Обеспечения безопасности удаленного доступа.

Конфигурация компьютера-шлюза.

Аппаратное обеспечение и компоновка системы безопасности

Структура экранирующего сегмента.

В конфигурации firewall с экранирующей подсетью создается дополнительный сетевой сегмент, который размещается между Internet и локальной сетью организации. В типичном случае эта подсеть изолируется маршрутизаторами, которые могут выполнять роль фильтров.

Экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из внешних сетей, так и изнутри. Однако, прямой обмен информационными пакетами между внешними и защищенными сетями невозможен. Экранирующий шлюз является единственной точкой, к которой возможен доступ извне. Это предельно сужает зону риска, состоящую из шлюза и всех маршрутизаторов, осуществляющих связь между экранирующими подсетями, внешними сетями и закрытой локальной сетью. При атаке системы с экранирующей подсетью необходимо преодолеть по крайней мере три независимых линии защиты, что является весьма сложной задачей. Средства мониторинга состояния компонент межсетевого экрана практически неизбежно обнаруживают подобную попытку и администратор системы своевременно может предпринять необходимые действия по предотвращению несанкционированного доступа. В большинстве случаев работа экранирующей подсети очень сильно зависит от комплекта программного обеспечения, установленного на компьютере-шлюзе.

Компьютер-шлюз с программным обеспечением, несущим основную нагрузку, связанную с реализацией политики безопасности, является ключевым элементом межсетевого экрана. В связи с этим он должен удовлетворять ряду требований:

• Быть физически защищенным;
• Иметь средства защиты от загрузки ОС с несанкционированного носителя;
• Иметь средства защиты на уровне ОС, разграничивающие доступ к ресурсам системы;
• ОС компьютера должна запрещать привилегированный доступ к своим ресурсам из локальной сети;
• ОС компьютера должна содержать средства мониторинга/аудита любых административных действий.

Приведенным требованиям удовлетворяют младшие модели серверов SPARC под управлением ОС Solaris.

Работа удаленных пользователей, подключаемых через коммутируемые линии связи, должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Так как телефонные линии невозможно держать под контролем, необходимы дополнительные средства аутентификации пользователей. При этом каждый из легальных пользователей должен иметь возможность доступа к нужным ресурсам.

Типовое решение этой задачи – установка терминального сервера, который обладает необходимыми функциональными возможностями. Сетевой терминальный сервер Annex компании Bay Networks является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью, осуществляется только после соответствующей авторизации и аутентификации внешнего пользователя.

Программное обеспечение терминального сервера предоставляет возможности администрирования и контроля сеансов связи через коммутируемые каналы.