Защита сетей: брандмауэры
Когда Вы соединяете ресурсы своей корпоративной сети с открытой сетью, такой, как Интернет, Вы подвергаете риску как содержащиеся в ней данные, так и сами компьютерные системы. Без брандмауэра
данные будут мишенью для внешней атаки. Как и их аналоги в обыденной жизни, в электронном мире брандмауэры предназначены для защиты oт повреждений, в данном случае, защиты данных и компьютерных систем. Брандмауэры способны обеспечить защиту отдельных протоколов и приложений, и весьма эффективны против маскарада. Брандмауэры осуществляют контроль доступа на основе содержимого пакетов данных, передаваемыми между двумя сторонами или устройствами по сети.
----------------------------------
CryptoAPI u CDSA
В настоящее время есть два основных набора инструментов, призванных упростить для разработчиков задачу внедрения криптографических методов защиты в приложения для персональных компьютеров — это CryptoAPI от Microsoft и CDSA (Common Data Security Architecture) от Intel.
Microsoft разрабатывает интегрированную систему безопасности Интернет — Internet Security Framework — совместимую с Microsoft Windows 95 и Microsoft Windows NT. Важный компонент этой интегрированной системы — CryptoAPI. Этот интерфейс прикладного программирования (API) действует на уровне операционной системы и предоставляет разработчикам в среде Windows средства вызова криптографических функций (таких как алгоритмы шифрования) через стандартизированный интерфейс. Поскольку CryptoAPI имеет модульную структуру, он позволяет разработчикам в зависимости от их потребностей заменять один криптографический алгоритм другим. CryptoAPI также обладает средствами для обработки цифровых сертификатов.
CDSA от Intel предлагает практически те же самые функциональные возможности, что и CryptoAPI, но этот набор инструментов с самого начала предназначался для многоплатформенного использования, а не только для Windows. Некоторые компании (в том числе Netscape, Datakey, VASCO Data Security и Verisign) уже включили поддержку CDSA в свои продукты.
----------------------------------------------------------------------
Одно из преимуществ брандмауэра в том, что он позволя ет обеспечить единственную точку контроля за безопасностью в сети. Но это преимущество может обернуться против Вас: если брандмауэр окажется единственным слабым местом в системе защиты, то вероятно, он и привлечет к себе повышенное внимание хакеров.
Помните, что брандмауэры не являются универсальным решением всех проблем безопасности в Интернет. Например, они не осуществляют проверку на вирусы и не способны обеспечить целостность данных. Кроме того, брандмауэры не аутентифицируют источник данных и очень часто не гарантируют конфиденциальности. Однако в настоящее время разрабатываются новые протоколы для обеспечения аутентификации и конфиденциальности пакетов данных в Интернет.
Корпоративные сети часто связывают офисы, разбросанные по городу, региону, стране или всему миру. В настоящее время ведутся работы по защите на сетевом уровне IP-сетей
(именно такие сети формируют Интернет), что позволит компаниям создавать свои собственные виртуальные частые сети (virtual private networks, VPN) и использовать Интернет как альтернативу дорогим арендованным линиям.
Ведущие поставщики брандмауэров и маршрутизаторов выступили с инициативой: предложили технологию S/WAN (Secure Wide Area Networks) . Они взяли на себя внедрение и тестирование протоколов, предлагаемых Рабочей группой инженеров Интернет (Internet Engineering Task Force, IETF) для защиты IР-пакетов. Эти протоколы обеспечивают аутентификацию и шифрование пакетов, а также методы обмена и управления ключами для шифрования и аутентификации. Протоколы S/WAN помогут достичь совместимости между маршрутизаторами и брандмауэрами различных производителей, что позволит географически разобщенным офисам одной корпорации, а также партнерам, образующим виртуальное предприятие, безопасно обмениваться данными по Интернет.
