Bazaprogram.ru

Новости из мира ПК
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита сетевого оборудования

Защита сетевого оборудования

ЗАЩИТА СЕТЕВОГО ОБОРУДОВАНИЯ

В данной статье мы поговорим о решениях, предлагаемых компанией American Power Conversion (APC) по защите коммуникационного сетевого оборудования.

Сегодня бизнес многих предприятий и компаний во многом зависит от работоспособности компьютерных сетей. Даже небольшие простои сети могут принести значительные убытки. Современное коммуникационное сетевое оборудование достаточно надежно и долговечно при нормальных условиях эксплуатации, однако, оно абсолютно беззащитно перед сбоями в сетях электропитания. Об этом свидетельствует и статистика — причиной большинства остановок компьютерных сетей была проблема с электропитанием. Поэтому коммуникационное сетевое оборудование, такое, как концентраторы, коммутаторы, мосты, маршрутизаторы и шлюзы, очень нуждаются в защите по электропитанию. В российских условиях это особенно актуально.

Источники бесперебойного питания (ИБП) для защиты сетевого оборудования должны обеспечивать следующие основные возможности: n удаленное выключение, перезапуск и диагностика;

  • оповещение сетевого администратора о возникших проблемах по пэйджеру;
  • поддержку протокола SNMP (Simple Network Management Protocol) для удаленного управления и интеграции с существующей компьютерной сетью;
  • возможность управления по модему;
  • мониторинг окружающей среды (температура, влажность);
  • защиту от бросков напряжения.

Всем этим требованиям отвечают ИБП компании APC.

Для защиты активного сетевого оборудования компания APC предлагает использовать ИБП моделей Matrix-UPS, Smart-UPS, Smart-UPS RM, Smart-UPS XL. Рассмотрим их основные характеристики и отличительные особенности.

Модульный ИБП Matrix-UPS предназначен для защиты электропитания информационных центров и аппаратных комнат с большим количеством коммуникационного сетевого оборудования. Он состоит из электронного модуля управления, изолирующего модуля (допускает различные выходные напряжения) и батарей SmartCell. Архитектура Line-Interactive ИБП Matrix-UPS гарантирует близкое к нулю время переключения на резервное питание, хорошую защиту от падений напряжения и синусоидальную волну выходного напряжения. Батареи SmartCell соединены параллельно, и могут быть легко заменены. Кроме того, для увеличения времени работы ИБП от батарей, можно установить дополнительные батареи SmartCell. Батареи SmartCell XR обладают той же функциональностью, как и SmartCell, но время работы от батареи — в 4 раза больше. Микропроцессор, находящийся в каждом элементе SmartCell, автоматически управляет работой батареи и предупреждает о падающей мощности. Выпускаются модели ИБП Matrix-UPS энергоемкостью 3000 ВА и 5000 ВА.

ИБП Smart-UPS защищает сетевое оборудование и продлевает срок его службы за счет технологии непрерывного многоступенчатого подавления перенапряжения и фильтрации шумов. Функции SmartBoost и SmartTrim осуществляют автоматическую коррекцию напряжения при его понижении и повышении, позволяя устройствам работать в условиях кратковременных сбоев электропитания без использования энергии батарей. В Smart-UPS также применена архитектура Line-Interactive. Для замены отслуживших свой срок батарей нет необходимости обращаться к изготовителю. Для этого предназначен комплект для замены батарей QuickSwap, позволяющий заменять батареи в горячем режиме.

Модели ИБП Smart-UPS выпускаются с энергоемкостью 250, 400, 450, 700, 1000, 1400, 2200, 3000 ВА. Однако для защиты питания сложного сетевого оборудования лучше использовать ИБП с энергоемкостью 700 ВА и выше. Модели ИБП Smart-UPS RM выпускаются в исполнении для монтажа в стойку. Их особенно удобно применять для защиты питания сетевого оборудования, установленного в стандартных 19-дюймовых монтажных шкафах. Smart-UPS RM имеет те же самые высокие функциональные возможности, что и популярный ИБП Smart-UPS. Энергоемкость моделей Smart-UPS RM: 700, 1000, 1400, 2200, 3000 ВА.

ИБП Smart-UPS XL имеет модульный дизайн и идеально подходит для защиты питания критически важного сетевого коммуникационного оборудования. Основное отличие Smart-UPS XL от Smart-UPS — возможность подключения к нему дополнительного блока батарей, содержащего до 10 батарей, тем самым увеличивая время работы сетевого оборудования от ИБП при отключении электропитания. Энергоемкость моделей Smart-UPS XL: 700, 1000, 2200 ВА. Модель на 2200 ВА можно также приобрести в варианте для монтажа в стойку.

ИБП выбран и установлен. Однако любого сетевого администратора будет волновать вопрос мониторинга и управления ИБП по компьютерной сети. И желательно, чтобы это осуществлялось стандартными, знакомыми сетевому администратору средствами. Какие же средства удаленного мониторинга и управления рассмотренными выше ИБП предлагает компания APC ?

Каждый из рассмотренных нами ИБП имеет встроенное гнездо расширения SmartSlot. В него можно установить одну из различных дополнительных плат, предназначенных для настройки и расширения функций управления ИБП. Плата PowerNet SNMP Adapter подключается к сети Ethernet или Token Ring и позволяет управлять ИБП по стандартному протоколу SNMP с управляющей сетью рабочей станции. Существует версия PowerNet SNMP Adapter, исполненная в виде отдельного устройства. Возможен вариант управления подключенным к сетевому серверу ИБП по SNMP при помощи установки на сервере программного обеспечения APC PowerNet SNMP Agent. Внешнее устройство дистанционного управления Call-UPS II обеспечивает управление ИБП через модем. Прибор предоставляет полную информацию о перебоях в питании, уведомляет о кризисных ситуациях по пэйджеру.

Для популярных платформ сетевого управления, таких, как HP OpenView for Unix, IBM NetView for AIX, Cabletron Spectrum, HP OpenView for Windows или Novell MangeWise, APC предлагает программное обеспечение PowerNet SNMP Manager. PowerNet SNMP Manager предоставляет удобный, интуитивно понятный графический интерфейс для управления APC ИБП по протоколу SNMP и легко интегрируется в перечисленные выше платформы сетевого управления.

Среди принадлежностей для рассмотренных ИБП можно выделить Measure-UPS, отслеживающий параметры окружающей среды с помощью внутренних датчиков температуры и влажности воздуха (возможно подключение внешних датчиков, реагирующих, например, на дым, огонь, воду или несанкционированный доступ).

Олег Подуков,сетевой инженер компании КОМПЛИТ

Официальные дистрибьютеры фирмы APC в Северо-Западном регионе:

Мастер- дистрибьютеры: Marvel Ltd. Синопская наб., 22, 274-1503, 274-1602, 325-1040 OCS Галерная ул., 55, 325-8725

Региональные дистрибьютеры: Аспект СПб Киров, ул. Ленина ,80, (8332) 692446, факс (8332) 692458 Ниеншанц ул. Ворошилова, 2, 588-4080, 588-2505, 588-1912

Методы защиты локальной сети

По утверждениям IT-специалистов, процесс построения локальной сети — это лишь третья часть работы по конструированию. Второй этап — проведение настройки конфигурации, первый — обеспечение безопасности локальной сети. Каждому предприятию необходимо сохранить приватность сведений, которые передаются по разным каналам или находятся на хранении внутри самой корпоративной системы.

С какими целями необходимо обеспечить безопасность?

Цели во многом зависят от индивидуальной ситуации. Но можно выделить три основные, характерные для всех случаев.

  1. Предотвращение любых попыток изменить информацию, сохранение ее в неизменном виде.
  2. Обеспечение конфиденциальности всех занесенных данных.
  3. Доступность всех действий и сохранение возможности проводить операции.

Обеспечение неизменности гарантирует, что в случае, если произойдет вторжение злоумышленников внутрь операционной системы ПК, файлы не подвергнутся уничтожению. Также невозможно изменение их содержимого и подмена исходных файлов.

К конфиденциальной информации относятся следующие сведения:

  • сведения, которые составляют коммерческую тайну;
  • личные данные санкционированных пользователей;
  • список логинов, паролей;
  • документация, находящаяся во внутреннем пользовании фирмы;
  • бухгалтерские отчеты;
  • сохраненные рабочие переписки;
  • кадры фото и видеосъемки, наблюдений;
  • иная важная информация.

Подобные файлы представляют особый интерес для преступников и конкурентов, так как могут использоваться не только для хищения финансовых средств, но и с целью обнародования данных в личных целях.

При выполнении действий по защите возникает еще одна проблема: обеспечение доступности. Серверы, принтеры, рабочие станции, критические файлы и иные ресурсы должны находиться в состоянии круглосуточного доступа для всех пользователей.

Методики защиты

Все меры по обеспечению безопасности должны быть предварительно проработаны, сформулированы в виде плана. Один из самых важных моментов — профилактика возникновения форс-мажорных ситуаций.

Для обеспечения защиты создаются физические препятствия к проникновению злоумышленников к аппаратуре. Устанавливается контроль над всеми ресурсами системы. Криптографическое преобразование информации с целью маскировки проводится при передаче ее по линиям связи на большие расстояния. Заключительный этап — создание свода правил безопасности, принуждение всех сотрудников организации к их исполнению.

Программные инструменты

Главным образом обеспечение безопасности локальных сетей зависит от программных средств. К таковым относятся:

  1. Межсетевые экраны. Это промежуточные элементы компьютерной сети, которые служат для фильтрации входящего и исходящего трафика. Риск несанкционированного доступа к информации становится меньше.
  2. Прокси-серверы. Производят ограничение маршрутизации между глобальной и локальной частями сети.
  3. VPN. Позволяют передавать информацию по зашифрованным каналам.
  4. Разные наборы протоколов, которые нужны для создания защищенного соединения и установления контроля над элементами локальной сети.

Эти приложения, встроенные в оперативную систему и специализированные, шифруют данные. Данные разграничивают потоки информации.

Комплексная защита

Наша компания создала решение, обеспечивающее полный контроль за локальными сетями. Это ИКС — межсетевой экран, снабженный всеми необходимыми функциями для защиты сети.

Защита информации в локальных сетях

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придается большое значение . Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией. Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение попадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров , недостатков в используемом программном обеспечении и т.д.

Следует заметить, что наряду с термином «защита информации» (применительно к компьютерным сетям) широко используется, как правило, в близком значении, термин «компьютерная безопасность «.

Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам:

  1. большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц;
  2. значительная протяженность сети и наличие многих потенциальных каналов проникновения в сеть;
  3. уже отмеченные недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предпродажном этапе, называемом бета- тестированием, а в процессе эксплуатации. В том числе неидеальны встроенные средства защиты информации даже в таких известных и «мощных» сетевых ОС , как Windows NT или NetWare.

Остроту проблемы, связанной с большой протяженностью сети для одного из ее сегментов на коаксиальном кабеле, иллюстрирует рис. 9.1. В сети имеется много физических мест и каналов несанкционированного доступа к информации в сети. Каждое устройство в сети является потенциальным источником электромагнитного излучения из-за того, что соответствующие поля, особенно на высоких частотах, экранированы неидеально. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Кроме электромагнитного излучения, потенциальную угрозу представляет бесконтактное электромагнитное воздействие на кабельную систему. Безусловно, в случае использования проводных соединений типа коаксиальных кабелей или витых пар, называемых часто медными кабелями, возможно и непосредственное физическое подключение к кабельной системе. Если пароли для входа в сеть стали известны или подобраны, становится возможным несанкционированный вход в сеть с файл -сервера или с одной из рабочих станций. Наконец возможна утечка информации по каналам, находящимся вне сети:

  • хранилище носителей информации,
  • элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта,
  • телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).

Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP . Сетевые атаки через Интернет могут быть классифицированы следующим образом:

  • Сниффер пакетов ( sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).
  • IP-спуфинг ( spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.
  • Отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
  • Парольные атаки – попытка подбора пароля легального пользователя для входа в сеть.
  • Атаки типа Man-in-the-M >троянский конь «.

Классификация средств защиты информации

Защита информации в сети на рис. 9.1. может быть улучшена за счет использования специальных генераторов шума, маскирующих побочные электромагнитные излучения и наводки, помехоподавляющих сетевых фильтров, устройств зашумления сети питания, скремблеров ( шифраторов телефонных переговоров), подавителей работы сотовых телефонов и т.д. Кардинальным решением является переход к соединениям на основе оптоволокна, свободным от влияния электромагнитных полей и позволяющим обнаружить факт несанкционированного подключения.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

  1. Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации . Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
  2. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
  3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
  4. Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства , поэтому далее они рассматриваются более подробно (см. «Стандартные методы шифрования и криптографические системы » и «Программные средства защиты информации «). Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации .

Шифрование данных представляет собой разновидность программных средств защиты информации и имеет особое значение на практике как единственная надежная защита информации , передаваемой по протяженным последовательным линиям, от утечки. Шифрование образует последний, практически непреодолимый «рубеж» защиты от НСД. Понятие » шифрование » часто употребляется в связи с более общим понятием криптографии . Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации. Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередь аутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон ( идентификация ), содержания (имитозащита) и источника (установление авторства c помощью цифровой подписи).

Число используемых программ шифрования ограничено, причем часть из них являются стандартами де-факто или де-юре. Однако даже если алгоритм шифрования не представляет собой секрета, произвести дешифрование ( расшифрование ) без знания закрытого ключа чрезвычайно сложно. Это свойство в современных программах шифрования обеспечивается в процессе многоступенчатого преобразования исходной открытой информации ( plain text в англоязычной литературе) с использованием ключа (или двух ключей – по одному для шифрования и дешифрования). В конечном счете, любой сложный метод ( алгоритм ) шифрования представляет собой комбинацию относительно простых методов.

Защита промышленных сетей

Предприятия успешны только в том случае, если их производственные системы функционируют без сбоев. Отказ оборудования или ПО, саботаж или потеря данных могут нанести большой ущерб.

Применение Ethernet вместо полевых шин впервые предполагает использование технологий безопасности.

В процессе запланированного расширения цеха можно поэтапно интегрировать решения сетевой безопасности для защиты коммуникаций и повышения доступности. Однако при выборе подходящей стратегии обеспечения безопасности возникает две трудности. Во-первых, необходимо учитывать особенности физичес-ких условий на местах и топологию существующих и расширяемых сетей, а во-вторых — потребность в адекватной концепции управления всей системой.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ НЕОБХОДИМО

Такие системы полевых шин, как Interbus или Profibus, благодаря своим нестандартным протоколам, операционным системам и приложениям, а также изолированности сетей, довольно хорошо защищены от внешних атак. Однако тенденция перехода к открытым платформам автоматизации на основе промышленного Ethernet (Industrial Ethernet) обуславливает потребность в повышении уровня безопасности. Объединение систем в сеть, наличие соединений между различными зонами, а также появление интерфейсов для удаленного обслуживания создают условия, при которых возникают угрозы, привычные для офисных сетей: вирусы, черви, троянские программы, атаки с целью вызвать отказ в обслуживании (Denial of Service, DoS), а также ошибочная адресация.

Пользователям систем автоматизации слишком хорошо знакома полная зависимость всех операций от функционирования систем ИТ и, как следствие, их неизбежная уязвимость. Однако лишь в редких случаях принимаются необходимые меры. Компьютеры, системы и инфраструктуру сети автоматизации необходимо заранее укрепить против атак и ввести всеобъемлющие меры безопасности
(см. Рисунок 1). Попытки ограничиться переносом традиционных стратегий безопасности из офисного мира в промышленную среду, как правило, обречены на провал.

ЗИЯЮЩИЕ ДЫРЫ В БЕЗОПАСНОСТИ

Объединение систем автоматизации с офисными сетями осуществляется с целью получения преимуществ от создания общекорпоративного информационного пула. В офисной сети и на стыке с сетью автоматизации располагаются традиционные средства защиты — вирусные сканнеры и брандмауэры (в качестве «ограждения» по периметру). В самих производственных системах администраторы не применяют такие механизмы и соответствующие программные компоненты, исходя из следующих причин:

Для предотвращения сбоев в сети и возможного нарушения производственного процесса была предложена трехэтапная концепция, реализация которой позволит обеспечить всеобъемлющую защиту при одновременном соблюдении требований технологии автоматизации. Она опирается на механичес-кую защиту доступа, задействует механизмы обеспечения безопасности управляемых коммутаторов и предусматривает размещение в ключевых пунктах сети специализированных устройств с функциональностью маршрутизаторов и брандмауэров (см. Рисунок 2). С учетом потенциального риска данная концепция может поэтапно внедряться в производственную сеть.

БЕЗОПАСНОСТЬ БЛАГОДАРЯ ДЕЦЕНТРАЛИЗОВАННОЙ ЗАЩИТЕ

Защищая всю корпоративную сеть или место сопряжения двух сетей, центральный брандмауэр не помогает, если злоумышленник действует изнутри. Автономные производственные ячейки можно защитить только с помощью эффективной децентрализованной концепции, опирающейся на решения для обеспечения безопасности конечных устройств. Сегментация производственной системы на отдельные ячейки, к которым, в свою очередь, применяется ступенчатая концепция безопасности, обеспечивает гибкость и надежность. Одна ячейка соответствует одной производственной единице (одному станку, установке, производственной линии или части цеха). Ее можно определить следующим образом: составляющие ее системы не способны полноценно функционировать в случае отказа любой из них.

Этап 1: механические меры обес-печения безопасности. Самый простой способ защиты от неправомерного доступа к производственной сети — использование механических устройств блокировки (см. Рисунок 3). Открытые порты RJ45 закрываются специальной заглушкой, которая удаляется так же, как коммутационные шнуры — с помощью специального инструмента. Такой простой способ позволяет предотвратить значительную часть опасных действий, а именно, разрыв важных соединений и ошибочное или неправомерное подключение к сети.

Этап 2: безопасность без потери производительности. Управляемые коммутаторы, такие, например, как Factory Line от Phoenix Contact, предлагают целый ряд функций обеспечения безопасности, совместимых с промышленным Ethernet. Они позволяют регулировать доступ, блокируют нежелательные потоки данных, затрудняют прослушивание данных. Кроме того, эти функции способствуют существенному повышению надежности эксплуатации и доступности систем, обес-печивая организацию виртуальных локальных сетей (Virtual Local Area Network, VLAN), контроль доступа на основе адресов MAC, а также ограничение доступа с помощью технологии Port Security. Последняя функция предотвращает обмен данных между сетью и нежелательными подключениями (Рисунок 4).

Система контроля доступа в сочетании с использованием паролей препятствует несанкционированному изменению конфигурации коммутатора. Свободные порты можно отключить, при этом все попытки доступа к сети регистрируются, а пользователь информируется с помощью SNMP или сигнального контакта. Виртуальные локальные сети, в свою очередь, позволяют разделить общую сеть на отдельные логические подсети, границы между которыми непреодолимы при отсутствии прав.

Функции безопасности задаются с помощью программного обеспечения для управления сетью, SNMP или через систему управления на базе Web. Для компонентов инфраструктуры возможна «настройка множественных устройств» (Multi-Device Configuration), а решение Diag+, например, позволяет администрировать инфраструктуру Ethernet с помощью управляющего инструмента SPS, обладающего следующими важнейшими функциями:

Эти типичные параметры инфраструктуры более-менее одинаковы и потому пригодны для централизованного администрирования. О нарушении предписаний безопасности администратор может быть проинформирован с помощью сигнального контакта или прерывания SNMP, что позволит быстро распознать возникшие проблемы и сразу принять меры для их устранения.

Читать еще:  Защита информации в операционных системах
Ссылка на основную публикацию
Adblock
detector