17306

Основи захисту периметру корпоративних мереж Засоби захисту периметру

Лекция

Информатика, кибернетика и программирование

Лекція 23. Основи захисту периметру корпоративних мереж Засоби захисту периметру Периметр це укріплена границя корпоративної мережі що може включати: маршрутизатори routers; брандмауери firewalls; проксісервери; proxyservers систему виявлення вторгнень IDS; ...

Украинкский

2013-06-30

530 KB

8 чел.

Лекція 23. Основи захисту периметру корпоративних мереж

Засоби захисту периметру

Периметр - це укріплена границя корпоративної мережі, що може включати:

  •  маршрутизатори   (routers);
  •  брандмауери (firewalls);
  •  проксі-сервери; (proxy-servers)
  •  систему виявлення вторгнень (IDS);
  •  пристрої віртуальних приватних мереж (VPN);
  •  засоби антивірусного захисту;
  •  демілітаризовану зону (DMZ) і екрановані підмережі.

Маршрутизатори (routers)– це пристрої, які здійснюють керування трафіком, що надходить у мережу, що виходить із мережі, або трафіком усередині самої мережі. Прикордонний маршрутизатор (border router) є останнім маршрутизатором, що контролює безпосередньо  вход/вихід в Інтернет. У силу того, що весь Інтернет-трафік організації проходить через цей маршрутизатор, останній часто функціонує в ролі першої й останньої лінії захисту мережі, забезпечуючи фільтрацію вхідного й вихідного трафіку. 

Брандмауер, або  міжмережевий екран (firewall), являє собою пристрій, що аналізує трафік з використанням набору правил, які дозволяють визначити, чи можна передавати цей трафік по мережі. Область дії брандмауера починається там, де закінчується область дії прикордонного маршрутизатора й він виконує набагато більш ретельну перевірку пакетів при фільтрації трафіку. Існує кілька різних типів брандмауерів, до яких відносяться статичні пакетні фільтри (static packet filters), брандмауери експертного рівня (stateful-брандмауери), а також проксі-брандмауери (proxy firewalls). Для блокування доступу до підмережі можна використовувати, приміром, вбудований статичний пакетний фільтр маршрутизатора Nortel Accellar, для контролю за дозволеними сервісами - брандмауери експертного рівня, наприклад Cisco PIX, а для контролю за вмістом (content) - проксі-брандмауер, наприклад Secure Computing's Sidewinder. Брандмауери зможуть заблокувати все, що їм зазначено блокувати, і дозволити все, що їм дозволено.

Проксі-сервер (proxy-server) – це проміжний комп’ютер, який є посередником між комп’ютером (або мережею комп’ютерів) та Internet. Через нього проходять всі звернення до Internet, проксі-сервер обробляє їх, надає користувачу, та зберігає дані, які пройшли через нього, за рахунок цього підвищується швидкість доступу до інформації яка потрібна іншим користувачам і яка вже збережена в пам’яті проксі. Це є дуже корисним коли на всіх комп’ютерах встановлено однакові операційні системи та/або програмне забезпечення, оновлення компонентів яких буде відбуватися швидше. (Наприклад: оновлення системи безпеки Windows XP, оновлення для антивірусних програм, персональних брандмауерів, тощо). При зверненні  в Internet, проксі-сервер надає свою ІР-адресу, а не адресу користувача це дозволяє залишатися непомітним в глобальній мережі. 

IDS (Intrusion Detection System — Система виявлення вторгнень) - це система, що використовується для виявлення й повідомлення про всі вторгнення й потенційно небезпечні події у корпоративній мережі. Система може містити велику кількість детекторів різного типу, розміщених у стратегічних точках мережі. Існує два основних типи систем виявлення вторгнень: система виявлення вторгнень на рівні мережі (Network-based IDS, NIDS) і система виявлення вторгнень на рівні хоста (Host-based IDS, HIDS). Детектори NIDS являють собою пристрої, що виконують спостереження за  мережевим трафіком і фіксують будь-яку підозрілу активність. Детектори NIDS часто розміщаються в підмережах, які безпосередньо з'єднані із брандмауером, а також у критичних точках внутрішньої мережі. Детектори HIDS функціонують на окремих хостах. Загалом кажучи, детектори IDS шукають заздалегідь задані сигнатури небажаних подій і можуть виконувати статистичний аналіз і аналіз аномальних подій. У випадку виявлення небажаних подій детектори IDS сповіщають адміністратора різними способами: використовуючи електронну пошту, пейджинговий зв'язок або розміщаючи запис в log-файлі. Детектори IDS можуть складати звіт для центральної бази даних, що корелює інформацію, яка  від них надходить.

VPN (Virtual Private Network — Віртуальна приватна мережа) являє собою захищений сеанс, для організації якого використовуються незахищені канали, наприклад, Інтернет. Дуже часто під VPN мають на увазі апаратний компонент периметру, що підтримує шифрування сеансів, наприклад Nortel Contivity. Доступ до корпоративної мережі через VPN можуть використовувати ділові партнери компанії, співробітники, що перебувають у відрядженні. При безпосереднім підключенні до внутрішньої мережі організації VPN дозволяє віддаленим користувачам працювати в ній так, ніби вони перебували в офісі. Багато організацій мають помилкове представлення про безпеку відносно віддаленого доступу, мотивуючи це тим, що в них є VPN. Якщо атакуючий зламає віддалений комп'ютер легітимного користувача, VPN може надати атакуючому зашифрований канал для доступу в корпоративну мережу.

Засоби антивірусного захисту забезпечують пошук та видалення (лікування) таких шкідливих програм як файлові віруси, мережні хробаки, трояни і т.ін.

Комп’ютерний вірус – це програма, що розмножується та поширюється самочинно. Комп’ютерний вірус може порушувати цілісність, конфіденційність та доступність інформації, порушувати режими роботи програмного забезпечення та (чи) обчислювальної техніки.

Проникнення вірусу на вузли корпоративної мережі може привести до порушення їх функціонування, втратам робочого часу, втраті даних, крадіжці конфіденційної інформації і навіть прямим розкраданням фінансових коштів. Вірусна програма, що проникла в корпоративну мережу, може надати зловмисникам частковий або повний контроль над діяльністю компанії

Під терміном "демілітаризована зона мають на увазі невелику мережу, що містить ресурси загального користування, підключені безпосередньо до брандмауера або іншого фільтруючого пристрою, які й захищають її від вторгнень ззовні. DMZ являє собою незахищену область між захищеними ділянками

Екранована підмережа (screened subnet) являє собою ізольовану мережу, з'єднану з певним інтерфейсом брандмауера або іншим фільтруючим трафік пристроєм. Екранована підмережа часто використовується для ізоляції серверів, до яких необхідно забезпечити доступ з Інтернету. Екранована підмережа звичайно містить служби "загального використання" (public services), включаючи DNS (Domain Name System - систему (службу) доменних імен), поштову службу й службу доступу в web. Подібні сервери розглядаються в якості бастіонних хостів. Тут під бастіоном (bastion) мається на увазі добре укріплена (fortified — фортифікаційна) позиція. В застосуванні до хостів в мережі фортифікаціювання включає зміцнення операційної системи й програм найкращим для цього способом. Як показує досвід зареєстрованих атак, ці сервери не завжди в достатній мірі захищені; насправді вони бувають уразливими, всупереч їхній захищеності брандмауерами. При створенні багаторівневого захисту безпечна архітектура вкрай необхідна, оскільки вона розділяє ресурси й забезпечує продуктивність і надмірність. При оцінці архітектури буде необхідно виконати наступні дії: визначити, які ресурси повинні бути захищені, визначити ступінь ризику, визначити   бізнес-вимоги.

Внутрішня мережа являє собою мережу, захищену периметром. Ця мережа містить всі сервери, робочі станції та IT-інфраструктуру, з якої організація веде свою діяльність.

У внутрішній мережі ми можемо мати наступні пристрої периметру:

  •  вхідна й вихідна фільтрація на кожному маршрутизаторі;
  •  внутрішні брандмауери для поділу ресурсів;
  •  проксі-брандмауери для підвищення продуктивності й безпеки;
  •  детектори  IDS для моніторингу за внутрішньою мережею.

Усередині мережі ми можемо використовувати наступне:

  •  персональні  брандмауери;
  •  антивірусне програмне забезпечення;
  •  оновлення операційної системи;
  •  керування  конфігурацією;
  •  аудит.

Звичайно персональні брандмауери реалізуються у вигляді програмних модулів, що виконуються на індивідуальних машинах і слідкують за  мережевим трафіком: вхідним й вихідним із системи.

Роль маршрутизатора в структурі безпеки  мережі

Маршрутизатор як засіб захисту

Оскільки маршрутизатор традиційно є входом в мережу, він відіграє важливу роль у питанні безпеки всієї мережі. Із цієї причини маршрутизатори були розроблені з багатьма вбудованими функціями захисту, такими, як:

  •  фільтри пакетів (packet filters);
  •  функції брандмауера експертного рівня (stateful firewall features);
  •  функції трансляції мережної адреси (Network Address Translation – NAT);   
  •  функції  віртуальних приватних мереж (Virtual Private Network - VPN).

Питання полягає в тому, чи використовується маршрутизатор як єдиний пристрій захисту або використовуються як частина ешелонованого захисту. Роль маршрутизатора як частини багаторівневого захисту може змінюватися залежно від пов'язаних частин повної схеми захисту. Наприклад, не рекомендується реалізовувати маршрутизатор з можливостями аналізу стану пакетів (stateful inspection capabilities) разом із брандмауером експертного рівня (stateful firewall). Звичайно емпіричне правило полягає в тому, щоб перешкоджати маршрутизатору робити більше, ніж він може, і дозволити йому зосередитися на тому, для чого він призначений.

Маршрутизатор як єдине рішення захисту периметра. У деяких мережевих середовищах маршрутизатор може використовуватися самостійно як ефективне рішення захисту периметра. Він може використовуватися як єдиний засіб захисту для віддаленого або домашнього офісу, для внутрішнього сегменту мережі або як рішення захисту будинку з низьким рівнем ризику, де не вигідно ставити додатковий брандмауер або інший пристрій захисту. Незалежно від встановленого устаткування, належним чином сконфігурований маршрутизатор може забезпечити ефективну основу для захисту периметру. Однак поряд з  використанням  маршрутизатора важливо застосовувати принципи глибокого захисту. Покладаючись на єдиний пристрій захисту периметра будь-якого типу, існує ризик виявитися всього в одному кроці від того, щоб бути скомпрометованим. Сторонньому необхідно знайти тільки єдину лазівку для одержання доступу до всієї мережі.

Місце розташування маршрутизатора. Місце розташування маршрутизатора визначає деякі проблеми безпеки, їх необхідно враховувати при виборі технологій, які можна реалізувати.

На прикордонний маршрутизатор, який слугує єдиним рішенням захисту, можна покласти велику кількість обов'язків. Крім того, що він — маршрутизатор мережевого трафіку між мережею й зовнішнім світом, але він повинен також забезпечувати й безпеку. Залежно від мережевого середовища, цього можна досягти за допомогою підтримки списків контролю доступу або керування доступом на основі контексту (СВАС). Крім того, оскільки він перебуває на кордоні мережі, може знадобитися здійснювати трансляцію мережевих адрес (NAT) або трансляцію адрес портів (Port Address Translation PAT), щоб дозволити використання внутрішньої приватної схеми адресації. У свою чергу маршрутизатор може перебувати там, де підключення віртуальної приватної мережі декодуються, і інформація передається внутрішнім вузлам мережі. Варто завжди пам'ятати одну важливу річ: якщо прикордонний маршрутизатор виконує роль єдиного рішення безпеки, то він є уразливим. Багато прикордонних маршрутизаторів сконфігуровані таким чином, щоб надійно захищати внутрішні вузли мережі, але при цьому вони самі відкриті для нападу.   Інша ситуація, коли маршрутизатор перебуває у внутрішніх точках мережі.

IP-мережі діляться на підмережі із різних міркувань, включаючи продуктивність і безпеку. Маршрутизатор повинен бути поміщений у точки, де сегменти підмережей з'єднуються разом. Залежно від навколишнього оточення маршрутизатор може бути ефективним пристроєм для здійснення поділу ресурсів у мережі. Наприклад, при виділенні підмережі науково-дослідної лабораторії може знадобитися здійснення заборони доступу з інших внутрішніх підмережей одночасно з дозволом доступу з лабораторії до іншої внутрішньої мережі й Інтернет. Цього можна досягти за допомогою застосування списків контролю доступу або керування доступом на основі контексту (СВАС), залежно від рівня безпеки сегмента. Якщо внутрішня мережа повністю базується на приватній схемі адресації, то малоймовірно, що трансляція мережної адреси (NAT) буде виконуватися на маршрутизаторі, що з'єднує подібні підмережі.

Деякі ж технології безпеки можуть використовуватися для забезпечення безпеки мережі незалежно від розміщення маршрутизатора.

Вибір технологій

З розвитком технології маршрутизатори одержують все багатший набір засобів. Для рішення питань безпеки при використанні маршрутизатора доступні різні варіанти, залежно від того, чи є він частиною єдиної схеми захисту або застосовується як автономний пристрій. Всі технології перераховані в наступному списку, будуть обговорені далі в цьому підрозділі, їх можна використовувати в кожному разі, але вони часто реалізуються у вигляді самостійного рішення:

  •  трансляція мережевих адрес (NAT) або трансляція адрес портів (PAT);
  •  керування доступом на основі контексту (СВАС);
  •  фільтрація пакетів і списки контролю доступу (ACL).

Трансляція мережевих адрес (NAT) та трансляція адрес портів (PAT)

Протягом тривалого часу технологія трансляції мережевих адрес (NAT) була засобом, що допомагає вирішити проблему недостачі діапазону публічних IP-адрес, забезпечувала безпеку мережі і її таємність. Трансляція мережевих адрес (NAT) дозволяє призначати публічні IP-адреси на "зовнішній стороні" пристрою відповідній частці IP-адресі у "внутрішній частині". У цьому випадку внутрішня адресація мережі залишається прихованою від зовнішніх частин. Під час зв'язку пристрій трансляції мережевих адрес (NAT) відповідає за трансляцію трафіку між публічною зовнішньою й приватною внутрішньою адресацією. Тільки пристрій трансляції мережевих адрес (NAT) знає внутрішні адреси, з якими зв'язуються зовнішні публічні адреси. Ці перетворення можуть бути призначені статично (дозволяючи двонаправлений зв'язок) або динамічно.

Найбільшої економії адрес можна досягти при використанні перевизначення або трансляції адрес портів (PAT) (відомої як NAPT або одноадресною трансляцією мережної адреси). Трансляція адрес портів (PAT) відображає велику кількість внутрішніх адрес в одну зовнішню публічну адресу, відслідковуючи сеанси  зв'язку за  допомогою  використаного  номера  порту.  

Керування доступом на основі контексту

Керування доступом на основі контексту (СВАС) – повнофункціональний метод аналізу стану пакетів маршрутизаторів компанії Cisco. Керування доступом на основі контексту підтримує найвідоміші протоколи й повністю відслідковує стан підключень, динамічно  створюючи списки доступу, щоб дозволити трафіку вертатися від зовнішніх джерел.

 Пакетна фільтрація

Пакетна фільтрація - один із найпоширеніших засобів керування доступом до мережі. Ідея пакетної фільтрації проста: встановити, чи дозволено даному пакету входити в мережу або виходити з неї. Для цього аналізуються деякі ідентифікуючі дані, розміщені в заголовку пакета. Блокування доступу відповідно до діапазонів адрес – це те, у чому маршрутизатори спеціалізуються. Має сенс використовувати у своїх інтересах цю сильну сторону маршрутизатора при його спільній роботі із брандмауером експертного рівня, застосовуючи маршрутизатор тільки для фільтрації вхідного й вихідного трафіків.

Проксі-брандмауери

Загальні положення

Проксі-брандмауер, який іноді називають шлюзом прикладного рівня (application gateway), являє собою спеціалізовану програму, що забезпечує зв'язок між внутрішніми захищеними мережами й зовнішнім світом (Інтернет) за допомогою інтернет-протоколів. Загалом кажучи, проксі працюють із програмами, заснованими на протоколі TCP/IP. Звичайно проксі-сервери запускають кілька програм (проксі), які можуть бути захищеними й довірчими. Це спеціалізовані програми, і кожний підтримуваний ними протокол повинен мати власну службу проксі або оброблятися загальним проксі. Проксі може бути також і прозорою програмою, що створюється для передачі пакетів у будь-який даний порт через кордони мережі.

Проксі (proxy) діє по команді клієнта або користувача для доступу до послуг мережі й захищає кожну сторону від прямого рівноправного (pear-to-pear) з'єднання. Клієнти встановлюють з'єднання, виконуючи три стадії організації з'єднання із проксі-сервером. Після цього проксі встановлює з'єднання з віддаленим сервером. Проксі-сервер висилає дані, які надійшли до нього від клієнта, на запрошуваний сервер, а також пересилає дані, отримані від цього сервера, клієнтові. В принципі, проксі-сервер є як сервером, так і клієнтом. Він є сервером відносно свого клієнта й клієнтом відносно запрошуваного сервера. Етапи організації з'єднання через проксі вимагають різні рівні автентифікацій або довіри програмному забезпеченню, що буде використано для установки з'єднань.

Звичайно проксі-сервер працює на двосторонньому бар'єрному хості або шлюзі й підтримує один або більше Інтернет-протоколів (див. рис.1).  Бар'єрними, або бастіонними, хостами (bastion hosts) є укріплені системи, сконфігуровані для роботи з Інтернетом. Двосторонній шлюз складається з хост-системи із двома  мережевими інтерфейсами: один інтерфейс для внутрішньої захищеної мережі й один для зовнішньої мережі. Ці хости забороняють прямий трафік між мережами й можуть використовуватися для функцій реєстрації й аудиту трафіку, який через них проходить. Хост не виконує маршрутизацію пакетів між двома з'єднаними мережами, оскільки перенаправлення IP пакетів неможливо. Двосторонній шлюз повністю блокує IP-трафік між зовнішньою й внутрішньою мережею. Проксі-сервери в шлюзі забезпечують служби й можливість з'єднання з Інтернетом. Щоб уникнути випадкового пересилання IP-трафіка може виявитися дуже корисним явна заборона можливості перенаправлення IP-пакетів.

Рис.1. Двосторонній хост з заблокованим перенаправленням

Як приклад простої конфігурації двостороннього шлюзу можна привести використання проксі-служб для електронної пошти. Служба брандмауера приймає всю електронну пошту, яка адресується внутрішнім користувачам, і пересилає її внутрішнім системам або централізованому внутрішньому поштовому серверу. Для кінцевого користувача такий тип з'єднання є прозорим. З'єднання виглядає так, наприклад воно є прямим з'єднанням між внутрішньою системою користувача й зовнішньою системою.

Оскільки дані передаються між внутрішнім клієнтом і бастіонним хостом, інформація про внутрішній IP-адрес клієнта, а також деяка інформація про протокол захищаються від широкого загалу  в Інтернеті.  

Ці типи служб/серверів забезпечують функціональність внутрішніх і зовнішніх користувачів, перебуваючи із зовнішньої сторони мережевого периметру. На рис. 2 показані кілька серверів, розміщених із зовнішньої сторони захищеної мережі.

В ідеалі, для адресації однієї проксі-служби міг би використовуватися один бастіонний хост – це так званий принцип поділу безпеки. На бастіонних хостах не слід розміщати облікові записи користувачів, компілятори або непотрібні програми. Крім цього необхідно заблокувати й служби, що не використовуються,  варто дозволити тільки ті служби, які пропонує проксі-сервер – тоді у випадку дискредитації бар'єра або служби ушкоджена буде тільки одна служба. Це, однак, не завжди можливо. На жаль, об'єднання всіх проксі в одному бастіонному хості в результаті вдалої атаки може привести до утворення однієї точки збою.

Рис. 2. Бар'єрні хости, розміщені із зовнішньої сторони захищеного периметру

Типи проксі

Проксі підрозділяються на такі типи:

  •  прямі (пересильні) проксі;
  •  реверсні (зворотні) проксі;
  •  проксі прикладного рівня;
  •  проксі сеансового рівня.

Реверсний проксі

Після розгортання перших брандмауерів внутрішнім користувачам був необхідний спосіб, що дозволяє добратися до серверів Інтернету через периметр. Цю проблему зміг вирішити проксі. Оскільки проксі одночасно є й клієнтом, і сервером, тому трактування прямого і реверсного проксі (forward/reverse proxy) досить двозначне. Реверсний (зворотний) проксі (reverse proxy) має на увазі відмінне використання технології проксі. Реверсний проксі може використовуватися із зовнішньої сторони брандмауера для подання зовнішнім клієнтам захищеного контент-сервера, охороняючи від прямого, неконтрольованого доступу до даних серверів. Реверсний проксі може бути використаний також з метою підвищення продуктивності; перед інтенсивно використовуваним сервером, можна розмістити проксі – це дозволить регулювати його навантаження. Прямі або реверсні програми можуть бути тим же проксі-сервером; розходження складається тільки в конфігурації.

Проксі прикладного рівня

 Прикладні проксі (application proxies) являють собою індивідуальні програми з архітектурою клієнт/сервер, реалізовані для окремих служб, спостереження за якими буде здійснюватися з боку брандмауера. Класичним прикладом є дозвіл вихідного HTTP-трафіка для зовнішнього web-доступу, що ініціюється всіма внутрішніми користувачами.

Добре написаний прикладний проксі здатний також захистити від протокольних атак, пропускаючи тільки правильно сформовані пакети. Такий вид фільтрації гарантує надання певного ступеня довіри трафіку, якому дозволене проходження через брандмауера.

Проксі сеансового рівня.

Іншим видом проксі-брандмауерів є проксі сеансового рівня (circuit-level proxy), який називають також ретранслятором сеансового рівня ( circuit-level relay) або шлюзом (gateway). Проксі цього виду йде далі звичайної пакетної фільтрації. Замість звичайної фільтрації на підставі IP-адрес, номерів портів або іншої інформації про пакети, проксі сеансового рівня перевіряють вірогідність і виконують моніторинг кожного сеансу, установленого в з'єднанні. Якщо сеанс не буде відкритий, трафік буде заблокований. Відкриття сеансу здійснюється по команді користувача за допомогою клієнта. Шлюз сеансового рівня встановлює, чи дійсно з'єднання засноване на правилах, які можуть бути пов'язані з IP-адресою/портом пункту призначення, IР-адресою/портом джерела, протоколом, що використовується або запрошується, ідентифікатором користувача, паролем або навіть часом доби. Маючи можливість обробляти правила, пов'язані з часом і користувачами, цей шлюз виявляється ефективнішим на відміну від брандмауерів пакетної фільтрації. Оскільки ці правила виходять за межі перевірки IP-адрес, проксі сеансового рівня можуть обробляти UDP-трафік, перевіряючи вірогідність іншої інформації, що робить скрутним спроби обходу брандмауерів за допомогою IP-спуфінга (підміна IP адрес).

Переваги проксі-брандмауерів

У порівнянні з іншими типами брандмауерів, проксі-брандмауери володіють цілим рядом переваг.

Внутрішні IP-адреси захищені від зовнішнього світу завдяки тому, що проксі-служби не допускають прямих з'єднань між зовнішніми серверами та внутрішніми   комп'ютерами.

Адміністратори мають можливість робити моніторинг  порушень політики безпеки брандмауера, використовуючи для цього записи аудиту, які генеруються службами проксі.

Використання проксі-брандмауерів дозволяє організувати захист, заснований на користувачах. Служби проксі ефективні при захисті від неавторизованого використання на однокористувацькій основі й здатні підтримувати строгу автентифікацію.

Внаслідок   того,   що   можливість   організації   з'єднань   заснована  на cлужбах, а не на фізичних з'єднаннях, проксі-брандмауери виявляються невразливими перед IP-спуфінгом (підміна IP адреси). IP-адреси хостів у межах внутрішньої захищеної мережі не вимагають з'єднання за допомогою проксі-брандмауэра.

Проксі-брандмауери мають кращі можливості реєстрації, ніж брандмауери фільтрації й маршрутизації, і пропонують єдину точку для аудиту й керування.

Користувачі не можуть увійти в проксі-сервери. У бастіонних хостах не потрібні   жодні   облікові   записи.   Проксі-служби працюють по команді користувачів.

Проксі-сервер забезпечує централізовану точку для мережі, і спостереження за трафіком може виконуватися дуже ретельно. Однак, це може створити вузькі місця мережевого трафіку.

Топологія   внутрішньої   захищеної   мережі   в проксі-брандмауерах  є прихованою.

Деякі   проксі   пропонують   поліпшені   засоби   виконання   аудиту, маючи інструменти для моніторингу трафіка.

Проксі-брандмауери пропонують строгу  автентифікацію  й  реєстрацію. Можливе  виконання  попередньої  автентифікації прикладного трафіку, перш ніж він досягне внутрішніх хостів, а також ефективніша реєстрація в порівнянні зі стандартною реєстрацією хоста.

Проксі-брандмауери мають менш складні правила фільтрації, ніж брандмауери пакетних фільтрів. Правила в маршрутизаторі пакетної фільтрації менш складні, ніж якщо маршрутизатору необхідно було відфільтровувати прикладний трафік і пересилати його декільком визначеним системам. Маршрутизатору необхідно дозволити тільки прикладний трафік, що направляється шлюзу прикладного рівня, а весь інший видалити.

Недоліки проксі-брандмауерів

Незважаючи на те, що проксі-брандмауери пропонують більш високий рівень безпеки в порівнянні із брандмауерами пакетної фільтрації, проте вони мають деякі недоліки. До них можна віднести наступне.

Зниження продуктивності внаслідок додаткових запитів на обробку, необхідних для прикладних служб. Прикладні проксі працюють повільніше в порівнянні з пакетними фільтрами.

Для кожної нової програми або протоколу, які необхідно пропустити через брандмауер, необхідно розробляти новий проксі. Доступним є лише обмежена кількість служб. Доступ до інших, непредставлених проксі-служб (non-proxiable services), залишається неможливим.

Невід'ємні проблеми в операційних системах і їхніх компонентах можуть негативно вплинути на безпеку сервера брандмауера (firewall server). Проксі-служби уразливі перед помилками в операційних системах і помилками на прикладному рівні.

Операційна система хоста, що містить проксі, залишається незахищеною перед зовнішніми погрозами й може бути атакована.

Процес установки проксі-служби може виявитися досить складним для кожної програми, що використовує шлюз.

Оскільки проксі-сервер може виявитися вузьким місцем у мережі, він може стати також і єдиною точкою збою.

Захист на основі міжмережевого екрану

Захист корпоративної мережі на основі міжмережевого екрану дозволяє отримати високий ступінь безпеки і реалізувати наступні можливості:

  •  семантичну фільтрацію циркулюючих потоків даних;
  •  фільтрацію на основі мережних адрес відправника і одержувача;
  •  фільтрацію запитів на транспортному рівні на встановлення віртуальних з'єднань;
  •  фільтрацію запитів на прикладному рівні до прикладних сервісів;
  •  локальну сигналізацію спроб порушення правил фільтрації;
  •  заборону доступу невідомого суб'єкта або суб'єкта, автентичність якого при аутентифікації не підтвердилася;
  •  забезпечення безпеки від точки до точки: міжмережевий екран, авторизація маршруту і маршрутизатора, тунель для маршруту і криптозахист даних;
  •  багатопротокольну маршрутизацію і прозорий міст через ISDN, асинхронне і синхронне послідовне з'єднання, таке як виділена лінія, Frame Relay і Х.25;
  •  розширений доступ до Internet/intranet (трансляція мережних адрес NAT, IPeXchange шлюз IPX в IP, простота і зниження вартості доступу до Internet і intranet);
  •  оптимізацію WAN (встановлення з'єднання на вимогу, надання смуги на вимогу, напівстатична маршрутизація, стиснення і фільтрація).

Слід зазначити, що виділені МЕ дозволяють організувати комплексний захист корпоративної мережі від НСД, заснований як на традиційній синтаксичній (IP-пакетній) фільтрації контрольованих потоків даних, здійснюваній більшістю ОС сімейства Windows і UNIX, так і на семантичній (контентній), доступній тільки комерційним спеціальним рішенням.

Всі МЕ, що випускаються в даний час можна класифікувати по наступних основних ознаках:

по виконанню:

  •  апаратно-програмний;
  •  програмний.

по функціонуванню на рівнях моделі OSI:

  •  шлюз експертного рівня;
  •  екрануючий шлюз (прикладний шлюз);
  •  екрануючий транспорт (шлюз сеансового рівня);
  •  екрануючий маршрутизатор (пакетний фільтр).

         по використовуваній технології:

  •  контроль стану протоколу (stateful inspection);
  •  на основі модулів-посередників (proxy).

          по схемі підключення:

  •  схема єдиного захисту мережі;
  •  схема з захищаємим закритим і незахищеним відкритим сегментами мережі;
  •  схема з роздільним захистом закритого і відкритого сегментів мережі.

Приклад. Можливий варіант захисту мережі на основі апаратно-програмного міжмережевого екрану.

Рішення засновано на використовуванні міжмережевого екрану Cisco PIX Firewall 525 компанії Cisco Systems (рис.3). Відмітною особливістю моделі PIX Firewall є спеціальна операційна система реального часу. Висока продуктивність мережного екрану базується на схемі захисту, реалізованого на алгоритмі адаптивної безпеки ASA (Adaptive Security Algorithm).

До

Рисунок 3. Підключення до Internet  за допомогою міжмережевого екрану  PIX Firewall

До достоїнств цього рішення відносяться:

  •  висока продуктивність і пропускна спроможність 170 Мбіт/с (максимально до 4 Гбіт/с);
  •  можливість підтримки до 256000 одночасних сесій (ТСР/1Р-зєднань);
  •  переваги пакетного і прикладного шлюзів;
  •  простота і надійність в експлуатації і установці.

Можливості подальшого застосування технології міжмережевих екранів в корпоративних  мережах організацій

Використовуючи перерахований вище набір міжмережевих екранів, корпоративні організації можуть розвивати комплексне застосування МЕ і VPN-технологій для захисту цілого ряду використовуваних і планованих до використовування інформаційних систем:

  •  інформаційно-аналітичних систем і систем автоматизації підприємств;
  •  фінансових систем;
  •  розподілених баз даних;
  •  систем взаємодії з партнерами по бізнесу (електронна комерція В2В);
  •  систем видаленого доступу працівників до внутрішніх ресурсів через відкриті мережі і Internet в режимі реального часу з будь-якої точки світу;
  •  системи корпоративної електронної пошти;
  •  інформаційних ресурсів видаленого або мобільного користувача;
  •  сегментів корпоративної мережі;
  •  корпоративну мережу в цілому;
  •  периметра, що закриває корпоративну мережу головного офісу і його розподілених філіалів.

PAGE  1

EMBED PBrush  

EMBED PBrush  

Інтернет

EMBED PBrush  

Захищена мережа

Захищена мережа

Інтернет

Двосторонній хост  (бар’єр)    з заблокованим IP-пересиланням/маршрутизацією

Бар’єр з проксі-службою


 

А также другие работы, которые могут Вас заинтересовать

77956. Облік зобов’язань. Визнання та класифікація зобов’язань 112.5 KB
  Методологічні засади формування в бухгалтерському обліку інформації про зобов’язання та її розкриття у фінансовій звітності визначені Положенням (стандартом) бухгалтерського обліку 11 «Зобов’язання».
77957. Облік витрат діяльності підприємства 320 KB
  Витрати звітного періоду – це витрати, що визнаються або шляхом зменшення активів, або шляхом збільшення зобов’язань, що призводить до зменшення власного капіталу (за винятком зменшення капіталу внаслідок вилучення або розподілу власниками), за умови, що ці витрати можуть бути достовірно оцінені.
77958. Облік доходів і фінансових результатів 133 KB
  Інвестиційна діяльність – це придбання та реалізація тих необоротних активів, а також тих фінансових інвестицій, які не є складовою часткою еквівалентів грошових коштів.
77959. Фінансова звітність. Вимоги до фінансової звітності 190.5 KB
  Метою складання фінансової звітності є надання користувачам повної, правдивої та неупередженої інформації про фінансовий стан, результати діяльності підприємства (доходи, витрати, прибутки і збитки від діяльності) та руху грошових коштів підприємства за звітний період.
77960. Облік праці, її оплати та соціального страхування персоналу 152 KB
  Облік праці її оплати та соціального страхування персоналу. Організація праці облік особистого складу робітників та використання робочого часу. Фонд оплати праці та його склад. ПС БО Виплати робітникам Питання організації і оцінки праці регламентують документи: Кодекс законів про працю Закон України Про оплату праці Закон України Про колективні договори і угоди Податковий Кодекс України.
77961. Облік основних засобів 317.5 KB
  Облік основних засобів Поняття про основні засоби. Класифікація та оцінка основних засобів. Первинні документи з обліку основних засобів. Облік та порядок придбання вибуття ремонту основних засобів.
77962. Облік нематеріальних активів 64 KB
  Первинна вартість НМА придбаного в результаті обміну на подібний обєкт дорівнює залишковій вартості переданого нематеріального активу. Якщо залишкова вартість переданого обєкту перевищує його справедливу вартість то первинною вартістю НМА отриманого в обмін на подібний обєкт є його справедлива вартість з включенням різниці у фінансові результати витрати звітного періоду...
77963. Острый и хронический пиелонефрит 20.61 KB
  Наиболее частым возбудителем пиелонефрита является кишечная палочка реже – стафилококки энтерококки протей клебсиелла. ХП как правило является следствием ранее перенесенного острого пиелонефрита. Факторы способствующие развитию пиелонефрита: нарушение оттока мочи создающее благоприятные условия для роста и размножения микроорганизмов: обратный заброс мочи рефлюксы на различных уровнях вследствие атонии мочевых путей опухоли мочевых путей и предстательной железы почечнокаменная болезнь; нарушение кровоснабжения почек...
77964. Гломерулонефрит 18.25 KB
  Острый гломерулонефрит – острое иммуновоспалительное заболевание почек с преимущественным поражением клубочков и в меньшей степени канальцев и интерстициальной ткани.