В многослойния модел за сигурност хост слоят се отнася към индивидуалните устройства, като сървъри, стационарни компютри, комутатори (switches), маршрутизатори (routers) и т.н., в мрежата. Всяко устройство притежава множество от конфигурационни параметри, които ако са установени неправилно могат да създадат дупка (пропуск) в сигурността. Тези параметри включват регистри, услуги предоставяни от устройствата или кръпки (patch)на операционната система или важни приложения. Следващите технологии осигуряват сигурността в хост слоя:
- Хост базирани системи за откриване на нарушения (Host-based intrusion detection systems, IDSs);
- Хост базирана оценка на уязвимостите (Host-based vulnerability assessment, VA);
- Мрежов контрол на достъпа (Network access control);
- Антивирусни системи (Anti-virus);
- Контрол на достъпа/автентификация (Access control/authentication).
Хост базирани системи за откриване на нарушения (Host-based intrusion detection systems, IDSs)
Хост базираните IDS работят подобно на мрежовите IDS – основната разлика е, че те наблюдават трафика на само едно мрежово устройство. IDS са отлично приспособени към специфичните характеристики на хост устройството и по тази причина осигуряват най-висока степен на защита, когато са подходящо администрирани.
Хост базирана оценка на уязвимостите (Host-based vulnerability assessment, VA);
Хост базираните средства за оценка на уязвимостите сканират само едно Интернет мрежово устройство за уязвимости. Средствата за VA са отлично приспособени към специфичните характеристики на хост устройството, което те наблюдават и по тази причина осигуряват отлично ниво на покритие, когато са подходящо администрирани.
Мрежов контрол на достъпа (Network access control);
Решенията за мрежов контрол на достъпа дублират отговорностите, защитавайки и мрежата и индивидуалното устройство. Тези устройства непрекъснато проверяват хост устройството за вредни приложения и инфекции и също удостоверяват, че изискваните мерки за сигурност, като антивирусни средства и персонални защитни стени (Firewall) са инсталирани и актуализирани.
Антивирусни системи (Anti-virus);
Антивирусните приложения осигуряват допълнителна защитя в хост слоя, когато се използват съвместно с мрежово базираните антивирусни средства.
Контрол на достъпа/автентификация (Access control/authentication).
Мерките за контрол на достъпа в този слой са най-добрата практика осигуряваща, че достъпът да устройството е гарантиран само за ауторизираните потребители. Целесъобразно е да се осигури най-добро взаимодействие между мерките за мрежов контрол на достъпа и тези за хост контрол на достъпа.
Сходни статии:
- Защитни стени (FireWall). Филтриране на пакети. Система iptables. Методи за предпазване от атаки Известни са няколко основни подхода за защита на достъпа до компютърните мрежи: Без защита. Защита чрез неизвестност (security through obscurity). Защита на ниво хост (host...
- Криптографски алгоритми с публичен ключ Идеята на криптографските алгоритми с публичен ключ или асиметрични криптографски алгоритми е разработена през 1976 г. от Уитфийлд Дифи (Whitfield Diffie) и Мартин Хелман (Martin Hellman). Причините и предпоставките за...
- Релационни база данни – основен модел БД използван в реалната практика SQL – стандартен език за управление на данните в база данни Под понятието заявка се разбира форма на питане към обектите и релациите на база данни. Подход при организация на...
- Телекомуникационни системи Под комуникации или по-точно телекомуникации се разбира предаване на сигнали на разстояние. Тези сигнали могат да бъдат аудио (телефон, радио), видео (телевизия, видеотелефон) или сигнали, представящи някакъв текст (телеграма, е-mail)....
- Какво е Интранет? Компютърна мрежа, която е вътрешна за дадена система (корпорация, фирма, институция, университет и др.) и е изградена на базата на Интернет технологии. Основни функции: Интранет често се разглежда като корпоративен...
[...] Internet Assigned Numbers Authority (IANA) е резервирала следните три блокa oт IP адресни пространства за частни мрежи в следните класове: • A: мрежов адрес 10.0.0.0 – 1 мрежа. Диапазон: 10.0.0.0 – 10.255.255.255 • B: мрежови адреси 172.16.0.0 до 172.31.0.0 – 16 мрежи. Диапазон: 172.16.0.0 – 172.31.255.255 • C: мрежови адреси 192.168.0.0 до 192.168.255.0 – 256 мрежи. Диапазон: 192.168.0.0 до 192.168.255.255 Ако някоя корпорация реши да използва частно адресиране, трябва да използва тези блокове от адреси. В някои мрежи, броят на използваните нерегистрирани IP адреси може да надвиши броя на глобалните уникални адреси, достъпни за превод. За да се реши този проблем, беше създадено Port Address Translation (PAT). Когато се използва NAT/PAT, TCP или UDP портовете на източника, използвани при установяване на връзката, се запазват уникални и се поставят в таблица заедно с преведения ГР адрес на източника. След това връщаният трафик се сравнява с NAT/PAT таблицата и IP адреса и номерата на TCP или UDP портовете на получателя се променят, за да отговарят на запазените в таблицата. Фигура 3-4 илюстрира работата на NAT/PAT. Използването на NAT/PAT създава редица проблеми за много протоколи. Приложения, които променят номерата на UDP или TCP портовете на изпращача и получателя, може да разрушат PAT съответствията. Също така, приложения, използващи контролен канал, за да обменят информация за съответствия на номера на портове и IP адреси ще се дадат несъответствие при NAT/PAT (например FTP). Освен това, ако зад дадено NAT/PAT устройство се намират много потребители, IP адресите и/или номерата на разположение може да се изчерпят доста бързо. Използването на NAT води до редица проблеми и при употребата с IPsec. Както обаче беше разяснено в глава 2, съществува разширение NAT Traversa], което е в процес на стандартизация, и което ще създаде работещо решение за много NAT среди. Следните проблеми биват разрешени чрез използването на NAT Traversal: • Изчисляване на контролна сума за по-горен слой – Когато TCP или UDP контролната сума бъде криптирана с ESP, NAT устройството не можа де я изчисли. NAT Traversal дефинира допълнителни полезни данни в IKE, които изпращат оригиналните IP адреси за правилно изчисляване на контролната сума. • Мултиплексиране на потоци с IPsec данни – TCP и UDP хедъ-рите не са видими при ESP, и поради това номерата на TCP или UDP портовете не могат да бъдат използвани за мултиплексиране на трафика между различни хостове, използващи адреси от частна мрежа. NAT Traversal капсулира ESP пакета с UDP хедър и NAT има възможност да използва UDP портовете на този хедър, за да мултиплексира потоците с IPsec данни. • Промяна на номера на IKE UDP порт – Ако някоя IPsec IKE им-плементация очаква номера на UDP порта на източника и дестина-цията да бъдат едновременно 500, когато някое NAT устройство промени номера на UDP порта на източника, IKE трафикът може да бъде изгубен. NAT Traversal дава възможност IKE съобщенията да се получават от порт на източника, различен от 500. • Използване на IP адреси за идентификация – Ако вграден ГР адрес се използва идентификация на участника, когато NAT промени адреса на източника на изпращащия възел, вграденият адрес няма да съвпада с IP адреса на IKE пакета и ГКЕ договарянето ще пропадне. NAT Traversal изпраща оригиналния IP адрес по време на договарянето в бърз режим от фаза 2 на IKE, който може да бъде използван за потвърждаване на ГР адреса. Обърнете внимание, че тъй като тези полезни данни не се изпращат по време на договарянето в основен режим от IKE фаза 1, потвърждаването на IP адреса не може да се извърши и проверката или изобщо не трябва да се случва, или тя трябва да става посредством друг механизъм, например проверка на името на хоста. [...]