21310

Технологии межсетевых экранов

Реферат

Информатика, кибернетика и программирование

Основные задачи МЭ: Ограничить доступ пользователей из внешней сети к ресурсам внутренней сети. Обычно внешней сетью является более глобальная относительно внутренней сети например Интернет относительно корпоративной сети или локальная сеть относительно ресурсов локального компьютера. В случае с Интернетом пользователями внешней сети могут быть как удаленные пользователи и партнеры так и хакеры.

Русский

2013-08-02

202.9 KB

85 чел.

Технологии межсетевых экранов

Межсетевой экран (наряду с термином МЭ в литературе нередко используются также названия «Брандмауэр» или «FireWall») позволяет разделить сеть на две или более частей и контролировать прохождение пакетов между отдельными частями сети.

Основные задачи МЭ:

  1.  Ограничить доступ пользователей из «внешней сети» к ресурсам «внутренней сети». Обычно «внешней» сетью является более глобальная относительно «внутренней» сети, например, Интернет относительно корпоративной сети или локальная сеть относительно ресурсов локального компьютера. В случае с Интернетом пользователями внешней сети могут быть как удаленные пользователи и партнеры, так и хакеры.
  2.  Разграничить доступ пользователей «внутренней сети» к внешним ресурсам. Основная цель этого разграничения – наиболее эффективное использование ресурсов и исключение факторов, отрицательно влияющих на производственный процесс.

МЭ можно классифицировать по различным признакам:

  1.  По использованию различных уровней модели стека межсетевых протоколов:
  2.  Пакетный фильтр (Экранирующий маршрутизатор)
  3.  Сеансовый шлюз (Экранирующий транспорт)
  4.  Прикладной шлюз
  5.  Шлюз экспертного уровня
  6.  По применяемой технологии
  7.  Контроль состояний протокола
  8.  Технология посредников (proxy)
  9.  По реализации
  10.  Аппаратно-программный
  11.  Программный
  12.  По схеме включения
  13.  Схема единой защиты сети
  14.  Схема с защищаемым (закрытым) и не защищаемым (открытым) сегментами сети
  15.  Схема с раздельной защитой закрытого и открытого сегментов сети

Фильтрация обычно заключается в выборочном пропускании информационных потоков через экран с возможным осуществлением некоторых преобразований. МЭ удобно представлять как последовательность фильтров.

Каждый фильтр осуществляет:

  1.  Анализ проходящей информации по критериям, заданным в правилах фильтрации. Критерии могут относится к различным структурным составляющим. Это могут быть адреса отправителя и получателя, тип приложения, использующего проходящую информацию и т.п.
  2.  Принятие одного из установленного в правилах решений:
  3.  Не пропускать
  4.  Обработать от имени получателя и возвратить отправителю
  5.  Передать на следующий фильтр
  6.  Пропустить, игнорируя следующие фильтры

Кроме того, правила фильтрации могут задавать и другие действия, задавая функции посредничества МЭ, например регистрация событий, преобразование данных и т.п.

В качестве критериев анализа информационного потока могут использоваться такие параметры как:

  1.  Содержание служебных полей пакетов – сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.
  2.  Содержимое самих пакетов, проверяемое, например на наличие вирусов
  3.  Внешние характеристики потока информации, например временные, частотные, объем данных и т.п.

При этом, чем выше уровень модели OSI, на котором осуществляется фильтрация, тем выше уровень защиты.

Функции посредничества МЭ выполняет с помощью специальных программ, называемых Экранирующими агентами. При поступлении запроса на доступ устанавливается логическое соединение с программой- посредником, которая проверяет допустимость межсетевого взаимодействия и устанавливает соединение с требуемым компьютером. В дальнейшем обмен происходит через программного посредника, осуществляющего защитные функции. МЭ может осуществлять фильтрацию и без применения программ-посредников, вместе с тем, посредники могут и не осуществлять фильтрацию.

В общем случае программы-посредники осуществляют:

  1.  Проверку подлинности передаваемых данных
  2.  Фильтрацию и преобразование потока, например, фильтрацию вирусов и шифрование информации.
  3.  Разграничение доступа к ресурсам внутренней и внешней сети
  4.  Кэширование данных из внешней сети
  5.  Аутентификацию пользователей
  6.  Трансляцию внутренних сетевых адресов для исходящих пакетов
  7.  Регистрацию событий, анализ зарегистрированной информации, реагирование на задаваемые события и генерацию отчетов

Способы разграничения доступа к ресурсам внутренней сети практически не отличаются от способов, реализуемых на уровне операционной системы. Для разграничения доступа к внешней сети используются различные способы:

  1.  Разрешение доступа по заданным адресам
  2.  Разрешение доступа на основе обновляемых списков недопустимых запросов
  3.  Блокировка поиска информации по нежелательным ключевым словам
  4.  Накопление санкционированных ресурсов внешней сети
  5.  Полный запрет на доступ во внешнюю сеть

Накопление (кэширование) входной информации может использоваться для разграничения доступа. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются на proxy- сервере и пользователи получают доступ только к этим ресурсам.

Фильтрация и преобразование выполняются на основе наборов правил. При этом экранирующие агенты могут быть как специализированными на определенные виды сервисов: FTP, HTTP, Telnet и пр., так и универсальными, ориентированными, например на поиск и обеззараживание вирусов.

При анализе содержимого пакетов важно, чтобы посредник умел автоматически распаковывать проходящие пакеты. МЭ с посредниками позволяют также организовывать защищенные Виртуальные частные сети (VPN), например, объединять несколько локальных сетей, подключенных к интернет в одну виртуальную сеть.

Кроме разрешения или запрещения допуска различных приложений в сеть, МЭ могут выполнять аналогичные действия для пользователей. Аутентификация пользователя может осуществляться с применением технологии одноразовых паролей (SecurID). Большинство программ- посредников требуют начальную аутентификацию пользователя.

Ряд МЭ поддерживают Kerberos – большинство коммерческих МЭ поддерживают несколько различных систем аутентификации.

Для реализации атак злоумышленнику часто надо знать адрес своей жертвы. Чтобы скрыть адреса и топологию сети МЭ использует функцию трансляции внутренних сетевых адресов (network address translation).

Для всех пакетов, следующих во внешнюю сеть, выполняется преобразование IP адресов отправителей в IP адрес МЭ. В результате топология и внутренние адреса внутренней сети скрыты от внешних пользователей. Помимо повышения уровня безопасности это позволяет расширить адресное пространство для внутренней сети и ликвидировать дефицит адресов.

В большинстве МЭ реализованы сервисные утилиты, облегчающие просмотр, ввод и коррекцию правил, сгруппированных по различным критериям, например правила, относящиеся к выбранному сервису или пользователю. Кроме того, в состав функций МЭ входит возможность регистрировать и определять способы реагирования на задаваемые события (аудит) а также составление отчетов для анализа зарегистрированной информации. К таким событиям помимо пропуска или блокирования пакетов относятся также события, связанные с изменением параметров безопасности МЭ. Многие МЭ обладают мощными средствами регистрации и анализа. При этом учет ведется по адресам клиентов и серверов, идентификаторам пользователей, времени сеансов, времени соединений, объему переданных данных, действиям администраторов и пользователей. Обычно предусмотрена возможность удаленного оповещения или звукового оповещения о выбранных событиях в режиме реального времени.

Особенности функционирования МЭ на различных уровнях сетевого протокола.

МЭ можно представить как совокупность экранов, функционирующих на различных уровнях сетевого протокола. Можно выделить следующие составляющие МЭ:

  1.  Экранирующий маршрутизатор
  2.  Шлюз сеансового уровня (экранирующий транспорт)
  3.  Шлюз прикладного уровня (экранирующий шлюз)

Следует отметить, что эта классификация не является жесткой, поскольку используемые протоколы (TCP/IP, SPX/IPX) не полностью соответствуют модели ISO-OSI. Например, прикладной экран может осуществлять функцию шифрования, то есть функционировать и на уровне представления. Шлюз сеансового уровня охватывает транспортный и сетевой уровни.

Прикладной шлюз.

Прикладной или экранирующий шлюз ваполняет ряд функций экранирования верхнего прикладного уровня:

  1.  Аутентификация пользователей, участников соединения
  2.  Проверка подлинности передаваемой информации
  3.  Разграничение доступа к ресурсам внутренней и внешней сети
  4.  Фильтрация и преобразование потока сообщений. Например, динамический поиск и фильтрация вирусов и прозрачное шифрование передаваемой информации.
  5.  Регистрация, анализ и составление отчетов прикладного уровня.
  6.  Кэширование запрашиваемых данных.

На шлюзе прикладного уровня функционируют программные посредники для каждого из обслуживаемых прикладных протоколов (http, ftp, smtp, nntp, …). Каждый программный посредник отвечает за обслуживание одной службы протокола (TCP/IP). Программные посредники перехватывают пакеты соответствующих служб, копируют, преобразуют и перенаправляют информацию, исключая прямое соединение соответствующих служб внутренней и внешней сетей.

В качестве посредников прикладные шлюзы используют специальные серверы соответствующих служб TCP/IP – серверы HTTP, FTP, SMTP, NNTP,…

Основными достоинствами шлюза программного уровня являются:

  1.  Высокий уровень защиты за счет функции посредничества
  2.  Уровень приложений позволяет выполнять большое количество дополнительных проверок, ограничивающих вероятность атак за счет недостатков программного обеспечения
  3.  Нарушение работоспособности шлюза приводит к блокированию сквозного прохождения пакетов, что не нарушает функционирование внутренней сети и сохраняет уровень безопасности.

Относительными недостатками программного шлюза являются:

  1.  Высокие требования к производительности и объему ресурсов шлюза
  2.  Отсутствие «прозрачности» и снижение производительности межсетевых взаимодействий.

В настоящее время широкое распространение получили распространение специализированные программно-аппаратные комплексы межсетевого взаимодействия. При этом, используется мощный, физически защищенный (отдельное охраняемое помещение) компьютер, обладающий специализированными средствами защиты доступа для несанкционированного пользователя.

Обычно, при этом, используются средства защиты, обеспечивающие:

  1.  Разграничение доступа к ресурсам
  2.  Запрет на привилегированный доступ из локальной сети
  3.  Блокировка доступа к ресурсам в обход программного интерфейса
  4.  Мониторинг и аудит всех административных действий.

Формирование политики межсетевого взаимодействия.

Политика межсетевого взаимодействия подразумевает формирование:

  1.  Политики доступа к сетевым сервисам
  2.  Политики работы МЭ

Политика доступа к сетевым сервисам устанавливает правила предоставления сервисов защиты информации. Она устанавливает допустимые адреса клиентов для каждого сервиса. Кроме того, в ней устанавливаются правила для пользователей, определяющие когда, кто, каким сервисом и на каком компьютере может воспользоваться. Кроме того задаются ограничения на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol), PPP(Point-to-Point Protocol). Ограничения на методы доступа обеспечивают защиту от несанкционированного использования «запрещенных» сервисов Internet обходными путями. Правила аутентификации пользователей и компьютеров, а также условия работы вне локальной сети должны определяться отдельно.

Политика работы МЭ определяет базовые принципы управления межсетевым взаимодействием. При этом можно выбрать один из двух возможных принципов:

  1.  Запрещено все, что не разрешено
  2.  Разрешено все, что не запрещено.

Выбор принципа – это выбор компромисс между удобством использования и степенью безопасности. Первый принцип автоматически обеспечивает минимизацию привилегий. При этом Администратор задает правила доступа на каждый тип разрешенного взаимодействия. Правила доступа, созданные по этому принципу, могут создавать пользователям определенные неудобства.

Второй принцип обеспечивает блокирование только явно запрещенные межсетевые взаимодействия. При этом пользователи имеют возможности обойти МЭ, например, используя доступ к новым сервисам, не запрещенным политикой или запустить запрещенные сервисы на нестандартных портах TCP\UDP, которые не запрещены политикой. Администратор должен оперативно реагировать на изменения, предсказывая и запрещая межсетевые взаимодействия, отрицательно влияющие на безопасность.

В общем случае работа МЭ основана на выполнении 2 функций:

  1.  Фильтрация проходящих потоков
  2.  Посредничество при реализации межсетевых взаимодействий

Полнота и правильность управления требуют, чтобы МЭ осуществлял анализ:

  1.  Информации о соединениях от всех семи уровней в пакете
  2.  Истории соединений – информации от предыдущих соединений
  3.  Состояния уровня приложений – информации полученной от других приложений. Например, пользователю можно предоставлять доступ через МЭ только для авторизированных видов сервиса
  4.  Агрегирующих вычислений различных выражений, основанных на указанных выше факторах

Основные схемы подключения МЭ.

Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями закрытости:

  1.  Свободно доступный сегмент (например, рекламный сервер)
  2.  Сегмент с ограниченным доступом (например для доступа сотрудникам с удаленных узлов)
  3.  Закрытый сегмент (например, финансовая группа)

Широко распространены следующие схемы подключения:

  1.  Схема экранирующего маршрутизатора
  2.  Схема единой защиты локальной сети
  3.  Схема защищаемой закрытой и не защищаемой открытой подсетями
  4.  Схема с раздельно защищаемыми закрытой и открытой подсетями.

Если в состав локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести в открытую часть подсети.

Если же безопасность открытых серверов нуждается в повышенных требованиях, необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

Удобным средством организации схемы защиты сети является распределенный МЭ (distributed firewall) – централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети. Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы узла (защищенные каналы VPN), что позволяет обеспечить защиту сетей с нечетко определенными границами. Для реализации этих функций выпускаются МЭ в двух версиях:

  1.  Персональной (для индивидуальных пользователей)
  2.  Распределенной (для корпоративных пользователей)

В настоящее время до 50% атак осуществляется изнутри локальных сетей, поэтому корпоративную локальную сеть можно считать защищенной только при наличии МЭ, обеспечивающих безопасность отдельных компьютеров и фрагментов сети.

МЭ не решает все проблемы безопасности корпоративной сети. Отметим наиболее существенные из набора ограничений, связанных с использованием МЭ:

  1.  Ограничение пропускной способности
  2.  Отсутствие встроенных механизмов защиты от вирусов
  3.  Отсутствие эффективной защиты от потенциально опасных программ (ActiveX и т.п.).
  4.  Отсутствие средств защиты от ошибок администрирования и пользователей
  5.  МЭ по существу являются средствами защиты от прямых состоявшихся атак.

 

А также другие работы, которые могут Вас заинтересовать

80603. Домашні обереги 45.5 KB
  Розвивати увагу звязне мовлення; виховувати любов і шану до українських традицій до батьків до хліба. Обладнання: святково прибраний клас вишиті рушники хліб і сіль пиріжки вислови про хліб ноутбук. Але слово виспіване мамаю в колисковій повертає до рідного дому якого не можна зрадити як не можна зрадити...
80604. Добавление в случае нескольких слагаемых 80 KB
  Цель: ознакомить учащихся с разными способами вычисления значений выражений в случае нескольких слагаемых; формировать навыки устного счёта; закрепить умение письменного сложения многозначных чисел; совершенствовать умение решать составные задачи; развивать внимание, логическое мышление...
80605. Ми разом. We are Together 41 KB
  I am glad to see you, too! Thank you, sit down. The topic of our lesson is We are Together. Today we are going to remember and repeat everything we know and I’ll represent you English ABC. Тема нашого уроку «Ми разом».
80606. Закрепление вычислительных приёмов сложения и вычитания чисел в пределах 1000. Составление формулы здоровья 53 KB
  Цель: закрепить изученные приёмы сложения и вычитания трёхзначных чисел в пределах 1000 умение решать составные задачи простые и составные уравнения; развивать логическое мышление внимание; заботиться и оберегать своё здоровье.
80607. Поняття про числівник як частину мови 42.5 KB
  Консультанти знайомлять учнів з темами підготовленими вдома група: Кількісні числівники. група: Порядкові числівники. група: Прості і складні числівники. З якою частиною мови ми познайомилися Що означає числівник На які питання відповідає Які бувають числівники...
80608. Вправи на доцільне використання прикметників у мовленні. Спостереження за формами прикметників найвищого ступеня (без терміна, практично) 58 KB
  Мета: Ключові компетентності: формувати компетентність вміння вчитися організовувати своє робоче місце орієнтуватися в часі та берегти його доводити роботу до кінця; соціальну компетентність продуктивно співпрацювати з різними партнерами в групі підтримувати та керувати власними взаєминами з іншими.
80609. Порівняння числа та значення числового виразу. Складання задач за малюнками. Рівності 45 KB
  Обладнання: картки-підказки завдання від діда Цифроїда картка до ігор Цифри поховались Віночок Склади картинку бджілки маски Зайчика й Лисички. Лиска ця розумна дуже Додає все віднімає Знає лінії множини І задачі всі рішає Коли зробим всі завдання Частування поверне.віддає великий конверт вчителю...
80610. Слова, які звучать і пишуться однаково 39.5 KB
  Мета: ознайомити дітей з омонімами (без уживання терміну); вчити вдумливо сприймати мовлене і записане слово; розвивати інтерес до мови, до лексичних знань слів. Хід уроку Організація класу Перевірка домашнього завдання. Яке слово, що має багато значень є в вірші Що за коса?
80611. Літературні казки 37.5 KB
  Мета: Формувати компетентність вміння вчитися. Загальнокультурну компетентність Соціальну компетентність Предметні компетентності Практично ознайомити учнів з новим автором літературних казок – Василем Чухлібом та його творами Спонукати дітей пильніше оглядати світ навколо себе...