Большой архив статей, книг, документации по программированию, вебдизайну, компьютерной графике, сетям, операционным системам и многому другому
 
<Добавить в Избранное>    <Сделать стартовой>    <Реклама на сайте>    <Контакты>
  Главная Документация Программы Обои   Экспорт RSS E-Books
 
 

   Безопасность -> Интернет -> Содержание сети в безопасности при работе с Интернетом


3.5 Интеграция модемных пулов с брандмауэрами

Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе 2.3.2, это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

Рисунок 3.5

Рисунок 3.5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.

Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.

Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.

Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.

Рисунок 3.6

При использовании брандмауэров на основе шлюза с двумя интерфейсами и с изолированной подсетью маршрутизатор, соединенный с Интернетом, будет предотвращать прямую передачу данных между системами в Интернете и модемным пулом. Кроме того, при использовании брандмауэра с изолированной подсетью внутренний маршрутизатор сделает невозможной прямую передачу данных между внутренними систеами и модемным пулом; а при использовании брандмауэра на основе шлюза с двумя интерфейсами прикладной шлюз также помешает этому. Пользователи, устанавливающие соединение через модемный пул, смогут установить соединение с внутренними системами только через прикладной шлюз, который может использовать средства усиленной аутентификации.

Если сеть использует какие-либо средства защиты этого рода при установлении соединения через модем, то должна строго соблюдаться политика, запрещающая пользователям устанавливать соединения с внутренней сетью через модемы в местах, отличных от этой изолирвоанной подсети. Даже если модем имеет встроенные средства защиты, это только усложнит схему защиты брандмауэра и добавит еще одно "слабое звено" к цепочке.

Содержание| Вперед



 

 
Интересное в сети
 
10 новых программ
CodeLobster PHP Edition 3.7.2
WinToFlash 0.7.0008
Free Video to Flash Converter 4.7.24
Total Commander v7.55
aTunes 2.0.1
Process Explorer v12.04
Backup42 v3.0
Predator 2.0.1
FastStone Image Viewer 4.1
Process Lasso 3.70.4
FastStone Image Viewer 4.0
Xion Audio Player 1.0.125
Notepad GNU v.2.2.8.7.7
K-Lite Codec Pack 5.3.0 Full


Наши сервисы
Рассылка новостей. Подпишитесь на рассылку сейчас и вы всегда будете в курсе последних событий в мире информационных технологий.
Новостные информеры. Поставьте наши информеры к себе и у вас на сайте появится дополнительный постоянно обновляемый раздел.
Добавление статей. Если вы являетесь автором статьи или обзора на тему ИТ присылайте материал нам, мы с удовольствием опубликуем его у себя на сайте.
Реклама на сайте. Размещая рекламу у нас, вы получите новых посетителей, которые могут стать вашими клиентами.
 
Это интересно
 

Copyright © CompDoc.Ru
При цитировании и перепечатке ссылка на www.compdoc.ru обязательна. Карта сайта.