Žodis angliškai
Distributed firewal
Žodis lietuviškai
Paskirstytasis tarpsegmentinis ekranas
Bendros žinios
Dauguma įprastų tarpsegmentinių ekranų (TE) dirba remdamiesi paprasta prielaida – viename prisijungimo taške (pvz. vietinis tinklas) viskas yras patikima ir saugu, o kitame taške aplinka yra nesaugi (pvz. internetas). Jos stebi šiuos taškus ir dirba pagal numatytas taisykles, praleisdamos ar uždrausdamos sujungimus ir duomenų mainus.
Paskirstytas tarpsegmentins ekranas (PTE) yra programinė įranga, kuri yra įdiegta ir dirba serveriuose ar vartotojų kompiuteriuose. Didelis PTE privalumas prieš įprasta TE yra galimybė stebėti tiek srautą is interneto, tiek iš vidinio tinklo. Tokiu būdų leidžiama apsissaugoti nuo piktavalių atakų ne tik iš išorės, bet ir iš vidaus. Tai yra labai svarbu, nes didžiausią žalą būtent ir padaro atakos, kilusios iš vidaus. PTE dirba kaip ir įprasta TE, tačiau tuo pat metu turi ir kelis svarbius privalumus kaip centralizuotą valdymą, įvykių suvestinę ir kai kuriais atvejais prieigos kontrolės detalumą (leidžia/draudžia numatytus sujungimus tam tikriems vartotojams). Visi šie įrankiai reikalingi nornt įgyvendinti kompanijos vykdomą saugumo politką.
Pagrindinė PTE savybė yra centralizuotas valdymas. Ši savybė leidžia nustatytą kompanijos saugumo politiką atnaujinti ir paskirstyti visoje kompanijos struktūroje per trumpą laiką, panaudojant kuo mažiau resursų. Galimybė kaupti suvestines apie įvykius ir greitai reaguoti į juos panaudojant atnaujinimus yra laikoma labai praktiška PTE savybe.
PTE dažnai sudaro antrą saugumo grandį kompanijose, po pagrindinių apsaugos mechanizmų. PTE padeda tuo, kad gali apsaugoti vartotojus kurie yra nutolę, taip pat serverius kompanijų viduje. Šio tipo tarpsegmentiniai ekranai diegiami į serverius norint apsaugoti tinklo kritinius taškus. Jai tinklo kritinis taškas tampa pažeistas, PTE neleidžia piktavalėms programoms per jį sklisti į kitus tinklo mazgus. Dar vienas didelis privalumas prieš įprastas TE yra duomenų tikrinimo pobūdis. Paprastai pagrindiniai kompanijų TE yra bendro pobūdžio, t.y. jie ieško bendrų pažeidimo požymių, kur PTE elgiasi kaip specialistai, kurie gali tikrinti konkrečius atvejus nurodytus per saugumo politiką (tokius kuriuos įprasta TE gali praleisti).
Dar viena įprastų TE problema yra tinklo srauto sulėtinimas. Dėl vis augančios tinklo linijų spartos ir vis sudėtingesnių protokolų kuriuos TE turi palaikyti, jie neretai tampa grūsties taškais. Tarpas tarp srauto apdorojimo greičio ir tinklo linijų spartos artimiausiu metu vis didės; nors kompiuteriai tobulėja ir spartėja, sudėtingų protokolų ir labai didelio informacijos kiekio, kuris praeina per TE, kombinacija didėja didesniu greičiu. Esantys ir naujai kuriami sudėtingi protokolai reikalauja vis daugiau resursų, kad juos būtų įmanoma apdoroti. Įprastiems TE pradeda stigti žinių kaip juos apdoroti, ko pasekoje gali įvykti įsilaužimas. PTE šios spragos neturi, nes informacija apie naujoves, taip pat pati programinė įranga, gali būti greitai ir efektyviai atnaujinama. Taip pat, TE dėl savo architektūros gali tikrinti tik informaciją kuri praeiną pro ją, todėl jai piktavalis patektų į tinklą apėjęs TE, viduje jis galėtų judėti nevaržomas.
Veikimo principas
PTE veikimas parodytas 1 pav. PTE paprastai yra branduolio rėžimo (angl. Kernel-mode) taikomosios programos kurios dirba operacinės sistemos apatiniame OSI modelio lygyje. Jos filtruoja visą duomenų srautą nepriklausomai nuo krypties – interneto ar vidinio tinklo. Abi šias zonas PTE traktuoja kaip potencialiai pavojingas. Veikimo principas yra paprastas:
1) sudarytojas (angl. compiler) išverčia paruoštą kompanijos saugumo politiką į kažkokį vidinį formatą;
2) paskirstymo sistema (pvz. Microsoft SMS arba ASD) išsiunčia visiems įrenginiams kurie turi PTE saugumo politikos nustatymus/atnaujinimus. Sujungimams naudojamas saugus ryšys (IPSEC);
3) tinklo saugumo politika įgyvendinama galiniuose taškuose. Kiekvienam vartotojui gali būti priskirta skirtinga politika ir leidimai/draudimai;
4) iš vartotojų įvykių suvestinių daromas bendras vaizdas, renkama informacija, formuojamos naujos politikos ar leidimai/draudimai.
Saugumo politikų gavimas galimas dvejopai:
1) paimti (angl. pull) – šis metodas vykdomas kada vartotojas įjungia savo darbo kompiuterį. Kompiuteris siunčia užklausa politikų paskirstymo serveriui, pasižiūri ar jis įjungtas ir atnaujintas ir paprašo jo savo saugumo politikos rinkinio. Serveris išsiunčia jam prašomą informacija, vartotojo kompiuteris ją įdiegia ir pradeda dirbti su gautais nustatymais;
2) nustumti (angl. push) – šis metodas taikomas kada centriniame saugumo politikų serveryje yra įvykdomas atnaujinimas. Tuo metu serveris priverstinai išsiunčia visiems aktyviems vartotojams naujus nustatymus.
- 1 pav. PTE veikimo principas
Literatrūros sąrašas