Безопасность и Internet

         

Автоматизированная система разграничения доступа Black Hole версии BSDI-OS.


"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.

"Black Hole" поддерживает следующие виды сервисов:

  • терминальный доступ (TELNET)
  • передача файлов (FTP)
  • почта (SMTP)
  • новости Usenet (NNTP, SNNTP)
  • Web (HTTP, HTTPS)
  • Gopher
  • Real Audio
  • Archie
  • Wais
  • X Window System
  • Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.

    "Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.


    Правила доступа могут использовать в качестве параметров:

  • адрес источника


  • адрес назначения
  • сервис ( FTP, TELNET, и т.д.)
  • дата и время доступа
  • идентификатор и пароль пользователя
  • "Black Hole" поддерживает строгую аутентификацию как с использованием обычных

    паролей, так и различных типов одноразовых паролей:

  • S/Key
  • Enigma Logic Safeword
  • Security Dynamics SecureID,
  • при этом аутентификация может быть включена для любого вида сервиса.

    "Black Hole" поддерживает два режима аутентификации:

  • аутентификацию каждой TCP сессии
  • прозрачную аутентификацию
  • Второй режим позволяет прозрачно пользоваться всеми авторизованными

    пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого

    режима пользователю необходимо аутентифицироваться при помощи одного из

    следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно

    задать период времени, в течении которого он может использовать этот режим. Это

    позволяет создать крайне удобный для пользователя режим использования firewall.

    Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole"


    позволяет администратору системы описывать опасные события и реакцию на них

    системы (вывод на консоль, звонок на пейджер и т.д.)

    "Black Hole" позволяет описывать различные типы нарушений и определять реакцию

    на их появление.

    "Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста

    назначения сразу указывается необходимый сервер, без первоначального

    соединения с proxy и с proxy до нужного хоста).

    "Black Hole" предоставляет сервис для создания групп пользователей, сервисов,

    хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность

    легко описывать и администрировать большое количество пользователей.

    "Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows,

    так что настойкой системы может заниматься неискушенный в UNIX человек. Все

    административные функции могут быть выполнены из этой оболочки. Ядро ОС

    модифицировано для защиты графического интерфейса от внешнего доступа.

    "Black Hole" предоставляет следующие возможности по конвертации адреса

    источника пакета при прохождении через firewall:

  • адрес может быть заменен на адрес firewall;


  • адрес может быть оставлен без изменения;


  • адрес быть заменен на выбранный администратором


  • Последняя опция позволяет для пользователей INTERNET представлять

    внутреннюю сеть как состоящую из набора подсетей.

    "Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через

    дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher).

    Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом

    контроль доступа и сбор статистики за использованием этих сервисов.

    "Black Hole" использует для хранения и обработки статистической информации

    реляционную базу данных с языком запросов SQL. Большой выбор типов выборок

    по различным параметрам соединения в сочетании со средствами графического

    представления

    "Black Hole" функционирует на PC и Sun Sparc платформах под управлением

    модифицированных версий операционных систем BSDI и SunOS.

    "Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.

    "Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79


    Содержание раздела