Logo    
Деловая газета CitCity.ru CITKIT.ru - все об Open Source Форумы Все публикации Учебный центр Курилка
CitForum    CITForum на CD    Подписка на новости портала Море(!) аналитической информации! :: CITFORUM.RU
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

27.03.2017

Google
WWW CITForum.ru
С Новым годом!

BlackHole

Информация предоставлена "Р-Альфа"

Автоматизированная система разграничения доступа
Black Hole версии BSDI-OS.

"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно. "Black Hole" поддерживает следующие виды сервисов:

  • терминальный доступ (TELNET)
  • передача файлов (FTP)
  • почта (SMTP)
  • новости Usenet (NNTP, SNNTP)
  • Web (HTTP, HTTPS)
  • Gopher
  • Real Audio
  • Archie
  • Wais
  • X Window System
Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.

"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.
Правила доступа могут использовать в качестве параметров:

  • адрес источника
  • адрес назначения
  • сервис ( FTP, TELNET, и т.д.)
  • дата и время доступа
  • идентификатор и пароль пользователя
"Black Hole" поддерживает строгую аутентификацию как с использованием обычных паролей, так и различных типов одноразовых паролей:
  • S/Key
  • Enigma Logic Safeword
  • Security Dynamics SecureID,
при этом аутентификация может быть включена для любого вида сервиса.

"Black Hole" поддерживает два режима аутентификации:

  • аутентификацию каждой TCP сессии
  • прозрачную аутентификацию

Второй режим позволяет прозрачно пользоваться всеми авторизованными пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого режима пользователю необходимо аутентифицироваться при помощи одного из следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно задать период времени, в течении которого он может использовать этот режим. Это позволяет создать крайне удобный для пользователя режим использования firewall.

Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole" позволяет администратору системы описывать опасные события и реакцию на них системы (вывод на консоль, звонок на пейджер и т.д.)

"Black Hole" позволяет описывать различные типы нарушений и определять реакцию на их появление.

"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста назначения сразу указывается необходимый сервер, без первоначального соединения с proxy и с proxy до нужного хоста).

"Black Hole" предоставляет сервис для создания групп пользователей, сервисов, хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность легко описывать и администрировать большое количество пользователей.

"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows, так что настойкой системы может заниматься неискушенный в UNIX человек. Все административные функции могут быть выполнены из этой оболочки. Ядро ОС модифицировано для защиты графического интерфейса от внешнего доступа.

"Black Hole" предоставляет следующие возможности по конвертации адреса источника пакета при прохождении через firewall:

  • адрес может быть заменен на адрес firewall;
  • адрес может быть оставлен без изменения;
  • адрес быть заменен на выбранный администратором

Последняя опция позволяет для пользователей INTERNET представлять внутреннюю сеть как состоящую из набора подсетей.

"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher). Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом контроль доступа и сбор статистики за использованием этих сервисов.

"Black Hole" использует для хранения и обработки статистической информации реляционную базу данных с языком запросов SQL. Большой выбор типов выборок по различным параметрам соединения в сочетании со средствами графического представления

"Black Hole" функционирует на PC и Sun Sparc платформах под управлением модифицированных версий операционных систем BSDI и SunOS.

"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.

"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79

Black Hole 3.0

Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от несанкционированного доступа машин в приватной сети. Поддерживаются все стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP, TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран располагается между приватной сетью и глобальной сетью Internet.

Межсетевой экран базируется на принципе - "что не разрешено, то запрещено". Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого" соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы. BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные условия для пользователей защищенной сети, поэтому имеет прозрачный режим работы. В последнем случае пользователь аутентифицируется при первоначальном использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.

Аутентификация пользователей производиться по следующим правилам:

  • Где находиться с использованием исходного и конечного адресов запроса
  • Что хочет с использование типам запрошенного сервиса
  • Когда хочет с использованием времени суток и даты запроса
  • Что он знает с использованием имени пользователя и пароля
  • Что у него есть с использованием смарт-карты
Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.
  • Дата и время суток
  • Тип соединения или протокол
  • Исходный адрес инициатора
  • Удаленный адрес запроса
  • Номер порта для "сырого" соединения
  • Имя аутентифицированного пользователя
  • Информацию о трафике

Составляющие компоненты

Расширенное ядро

  • Игнорирует пакеты со специальными признаками
  • Закрыта прямая передача через ядро пакетов
  • Добавлена система глобального мониторинга соединений
  • Включен анализатор направления передачи пакетов
  • Установлен режим перехвата всех пакетов для прозрачного режима
  • Полностью закрыты от внешнего доступа сервисы, использующиеся локально

Усеченное окружение

  • Из состава системы исключены все программы, являющиеся серверной частью сетевых сервисов
  • Изменены режимы доступа к ключевым файлам и командам
  • Ликвидированы все ссылки на использование сетевых информационных сервисов типа NIS
  • Уничтожены все бюджеты пользователей, кроме системных и администратора.
  • Исключены все виды компиляторов и загрузчиков
  • Все серверные программы работают в усеченном отрезке файловой системы (UNIX chroot)

Guardian - супер-сервер

  • Guardian в межсетевом экране является заменой стандартного UNIX inetd демона. В данной реализации межсетевого экрана guardian является единственным процессом, находящегося в ожидании соединения по сети. При получении соединения этот процесс сверяется со специальной базой данный, и в случае, если соединение разрешено, запускает соответствующий proxy.
  • Guardian управляется специальной программой контроля, допускающей использование команд: THROTTLE (остановить), RELEASE (продолжить работу), RECONFIGURE (перечитать файл конфигурации).
  • Guardian стартует при первоначальном запуске системы и должен управляться только через вышеописанный интерфейс.

Oracle - сервер аутентификации

  • Oracle принимает запросы на аутентификацию через локальное устройство, сверяет полученный запрос с политикой безопасности, описанной администратором межсетевого экрана, и в случае, если запрос соответствует правилам, разрешает его выполнение.
  • При необходимости аутентифицировать пользователя, Oracle может в качестве ответа заносить дополнительную информацию, например пароль пользователя или запрос для системы одноразовых паролей.
  • Oracle - единственный процесс межсетевого экрана, осуществляющий доступ к аутентификационной базе данных.
  • Oracle каждый час создает резервную копию базы, и в случае сбоя в работе автоматически производит восстановление рабочей версии базы.
  • Oracle стартует при начальной загрузке системы.

Транслирующие сервера - набор поддерживаемых сервисов

  1. Proxy TCP

    Основной функцией этого proxy является поддержка коммуникаций между интерфейсами межсетевого экрана. Для выполнения этой функции proxy может консультироваться с Oracle. Поскольку этот сервер является базовым, он не поддерживает аутентификации пользователей, преимущественно предназначен для работы в прозрачном режиме. Администратор имеет возможность контролировать использование этого proxy по следующим параметрам:

    • устанавливать максимальное время неактивности, после которого разрывается соединение.
    • устанавливать время действия аутентификации для прозрачного режима работы

    Proxy TCP запускается через Guardian после проверки последним правомочности запрошенного соединения.

  2. Proxy FTP.

    Этот сервер поддерживает протокол FTP и позволяет:

    • производить аутентификацию пользователя
    • интерпретировать команды протокола FTP
    • включать прозрачный режим

  3. Proxy Telnet

    Служит для поддержки протокола удаленного интерактивного доступа Telnet. Позволяет:

    • производить аутентификацию пользователя
    • включать прозрачный режим
    • менять пароль пользователя

  4. Proxy HTTP

    Этот сервер служит для поддержки на межсетевом экране протокола HTTP и имеет следующие возможности:

    • аутентификация пользователя на использование протокола и запроса
    • включение прозрачного режима
    • изменять пароль пользователя
    • интерпретировать команды HTTP протокола

  5. Proxy Gopher

    Служит для поддержки протокола Gopher на межсетевом экране и позволяет:

    • осуществлять аутентификацию пользователя для использование gopher-запроса
    • включать прозрачный режим

  6. UDP relay

    Очень сходен с TCP proxy, за исключением того, что вместо TCP соединения оперирует виртуальными UDP соединениями. Служит для поддержки некоторых протоколов, таких как DNS, Archie. При запуске консультируется с Oracle для определения правомочности пришедшего запроса.

  7. Netacl

    Служит для разрешения удаленного администрирования межсетевого экрана. Поддерживает все виды аутентификации пользователей (по адресам, условно-постоянным и одноразовым паролям, смарт-картам).

  8. Система электронной почты.

    Система состоит их двух частей - получателя почты и отправителя. Получатель стартует через guardian при попытке удаленной машины. Не требует аутентификации пользователя. Для дополнительного режима безопасности работает в ограниченном участке файловой системы (UNIX chroot). Производит анализ управляющих заголовков сообщений на предмет несанкционированных адресов.

    Отправитель почты запускается при первоначальной загрузке системы как сервер и через определенные промежутки времени проверяет пришедшую через приемник почты, которую оправляет по назначению. В отличие от стандартных почтовых программ в состав отправителя не включены:

    • Include mailer
    • File mailer
    • Program mailer
    • local mailer
    Такая схема обеспечивает прием и передачу только корректных сообщений, содержащих все необходимые заголовки в правильном формате.

  9. Системный журнал.

    Сервер системного журнала стартует при начальной загрузке системы и служит для обработки сообщений, записываемых в системных журнал. Распределение сообщений в соответствии с приоритетами осуществляется по правилам, описанных в конфигурационном файле. Для предотвращения записи ложных сообщений, порт, по которому работает этот сервер недоступен со стороны сети.

  10. Уведомление администратора о событиях

    Данная подсистема позволяет в реальном времени отслеживать события, связанные с попытками нарушения политики безопасности. Имеется возможность пользоваться различными механизмами уведомления, например по электронной почте, пэджеру или путем вывода сообщения в специальное окно на консоли межсетевого экрана.

  11. Система анализа статистики

    Данная система позволяет осуществлять гибкий анализ статистики межсетевого экрана. Конкретные возможности:

    • Суммарный анализ трафика
    • Анализ трафика по протоколам
    • Анализ переданного/принятого количества пакетов по функциям
    • Анализ трафика по рабочим станциям
    • приходящий трафик
    • Исходящий трафик
    • 10 наиболее популярных удаленных машин.

  12. Система администрирования межсетевого экрана

    Содержит в своем составе развитый графический интерфейс, который позволяет:

    • работать с базой данных по пользователям
    • работать с базой данных по сервисам
    • управлять базой правил сетевого доступа

Дополнительные возможности

В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и не позволяют организовать приватный канал с межсетевого экрана других производителей. При общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет решать задачи взаимной аутентификации и смены ключей весьма эффективно.

Новое название Black Hole - SecurIT FIREWALL.

Размещение рекламы — тел. +7 495 4119920, ICQ 232284597

Подписка на новости IT-портала CITForum.ru
(библиотека, CITKIT.ru, CitCity)

Новые публикации:

24 декабря

CITKIT.ru:

  • Новогодние поздравления
  • Сергей Кузнецов. Цикл Операционные системы: Ностальгия по будущему:

  • Алексей Федорчук. OpenSolaris 2008.11 Release

  • Сергей Голубев:

  • Евгений Чайкин aka StraNNik (Блогометки):

    17 декабря

  • С.Д.Кузнецов. Базы данных. Вводный курс

    10 декабря

    CITKIT.ru:

  • OpenSolaris 2008.11 Release

  • Альтернативные ОС: две грустные истории (С.Кузнецов)
  • Nokia N810 — доведение до ума
  • CitCity:

  • Платформа 2009: заоблачные перспективы Microsoft

    4 декабря

  • Лекция С.Д.Кузнецова Понятие модели данных. Обзор разновидностей моделей данных

    CITKIT.ru:

  • OpenSolaris 2008.11 Release. Первые впечатления

  • Linux vs FreeBSD: продолжим "Священные войны"?

  • Nokia N810 as is

  • Индульгенция для FOSS

  • Друзья СПО'2008

    26 ноября

  • Нечеткое сравнение коллекций: семантический и алгоритмический аспекты

    CitCity:

    CITKIT.ru:

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • 19 ноября

  • Проблемы экономики производства крупных программных продуктов

  • Язык модификации данных формата XML функциональными методами

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Заметки к книге:

  • FreeBSD: монтирование сменных устройств и механизм HAL
  • Текстовый редактор ee

    12 ноября

  • Правило пяти минут двадцать лет спустя, и как флэш-память изменяет правила (Гоц Грейф, перевод: Сергей Кузнецов)

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:
  • OSS в России: взгляд правоведа (В.Житомирский)

  • Новая статья из цикла С.Голубева "Железный марш":

    29 октября

  • О некоторых задачах обратной инженерии

  • Веб-сервисы и Ruby

  • Тестирование web-приложений с помощью Ruby

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

  • PuppyRus Linux - беседа с разработчиком (С.Голубев)

  • Сергей Кузнецов. Заметка не про Linux

    22 октября

  • Обзор методов описания встраиваемой аппаратуры и построения инструментария кросс-разработки

    CITKIT.ru:

  • Сергей Кузнецов. Почему я равнодушен к Linux

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • Что надо иметь
    3. Базовые познания

    CitCity:

  • Управление IT-инфраструктурой на основе продуктов Microsoft

    15 октября

  • Методы бикластеризации для анализа интернет-данных

    CitCity:

  • Разъемы на ноутбуках: что они дают и зачем их так много?
  • AMD Puma и Intel Centrino 2: кто лучше?

    CITKIT.ru:

  • Новый цикл статей С.Голубева
    Железный марш:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    8 октября

  • Автоматизация тестирования web-приложений, основанных на скриптовых языках
  • Опыт применения технологии Azov для тестирования библиотеки Qt3

    Обзоры журнала Computer:

  • SOA с гарантией качества
  • Пикоджоуль ватт бережет
  • ICT и всемирное развитие

    CitCity:

  • Пиррова победа корпорации Microsoft

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Статья из архива:

  • Я живу в FreeBSD (Вадим Колонцов)

    Новые Блогометки:

  • Перекройка шаблона Blogger или N шагов к настоящему
  • Blogger. Comment style
  • Screenie или глянцевый снимок экрана

    2 октября

    CITKIT.ru:

  • Сага о FreeBSD (А. Федорчук)

    Zenwalk: пакет недели

  • Банинг — интеллектуальное развлечение (С.Голубев)

    CitCity:

    25 сентября

  • Клермонтский отчет об исследованиях в области баз данных

    CITKIT.ru:

  • Пользователям просьба не беспокоиться... (В.Попов)

  • Снова про ZFS: диск хорошо, а два лучше
  • Командная оболочка tcsh (А.Федорчук)

    Zenwalk: пакет недели

    17 сентября

  • T2C: технология автоматизированной разработки тестов базовой функциональности программных интерфейсов
  • Технология Azov автоматизации массового создания тестов работоспособности

    CITKIT.ru:

  • FreeBSD: ZFS vs UFS, и обе-две — против всех (А.Федорчук)

    Zenwalk: пакет недели

  • Дачнет — практика без теории (С.Голубев)

    10 сентября

  • За чем следить и чем управлять при работе приложений с Oracle
  • Планировщик заданий в Oracle
    (В.Пржиялковский)

    CITKIT.ru:

  • Microsoft: ответный "боян" (С.Голубев)

  • Причуды симбиоза, или снова "сделай сам" (В.Попов)

  • Файловые системы современного Linux'а: последнее тестирование
  • Zsh. Введение и обзор возможностей
    (А.Федорчук)

    Описания пакетов Zenwalk: Zsh, Thunar, Thunar-bulk-rename, Xfce4-places-plugin, Xfce4-fsguard-plugin

    Блогометки:

  • Google Chrome
  • Лончер для ASUS Eee PC 701

    3 сентября

    CITKIT.ru:

  • Заметки о ядре (А.Федорчук):

    Добавлены описания пакетов Zenwalk: Galculator, Screenshot, Gnumeric, Pidgin

    В дискуссинном клубе:

  • И еще о Википедии и Google Knol

  • Лекция для начинающего линуксоида (С.Голубев)

    26 августа

  • Транзакционная память (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Открыт новый проект Zenwalk: пакет недели

  • Статья Текстовые процессоры и их быстродействие: конец еще одной легенды?

    21 августа

    CITKIT.ru:

  • Почему школам следует использовать только свободные программы (Ричард Столлман)
  • Беседа Сергея Голубева с учителем В.В.Михайловым

  • Википедия или Гуглезнание? Приглашение к обсуждению (Алексей Федорчук)
  • Народная энциклопедия от Google (StraNNik)

  • Обзор Mandriva 2009.0 Beta 1 Thornicrofti
  • Новичок в Линукс: Оптимизируем Mandriva 2008.1

  • Книга Zenwalk. Приобщение к Linux:

    13 августа

    CitCity:

  • Мирный Atom на службе человеку. Обзор платы Intel D945GCLF с интегрированным процессором
  • Обзор процессоров Intel Atom 230 на ядре Diamondville

  • iPhone - год спустя. Скоро и в России?

    CITKIT.ru:

  • Интермедия 3.4. GRUB: установка и настройка (из книги Zenwalk. Приобщение к Linux)

    6 августа

  • СУБД с хранением данных по столбцами и по строкам: насколько они отличаются в действительности? (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Интермедия 2.2. Что неплохо знать для начала (из книги Zenwalk. Приобщение к Linux)

  • И снова про шрифты в Иксах (А.Федорчук)

  • 20 самых быстрых и простых оконных менеджеров для Linux

  • Дело о трех миллиардах (С.Голубев)

    30 июля

  • OLTP в Зазеркалье (Пересказ: С. Кузнецов)

    CitCity:

  • Будущее BI в облаках?
  • Тиражные приложения и заказная разработка. Преимущества для заказчика
  • Дискуссия со сторонниками заказной разработки

    CITKIT.ru:

  • Новые главы книги Zenwalk. Приобщение к Linux:
  • Глава 8. Пакеты: средства установки, системы управления, системы построения
  • Глава 9. Zenwalk: репозитории, пакеты, методы установки

    23 июля

    CITKIT.ru:

  • Все против всех. 64 vs 32, Intel vs AMD, tmpfs vs ext3
  • Две головы от Intel

  • Zenwalk: обзор штатных приложений (глава из книги "Zenwalk. Приобщение к Linux")

  • Нормально, Григорий...

    16 июля

    Обзоры журнала Computer:

  • Перспективы и проблемы программной инженерии в XXI веке
  • Большие хлопоты с большими объемами данных
  • Перспективы наноэлектроники

    CITKIT.ru:

  • Интермедия о лицензиях (А.Федорчук. "Zenwalk. Приобщение к Linux")

  • Есть ли будущее у KDE?

  • Linux в школе: альтернативный вариант в задачах

  • Шифр (приключения агента Никодима)

    10 июля

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия вступительная. Linux или GNU/Linux? Как вас теперь называть?
  • Глава 5. Среда Xfce
  • Глава 6. Xfce: приложения и плагины

  • ZUR (Zenwalk User Repository) FAQ

    2 июля

  • Персистентность данных в объектно-ориентированных приложениях (С. Кузнецов)

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия 1.2. Дорога к Zenwalk'у. Период бури и натиска
  • Интермедия 3.3. Немного о Linux'е и "железе"
  • Глава 4. Настройка: инструментами и руками
  • Интермедия 4.1. Zenpanel и конфиги: поиски корреляции

  • Интервью с Жан-Филиппом Гийоменом, создателем дистрибутива Zenwalk

  • Linux в школе: первые итоги (С. Голубев)

    25 июня

    CITKIT.ru:

  • Zenwalk. Приобщение к Linux (А. Федорчук)

  • Логика и риторика (С.Голубев)

  • Технология Tru64 AdvFS

  • Ханс Райзер предлагает отвести полицейских к телу Нины

    18 июня

  • Проекты по управлению данными в Google (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • ОС и поддержка "железа": мифы и реальность (А. Федорчук)

  • Linux в школе: другие дистрибутивы

  • Пинок (С. Голубев)

    4 июня

  • Ландшафт области управления данными: аналитический обзор (С. Кузнецов)

    CITKIT.ru:

  • Linux в школе: слово заинтересованным лицам

  • SlackBuild: пакеты своими руками

  • Linux от компании Novell. Установка и обзор openSUSE Linux

    Все публикации >>>




  • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 4119920, ICQ 232284597 Пресс-релизы — pr@citcity.ru
    Послать комментарий
    Информация для авторов
    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2007 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...