Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 10
  • Vrste zaštitnih zidova. Sigurnost: firewall, detekcija upada

Vrste zaštitnih zidova. Sigurnost: firewall, detekcija upada

28.04.2019 Windows 10

Postoji nekoliko tipova zaštitnih zidova u zavisnosti od sledećih karakteristika:

    da li štit pruža vezu između jednog čvora i mreže, ili između dvije ili više različitih mreža;

    da li je uključena kontrola protoka podataka mrežni sloj ili viši nivoi OSI modela;

    da li se stanja aktivnih veza prate ili ne.

U zavisnosti od pokrivenosti kontrolisanih tokova podataka, zaštitni zidovi se dele na:

    tradicionalni mrežni (ili firewall) ekran - program (ili sastavni dio operativnog sistema) na gateway-u (uređaj koji prenosi promet između mreža) ili hardversko rješenje koje kontrolira dolazne i odlazne tokove podataka između povezanih mreža (distribuiranih mrežnih objekata );

    personalni firewall - program instaliran na računaru korisnika i dizajniran da zaštiti samo ovaj računar od neovlaštenog pristupa.

U zavisnosti od nivoa OSI na kojem se javlja kontrola pristupa, zaštitni zidovi mogu raditi na:

    mrežni sloj kada se filtriranje dešava na osnovu adresa pošiljaoca i primaoca paketa, brojeva portova transportnog sloja OSI modela i statičkih pravila koje postavlja administrator;

    nivo sesije(takođe poznat kao stateful), kada se prate sesije između aplikacija i ne proslijeđuju se paketi koji krše TCP/IP specifikacije, često se koriste u zlonamjernim operacijama - skeniranje resursa, hakovanja kroz pogrešne TCP/IP implementacije, prekidi/usporavanja veze, ubacivanje podataka;

    aplikacioni sloj(ili sloj aplikacije) kada se filtriranje zasniva na analizi podaci aplikacije proslijeđen unutar paketa. Ove vrste ekrana vam omogućavaju da blokirate prijenos neželjenih i potencijalno štetnih informacija na osnovu pravila i postavki.

Filtriranje mrežnog sloja

Filtriranje dolaznih i odlaznih paketa vrši se na osnovu informacija sadržanih u sljedećim poljima zaglavlja TCP i IP paketa: IP adresa pošiljaoca; IP adresa primaoca; port pošiljaoca; port primaoca.

Filtriranje se može implementirati na različite načine kako bi se blokirale veze s određenim računalima ili portovima. Na primjer, možete blokirati veze koje dolaze sa određenih adresa onih računara i mreža koje se smatraju nepouzdanim.

    relativno niska cijena;

    fleksibilnost u definiranju pravila filtriranja;

    malo kašnjenje u prolazu paketa.

Nedostaci:

    ne prikuplja fragmentirane pakete;

    ne postoji način da se prate odnosi (veze) između paketa.?

Filtriranje nivoa sesije

U zavisnosti od praćenja aktivnih veza, zaštitni zidovi mogu biti:

    bez državljanstva(jednostavno filtriranje), koji ne prate trenutne veze (na primjer, TCP), već filtriraju tok podataka isključivo na osnovu statičkih pravila;

    inspekcija paketa sa stanjem stanja (SPI)(filtriranje na osnovu konteksta), uz praćenje trenutnih veza i preskakanje samo onih paketa koji zadovoljavaju logiku i algoritme odgovarajućih protokola i aplikacija.

Zaštitni zidovi sa SPI vam omogućavaju da se efikasnije nosite sa raznim vrstama DoS napada i ranjivosti u nekim mrežnim protokolima. Osim toga, oni obezbjeđuju rad protokola kao što su H.323, SIP, FTP, itd., koji koriste složene šeme za prijenos podataka između primalaca koje je teško opisati statičkim pravilima i često su nekompatibilni sa standardnim zaštitnim zidovima bez stanja.

Prednosti ovog filtriranja uključuju:

    analiza sadržaja paketa;

    nisu potrebne nikakve informacije o radu protokola sloja 7.

Nedostaci:

    teško je analizirati podatke na nivou aplikacije (moguće korišćenjem ALG-a - pristupnika na nivou aplikacije).

Gateway na nivou aplikacije, ALG (gateway na nivou aplikacije) - komponenta NAT rutera koja razumije aplikacijski protokol, i kada paketi ovog protokola prođu kroz njega, modificira ih na način da korisnici iza NAT-a mogu koristiti protokol.

ALG usluga pruža podršku za protokole sloja aplikacije (kao što su SIP, H.323, FTP, itd.) za koje nije dozvoljeno prevođenje mrežnih adresa. Ova usluga određuje tip aplikacije u paketima koji dolaze iz interfejsa interna mreža i na odgovarajući način izvrši prevod adrese/porta za njih preko eksternog interfejsa.

SPI tehnologija (Stateful Packet Inspection) ili Stateful Packet Inspection tehnologija je danas napredna metoda kontrole saobraćaja. Ova tehnologija vam omogućava da kontrolišete podatke do nivoa aplikacije, bez potrebe za posebnom posredničkom ili proxy aplikacijom za svaki zaštićeni protokol ili mrežnu uslugu.

Istorijski gledano, zaštitni zidovi su evoluirali iz filtera paketa opšte namene, zatim su se počeli pojavljivati ​​posrednički programi za pojedinačne protokole i konačno je razvijena tehnologija kontrole stanja. Prethodne tehnologije samo su se dopunjavale, ali nisu pružale sveobuhvatnu kontrolu nad vezama. Filteri paketa nemaju pristup informacijama o vezi i stanju aplikacije koje su potrebne za donošenje konačne sigurnosne odluke. Brokeri obrađuju samo podatke na nivou aplikacije, što često dovodi do različitih mogućnosti za hakovanje sistema. Arhitektura kontrole stanja je jedinstvena jer vam omogućava da manipulišete svim informacijama koje prolaze kroz gateway mašinu: podacima iz paketa, podacima o stanju veze, podacima potrebnim aplikaciji.

Primjer mehanizmaStatefulInspekcija. Firewall prati FTP sesiju provjeravanjem podataka na nivou aplikacije. Kada klijent zatraži od servera da otvori obrnutu vezu (FTP PORT komanda), zaštitni zid izdvaja broj porta iz zahtjeva. Lista pohranjuje adrese klijenta i servera, brojeve portova. Kada otkrije pokušaj uspostavljanja FTP-data veze, zaštitni zid prolazi kroz listu i provjerava da li je veza u stvari odgovor na važeći zahtjev klijenta. Mrežna lista se održava dinamički, samo tako potrebni portovi FTP. Čim se sesija zatvori, portovi se blokiraju, pružajući visok nivo sigurnosti.

Rice. 2.12. Primjer kako mehanizam Stateful Inspection radi sa FTP protokolom

Filtriranje sloja aplikacije

Kako bi zaštitili brojne ranjivosti svojstvene filtriranju paketa, zaštitni zidovi moraju koristiti aplikacije za filtriranje veza sa uslugama kao što su Telnet, HTTP, FTP. Takva aplikacija se naziva proxy usluga, a host koji pokreće proxy uslugu naziva se gateway sloja aplikacije. Takav gateway eliminira direktnu komunikaciju između ovlaštenog klijenta i vanjskog hosta. Gateway filtrira sve dolazne i odlazne pakete na sloju aplikacije (sloj aplikacije - gornji sloj mrežnog modela) i može analizirati sadržaj podataka, kao što je URL sadržan u HTTP poruci ili naredba sadržana u FTP poruci . Ponekad je efikasnije filtrirati pakete na osnovu informacija sadržanih u samim podacima. Filteri paketa i filteri sloja veze ne koriste sadržaj toka informacija prilikom donošenja odluka o filtriranju, ali to se može učiniti korištenjem filtriranja sloja aplikacije. Filteri na nivou aplikacije mogu koristiti informacije iz zaglavlja paketa, kao i sadržaj podataka i korisničke informacije. Administratori mogu koristiti filtriranje sloja aplikacije za kontrolu pristupa na osnovu identiteta korisnika i/ili na osnovu specifičnog zadatka koji korisnik pokušava izvršiti. U filterima na nivou aplikacije, možete postaviti pravila na osnovu naredbi koje izdaje aplikacija. Na primjer, administrator može spriječiti određenog korisnika da preuzme datoteke na određeni računar pomoću FTP-a ili dozvoli korisniku da otpremi datoteke putem FTP-a na isti računar.

Prednosti ovog filtriranja uključuju:

    jednostavna pravila filtriranja;

    mogućnost organizovanja velikog broja provera. Zaštita na sloju aplikacije omogućava veliki broj dodatnih provjera, što smanjuje vjerovatnoću hakovanja korištenjem "rupa" u softveru;

    sposobnost analize podataka aplikacije.

Nedostaci:

    relativno loše performanse u poređenju sa filtriranjem paketa;

    proxy mora razumjeti svoj vlastiti protokol (ne može se koristiti s nepoznatim protokolima)?;

    po pravilu radi pod kontrolom složenih operativnih sistema.

Uz veliki izbor profesionalnih softverskih alata za zaštitu od raznih vrsta napada na lokalnu mrežu izvana (odnosno s interneta), svi oni imaju jedan ozbiljan nedostatak - visoku cijenu. A ako govorimo o malim mrežama SOHO klase, onda je nabavka solidnih paketa luksuz koji se ne može priuštiti. Istovremeno, vrijedno je napomenuti da za male mreže mogućnosti takvih paketa mogu biti čak i suvišne. Stoga su jeftina hardverska rješenja - firewall - naširoko korištena za zaštitu malih mreža SOHO klase. Po svom dizajnu, firewall mogu biti implementirani kao zasebno rješenje ili biti sastavni dio rutera klase SOHO, posebno bežičnih rutera, što omogućava kombinovanje žičanih i bežičnih LAN segmenata na njihovoj osnovi.
U ovom članku ćemo pogledati glavne karakteristike modernih hardverskih zaštitnih zidova koji su ugrađeni u rutere klase SOHO i koji se koriste za zaštitu malih lokalnih mreža.

Zaštitni zidovi kao sastavni dio rutera

Budući da su ruteri mrežni uređaji instalirani na granici između interne i eksterne mreže i djeluju kao mrežni gateway, oni po dizajnu moraju imati najmanje dva porta. Jedan od ovih portova se povezuje lokalnoj mreži, i taj port postaje interni LAN port. Eksterna mreža (Internet) je povezana na drugi port, pretvarajući ga u eksterni WAN port. Ruteri SOHO klase po pravilu imaju jedan WAN port i nekoliko (od jednog do četiri) LAN porta, koji su kombinovani u komutator. U većini slučajeva, WAN port sviča ima 10/100Base-TX sučelje, a na njega se može povezati ili xDSL modem sa odgovarajućim interfejsom ili Ethernet mrežni kabl.

Osim toga, široko rasprostranjena bežične mreže dovelo je do pojave čitave klase takozvanih bežičnih rutera. Ovi uređaji, pored klasičnog rutera sa WAN i LAN portovima, sadrže integrisanu tačku bežični pristup, koji podržava IEEE 802.11a/b/g protokol. Bežični segment mreža, koja vam omogućava da organizujete pristupnu tačku, sa pozicije rutera se odnosi na internu mrežu, i u tom smislu se računari povezani na ruter bežično ne razlikuju od onih koji su povezani na LAN port.

Svaki ruter, kao uređaj mrežnog sloja, ima svoju IP adresu. Pored rutera, WAN port ima i svoju IP adresu.

Računari povezani na LAN portove rutera moraju imati IP adresu na istoj podmreži kao i sam ruter. Osim toga, u mrežnim postavkama ovih računara morate postaviti zadanu adresu mrežnog prolaza da odgovara IP adresi rutera. Konačno, uređaj koji se povezuje na WAN port sa vanjske mreže mora imati IP adresu iz iste podmreže kao i WAN port rutera.

Budući da ruter djeluje kao gateway između lokalne mreže i Interneta, logično je očekivati ​​od njega takvu funkciju kao što je zaštita interne mreže od neovlaštenog pristupa. Dakle, skoro sve savremeni ruteri SOHO klase imaju ugrađene hardverske zaštitne zidove, koji se nazivaju i zaštitni zidovi.

Funkcije zaštitnog zida

Glavni zadatak bilo kog firewall-a na kraju se svodi na osiguranje interne mreže. Da bi riješili ovaj problem, zaštitni zidovi moraju biti u mogućnosti da maskiraju zaštićenu mrežu, blokiraju sve poznate vrste hakerskih napada, blokiraju curenje informacija iz interne mreže i kontroliraju aplikacije koje pristupaju vanjskoj mreži.

Da bi implementirali ove funkcije, zaštitni zidovi analiziraju sav promet između vanjske i interne mreže na njegovu usklađenost sa određenim utvrđenim kriterijima ili pravilima koja određuju uslove za prolaz saobraćaja iz jedne mreže u drugu. Ako promet ispunjava navedene kriterije, firewall ga propušta kroz sebe. U suprotnom, to jest, ako navedeni kriterijumi nisu ispunjeni, saobraćaj je blokiran od strane firewall-a. Zaštitni zidovi filtriraju i dolazne i odlazne odlaznog saobraćaja i, kao i omogućiti vam kontrolu pristupa određenim mrežni resursi ili aplikacije. Mogu snimiti sve pokušaje neovlaštenog pristupa lokalnim mrežnim resursima i izdati upozorenja o pokušajima penetracije.

Po svojoj namjeni, firewall najviše liče na kontrolni punkt (čekpoint) čuvanog objekta, gdje se provjeravaju dokumenti za sve koji ulaze na teritoriju objekta i sve koji ga napuštaju. Ako je propusnica ispravna, pristup teritoriji je dozvoljen. Zaštitni zidovi funkcionišu na potpuno isti način, samo mrežni paketi deluju kao ljudi koji prolaze kroz kontrolnu tačku, a prolaz je korespondencija zaglavlja ovih paketa unapred definisanom skupu pravila.

Da li su zaštitni zidovi zaista toliko pouzdani?

Da li je sigurno reći da zaštitni zid pruža 100% sigurnost za korisničku mrežu ili lični računar? Sigurno ne. Ako samo zato što nijedan sistem generalno ne daje 100% garanciju sigurnosti. Vatrozid treba tretirati kao alat koji, ako je pravilno konfigurisan, može u velikoj meri zakomplikovati zadatak napadača da prodre na korisnikov lični računar. Ističemo: samo da komplikujemo, ali ne i da garantujemo apsolutnu sigurnost. Inače, ako se ne radi o zaštiti lokalne mreže, već o zaštiti zasebnog računara sa pristupom Internetu, onda se ICF (Internet Connection Firewall) ugrađen u operativni sistem Windows XP uspješno nosi sa osiguranjem njegove lične sigurnosti. Stoga ćemo u budućnosti govoriti samo o korporativnim hardverskim zaštitnim zidovima dizajniranim za zaštitu malih mreža.

Ako je firewall instaliran na ulazu u lokalnu mrežu aktiviran od strane kompletan program(u pravilu to odgovara zadanim postavkama), tada je mreža koju štiti potpuno neprobojna i nedostupna izvana. Međutim, takva potpuna neprobojnost interne mreže ima svoje Druga strana. Činjenica je da u ovom slučaju postaje nemoguće koristiti internetske usluge (na primjer, ICQ i slične programe) instalirane na računalu. Dakle, zadatak postavljanja firewall-a je napraviti prozore u prvobitno praznom zidu, koji je zaštitni zid za napadača, omogućavajući korisničkih programa odgovoriti na zahtjeve izvana i na kraju implementirati kontroliranu interakciju interne mreže sa vanjskim svijetom. Međutim, što se više takvih prozora pojavljuje u takvom zidu, sama mreža postaje ranjivija. Stoga još jednom naglašavamo: nijedan firewall ne može garantirati apsolutnu sigurnost lokalne mreže koju štiti.

Klasifikacija zaštitnog zida

Mogućnosti zaštitnih zidova i koliko su inteligentni zavise od toga na kojem sloju referentnog modela OSI rade. Što više OSI sloj, na kojoj se zaštitni zid zasniva, to je viši nivo zaštite koji pruža.

Prisjetite se toga OSI model (otvoreni sistem Interkonekcija) uključuje sedam nivoa mrežne arhitekture. Prvi, najniži, jeste fizički sloj. Slijede slojevi veze, mreže, transporta, sesije, prezentacije i aplikacije ili aplikacije. Da bi se omogućilo filtriranje saobraćaja, firewall mora raditi barem na trećem sloju OSI modela, odnosno na mrežnom sloju, gdje se paketi rutiraju na osnovu translacije MAC adresa na mrežne adrese. Sa stanovišta TCP/IP protokola, ovaj sloj odgovara sloju IP (Internet Protocol). Primajući informacije o mrežnom sloju, zaštitni zidovi mogu odrediti izvornu i odredišnu adresu paketa i provjeriti da li je promet dozvoljen da prolazi između ovih odredišta. Međutim, informacije mrežnog sloja nisu dovoljne za analizu sadržaja paketa. Vatrozidovi koji rade na transportnom sloju OSI modela primaju nekoliko više informacija o paketima i u tom smislu može pružiti inteligentnije šeme za zaštitu mreža. Što se tiče zaštitnih zidova koji rade na nivou aplikacije, oni imaju pristup kompletnim informacijama o mrežnim paketima, što znači da takvi firewall pružaju najpouzdaniju zaštitu mreže.

U zavisnosti od nivoa OSI modela na kojem funkcionišu zaštitni zidovi, istorijski se razvila sledeća klasifikacija ovih uređaja:

  • filter paketa (filter paketa);
  • Gateway na nivou sesije (gateway na nivou kola);
  • gateway na nivou aplikacije (gateway na nivou aplikacije);
  • Stateful Inspekcija paketa(SPI).

Zapiši to ovu klasifikaciju je samo od istorijskog interesa, budući da su svi moderni zaštitni zidovi klasifikovani kao najnapredniji (u smislu mrežne sigurnosti) SPI zaštitni zidovi.

Paketni filteri

Zaštitni zidovi tipa filtera paketa su najjednostavniji (najmanje inteligentni). Ovi zaštitni zidovi rade na mrežnom sloju OSI modela ili na IP sloju steka TCP/IP protokola. Takvi zaštitni zidovi su obavezni u svakom ruteru, budući da svaki ruter radi barem na trećem sloju OSI modela.

Zadatak filtera paketa je filtriranje paketa na osnovu informacija o izvornoj ili odredišnoj IP adresi, kao i brojevima portova.

U zaštitnim zidovima kao što su filteri paketa, svaki paket se analizira kako bi se utvrdilo da li ispunjava kriterije prijenosa ili blokira prijenos prije nego što se prenese. U zavisnosti od paketa i generisanih kriterijuma prenosa, zaštitni zid može ili preneti paket, odbiti ga ili poslati obaveštenje inicijatoru prenosa.

Filteri paketa su jednostavni za implementaciju i imaju mali ili nikakav utjecaj na brzinu rutiranja.

Gateway na nivou sesije

Gateway na nivou sesije su zaštitni zidovi koji rade na nivou sesije OSI modela ili na nivou TCP (Transport Control Protocol) steka TCP/IP protokola. Ovi zaštitni zidovi prate proces uspostavljanja TCP veze (organizacija sesija razmjene podataka između krajnjih mašina) i omogućavaju vam da utvrdite da li je data komunikaciona sesija legitimna. Podaci koji se prenose na udaljeni računar na eksternoj mreži preko gateway-a na nivou sesije ne sadrže informacije o izvoru prenosa, odnosno sve izgleda kao da podatke šalje sam firewall, a ne računar na internom (zaštićena) mreža. Svi firewall bazirani na NAT protokolu su gateway sloja sesije (NAT protokol će biti opisan u nastavku).

Gateway na nivou sesije takođe nemaju značajan uticaj na brzinu rutiranja. Istovremeno, ovi gateway-i nisu u stanju filtrirati pojedinačne pakete.

Pristupnici sloja aplikacije

Gateway sloja aplikacije, ili proxy serveri, rade na sloju aplikacije OSI modela. Aplikacioni sloj je odgovoran za pristup aplikacijama mreži. Zadaci na ovom nivou uključuju prijenos datoteka, razmjenu e-pošte i upravljanje mrežom. Primajući informacije o paketima na sloju aplikacije, gatewayi sloja aplikacije mogu implementirati blokiranje pristupa određene usluge. Na primjer, ako je gateway sloja aplikacije konfiguriran kao Web proxy, tada će svaki promet povezan s Telnet, FTP, Gopher protokolima biti blokiran. Budući da ovi zaštitni zidovi analiziraju pakete na sloju aplikacije, oni su u stanju da filtriraju specifične komande kao što su http:post, get i tako dalje. Ova funkcija nije dostupna za filtere paketa ili gatewaye na nivou sesije. Gateway sloja aplikacije se također može koristiti za evidentiranje aktivnosti pojedinačnih korisnika i postavljanje komunikacijskih sesija. Ovi zaštitni zidovi nude robusniji način zaštite mreža od mrežnih prolaza na razini sesije i filtera paketa.

SPI zaštitni zidovi

Poslednji tip zaštitnih zidova - Stateful Packet Inspection (SPI) - kombinuje prednosti filtera paketa, gateway-a na nivou sesije i gateway-a na nivou aplikacije. To jest, u stvari, govorimo o višeslojnim zaštitnim zidovima koji rade istovremeno na nivou mreže, sesije i aplikacije.

SPI zaštitni zidovi vrše filtriranje paketa na mrežnom sloju, određuju legitimnost uspostavljanja komunikacijske sesije na osnovu podataka sloja sesije i analiziraju sadržaj paketa na osnovu podataka sloja aplikacije.

Ovi zaštitni zidovi pružaju najpouzdaniji način zaštite mreža i trenutno su de facto standard.

Postavke zaštitnog zida

Metodologija i opcije za konfigurisanje zaštitnih zidova razlikuju se u zavisnosti od modela. Nažalost, ne postoje jednoobrazna pravila za postavljanje, a kamoli jedinstveni interfejs. Možemo govoriti samo o nekim općim pravilima kojih se treba pridržavati. Zapravo, glavno pravilo je prilično jednostavno - potrebno je zabraniti sve što nije potrebno za normalno funkcioniranje mreže.

Najčešće se opcije za konfigurisanje firewall-a svode na aktiviranje nekih predefiniranih pravila i kreiranje statičkih pravila u obliku tabele.

Razmotrimo kao primjer mogućnosti za konfiguriranje firewall-a uključenog u Gigabyte GN-B49G ruter. Ovaj ruter ima niz unaprijed definiranih pravila koja vam omogućavaju implementaciju različitih nivoa interne mrežne sigurnosti. Ova pravila uključuju sljedeće:

  • Pristup konfiguraciji i administraciji rutera sa WAN strane je zabranjen. Aktivacija ove funkcije zabranjuje pristup postavkama rutera sa vanjske mreže;
  • Pristup sa Global-IP na Private-IP je zabranjen unutar LAN-a. Ova funkcija vam omogućava da blokirate pristup unutar lokalne mreže sa globalnih IP adresa (ako ih ima) do IP adresa rezerviranih za privatnu upotrebu;
  • Spriječite dijeljenje datoteka i pisača izvan mreže rutera. Funkcija onemogućava korištenje zajedničkog pristupa štampačima i datotekama na internoj mreži izvana;
  • Postojanje rutera se ne može otkriti sa strane WAN-a. Ova funkcija čini ruter nevidljivim sa vanjske mreže;
  • Napadi uskraćivanja usluge (DoS) su spriječeni. Kada je ova funkcija aktivirana, implementira se zaštita od DoS (Denial of Service) napada. DoS napadi su vrsta mrežni napadi, koji se sastoji u prijemu skupa zahtjeva serveru sa zahtjevom usluge koju pruža sistem. Server troši svoje resurse na uspostavljanje veze i njeno servisiranje, a uz određeni protok zahtjeva ne može se nositi s njima. Zaštita od napada ovog tipa zasniva se na analizi izvora saobraćaja koji je prevelik u odnosu na normalan saobraćaj i zabrani njegovog prenosa.

Kao što smo već napomenuli, mnogi zaštitni zidovi imaju unaprijed definirana pravila koja su u suštini ista kao ona gore navedena, ali mogu imati i druga imena.

Drugi način da se konfiguriše firewall je kreiranje statičkih pravila koja vam omogućavaju ne samo da zaštitite mrežu izvana, već i da ograničite pristup vanjskoj mreži za korisnike lokalne mreže. Mogućnosti za kreiranje pravila su prilično fleksibilne i omogućavaju vam da implementirate gotovo svaku situaciju. Da biste kreirali pravilo, specificirate izvornu IP adresu (ili raspon adresa), izvorne portove, odredišne ​​IP adrese i portove, tip protokola, smjer prijenosa paketa (iz interne mreže na vanjsku mrežu ili obrnuto) i akciju uzeti kada se paket otkrije sa navedenim svojstvima (ispusti ili preskoči paket). Na primjer, ako želite spriječiti korisnike interne mreže (opseg IP adresa: 192.168.1.1-192.168.1.100) da pristupe FTP serveru (port 21) koji se nalazi na vanjskoj IP adresi 64.233.183.104, onda pravilo može biti formulisan na sledeći način:

  • smjer prosljeđivanja paketa: LAN-to-WAN;
  • Izvorne IP adrese: 192.168.1.1-192.168.1.100;
  • izvorni port: 1-65535;
  • odredišna luka: 21;
  • protokol: TCP;
  • akcija: pad.

Statička konfiguracija pravila zaštitnog zida za gornji primjer prikazana je na Sl. jedan.

NAT protokol kao sastavni dio zaštitnog zida

Svi moderni ruteri sa ugrađenim zaštitnim zidovima podržavaju protokol mrežnog prevođenja. NAT adrese(Prevod mrežne adrese).

NAT protokol nije dio zaštitnog zida, ali u isto vrijeme pomaže u povećanju sigurnosti mreže. Osnovni zadatak NAT protokola je rješavanje problema nedostatka IP adresa, koji postaje sve aktuelniji kako broj računara raste.

Činjenica je da su u trenutnoj verziji IPv4 protokola četiri bajta dodijeljena za određivanje IP adrese, što omogućava formiranje preko četiri milijarde adresa mrežnih računala. Naravno, u onim danima kada je internet bio u povojima, bilo je teško ni zamisliti da jednog dana ovaj broj IP adresa možda neće biti dovoljan. Kako bi se djelimično riješio problem nedostatka IP adresa, svojevremeno je predložen protokol prevođenja mrežne adrese NAT.

NAT protokol je definiran RFC 1631, koji definira kako se odvija translacija mrežnih adresa.

U većini slučajeva, NAT uređaj prevodi IP adrese rezervirane za privatnu upotrebu na lokalnim mrežama u javne IP adrese.

Privatnim adresnim prostorom upravlja RFC 1918. Ove adrese uključuju sljedeće IP opsege: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-1925.5.5.

Prema RFC 1918, privatne IP adrese ne mogu se koristiti na WAN-u, tako da se mogu slobodno koristiti samo za interne svrhe.

Prije nego što pređemo na karakteristike rada NAT protokola, razmotrimo kako mrežna veza između dva računara.

Kada jedan računar na mreži uspostavi vezu sa drugim računarom, otvara se soket, identifikovan izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom i mrežnim protokolom. Format IP paketa pruža dvobajtno polje za brojeve portova. Ovo vam omogućava da definirate 65.535 portova koji igraju ulogu svojevrsnih komunikacijskih kanala. Od 65.535 portova, prvih 1023 su rezervisana za dobro poznate serverske usluge kao što su Web, FTP, Telnet, itd. Svi ostali portovi se mogu koristiti za bilo koju drugu svrhu.

Ako, na primjer, jedan mrežni računar pristupi FTP serveru (port 21), tada kada se utičnica otvori, operativni sistem dodjeljuje sesiji bilo koji port veći od 1023. Na primjer, to može biti port 2153. Tada se šalje IP paket sa strane računara na FTP -server će sadržati izvornu IP adresu, izvorni port (2153), odredišnu IP adresu i odredišni port (21). IP adresa i port pošiljaoca će se koristiti za odgovor servera klijentu. Korišćenje različitih portova za različite mrežne sesije omogućava mrežnim klijentima da istovremeno uspostave više sesija sa različitim serverima ili sa uslugama istog servera.

Pogledajmo sada proces uspostavljanja sesije kada se koristi NAT ruter na granici interne mreže i Interneta.

Kada interni mrežni klijent komunicira sa eksternim mrežnim serverom, baš kao kada se uspostavi veza između dva računara, otvara se soket, identifikovan izvornom IP adresom, izvornim portom, odredišnom IP adresom, odredišnim portom i mrežnim protokolom. Kada aplikacija pošalje podatke na ovoj utičnici, izvorna IP adresa i izvorni port se ubacuju u paket u poljima izvornih parametara. Polja odredišnih parametara će sadržavati IP adresu servera i port servera. Na primer, računar interne mreže sa IP adresom 192.168.0.1 može pristupiti WAN Web serveru sa IP adresom 64.233.188.104. U ovom slučaju, klijentski operativni sistem može dodijeliti ustanovljena sjednica port 1251 (izvorni port), a odredišni port je port web servisa, odnosno 80. Tada će u zaglavlju poslanog paketa biti naznačeni sledeći atributi (slika 2):

  • izvorni port: 1251;
  • IP adresa odredišta: 64.233.183.104;
  • odredišna luka: 80;
  • protokol: TCP.

NAT uređaj (ruter) presreće odlazni paket iz interne mreže i u svoju internu tabelu unosi mapiranje izvornog i odredišnog porta paketa koristeći odredišnu IP adresu, odredišni port, eksternu IP adresu NAT uređaja, eksterni port , mrežni protokol i internu IP adresu i port klijenta.

Pretpostavimo da u gornjem primjeru NAT ruter ima vanjsku IP adresu 195.2.91.103 (adresa WAN porta), a za uspostavljenu sesiju, vanjski port NAT uređaja je 3210. U ovom slučaju, interni port je 3210. mapiranje izvornog i odredišnog porta paketa sadrži sljedeće informacije:

  • Izvorna IP adresa: 192.168.0.1;
  • izvorni port: 1251;
  • eksternu IP adresu

NAT uređaji: 195.2.91.103;

  • eksterni port NAT uređaja: 3210;
  • IP adresa odredišta: 64.233.183.104;
  • odredišna luka: 80;
  • protokol: TCP.

NAT uređaj zatim "prevodi" paket prevođenjem izvornih polja u paketu: interna IP adresa i port klijenta zamjenjuju se vanjskom IP adresom i portom NAT uređaja. U ovom primjeru, konvertirani paket će sadržavati sljedeće informacije:

  • Izvorna IP adresa: 195.2.91.103;
  • izvorni port: 3210;
  • IP adresa odredišta: 64.233.183.104;
  • odredišna luka: 80;
  • protokol: TCP.

Konvertovani paket se šalje preko eksterne mreže i na kraju stiže do navedenog servera.

Po prijemu paketa, server će poslati pakete odgovora na eksternu IP adresu i port NAT uređaja (rutera), navodeći sopstvenu IP adresu i port u izvornim poljima (slika 3). U razmatranom primjeru, paket odgovora sa servera će sadržavati sljedeće informacije u zaglavlju:

  • izvorni port: 80;
  • IP adresa odredišta: 195.2.91.103;
  • odredišna luka: 3210;
  • protokol: TCP.

Rice. 3. Princip rada NAT uređaja pri prijenosu paketa iz vanjske mreže u internu

NAT uređaj prima ove pakete od servera i analizira njihov sadržaj na osnovu svoje tabele mapiranja portova. Ako se u tabeli pronađe mapiranje porta za koje izvorna IP adresa, izvorni port, odredišni port i mrežni protokol iz dolaznog paketa odgovaraju IP adresi udaljenog hosta, tada udaljeni port i sa mrežnim protokolom navedenim u mapiranju porta, tada će NAT obaviti inverzna transformacija: će zamijeniti eksternu IP adresu i eksterni port u odredišnim poljima paketa sa IP adresom i internim portom klijenta interne mreže. Dakle, paket koji se prenosi na internu mrežu, za primjer o kojem se gore govori, imat će sljedeće atribute:

  • Izvorna IP adresa: 64.233.183.104;
  • izvorni port: 80;
  • Odredišna IP adresa: 192.168.0.1;
  • odredišna luka: 1251;
  • protokol: TCP.

Međutim, ako nema podudaranja u tabeli mapiranja portova, onda dolazni paket je odbijen i veza je prekinuta.

Zahvaljujući NAT ruteru, svaki PC na internoj mreži može prenijeti podatke na WAN koristeći eksternu IP adresu i port rutera. Istovremeno, IP adrese interne mreže, kao portovi dodijeljeni sesijama, ostaju nevidljivi iz vanjske mreže.

Međutim, NAT ruter dozvoljava komunikaciju između računara na internoj i eksternoj mreži samo ako je komunikacija pokrenuta od strane računara na internoj mreži. Ako bilo koji računar na spoljnoj mreži pokuša da pristupi računaru na unutrašnjoj mreži na sopstvenu inicijativu, NAT uređaj odbija takvu vezu. Stoga, osim što rješava problem nedovoljnih IP adresa, NAT doprinosi i sigurnosti interne mreže.

Problemi vezani za NAT uređaje

Unatoč prividnoj jednostavnosti NAT uređaja, oni su povezani s nekim problemima koji često komplikuju organizaciju interakcije između mrežni računari ili čak ometanje njegovog uspostavljanja. Na primjer, ako je lokalna mreža zaštićena NAT uređajem, tada svaki klijent na internoj mreži može uspostaviti vezu sa WAN serverom, ali ne i obrnuto. To jest, iz vanjske mreže ne možete pokrenuti vezu sa serverom koji se nalazi na internoj mreži iza NAT uređaja. Ali šta ako postoji usluga (kao što je FTP ili Web server) na internoj mreži kojoj korisnici na spoljnoj mreži moraju da mogu da pristupe? Da bi riješili ovaj problem, NAT ruteri koriste tehnologiju prosljeđivanja perimetarskih zona i portova, što će biti detaljno opisano u nastavku.

Drugi problem sa NAT uređajima je taj što neke mrežne aplikacije uključuju IP adresu i port u podatkovnom dijelu paketa. Jasno je da NAT uređaj nije u stanju da prevede takve adrese. Kao rezultat toga, ako mrežna aplikacija ubaci IP adresu ili port u dio paketa, server odgovara na takav paket koristeći ugniježđenu IP adresu i port za koji ne postoji odgovarajući unos mapiranja u internoj tablici NAT uređaja . Kao rezultat, takav paket će biti odbačen od strane NAT uređaja, a samim tim i aplikacija koje koriste ovu tehnologiju, neće raditi ako postoje NAT uređaji.

Postoje mrežne aplikacije koje koriste jedan port (kao port pošiljaoca) prilikom prijenosa podataka, ali čekaju odgovor na drugom portu. NAT uređaj analizira odlazni promet i mapira izvorni port. Međutim, NAT uređaj ne zna da se očekuje odgovor na drugom portu i ne može izvršiti odgovarajuće mapiranje. Kao rezultat toga, paketi odgovora adresirani na port koji nema podudaranja u internoj tablici NAT uređaja bit će ispušteni.

Drugi problem sa NAT uređajima je višestruki pristup istom portu. Razmotrite situaciju u kojoj nekoliko klijenata lokalne mreže odvojenih od vanjske mreže NAT uređajem pristupa istom standardni port. Na primjer, to može biti port 80 rezerviran za web uslugu. Budući da svi klijenti na internoj mreži koriste istu IP adresu, postavlja se pitanje: kako NAT uređaj može odrediti na kojeg klijenta na internoj mreži se odnosi eksterni zahtjev? Da bi se riješio ovaj problem, samo jedan klijent na internoj mreži istovremeno ima pristup standardnom portu.

Statičko prosljeđivanje portova (mapiranje portova)

Da bi određene aplikacije koje rade na serveru na internoj mreži (kao što je Web server ili FTP server) bile dostupne sa vanjske mreže, u NAT uređaju mora biti postavljeno mapiranje između portova koje koriste određene aplikacije i IP adresa. one intranet servere na kojima te aplikacije rade. U ovom slučaju govore o tehnologiji mapiranja portova, a sam interni mrežni server naziva se virtuelni server. Kao rezultat toga, svaki zahtjev iz vanjske mreže na vanjsku IP adresu NAT uređaja (rutera) na navedenom portu automatski će se preusmjeriti na navedeni virtuelni server interne mreže.

Na primer, ako je virtuelni FTP server konfigurisan na internoj mreži, koji radi na računaru sa IP adresom 192.168.0.10, onda kada se konfiguriše virtuelni server, IP adresa virtuelnog servera (192.168.0.10), Korišteni protokol (TCP) i port aplikacije su postavljeni (21). U tom slučaju, prilikom pristupa eksternoj adresi NAT uređaja (WAN port rutera) na portu 21, korisnik na vanjskoj mreži može pristupiti FTP serveru na internoj mreži, uprkos korištenju NAT protokola. Primjer konfiguracije virtuelnog servera na stvarnom NAT ruteru prikazan je na sl. 4.

Tipično, NAT ruteri vam omogućavaju da kreirate više statičkih prosljeđivanja portova. Dakle, na jednom virtuelnom serveru možete otvoriti nekoliko portova odjednom ili kreirati nekoliko virtuelnih servera sa različitim IP adresama. Međutim, sa statičkim prosljeđivanjem porta, ne možete proslijediti jedan port na više IP adresa, što znači da port može odgovarati jednoj IP adresi. Nemoguće je, na primjer, konfigurirati nekoliko web servera s različitim IP adresama - da biste to učinili, morat ćete promijeniti zadani port web servera i, kada pristupate portu 80, u postavkama rutera navesti promijenjeni port web servera kao server Privatni Port.

Većina modela rutera također vam omogućava da postavite statičko preusmjeravanje grupe portova, odnosno da povežete cijelu grupu portova odjednom s IP adresom virtuelnog servera. Ova funkcija je korisna ako trebate osigurati rad aplikacija koje koriste veliki broj portove kao što su igre ili audio/video konferencije. Broj proslijeđenih grupa portova po različiti modeli ruteri se razlikuju, ali obično ih ima najmanje deset.

Dinamičko prosljeđivanje portova (posebna aplikacija)

Statičko prosljeđivanje portova omogućava vam da djelimično riješite problem pristupa sa vanjske mreže uslugama lokalne mreže zaštićene NAT uređajem. Međutim, postoji i suprotan zadatak - potreba da se korisnicima lokalne mreže omogući pristup vanjskoj mreži putem NAT uređaja. Činjenica je da neke aplikacije (na primjer, internet igre, video konferencije, internet telefonija i druge aplikacije koje zahtijevaju istovremeno uspostavljanje više sesija) nisu kompatibilne sa NAT tehnologijom. Da bi se riješio ovaj problem, koristi se takozvano dinamičko prosljeđivanje portova (ponekad se naziva i posebna aplikacija), kada je prosljeđivanje portova postavljeno na razini pojedinačnih mrežnih aplikacija.

Ako ruter podržava ovu funkciju, morate postaviti interni broj porta (ili raspon portova) povezan sa određenom aplikacijom (obično označen sa Trigger Port) i postaviti broj eksterni port NAT uređaj (javni port) za mapiranje na javni port.

Kada je omogućeno dinamičko prosljeđivanje portova, ruter prati odlazni promet iz interne mreže i pamti IP adresu računara koji je pokrenuo ovaj promet. Kada podaci stignu nazad u lokalni segment, omogućeno je prosljeđivanje portova i podaci se prosljeđuju unutra. Nakon što se transfer završi, preusmeravanje je onemogućeno, a zatim bilo koji drugi računar može kreirati novo preusmeravanje na svoju IP adresu.

Dinamičko prosljeđivanje portova se uglavnom koristi za usluge koje zahtijevaju kratkoročne zahtjeve i prijenose podataka, jer ako jedan računar koristi prosljeđivanje datog porta, u isto vrijeme drugi računar to ne može učiniti. Ako želite da konfigurišete rad aplikacija kojima je potreban konstantan tok podataka koji zauzima port duže vreme, tada je dinamičko preusmeravanje neefikasno. Međutim, u ovom slučaju postoji rješenje za problem - korištenje demilitarizirane zone.

DMZ zona

Demilitarizovana zona (DMZ) je još jedan način da se zaobiđu ograničenja NAT protokola. Ovu funkciju pružaju svi moderni ruteri. Kada postavite interni LAN računar u DMZ, on postaje transparentan za NAT. U stvari, to znači da je računar na internoj mreži bukvalno lociran ispred zaštitnog zida. Za PC koji se nalazi u DMZ zoni, svi portovi se preusmjeravaju na jednu internu IP adresu, što omogućava organiziranje prijenosa podataka sa vanjske mreže na internu.

Ako se, na primjer, server sa IP adresom 192.168.1.10, koji se nalazi u internoj lokalnoj mreži, nalazi u DMZ zoni, a sama lokalna mreža je zaštićena NAT uređajem, onda kada se primi zahtjev na bilo kojem porta sa vanjske mreže na adresu WAN porta NAT uređaja, ovaj zahtjev će biti preusmjeren na IP adresu 192.168.1.10, odnosno na adresu virtuelnog servera u DMZ zoni.

Po pravilu, NAT ruteri SOHO klase dozvoljavaju postavljanje samo jednog računara u DMZ zonu. Primer konfigurisanja računara u DMZ zoni prikazan je na sl. pet.

Rice. 5. Primjer konfiguracije računala u DMZ zoni

Pošto računar koji se nalazi u DMZ zoni postaje dostupan sa spoljne mreže i nije ni na koji način zaštićen zaštitnim zidom, to postaje ranjivost mreže. Stavljanju kompjutera u demilitarizovanu zonu potrebno je pribjeći samo u krajnjoj nuždi, kada nijedan drugi način da se zaobiđu ograničenja NAT protokola iz ovih ili onih razloga ne odgovaraju.

NAT traversal tehnologija

Načini koje smo naveli da zaobiđu ograničenja NAT protokola mogu biti pomalo teški za korisnike početnike. Da bi se olakšala administracija, predložena je automatska tehnologija za konfigurisanje NAT uređaja. Tehnologija NAT Traversal (NAT traversal) omogućava mrežnim aplikacijama da utvrde da li su zaštićene NAT uređajem, nauče vanjsku IP adresu i izvrše prosljeđivanje portova na automatski način rada. Stoga je prednost NAT Traversala to što korisnik ne mora ručno konfigurirati mapiranje portova.

NAT Traversal tehnologija se oslanja na UPnP (Universal Plug and Play) protokole, tako da je često potrebno provjeriti opciju UPnP & NAT u ruterima da bi se ova tehnologija aktivirala.




Zašto vam je potreban zaštitni zid u ruteru

Bežičnu mrežu treba pažljivo zaštititi, jer se ovdje stvaraju najpovoljnije mogućnosti za presretanje informacija. Stoga, ako je više računara povezano na mrežu pomoću rutera (rutera), zaštitni zid se mora instalirati i koristiti ne samo na svakom računaru, već i na ruteru. Na primjer, funkciju zaštitnog zida u ruteru serije DI-XXX obavlja SPI, koji vrši dodatnu inspekciju paketa. Predmet provjere je da li paketi pripadaju uspostavljenoj vezi.

Tokom sesije povezivanja otvara se port koji strani paketi mogu pokušati da napadnu, a posebno povoljan trenutak za to je kada se sesija završi, a port ostaje otvoren još nekoliko minuta. Tako se SPI sjeća Trenutna drzava sesije i analizira sve dolazne pakete. Moraju odgovarati očekivanim - dolaze sa adrese na koju je zahtjev poslan, imaju određene brojeve. Ako paket ne odgovara sesiji, odnosno nije ispravan, blokira se i ovaj događaj se evidentira. Drugi zaštitni zid na ruteru vam omogućava da blokirate odlazne veze sa zaraženog računara.

1 590 rub.

TP-Link TP-LINK TD-W8961N(RU)

. Sa ADSL2+ podrškom. Sa podrškom za Telnet. Broj portova prekidača - 4. Sa statičkim usmjeravanjem. Sa ugrađenim ruterom. OD SPI funkcija . Izvedba - eksterna. Sa NAT podrškom. Sa podrškom za dinamički DNS. Tip modema - ADSL. Sa podrškom za SNMP. Sa DHCP serverom. Sa ugrađenim prekidačem. Interfejs - Ethernet. Sa web interfejsom. Sa demilitarizovanom zonom (DMZ). Dimenzije 130x195x35 mm.

kupiti in online prodavnica TopComputer.RU

mogućnost preuzimanja

video recenzijafotografija

1 390 rub.

7% 1.490 RUB

TP-LINK xDSL modem TD-W8901N

VPN podrška (VPN prolaz). Ugrađen ruter. Ugrađeni prekidač. Podrška za dinamički DNS. Web interfejs. Telnet podrška. Sa 4 switch porta. SPI. Firewall. DHCP server. NAT. Izvedba - eksterna. Demilitarizovana zona (DMZ). Interfejs - Ethernet. Tip modema - ADSL. SNMP podrška. ADSL2+ podrška. Sa dubinom: 128 mm. Sa širinom: 35 mm. Sa visinom: 182 mm.

kupiti in online prodavnica xcomshop

mogućnost preuzimanja

video recenzijafotografija

790 rub.

UPVEL UR-104AN ADSL2+ modem ruter sa 4 Ethernet porta 10/100 Mbps sa podrškom za IP-TV

Sa statičkim usmjeravanjem. Sa demilitarizovanom zonom (DMZ). Sa NAT podrškom. Sa DHCP serverom. Sa podrškom za VPN tunele (VPN Endpoint). Sa ADSL2+ podrškom. Sa SPI funkcijom. Sa zaštitnim zidom (firewall). Broj portova prekidača - 4. Interfejs - Ethernet. Izvedba - eksterna. Broj podržanih VPN tunela je 100. Sa ugrađenim ruterom. Sa podrškom za SNMP. Sa podrškom za dinamički DNS. Sa web interfejsom. Sa ugrađenim prekidačem. Tip modema - ADSL. Težina: 180 g Dimenzije 110x160x35 mm.

kupiti in online prodavnica oldi.ru

video recenzijafotografija

2 261 rub.

Modem D-link DSL-2640U

SNMP podrška. ADSL2+ podrška. SPI. Izvedba - eksterna. Firewall. Demilitarizovana zona (DMZ). Tip modema - ADSL. Podrška za VPN tunele (VPN Endpoint). VPN podrška (VPN prolaz). Interfejs - Ethernet. DHCP server. NAT. Web interfejs. statičko rutiranje. Ugrađeni prekidač. Podrška za dinamički DNS. Ugrađen ruter. Sa 4 priključka za prekidač Težina: 327g.

in online prodavnica price-com.ru

video recenzijafotografija

1 890 rub.

TP-Link TP-LINK TD-W8968

Tip modema - ADSL. Sa web interfejsom. Sa DHCP serverom. Sa podrškom za dinamički DNS. Sa podrškom za Telnet. Sa demilitarizovanom zonom (DMZ). Sa ugrađenim ruterom. Sa SPI funkcijom. Sa zaštitnim zidom (firewall). Sa NAT podrškom. Sa statičkim usmjeravanjem. Interfejs - Ethernet. Izvedba - eksterna. Sa podrškom za SNMP. Količina portova sviča - 4. Uz podršku ADSL2+. Uz VPN podršku (VPN prolaz). Sa ugrađenim prekidačem. Sa dubinom: 130 mm. Sa širinom: 195 mm. Sa visinom: 36 mm.

in online prodavnica TopComputer.RU

mogućnost preuzimanja

video recenzijafotografija

1 590 rub.

TP-LINK xDSL modem TD-W8961N

Demilitarizovana zona (DMZ). Ugrađeni prekidač. SPI. NAT. Izvedba - eksterna. ADSL2+ podrška. Telnet podrška. Interfejs - Ethernet. Firewall. SNMP podrška. Podrška za dinamički DNS. DHCP server. Web interfejs. Sa 4 switch porta Tip modema - ADSL. statičko rutiranje. Ugrađen ruter. Dubina: 130 mm. Širina: 195 mm. Visina: 35 mm.

in online prodavnica xcomshop

mogućnost preuzimanja

video recenzijafotografija

2 075 rub.

ADSL modem Upvel UR-203AWP

Izvedba - eksterna. Sa ADSL2+ podrškom. Sa podrškom za SNMP. Interfejs - Ethernet. Tip modema - ADSL. Sa web interfejsom. Sa statičkim usmjeravanjem. Sa SPI funkcijom. Sa zaštitnim zidom (firewall). Sa podrškom za Telnet. Sa ugrađenim ruterom. Broj portova prekidača - 3. Sa demilitarizovanom zonom (DMZ). Sa NAT podrškom. Sa DHCP serverom. Uz VPN podršku (VPN prolaz). Sa ugrađenim prekidačem. Sa podrškom za dinamički DNS. Sa širinom: 175 mm. Sa dubinom: 115 mm. Sa visinom: 30 mm. Sa težinom: 280 g.

in online prodavnica TopComputer.RU

mogućnost preuzimanja

fotografija

1 790 rub.

TP-LINK xDSL modem TD-W8960N

Demilitarizovana zona (DMZ). DHCP server. VPN podrška (VPN prolaz). Podrška za dinamički DNS. Ugrađeni prekidač. SNMP podrška. SPI. Firewall. NAT. Interfejs - Ethernet. konzolni port. Web interfejs. Tip modema - ADSL. Sa 10 podržanih VPN tunela. Izvedba - eksterna. Podrška za VPN tunele (VPN Endpoint). ADSL2+ podrška. statičko rutiranje. Ugrađen ruter. Sa 4 priključka za prekidač Dubina: 140 mm. Sa visinom: 28 mm. Sa širinom: 200 mm.

D-Link je poznati programer i dobavljač hardverskih rješenja za gradnju kompjuterske mreže bilo kojoj skali. Linija proizvoda također uključuje uređaje za zaštitu mreže od vanjskih prijetnji: firewall i sisteme za otkrivanje upada. Obratili smo se predstavniku D-Link-a sa zahtjevom da nam kaže koje se tehnologije koriste u hardverskim rješenjima za osiguranje IT sigurnosti, po čemu se hardverska rješenja razlikuju od softverskih kolega i u kojim slučajevima je koja klasa proizvoda najoptimalnija. Određeni dio intervjua posvećen je i specifičnostima ruskog tržišta IT sigurnosnih rješenja, kao i njegovim trendovima i perspektivama. Ivan Martynyuk, projektni konsultant u D-Link-u, odgovara na naša pitanja.


Ivan Martynyuk, projektni konsultant u D-Link-u



Alexey Dolya: Možete li nam reći nešto o vašoj kompaniji?

Ivan Martynyuk: Po standardima IT industrije, D-Link je prilično stara kompanija. Organizovan je u martu 1986. 87 regionalnih ureda kompanije prodaju i podržavaju opremu u više od 100 zemalja. Kompanija zapošljava više od tri hiljade radnika. Ako govorimo o obimu kompanije, onda je D-Link najveći proizvođač mrežnu opremu za segmente malog i srednjeg poslovanja, pa je prema nizu studija potrošačkog sektora tržišta mrežne opreme, koje je sprovela analitička kompanija Synergy Research Group, D-Link na prvom mjestu u svijetu po prodaji opreme. u ovom sektoru. Prema Synergy Research Group, u prvom kvartalu 2004. D-Link je prodao više od 8 miliona mrežni uređaji, što je gotovo dvostruko više od broja uređaja koje prodaje njegov najbliži konkurent. A prema IDC-u, D-Link je na prvom mjestu u prodaji prekidača i bežičnu opremu u zemljama azijsko-pacifičkog regiona.


Alexey Dolya: Koliko dugo razvijate proizvode za zaštitu mreže? Šta su ovi proizvodi?

Ivan Martynyuk: Prvi specijalizovani proizvodi za zaštitu mreža pojavili su se u našoj kompaniji ne tako davno - 2002. godine. Relativno kasno pojavljivanje kompanije u ovom segmentu je rezultat politike rada na tržištu. D-Link se bavi izdavanjem samo masovnih "etabliranih" proizvoda koji imaju veliku potražnju na tržištu. Kompanija se ne razvija najnoviju tehnologiju i protokole, ali koristi već dobro uspostavljene standardizirane specifikacije u svojim proizvodima. Još jedna razlika naše kompanije od drugih je u tome što mi sami ne razvijamo samo uređaje do razvoja nekih mikrokola i pišemo za njih softvera i proizvodimo ih u vlastitim tvornicama. Kompanija ima nekoliko razvojnih centara i fabrika smeštenih u različitim zemljama sveta. Mrežni sigurnosni proizvodi su dizajnirani i proizvedeni na Tajvanu. Danas je ova linija proizvoda prilično široka i uključuje: rutere i prekidače sa mrežnim sigurnosnim funkcijama, firewall i sisteme za detekciju upada, kao i specijalizovane uređaje, kao što su bežični gateway-i, koji imaju neke funkcionalne karakteristike posebno dizajnirane za upotrebu u bežičnim mrežama, to su sigurnosni alati specifični za bežične mreže, sredstva za autentifikaciju korisnika i naplatu itd.


Alexey Dolya: Možete li nam detaljno reći o funkcionalnosti vaših zaštitnih zidova i alata za otkrivanje upada, od kojih napada štite?

Ivan Martynyuk O: Danas postoje tri generacije zaštitnih zidova. Prva generacija su zaštitni zidovi sa filtriranjem paketa. Ovi uređaji mogu vršiti analizu paketa na nivou mreže i transporta, odnosno analizirati IP adrese, kao i TCP i UDP izvorne i odredišne ​​portove i na osnovu tih informacija odlučiti šta dalje s ovim paketom: dozvoliti njegov prolaz, onemogućiti, promijeniti prioritet itd. Druga generacija uređaja su posrednički zaštitni zidovi (Proxy). Ovi uređaji mogu analizirati informacije na svih sedam nivoa, do nivoa aplikacije, te stoga pružaju vrlo visok nivo zaštite. Istovremeno, takvi uređaji ne prenose direktno pakete u vanjski svijet, već djeluju kao posrednik između interne aplikacije i eksterne usluge, što u slučaju pokušaja hakovanja dovodi do hakovanja firewall-a, a ne internog hosta. Shodno tome, takvi uređaji za pružanje Visoke performanse zahtijevaju hardverske platforme velike brzine i imaju najveću cijenu. Treća generacija su zaštitni zidovi za inspekciju paketa (SPI). Ovi uređaji rade slično kao ekrani filtera paketa, ali analiziraju više polja u paketima, kao što su zastavice i sekvencijski brojevi paketa, a takođe pohranjuju informacije o prethodno proslijeđenim paketima i, shodno tome, pružaju viši nivo zaštite. Takvi uređaji mogu blokirati prolaz paketa s jednog sučelja na drugi, ako nisu dio unaprijed uspostavljene sesije u suprotnom smjeru, ili prekinuti sesiju ako se u njoj uoči bilo kakvo kršenje. Ovi uređaji zahtevaju gotovo iste računarske resurse kao firewall za filtriranje paketa i ne razlikuju se mnogo od njih po ceni, ali pružaju mnogo viši nivo zaštite.
Sistemi za otkrivanje upada (IDS) su još inteligentniji uređaji koji ne samo da rade na svih sedam nivoa, već sadrže i alate koji vam omogućavaju da detaljnije analizirate sadržaj paketa i otkrijete maskirane Trojanci i viruse ili druge zlonamjerne aktivnosti. Da bi se to postiglo, takvi sistemi sadrže unapred pripremljene baze podataka napada i potpisa virusa, a imaju i sisteme heurističke analize koji u nekim slučajevima omogućavaju blokiranje onih napada čiji potpisi nisu sadržani u bazi podataka.
Ako govorimo o našim uređajima, ovisno o modelu, oni imaju jednu ili drugu funkcionalnost.


Alexey Dolya: Koje specifične tehnologije i algoritmi se koriste za zaštitu mreža, odnosno kako tačno rade vaši zaštitni zidovi?

Ivan Martynyuk O: Svi naši vatrozidovi: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 su zaštitni zidovi sa stanjem paketa (SPI), podržavaju prevođenje adresa (prevod mrežnih adresa - NAT), što vam omogućava da se sakrijete unutrašnja struktura mreže, štite od napada uskraćivanja usluge (DoS je zasebna grupa napada čiji je cilj izbacivanje hosta ili usluge iz upotrebe), omogućavaju vam da ograničite pristup lokalnih korisnika određenim eksternim web resursima i podržavate alate za virtualno privatno umrežavanje ( Virtual Private Mreža - VPN) koristeći protokole: IPSec, PPTP i L2TP. Štaviše, sve gore navedene sigurnosne funkcije podržane su ne samo na specijalizovanim uređajima - firewall-ima, već i na jeftinijim internetskim gateway-ima serije DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Maloprodajna cijena najmlađeg uređaja (DI-804HV) je samo 99 dolara, što ga čini pristupačnim gotovo svakoj kompaniji, pa čak i kućnim korisnicima.
Stariji modeli uređaja podržavaju i druge, više složeni mehanizmi sigurnost. Na primjer, uređaji: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 i DFL-1500 omogućavaju autentifikaciju korisnika sa ugrađenim ili eksternim sredstvima. DFL-600, DFL-700, DFL-900, DFL-1100 i DFL-1500 vam omogućavaju da kontrolišete propusni opseg kanala. DFL-200, DFL-700, DFL-900, DFL-1100 i DFL-1500 imaju ugrađeni modul sistema za otkrivanje upada (IDS) sa ažuriranom bazom potpisa. DFL-900 i DFL-1500 imaju ugrađene proxy module za protokole: HTTP, FTP, SMTP i POP3, tj. su posrednički zaštitni zidovi, a kada radite na ovim protokolima, oni pružaju ne samo viši nivo sigurnosti, već vam omogućavaju i kontrolu sadržaja. Na primjer, omogućavaju vam da ograničite pristup korisnika određenim web resursima, i, za razliku od drugih modela gdje je administrator morao ručno da unese ove resurse, DFL-900 i DFL-1500 imaju ugrađenu kategoriziranu bazu podataka koja se automatski ažurira, i jedino što administratoru treba je da odabere kategorije web stranica dozvoljenih ili zabranjenih za pristup. Također, pristup se može ograničiti na osnovu sadržaja web stranice ili na određeni resurs koji je administrator ručno unio. Izvršavanje Java ili ActiveX apleta i skripti može biti blokirano, kao i učitavanje kolačića. FTP, SMTP i POP3 protokoli mogu blokirati preuzimanja određene vrste datoteke. Uređaji: DFL-1100 i DFL-1500 podržavaju režim visoke dostupnosti, odnosno omogućavaju vam da instalirate dva uređaja paralelno i automatski se prebacite na rezervni ako glavni pokvari.
Osim toga, svi se uređaji međusobno razlikuju po performansama, broju sučelja, prisutnosti nekih dodatnih funkcionalnosti i, naravno, cijeni.


Alexey Dolya: Kako funkcionišu vaši sistemi za detekciju upada?

Ivan Martynyuk: Naši sistemi za detekciju upada (DFL-2100 i DFL-2400) su klasični transparentni mrežni sistemi detekcija upada (Transparent Network based Intrusion Detection System - TNIDS). Odnosno, radi se o namjenskim hardverskim uređajima koji su instalirani u prekidu mreže i analiziraju sav promet koji prolazi kroz njih. Analiza se može zasnivati ​​na bazi podataka potpisa koja se periodično ažurira ili na heurističkoj analizi koja vam omogućava da otkrijete nove napade koji nisu na listi potpisa. Ako se otkrije napad, sistem upisuje informacije u datoteku dnevnika, može obavijestiti administratora sistema, blokirati prolaz paketa ili prekinuti sesiju. Sistemi su snabdjeveni posebnim softverom - Policy Server, koji vam omogućava fleksibilno upravljanje sistemima za otkrivanje upada, primanje poruka o napadima, ažuriranje baze podataka potpisa, kreiranje vlastitih potpisa za administratora sistema, izradu različitih izvještaja i praćenje prometa u realnom vremenu. Između sebe DFL-2100 i DFL-2400 razlikuju se samo po performansama.


Alexey Dolya: Možete li uporediti koncepte korištenja hardverske i softverske mrežne zaštite (firewall i sistemi za detekciju upada)? Koje su prednosti i mane ove dvije kategorije proizvoda u odnosu jedna na drugu?

Ivan Martynyuk: U razvoju softverska rješenja postoji manje različitih tehnoloških ograničenja i, po pravilu, manji broj programera je uključen u ovaj proces, odnosno jedinična cijena takvih rješenja je često niža. Ovo važi i za zaštitne zidove. Cena softverskih zaštitnih zidova je niža u poređenju sa hardverskim rešenjima sa sličnom funkcionalnošću. Istovremeno, softverska rješenja su fleksibilnija. U budućnosti im je lakše dodati dodatnu funkcionalnost ili ispraviti ranije napravljene greške. Iz onoga što sam rekao, proizlazi da hardverska rješenja, takoreći, nisu potrebna – softverska rješenja su i funkcionalnija i jeftinija. Ali nije sve tako jednostavno. Prvo, za krajnjeg korisnika, softversko rješenje može biti skuplje od hardverskog rješenja, budući da gotovo rješenje uključuje ne samo cijenu softvera zaštitnog zida, već i cijenu operativnog sistema na kojem firewall radi, tj. kao i trošak hardverske platforme, čije bi performanse trebale biti mnogo veće nego u slučaju hardverskog rješenja. Slobodno distribuirane besplatne firewall kompanije praktično ne koriste. Prema analizama raznih agencija, oko 3-5% kompanija koristi takav softver. Nizak procenat korišćenja je uglavnom zbog problema sa podrškom, što je veoma kritično za ovu klasu hardvera i, u nekim slučajevima, kvaliteta takvog softvera. Drugo, softverska rješenja imaju niz drugih nedostataka, a glavni je to što se mogu hakovati ili zaobići ne direktno, već kroz ranjivosti operativnog sistema na kojem rade. A broj ranjivosti sadržanih u operativnim sistemima je mnogo veći nego u specijalizovanom softveru za zaštitni zid ili njihovim hardverskim kolegama. Osim toga, niža je pouzdanost softverskih rješenja, jer rade na univerzalnim hardverskim platformama koje sadrže veliki broj komponenti (što manje komponenti sistem sadrži, to je veća njegova pouzdanost). Štaviše, neke od ovih komponenti sadrže: pokretne mehaničke elemente (tvrdi diskovi, ventilatori), čiji je MTBF mnogo niži nego kod elektronskih; magnetni elementi (tvrdi diskovi) koji imaju nisku otpornost na oštećenja i podložni su elektromagnetnom zračenju; veliki broj kontakt grupa, tj. postoji velika vjerovatnoća problema povezanih s kršenjem kontakta. Softverski zaštitni zidovi zahtijevaju viši nivo vještina od svog osoblja, jer je potrebno pravilno konfigurirati ne samo sam firewall, već i operativni sistem, što nije tako jednostavno kao što mnogi misle. Neki softverski zaštitni zidovi se čak i ne prodaju bez pružanja plaćenih usluga za njihovu konfiguraciju. Softverski zaštitni zidovi su skuplji za održavanje, jer je potrebno stalno pratiti ne samo otkrivene ranjivosti u specijalizovanom softveru i instalirati zakrpe, već i ranjivosti operativnog sistema kojih je, kao što sam rekao, mnogo brojnije. Osim toga, može doći do nekih problema s kompatibilnošću između softvera, posebno nakon instaliranja dodatnih zakrpa. Također je potrebno stalno pratiti stanje mehaničkih i magnetskih komponenti na oštećenja. Prostorija u kojoj se nalazi softverski firewall trebala bi imati stroža pravila za prijem osoblja, budući da univerzalna hardverska platforma omogućava povezivanje s njom na različite načine. To su eksterni portovi (USB, LPT, RS-232) i ugrađeni drajvovi (CD, Floppy), a otvaranjem platforme možete se povezati preko IDE ili SCSI interfejsa. Istovremeno, operativni sistem vam omogućava da instalirate razne malware. I, konačno, univerzalna hardverska platforma ima veliku potrošnju energije, što negativno utječe na njeno vrijeme rada od neprekidnog napajanja u slučaju nestanka struje. Debata o tome koja su rješenja softverska ili hardverska rješenja bolja traje već duže vrijeme, ali želim napomenuti da tehnička sredstva- to je samo oruđe u rukama onih koji ih eksploatišu. I u većini slučajeva sigurnosni problemi nastaju zbog nepažnje ili niske kvalifikacije osoblja odgovornog za to, a ne izbora određene platforme.


Alexey Dolya: U kojim slučajevima smatrate da je svrsishodno koristiti hardverska rješenja za zaštitu mreža, a u kojim - softverska? Nekoliko primjera scenarija za korištenje proizvoda je poželjno.

Ivan Martynyuk: Upotreba softverskih zaštitnih zidova je opravdana ako je potrebno koristiti neke vrlo specifične funkcionalnost, koja hardverska rješenja nemaju, na primjer, potreban je posrednički modul za neki egzotični protokol, ili obrnuto, potrebno je nabaviti vrlo jeftino rješenje, dok kompanija ili korisnik već ima hardversku platformu i operativni sistem. U svakom slučaju, potrebno je uzeti u obzir sve prednosti i nedostatke oba rješenja i odabrati kompromis.


Alexey Dolya: Da li sam dobro shvatio da kućnim korisnicima jednostavno nisu potrebni hardverski zaštitni zidovi?

Ivan Martynyuk: Ne bih to rekao. Upotreba određenih sredstava zaštite ne zavisi od toga ko je ovaj korisnik: kućni ili korporativni, da li je u pitanju velika ili mala kompanija, već od cene informacija koje treba zaštititi, tj. od gubitaka nastalih od strane korisnika u slučaju kršenja jedne ili više funkcija zaštite – kršenje povjerljivosti, integriteta ili dostupnosti informacija. Po pravilu, zaista, što je kompanija veća, to ima više informacija koje su poverljive i gubici kompanije u ovom slučaju su veći. Ali i običan korisnik, na primjer, šef iste kompanije na svom kućni računar može sadržavati informacije koje bi mogle biti veoma skupe za gubitak. Shodno tome, njegov računar mora biti zaštićen ništa lošije od korporativna mreža. Izbor sredstava zaštite i njihov trošak, po pravilu, određuju se troškovima zaštićene informacije. Drugim riječima, nema smisla trošiti više na sigurnost nego što sama informacija vrijedi. Problem je negdje drugdje - u određivanju vrijednosti informacija. Kada je u pitanju zaštita informacija koje pripadaju državi, tada na snagu stupaju zakonski akti koji regulišu potreban nivo zaštita.


Alexey Dolya: Na osnovu vašeg iskustva poslovanja u Rusiji, možete li vidjeti kako je poraslo tržište hardvera za mrežnu sigurnost u posljednjih nekoliko godina?

Ivan Martynyuk: Već sam rekao da kompanija ima tri godine iskustva u ovom segmentu tržišta. I za nas je 2004. godina bila indikativna u tom pogledu. Obim prodaje uređaja u novčanom smislu u poređenju sa prethodne godine povećan za više od 170%. Sudeći prema izvještajima analitičkih agencija, prošle godine je zabilježen značajan rast u ovom segmentu ne samo kod nas, već i kod drugih kompanija koje proizvode takvu opremu. Tržište sigurnosnih sistema u obliku u kojem postoji formirano je negdje 1997. godine, ali se tek od prošle godine može smatrati masovnim.


Alexey Dolya: Postoje li neke specifičnosti poslovanja u ruskom segmentu tržišta sigurnosnog hardvera u odnosu na druge zemlje?

Ivan Martynyuk: Da, zaista se rusko tržište malo razlikuje od svjetskog tržišta. To je najvjerovatnije zbog ekonomskog stanja zemlje i mentaliteta. Prvo, sama struktura tržišta sigurnosnih sistema je drugačija. Ako je na globalnoj razini tržište hardvera više nego dvostruko veće od tržišta softverskih proizvoda, onda su u Rusiji njihovi udjeli približno isti. To je zbog određenih ekonomskih problema i, shodno tome, visokog nivoa distribucije piratskog softvera. U Rusiji praktički ne postoji tržište za outsourcing sigurnosnih usluga, koje je vrlo popularno u drugim zemljama. Ovaj posao nije razvijen, jer mnogi menadžeri smatraju da je nesigurno povjeriti rješavanje problema zaštite informacija trećim stranama, a ekonomski je isplativije rješavati probleme koristeći vlastite stručnjake, čiji nivo kvalifikacija često ne zadovoljava minimalni zahtjevi. Činjenica da su ruske mreže bolje zaštićene i da imamo viši nivo osoblja jednako je mit kao i činjenica da je besplatni softver pouzdaniji od komercijalnog softvera. Stoga je način poslovanja u Rusiji malo drugačiji. Posebnu pažnju moramo posvetiti radu ne sa sistem integratorima i outsourcing kompanijama, već sa krajnjim korisnicima, potrošačima proizvoda.


Alexey Dolya: Možete li napraviti prognozu za budućnost, kako će se razvijati industrija informacione sigurnosti u narednih nekoliko godina?

Ivan Martynyuk: U posljednje vrijeme sve više štete i neugodnosti korisnicima donose napadi implementirani na sloju aplikacije, kao i virusi, špijunski softver i spam. Shodno tome, programeri će više pažnje posvetiti sistemima koji rade na ovom nivou - to su razni posrednički zaštitni zidovi, sistemi za upravljanje sadržajem, sistemi za detekciju i prevenciju upada. Različiti distribuirani sistemi će postati sve rašireniji i funkcionalnije razvijeni, omogućavajući vam da donesete odluku o napadu i kako ga odbiti na osnovu informacija dobijenih od raznih izvora, sistemi i sonde.


Alexey Dolya: Niste mogli otkriti ideju stručnjaka poznate kompanije The Yankee Group da u narednim godinama akcenat na izgradnji zaštitni sistemiće se kretati nesmetano - od suprotstavljanja "spoljnim" hakerskim napadima do zaštite od napada "iznutra"?

Ivan Martynyuk: Ako pogledate izvještaje raznih analitičkih agencija, možete vidjeti jedan paradoks. S jedne strane, mnogo je više kompanija koje koriste zaštitne alate koji osiguravaju sigurnost duž perimetra mreže nego onih koji se štite od napada iznutra, a s druge strane gubici kompanija od realizovanih "internih" napada su veliki. viši nego od "spoljašnjih"... Stručnjaci u ovoj oblasti se, naravno, nadaju da će se kadrovi kompanija zaduženi za osiguranje sigurnosti jednog dana opametiti i obratiti pažnju na unutrašnje prijetnje ništa manje od vanjskih.


Alexey Dolya: Kakvu tehničku podršku pružate kupcima svojih proizvoda? Sudeći prema informacijama koje se nalaze na vašem sajtu, D-Link pruža dodatne usluge, FAQ, Bazu znanja, POMOĆNIK i još mnogo toga. Da li je moguće biti konkretniji?

Ivan Martynyuk: Iako je D-Link specijalizovan za proizvodnju opreme za segmente malih i srednjih preduzeća, u našem arsenalu postoje prilično funkcionalni i složeni proizvodi koje nije lako savladati čak ni visokokvalifikovanom stručnjaku. Ako odete na našu web stranicu, vidjet ćete da kompanija ima vrlo veliki broj regionalnih ureda koji pružaju lokalnu podršku. Što ste bliži osobi, bolje je razumete i moći ćete da joj ponudite najbolje tehničko rešenje ili brže rešite njen problem. U tom slučaju je lakše da vas neko nazove ili doveze, ili možete sami doći do korisnika i riješiti problem na licu mjesta. Kompanija također održava web stranicu na ruskom jeziku, gdje možete pronaći detaljne informacije o proizvodima, saznati gdje se mogu kupiti i pročitati vijesti. Jedan od najvećih odjeljaka stranice je odjeljak tehničke podrške, koji sadrži odgovore na često postavljana pitanja (FAQ), Baza znanja (Knowledge Base), koja sadrži odgovore na mnoga tehnička pitanja, pomoćnik (Helper), koji je koristan pri izgradnji mreže za početnike, emulatori sučelja uređaja, forum na kojem možete razgovarati o različitim tehničkim aspektima korištenja opreme, kako sa drugim korisnicima tako i zaposlenima D-Link-a, kao i mnogim drugim korisno tehničke informacije. Osim web stranice, podržana je i FTP stranica sa koje možete preuzeti kompletne korisničke priručnike za uređaje, od kojih su mnogi prevedeni na ruski, kao i firmver, drajvere i drugi softver i dokumentaciju opreme.


Alexey Dolya: Osim tehničke podrške, pružate li obuku? Seminari, kursevi?

Ivan Martynyuk: U svim našim regionalnim kancelarijama redovno se održavaju besplatni tehnički seminari koji vam omogućavaju interaktivnu komunikaciju sa korisnicima i prenošenje informacija koje se ne mogu obezbediti putem sredstava masovni medij ili web stranicu. Podizanje tehničkog nivoa IT stručnjaka kao rezultat ima pozitivan efekat na nivo tehnička rješenja koju prodaju i obim prodaje naše opreme. Seminari se sastoje iz dva dijela: teorijskog, koji govori o principima umrežavanja, mrežnih protokola, tehnologijama i našim proizvodima, i praktičnog, koji pokazuje kako ove proizvode konfigurirati za određene zadatke.


Alexey Dolya: Želite li za kraj nešto poručiti našim čitaocima?

Ivan Martynyuk: Želio bih napomenuti da su zaštitni zidovi i sistemi za detekciju upada neophodni, ali ne i dovoljna sredstva za zaštitu informacija. Ovoj problematici treba pristupiti na širokom planu i uvesti tzv. „Integrisani sistem zaštite informacija“, koji predstavlja skup organizacionih, pravnih i tehničkih mjera. Rješenje problema sigurnost informacija uvijek počinju sa analizom informacija koje kruže u preduzeću, njihovom klasifikacijom i utvrđivanjem vrijednosti, zatim identifikuju mnoge potencijalne prijetnje, a mnoge od njih mogu biti prirodne prirode, na primjer, kvar opreme, prirodne katastrofe, greška osoblja, itd., pa tek nakon toga izabrati potreban model i sredstva zaštite. Osim toga, čak ni pravilno dizajniran i izgrađen sigurnosni sistem neće uvijek efikasno zaštititi vašu mrežu, jer se njena logička i fizička struktura stalno mijenja, organizacijska struktura poduzeća se stalno mijenja i pojavljuju se nove vrste prijetnji. Sistem zaštite treba stalno analizirati i prilagođavati promjenjivim okolnostima. Sigurnost je proces.


Alexey Dolya: Hvala vam puno što ste pristali da odgovorite na naša pitanja. Nastavit ćemo pratiti uspjeh Vaše kompanije i njenih proizvoda!

Top Related Articles

Profesija menadžer sadržaja: ko je on i čime se bavi
Profesija menadžer sadržaja: ko je on i čime se bavi
Kako preuzeti plaćene igre i aplikacije za besplatni Play market za preuzimanje igara
Kako preuzeti plaćene igre i aplikacije za besplatni Play market za preuzimanje igara
Primjer čina odmašćivanja kisikovih manometara
Primjer čina odmašćivanja kisikovih manometara
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.