|
По мере роста сетей Novell и их подключения к другим сетям, как
частного, так и общего пользования, предотвращение неавторизованного доступа
пользователей к ресурсам и конфиденциальным данным этих сетей становится все
более важным.
Например, показанный на рис. 4 маршрутизатор соединяет
инженерный и финансовый департаменты сети и позволяет инженерам и бухгалтерам
компании обмениваться необходимой информацией. Однако следует учесть, что это
соединение также позволяет рабочим станциям инженерного департамента получать
доступ к конфиденциальным финансовым данным.
Рис. 4. Объединение различных сетей и организационной
информации
Несмотря на то, что парольная защита и шифрование данных
безусловно способствуют решению проблем защиты данных, ПО Cisco IOS обеспечивает
некоторое количество дополнительных функций ограничения и контроля доступа на
сетевом уровне. Эти дополнительные меры обеспечения защиты особенно важны в тех
ситуациях, когда имеются подключения к внешним сетям или потенциальными
нарушителями используются программные анализаторы, осуществляющие дешифрацию
паролей и другой конфиденциальной информации, передаваемой через сеть.
Списки
доступа IPX (IPX Access Lists)
ПО Cisco IOS обеспечивает сетевым администраторам возможность
определения списков доступа, также известных как ACL (Access Control List).
Списки доступа разрешают или запрещают обмен информацией между различными
элементами сети на основе сетевых адресов отправителя и получателя, порта или
протокола. Списки доступа физически предотвращают прохождение пакетов между
некоторыми сетями, Устанавливая препятствия между определенными клиентами и
серверами.
Списки доступа в ПО Cisco IOS для пакетов IPX могут назначаться
в обоих направлениях для каждого интерфейса. Выходные списки доступа
предотвращают выход трафика Netware за пределы определенного сегмента сети или
запрещают его передачу другим сетям.
Входные списки доступа обеспечивают дополнительную гибкость при
создании защищенных сетей IPX. Они могут использоваться для определения
информации пользователя на краях сетей и построения более сложных систем
firewall. Входные списки доступа также снижают загрузку на процессор за счет
запрещения прохождения определенных пакетов до их обработки маршрутизатором и
обеспечивают фильтрацию трафика при использовании туннельных сетей на основе
инкапсуляции GRE (Generic Routing Encapsulation). Более подробно о сетях такого
типа см. раздел 'Туннели IPX".
Фильтры
RIP, SAP и NetBIOS
Кроме управления трафиком IPX при помощи списков доступа,
программное обеспечение Cisco IOS обеспечивает фильтрацию пакетов RIP, SAP и
NetBIOS. Фильтрация возможна также в обоих направлениях на каждом из
интерфейсов.
Фильтрация пакетов RIP обеспечивает несколько преимуществ:
- Фильтрация некоторых маршрутов обеспечивает изоляцию некоторых сетей по
выбору администратора
- Фильтрация обеспечивает 'видимость' определенных участков сети только из
указанных областей сетевой системы
- Фильтрация позволяет создать логически параллельные сетевые связи без
необходимости физической изоляции сетевых соединений и участков
Фильтрация также может применяться для увеличения
производительности сети за счет предотвращения попадания в соединения с
ограниченной полосой пропускания неавторизованного трафика.
Трафик SAP может быть разделен по типам рекламируемых сервисов,
номеру сети и по другим полям пакета SAP. ПО Cisco IOS также может фильтровать
трафик NetBIOS, который инкапсулируется в пакеты IPX. Сетевой трафик может быть
отфильтрован либо по именам узлов NetBIOS, либо по любой двоичной маске,
накладываемой на каждый пакет NetBIOS. Сетевые администраторы могут использовать
гибкие механизмы фильтрации для уменьшения размеров таблиц SAP, а также для
ограничения доступа к ресурсам серверов Netware для пользователей из
неавторизованных областей сети.
Протоколирование нарушений списков доступа
Программное обеспечение Cisco IOS позволяет использовать
стандартные механизмы протоколирования нарушений списков доступа IPX. Нарушение
протоколируется при получении первого пакета с параметрами, совпадающими с
записями в списке доступа. Обновление записей производится через временные
интервалы, соответствующие примерно 5 минутам.
Эта способность программного обеспечения позволяет сохранять
информацию об адресах получателя и отправителя, типах протоколов (пакетов) и
произведенных действиях (доступ запрещен/разрешен). Использование системы
протоколирования нарушений списков доступа позволяет сетевому администратору
установить в сети единую систему учета и контроля за соблюдением прав доступа с
возможностью раннего оповещения о неавторизованном доступе к ресурсам сети.
Дополнительные функции использования списков
доступа
ПО Cisco IOS обладает некоторыми функциями, позволяющими
облегчить использование списков доступа. В списках доступа можно использовать
маски сетей, что позволяет в одной записи указать сразу целый диапазон сетей, в
отношении которых необходимо производить указанные санкции. Эта функция
облегчает администрирование крупной сетевой системы, в которой используется
иерархический подход к определению сетевых адресов. Кстати отметим, что само по
себе использование такого подхода позволяет создать более наглядное
представление о распределенной сетевой системе.
Общепринятые идентификационные номера протоколов используются в
расширенных списках доступа. Кроме того, в таких списках доступа можно
использовать имена узлов. Эта функция снижает количество процедур настройки и
значительно облегчает фильтрацию пакетов IPX, RIP, SAP, NCP и NetBIOS.
| 
