Защита информации и информационная безопасность. Мордвинов В.А - 64 стр.

                                        64
межсетевые экраны не гарантируют полной безопасности корпоративной сети от атак
из Internet.
        Самым очевидным недостатком межсетевого экрана является то, что он может
блокировать ряд служб, которые используют пользователи корпоративной сети, такие
как TELNET, FTP, X Windows, NFS и др. Кроме того, некоторые корпоративные сети
могут иметь топологию, которая не позволяет применить межсетевой экран или
использовать службы (например, NFS) таким образом, что использование межсетевых
экранов потребует серьезных ограничений при работе в сети.
        Межсетевые экраны часто не защищают от "черных входов" в сети. Например,
если можно осуществить неограниченный доступ по модему в сеть, защищенную
межсетевым экраном, злоумышленники могут эффективно обойти экран. Сейчас
скорости модемов достаточны для того, чтобы сделать возможным использование SLIP
и РРР-соединения внутри защищенной сети и по сути является еще одним
потенциально уязвимым местом. Зачем нужен межсетевой экран, если разрешен
неограниченный доступ по модему?
        Новые информационные серверы и клиенты, такие как WWW, Gopher, WAIS и
ряд других могут не работать с межсетевым экраном, и вообще достаточно
рискованны. Имеется потенциальная возможность атак с помощью передачи
специальных данных, которые содержат такие команды серверам корпоративной сети,
что могут заставлять их изменить параметры средств управления доступом или
модифицировать важные файлы, связанные с защитой сети. Злоумышленник может
инкапсулировать команды серверам корпоративной сети в файлы, содержащие аудио-
и видеоинформацию, которые межсетевые экраны обычно пропускают, не проверяя их
содержимое.
        Использование межсетевых экранов концентрирует безопасность в одном
месте, а не распределяет ее среди средств корпоративной сети. Компрометация
межсетевых экранов может быть катастрофической для плохо защищенных систем.
        Физическое разграничение доступа к конфиденциальной информации означает,
что корпоративная сеть не имеет реальных физических каналов связи с Internet. Таким
образом, злоумышленники априори не могут проникнуть к защищаемой информации,
используя ресурсы Internet. Этот способ дает максимальную безопасность ФТ. Однако,
плата за эту безопасность - большие затраты времени и средств на проведение
финансовых транзакций.

Идентификация и аутентификация
        Другим способом обеспечения безопасности финансовых транзакций через
Internet является идентификация и аутентификация клиентов корпоративных сетей.
        Идентификация и аутентификация - это процесс распознавания и проверки
подлинности заявлений о себе клиентов корпоративной сети. Идентификация и
аутентификация обычно используются при принятии решения о том, можно ли
разрешить доступ к системным ресурсам корпоративной сети клиенту из Internet.
Прежде всего, следует отметить, что достаточно легко можно перехватить данные
идентификации и аутентификации (или вообще любые данные) и повторить их, чтобы
выдать себя за клиента. При аутентификации пользователи часто выражают
недовольство ею и совершают ошибки, что делает возможным получение данных
идентификации и аутентификации. Наличие дополнительной идентификации и
аутентификации при использовании Internet делает необходимым распространение
среди клиентов данных для нее, что будет лишь усложнять им работу. Другой
проблемой является возможность злоумышленнику вклиниться в процессе финансовой
транзакции клиента после выполнения им аутентификации.