, організації налаштовують його відповідно до завдань бізнесу, потребами своїх клієнтів або окремих службовців. У цій моделі интрасети забезпечується персоніфікований доступ до персоніфікованих даних усередині і - при відповідних умовах - поза корпорацією.
Поки интрасети четвертого виду - це архітектура корпоративної інформації майбутнього, що забезпечує родючий грунт для розробки і розгортання додатків.
Під інформаційними ресурсами локальної мережі, згідно з визначенням Гостехкомиссии РФ, будемо розуміти сукупність даних і програм, задіяних при обробці інформації технічними засобами. Специфіка захисту інформаційних ресурсів локальної мережі обумовлюється, зокрема, тим, що вони найчастіше знаходяться в різних підмережах або сегментах. При цьому в захищається интрасети можуть існувати сегменти з різним ступенем захищеності:
• вільно доступні (різні сервери);
• з обмеженим доступом;
• закриті для доступу.
Поділ интрасети на сегменти здійснюється установкою таких захисних засобів, як міжмережеві екрани (МЕ).
Інтрамережі можуть бути ізольовані від зовнішніх користувачів Internet за допомогою МЕ або проста функціонувати як автономні мережі, які не мають доступу ззовні (другий випадок не становить інтересу для даного навчального посібника). Зазвичай компанії створюють интрасети для своїх співробітників, однак повноваження на доступ до них іноді надаються діловим партнерам та іншим групам користувачів.
Іншим способом забезпечення спільного доступу ділових партнерів до інформації, що зберігається в інтрамережі, є створення екстрамережі (extranet). Цим терміном зазвичай називають частину интрасети, призначену для доступу ззовні. Ділові партнери часто створюють екстрамережі, що забезпечують обмежений доступ до окремих частин своїх интрасетей. Діловим партнерам доступні тільки ті частини интрасети, на які вони мають відповідні права доступу. Для конкурентів ж будь-який доступ до такої интрасети закритий. Екстрамережі підключаються до корпоративної інтрамережі через сервер дистанційного доступу або виділену лінію з маршрутизатором.
Ідеальна интрасеть розділена, по крайней мере, на три компонента. З'єднання internet з МЕ має бути виконано через виділений мережевий адаптер, що забезпечить МЕ повний контроль над маршрутизацією вхідних пакетів. На комп'ютері з встановленим МЕ допускається розміщення другого адаптера, за допомогою якого користувачі підключаються до інших корпоративних мереж (утворюючи екстрамережі). Комп'ютер з МЕ разом із зовнішніми з'єднаннями називається периметром.
Третій мережевий адаптер служить для зв'язку МЕ з захищається частиною интрасети. МЕ можна налаштувати на заборону доступу до численних типів даних, наприклад, заборонити передачу файлів FTP. Ця функція забезпечує більш досконалу захист і дозволяє усунути потенційні проломи в МЕ, якими можуть скористатися зловмисники.
(Схеми підключення интрасетей з різною кількістю МЕ наведені в главі 6.)
Найбільшу небезпеку для интрасетей представляють "неофіційні" (і відповідно незахищені) Web-сервери, але навіть санкціоновані і правильно встановлені сервери та інше обладнання і ПЗ интрасетей потенційно вразливі. Системні адміністратори можуть випадково залишити "лазівки": під час налаштування таблиць маршрутизації МЕ, при створенні додатків на HTML або при установці на сервері захисту рівня межпрограммного взаємодії.
Істотно, що захист интрасети організації складається із зовнішнього захисту (захисту периметра), захисту транзакцій і цілісності даних і систем, що має бути доповнене системою адміністративного контролю, оповіщення і реакції на несанкціоновані вторгнення в интрасеть.
Один з привабливих технічних підходів до забезпечення безпеки інтрамережі - створення централізованої схеми управління на базі захисного сервера. Хороший захисний сервер організації повинен забезпечувати прозоре уявлення інформації про всі доступні користувачеві ресурсах. Яку б ОС клієнт ні використовував, графічна інформація про доступні йому додатках, системах і ресурсах повинна надаватися з урахуванням міркувань безпеки. Інформація на захисному сервері періодично оновлюється, при цьому з точки зору користувача нічого не змінюється.