Abstract

Standard solutions that are supported by manufacturers of equipment for computer networks (switches the 2nd and 3rd levels, routers), implemented in the operating systems and protocols, and can be used for the development and implementation of integrated corporate network protection systems are considered in this article. The article is the second of a series of articles devoted to the analysis of methods and technologies of protection. The typical threats to computer network at the network (substitution the IP addresses of the nodes, imposing the wrong route, intercepting the IP address range and receiving information about the logical structure of the network, DDoS attacks on external channels), transport (Interception of information and connection to open ports of transport layer protocols) and application (Information interception, viruses and spyware) layers of OSI model are given and the features of methods and technologies to protect at are analyzed. Technology of Network Address Translation and Access Control Lists are analyzed to prevent threats to the network level. Features of using the “Blackhole” BGP function for protection against DDoS attacks on external channels are considered. The features of the protocol Secure Socket Layer / Transport Layer Security to protect against threats to the transport layer are analyzed. Approaches of “Statefull” Inspection and content filtering that allow implementing control of connection, data control between specific applications and performing filtering unwanted information are considered at the application level. Also, features of network security providing in heterogeneous virtual computing environments such as GRID-systems and cloud computing are noted. The approaches to protection which ware considered in work allow to effectively counter acting, first of all, external violation of information security. In the previous article of the cycle the methods and technologies of the physical and channel levels that were aimed at protecting against internal attacks on computer networks were considered. Analysis of methods and protection technologies at various levels of the OSI model which was conducted in work allows making informed decisions about choosing methods to protect networks for different purposes and with different requirements regarding data protection. Configuring the proper functionality on the network equipment allows carrying out the monitoring of compliance with network security policies and implement protection as close to possible sources of violations. Ref. 16, tabl. 1.

Highlights

  • Standard solutions that are supported by manufacturers of equipment

  • for the development and implementation of integrated corporate network protection systems are considered in this article

  • Розглянуті у роботі підходи до захисту (технологія трансляції мережевих адрес, створення списків контролю доступу, створення списків заборонених маршрутів до вузлів мережі, шифрування даних та автентифікація суб’єктів обміну даними з використанням протоколу SSL/TLS, використання серверів-посередників та механізмів контролю сесій, контентна фільтрація, системи на базі CDN) дозволяють ефективно протидіяти, у першу чергу, зовнішнім порушенням інформаційної безпеки

Read more

Summary

Телекомунікації та захист інформації

Методи і технології захисту комп’ютерних мереж (мережний, транспортний та прикладний рівні). Зазвичай статичний NAT використовують, коли до вузла внутрішньої мережі необхідно забезпечити доступ з зовнішніх мереж з використанням конкретних протоколів прикладного рівня. У випадку успішної автентифікації на інтерфейсі активуються спеціальні правила динамічного ACL, які дозволяють проходження пакетів з IP-адреси користувача до вузлів внутрішньої мережі. Таким чином реалізується проходження пакетів з зовнішніх мереж на вузли внутрішньої мережі тільки за ініціативою внутрішніх вузлів. Розглянуті вище методи захисту мережевого рівня досить ефективно дозволяють захистити вузли корпоративної мережі, але не вирішують задачу захисту від DDoS-атак на зовнішні канали, які призводять до того, що небажаний трафік на IP-адреси вузлів, що атакуються, з автономної системи корпоративної мережі чи провайдера утилізує усю пропускну спроможність зовнішніх каналів (прикладом таких атак є атака DNS Amplification). Можливим рішенням для захисту є ідентифікація IP-адрес, що атакуються, та блокування маршрутів на ці адреси з використанням відповідного функціоналу протоколів зовнішньої маршрутизації (наприклад, функції Blackhole протоколу BGP [8]). Розглянуті вище методи захисту мережевого рівня зведені у таблицю 1

Створення списків заборонених маршрутів до вузлів мережі
НОМУ РІВНІ

Talk to us

Join us for a 30 min session where you can share your feedback and ask us any queries you have

Schedule a call

Disclaimer: All third-party content on this website/platform is and will remain the property of their respective owners and is provided on "as is" basis without any warranties, express or implied. Use of third-party content does not indicate any affiliation, sponsorship with or endorsement by them. Any references to third-party content is to identify the corresponding services and shall be considered fair use under The CopyrightLaw.