Оглавление NIST 800-10   Политика безопасности при работе в Интернет   Банки данных Интернет  

3.5 Интеграция модемных пулов с брандмауэрами

Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе 2.3.2, это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

Рисунок 3.5

Рисунок 3.5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.

Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.

Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.

Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.

Рисунок 3.6

При использовании брандмауэров на основе шлюза с двумя интерфейсами и с изолированной подсетью маршрутизатор, соединенный с Интернетом, будет предотвращать прямую передачу данных между системами в Интернете и модемным пулом. Кроме того, при использовании брандмауэра с изолированной подсетью внутренний маршрутизатор сделает невозможной прямую передачу данных между внутренними систеами и модемным пулом; а при использовании брандмауэра на основе шлюза с двумя интерфейсами прикладной шлюз также помешает этому. Пользователи, устанавливающие соединение через модемный пул, смогут установить соединение с внутренними системами только через прикладной шлюз, который может использовать средства усиленной аутентификации.

Если сеть использует какие-либо средства защиты этого рода при установлении соединения через модем, то должна строго соблюдаться политика, запрещающая пользователям устанавливать соединения с внутренней сетью через модемы в местах, отличных от этой изолирвоанной подсети. Даже если модем имеет встроенные средства защиты, это только усложнит схему защиты брандмауэра и добавит еще одно "слабое звено" к цепочке.

Назад | Содержание | Вперед

Оглавление NIST 800-10   Политика безопасности при работе в Интернет   Банки данных Интернет  

Знаете ли Вы, что объектно-ориентированное сборочное программирование - это разновидность сборочного программирования:
- основанная на методологии объектно-ориентированного программирования; и
- предполагающая распространение библиотек классов в виде исходного кода (obj) или упаковку классов в динамически компонуемую библиотеку (dll).

НОВОСТИ ФОРУМА

Форум Рыцари теории эфира


Рыцари теории эфира
 10.11.2021 - 12:37: ПЕРСОНАЛИИ - Personalias -> WHO IS WHO - КТО ЕСТЬ КТО - Карим_Хайдаров.
10.11.2021 - 12:36: СОВЕСТЬ - Conscience -> РАСЧЕЛОВЕЧИВАНИЕ ЧЕЛОВЕКА. КОМУ ЭТО НАДО? - Карим_Хайдаров.
10.11.2021 - 12:36: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от д.м.н. Александра Алексеевича Редько - Карим_Хайдаров.
10.11.2021 - 12:35: ЭКОЛОГИЯ - Ecology -> Биологическая безопасность населения - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ПРАВОСУДИЯ.НЕТ - Карим_Хайдаров.
10.11.2021 - 12:34: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вадима Глогера, США - Карим_Хайдаров.
10.11.2021 - 09:18: НОВЫЕ ТЕХНОЛОГИИ - New Technologies -> Волновая генетика Петра Гаряева, 5G-контроль и управление - Карим_Хайдаров.
10.11.2021 - 09:18: ЭКОЛОГИЯ - Ecology -> ЭКОЛОГИЯ ДЛЯ ВСЕХ - Карим_Хайдаров.
10.11.2021 - 09:16: ЭКОЛОГИЯ - Ecology -> ПРОБЛЕМЫ МЕДИЦИНЫ - Карим_Хайдаров.
10.11.2021 - 09:15: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Екатерины Коваленко - Карим_Хайдаров.
10.11.2021 - 09:13: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вильгельма Варкентина - Карим_Хайдаров.
Bourabai Research - Технологии XXI века Bourabai Research Institution