УДК

ЗАХИЩЕНІ КАНАЛИ ЗВ'ЯЗКУ В КОМП'ЮТЕРНІЙ МЕРЕЖІ

А.Р. Іванюк
ІФНТУНг, Івано-Франківськ, Україна, endry0501006732@gmail.com
Проблема захисту від несанкціонованих дій при взаємодії із зовнішніми
мережами може бути успішно розв'язана тільки на основі комплексного захисту
корпоративних комп'ютерних мереж. До базових засобів багаторівневого
захисту міжмережевого обміну даними відносяться захищені операційні
системи, мережеві екрани, віртуальні захищені мережі VPN, протоколи захисту
на канальному, транспортному і мережевому (протокол IPSec) рівнях.
Проблема захисту від несанкціонованих дій при взаємодії із зовнішніми
мережами може бути успішно розв'язана тільки на основі комплексного захисту
корпоративних комп'ютерних мереж. До базових засобів багаторівневого
захисту міжмережевого обміну даними відносяться захищені ОС, МЕ,
віртуальні захищені мережі VPN, протоколи захисту на канальному,
транспортному і мережевому (протокол IPSec) рівнях.
З точки зору забезпечення безпеки операційної системи процедури
ідентифікації і аутентифікації є дуже відповідальними. Дійсно, якщо
зловмисник зумів увійти до системи від імені іншого користувача, він легко
дістає доступ до усіх об'єктів операційної системи, до яких має доступ цей
користувач. Якщо при цьому підсистема аудиту генерує повідомлення про
події, потенційно небезпечні для безпеки операційної системи, то в журнал
аудиту записується не ім'я зловмисника, а ім'я користувача, від імені якого
зловмисник працює в системі.
Міжмережевий екран (МЕ) — це спеціалізований комплекс міжмережевого
захисту, що називається також брандмауером або системою firewall. МЕ
дозволяє розділити загальну мережу на дві частини (чи більше) і реалізувати
набір правил, що визначають умови проходження пакетів з даними через
кордон з однієї частини загальної мережі в іншу. Як правило, ця межа
проводиться між корпоративною (локальною) мережею підприємства і
глобальною мережею Internet

Рисунок 1 - Схема підключення міжмережевого екрану

 Рисунок 2 - Структура міжмережевого екрану

Для ефективної протидії мережевим атакам і забезпечення можливості

активного і безпечного використання у бізнесі відкритих мереж на початку
1990х рр. народилася і активно розвивається концепція побудови віртуальних
приватних мереж — VPN (Virtual Private Network).
Віртуальною захищеною мережею VPN (Virtual Private Network) називають
об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє
середовище передачі інформації в єдину віртуальну корпоративну мережу, що
забезпечує безпеку циркулюючих даних. Віртуальна захищена мережа VPN
формується шляхом побудови віртуальних захищених каналів зв'язку, що
створюються на базі відкритих каналів зв'язку загальнодоступної мережі.

Рисунок 3 - Захищена віртуальна мережа VPN

За допомогою методики тунелювання пакети даних передаються через

загальнодоступну мережу, як по звичайному двоточковому з'єднанню. Між
кожною парою «посилач — одержувач даних» встановлюється своєрідний
тунель — логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу
в пакети іншого.
Суть тунелювання полягає в тому, щоб інкапсулювати, «упакувати»,
передавану порцію даних, разом із службовими полями, в новий «конверт».
При цьому пакет протоколу нижчого рівня поміщається в поле даних пакету
протоколу більш високого або такого ж рівня. Слід зазначити, що тунелювання
саме по собі не захищає дані від НСД або спотворення, але завдяки
тунелюванню з'являється можливість повного криптографічного захисту
початкових пакетів, що інкапсулюються.