Базы данныхИнтернетКомпьютерыОперационные системыПрограммированиеСетиСвязьРазное
Поиск по сайту:
Подпишись на рассылку:

Назад в раздел

Интеграция модемных пулов с брандмауэрами

3.5 Интеграция модемных пулов с брандмауэрами

Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе 2.3.2, это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

Рисунок 3.5

Рисунок 3.5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.

Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.

Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.

Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.

Рисунок 3.6

При использовании брандмауэров на основе шлюза с двумя интерфейсами и с изолированной подсетью маршрутизатор, соединенный с Интернетом, будет предотвращать прямую передачу данных между системами в Интернете и модемным пулом. Кроме того, при использовании брандмауэра с изолированной подсетью внутренний маршрутизатор сделает невозможной прямую передачу данных между внутренними систеами и модемным пулом; а при использовании брандмауэра на основе шлюза с двумя интерфейсами прикладной шлюз также помешает этому. Пользователи, устанавливающие соединение через модемный пул, смогут установить соединение с внутренними системами только через прикладной шлюз, который может использовать средства усиленной аутентификации.

Если сеть использует какие-либо средства защиты этого рода при установлении соединения через модем, то должна строго соблюдаться политика, запрещающая пользователям устанавливать соединения с внутренней сетью через модемы в местах, отличных от этой изолирвоанной подсети. Даже если модем имеет встроенные средства защиты, это только усложнит схему защиты брандмауэра и добавит еще одно "слабое звено" к цепочке.

Назад | Содержание | Вперед




  • Главная
  • Новости
  • Новинки
  • Скрипты
  • Форум
  • Ссылки
  • О сайте




  • Emanual.ru – это сайт, посвящённый всем значимым событиям в IT-индустрии: новейшие разработки, уникальные методы и горячие новости! Тонны информации, полезной как для обычных пользователей, так и для самых продвинутых программистов! Интересные обсуждения на актуальные темы и огромная аудитория, которая может быть интересна широкому кругу рекламодателей. У нас вы узнаете всё о компьютерах, базах данных, операционных системах, сетях, инфраструктурах, связях и программированию на популярных языках!
     Copyright © 2001-2023
    Реклама на сайте