Основные компоненты межсетевых экранов. Шлюзы сетевого уровня.

Большинство компонентов межсетевых экранов можно от­нести к одной из трех категорий:

- фильтрующие маршрутизаторы;

- шлюзы сетевого уровня;

- шлюзы прикладного уровня.

Шлюз сетевого уровня иногда называют системой трансля­ции сетевых адресов или шлюзом сеансового уровня модели OS). Такой шлюз исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером.

Шлюз сетевого уровня принимает запрос доверенного кли­ента на конкретные услуги и после проверки допустимости запро­шенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направ­лениях, не осуществляя их фильтрации.

Шлюз сетевого уровня выполняет еще одну важную функ­цию защиты: он используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один " надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В резуль­тате в сети со шлюзом сетевого уровня все исходящие пакеты ока­зываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизированной) сетью и потенци­ально опасной внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким образом, шлюз сетевого уровня и другие серверы-посредники защищают внутренние сети от нападений ти­па подмены адресов.

 

Основные компоненты межсетевых экранов. Шлюзы прикладного уровня.

Большинство компонентов межсетевых экранов можно от­нести к одной из трех категорий:

- фильтрующие маршрутизаторы;

- шлюзы сетевого уровня;

- шлюзы прикладного уровня.

Для устранения ряда недостатков, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать до­полнительные программные средства для фильтрации сообщений сервисов типа TELNET и FTP. Такие программные средства назы­ваются полномочными серверами (серверами-посредниками), а хост-компьютер, на котором они выполняются, - шлюзом приклад­ного уровня.

Шлюз прикладного уровня исключает прямое взаимодейст­вие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложениями серверы-посредники перенаправляют через шлюз информацию, генери­руемую конкретными серверами.

Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного уровня и фильтрующие маршрутиза­торы могут быть объединены в одном межсетевом экране.

Шлюзы прикладного уровня позволяют обеспечить наибо­лее высокий уровень защиты, поскольку взаимодействие с внеш­ним миром реализуется через небольшое число прикладных пол­номочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.

Шлюзы прикладного уровня имеют ряд серьезных преиму­ществ по сравнению с обычным режимом, при котором прикладной трафик пропускается непосредственно к внутренним хост-компьютерам. Перечислим эти преимущества.

- Невидимость структуры защищаемой сети из глобальной сети Internet.

- Надежная аутентификация и регистрация.

- Оптимальное соотношение между ценой и эффективностью.

- Простые правила фильтрации.

 

Биометрическая защита.

Технологии безопасности, основанные на применении биометрических характеристик человека, в последнее время все чаще стали рассматриваться в качестве возможных средств защиты электронной подписи от несанкционированного использования.

Отпечатки пальцев

На сравнении отпечатков пальцев основаны наиболее старые и хорошо разработанные методы проверки и распознавания личности человека. В ходе подготовки образца для сравнения полутоновое изображение преобразуется в двоичную форму, после чего происходит выделение из него деталей — признаков отпечатка, из которых формируется образец для сравнения. Результативность метода определяется качеством контрольного образца, и поэтому иногда применяется многократное снятие отпечатков или используется не один, а два или более пальцев и т. д.

Черты лица

Образцами для распознавания по чертам лица являются фотографии установленного вида. Применявшиеся ранее алгоритмы «ручного» определения черт лица (расстояний между уголками глаз, между углами рта и т. д.), теперь заменены более надежными и точными алгоритмами их автоматического определения, основанными на сравнении образцов изображений и т. д. Его недостатки связаны с изменением черт лица от старения, косметики, другой прически, очков; практической невозможностью различить идентичных близнецов и т. д.

Геометрия кисти руки

Она определяется с помощью специального сканера, выполняющего около 100 замеров кисти, лежащей в специальном шаблоне. При проверке личности осуществляется однократное сканирование руки оригинала, и полученное отображение сопоставляется с контрольным образцом кисти, который формируется как среднее арифметическое результатов трех полных циклов сканирования оригинала. После чего результат выражается суммой баллов, характеризующей степень сходства образцов.

Этот метод пригоден для удостоверения личности.

Рисунок радужной оболочки глаза

Этот параметр является наиболее точным для идентификации личности, поскольку двух глаз с одинаковой радужной оболочкой, даже у одного и того же человека или у полностью идентичных близнецов, не существует. Рисунок радужной оболочки не меняется в течение всей жизни человека (не считая первого года), физически защищен роговицей глаза и допускает кодирование с расстояния до одного метра. Данный метод отличный для приложений, связанных с обслуживанием больших баз данных при высоких требованиях к безопасности.

Рисунок сосудов за сетчаткой глаза

Рисунок сосудов за сетчаткой глаза (за ретиной) так же уникален, как и радужная оболочка глаза. Данный метод отличается большей сложностью в использовании, ограниченностью расстояния между инфракрасной камерой и глазом (например, не более 20 см) и существенно более высокой стоимостью аппаратуры.

Расположение вен на руке

Расположение вен на руке рассматривается на запястье, ладони и тыльной стороне кисти. Рисунок вен регистрируется в инфракрасном свете, и образцом для сравнения служит бинарное изображение, полученное по такому снимку. Этот метод может применяться в небольших биометрических системах личного пользования и в таких типично биометрических приложениях, как «умные» дверные ручки, замки и т. д.

Динамические характеристики почерка

Динамическими характеристиками почерка являются координаты движения конца пера в зависимости от времени, скорость пера, а также оказываемое им давление.

1.1.8 Особенности речи

На сравнении особенностей речи основаны самые естественные и экономичные методы аутентификации личности по биометрическим характеристикам. Их простота достигается в результате широкого распространения телефонных сетей и развивающейся практики встраивания микрофонов в компьютеры. На качество работы системы могут повлиять: ошибки при произношении заданных фраз, эмоциональное состояние проверяемого, изменение положения микрофона во время проверки, применение разных микрофонов при записи образца и проверке и т. д.

Динамика ударов по клавишам

Динамика ударов по клавишам так же уникальна для каждого отдельного лица, как и личная подпись, и проявляется во время работы на клавиатуре. Для ее описания измеряются промежутки времени: либо между ударами при печатании символов, расположенных в определенной последовательности, либо между моментом удара по клавише и моментом отпускания ее при печатании каждого символа в этой последовательности.

Другие характеристики

Ряд биометрических характеристик, пригодных для идентификации личности, находится на стадии разработки, некоторые из них считаются пока недостаточно перспективными с точки зрения защиты электронной подписи. К этому ряду относятся:

- структура кожи и эпителия на пальцах (ультразвуковой метод идентификации по отпечаткам пальцев);

- термограмма лица (инфракрасный метод идентификации);

- отпечатки ладоней;

- признаки походки;

- особенности запаха;

- форма уха;

- характеристики ДНК.

 

Защита от копирования. “Привязка" к компьютеру.

Системы защиты от копирования можно разделить на следующие группы:

- привязка к дискете; привязка к компьютеру;

- привязка к ключу; опрос справочников

- ограничение использования ПО.

В мировой практике существуют следующие способы распространения программ:

- FreeWare (свободно с сохранением прав за автором);

- ShareWare (2-4 недели опробовать, потом или не использовать или оплатить);

- CriptWare (две версии: демо+зашифрованная рабочая).

Большинство программ распространяется по принципу AS IS (как есть), общепринятым в международной компьютерной практике. Это означает, что за проблемы, возникающие в процессе эксплуатации программы, разработчик и распространитель ответственности не несут.

Гораздо удобнее иметь необходимый программный продукт записанным на винчестере. Поэтому необходимо, чтобы контролирующая часть защищаемой программы (КЧЗП) " запомнила" свой компьютер и потом при запуске сравнивала имеющиеся характеристики с характеристиками " родного" компьютера. В случае их расхождения можно считать, что программа незаконно скопирована, и прервать ее выполнение. Для этого надо найти какие-то параметры, которые бы индивидуально характеризовали каждую вычислительную систему.

Рассмотрим, что все же можно предложить для КЧЗП в качестве характеристик, которые могли бы проверяться при работе защищаемой программы.

⇐ Предыдущая12345Следующая ⇒

Поделиться:

Популярное:

1. B передачи выходного вала компоненты
2. DSM-IV-TR: Основные характеристики.
3. I. ОСНОВНЫЕ ЭТАПЫ НАПИСАНИЯ КУРСОВОЙ РАБОТЫ
4. I.1. Основные предпосылки и механизмы развития речевой деятельности
5. II. Основные задачи управления персоналом.
6. II. Основные принципы создания ИС и ИТ управления.
7. III. Основные идеологические течения в истории гражданского права. Идеализм и позитивизм
8. III. Основные учебники, учебные пособия, словари и хрестоматии.
9. IV. ОСНОВНЫЕ ПРИЧИНЫ ЗАБОЛЕВАНИЙ.
10. IV. Основные условия культуры
11. XIV. ОСНОВНЫЕ ПРИЧИНЫ ЗАБОЛЕВАНИЙ.
12. XVIII. НЕВЕРБАЛЬНЫЕ СРЕДСТВА И КОМПОНЕНТЫ КОММУНИКАЦИИ