21310

Технологии межсетевых экранов

Реферат

Информатика, кибернетика и программирование

Основные задачи МЭ: Ограничить доступ пользователей из внешней сети к ресурсам внутренней сети. Обычно внешней сетью является более глобальная относительно внутренней сети например Интернет относительно корпоративной сети или локальная сеть относительно ресурсов локального компьютера. В случае с Интернетом пользователями внешней сети могут быть как удаленные пользователи и партнеры так и хакеры.

Русский

2013-08-02

202.9 KB

62 чел.

Технологии межсетевых экранов

Межсетевой экран (наряду с термином МЭ в литературе нередко используются также названия «Брандмауэр» или «FireWall») позволяет разделить сеть на две или более частей и контролировать прохождение пакетов между отдельными частями сети.

Основные задачи МЭ:

  1.  Ограничить доступ пользователей из «внешней сети» к ресурсам «внутренней сети». Обычно «внешней» сетью является более глобальная относительно «внутренней» сети, например, Интернет относительно корпоративной сети или локальная сеть относительно ресурсов локального компьютера. В случае с Интернетом пользователями внешней сети могут быть как удаленные пользователи и партнеры, так и хакеры.
  2.  Разграничить доступ пользователей «внутренней сети» к внешним ресурсам. Основная цель этого разграничения – наиболее эффективное использование ресурсов и исключение факторов, отрицательно влияющих на производственный процесс.

МЭ можно классифицировать по различным признакам:

  1.  По использованию различных уровней модели стека межсетевых протоколов:
  2.  Пакетный фильтр (Экранирующий маршрутизатор)
  3.  Сеансовый шлюз (Экранирующий транспорт)
  4.  Прикладной шлюз
  5.  Шлюз экспертного уровня
  6.  По применяемой технологии
  7.  Контроль состояний протокола
  8.  Технология посредников (proxy)
  9.  По реализации
  10.  Аппаратно-программный
  11.  Программный
  12.  По схеме включения
  13.  Схема единой защиты сети
  14.  Схема с защищаемым (закрытым) и не защищаемым (открытым) сегментами сети
  15.  Схема с раздельной защитой закрытого и открытого сегментов сети

Фильтрация обычно заключается в выборочном пропускании информационных потоков через экран с возможным осуществлением некоторых преобразований. МЭ удобно представлять как последовательность фильтров.

Каждый фильтр осуществляет:

  1.  Анализ проходящей информации по критериям, заданным в правилах фильтрации. Критерии могут относится к различным структурным составляющим. Это могут быть адреса отправителя и получателя, тип приложения, использующего проходящую информацию и т.п.
  2.  Принятие одного из установленного в правилах решений:
  3.  Не пропускать
  4.  Обработать от имени получателя и возвратить отправителю
  5.  Передать на следующий фильтр
  6.  Пропустить, игнорируя следующие фильтры

Кроме того, правила фильтрации могут задавать и другие действия, задавая функции посредничества МЭ, например регистрация событий, преобразование данных и т.п.

В качестве критериев анализа информационного потока могут использоваться такие параметры как:

  1.  Содержание служебных полей пакетов – сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.
  2.  Содержимое самих пакетов, проверяемое, например на наличие вирусов
  3.  Внешние характеристики потока информации, например временные, частотные, объем данных и т.п.

При этом, чем выше уровень модели OSI, на котором осуществляется фильтрация, тем выше уровень защиты.

Функции посредничества МЭ выполняет с помощью специальных программ, называемых Экранирующими агентами. При поступлении запроса на доступ устанавливается логическое соединение с программой- посредником, которая проверяет допустимость межсетевого взаимодействия и устанавливает соединение с требуемым компьютером. В дальнейшем обмен происходит через программного посредника, осуществляющего защитные функции. МЭ может осуществлять фильтрацию и без применения программ-посредников, вместе с тем, посредники могут и не осуществлять фильтрацию.

В общем случае программы-посредники осуществляют:

  1.  Проверку подлинности передаваемых данных
  2.  Фильтрацию и преобразование потока, например, фильтрацию вирусов и шифрование информации.
  3.  Разграничение доступа к ресурсам внутренней и внешней сети
  4.  Кэширование данных из внешней сети
  5.  Аутентификацию пользователей
  6.  Трансляцию внутренних сетевых адресов для исходящих пакетов
  7.  Регистрацию событий, анализ зарегистрированной информации, реагирование на задаваемые события и генерацию отчетов

Способы разграничения доступа к ресурсам внутренней сети практически не отличаются от способов, реализуемых на уровне операционной системы. Для разграничения доступа к внешней сети используются различные способы:

  1.  Разрешение доступа по заданным адресам
  2.  Разрешение доступа на основе обновляемых списков недопустимых запросов
  3.  Блокировка поиска информации по нежелательным ключевым словам
  4.  Накопление санкционированных ресурсов внешней сети
  5.  Полный запрет на доступ во внешнюю сеть

Накопление (кэширование) входной информации может использоваться для разграничения доступа. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются на proxy- сервере и пользователи получают доступ только к этим ресурсам.

Фильтрация и преобразование выполняются на основе наборов правил. При этом экранирующие агенты могут быть как специализированными на определенные виды сервисов: FTP, HTTP, Telnet и пр., так и универсальными, ориентированными, например на поиск и обеззараживание вирусов.

При анализе содержимого пакетов важно, чтобы посредник умел автоматически распаковывать проходящие пакеты. МЭ с посредниками позволяют также организовывать защищенные Виртуальные частные сети (VPN), например, объединять несколько локальных сетей, подключенных к интернет в одну виртуальную сеть.

Кроме разрешения или запрещения допуска различных приложений в сеть, МЭ могут выполнять аналогичные действия для пользователей. Аутентификация пользователя может осуществляться с применением технологии одноразовых паролей (SecurID). Большинство программ- посредников требуют начальную аутентификацию пользователя.

Ряд МЭ поддерживают Kerberos – большинство коммерческих МЭ поддерживают несколько различных систем аутентификации.

Для реализации атак злоумышленнику часто надо знать адрес своей жертвы. Чтобы скрыть адреса и топологию сети МЭ использует функцию трансляции внутренних сетевых адресов (network address translation).

Для всех пакетов, следующих во внешнюю сеть, выполняется преобразование IP адресов отправителей в IP адрес МЭ. В результате топология и внутренние адреса внутренней сети скрыты от внешних пользователей. Помимо повышения уровня безопасности это позволяет расширить адресное пространство для внутренней сети и ликвидировать дефицит адресов.

В большинстве МЭ реализованы сервисные утилиты, облегчающие просмотр, ввод и коррекцию правил, сгруппированных по различным критериям, например правила, относящиеся к выбранному сервису или пользователю. Кроме того, в состав функций МЭ входит возможность регистрировать и определять способы реагирования на задаваемые события (аудит) а также составление отчетов для анализа зарегистрированной информации. К таким событиям помимо пропуска или блокирования пакетов относятся также события, связанные с изменением параметров безопасности МЭ. Многие МЭ обладают мощными средствами регистрации и анализа. При этом учет ведется по адресам клиентов и серверов, идентификаторам пользователей, времени сеансов, времени соединений, объему переданных данных, действиям администраторов и пользователей. Обычно предусмотрена возможность удаленного оповещения или звукового оповещения о выбранных событиях в режиме реального времени.

Особенности функционирования МЭ на различных уровнях сетевого протокола.

МЭ можно представить как совокупность экранов, функционирующих на различных уровнях сетевого протокола. Можно выделить следующие составляющие МЭ:

  1.  Экранирующий маршрутизатор
  2.  Шлюз сеансового уровня (экранирующий транспорт)
  3.  Шлюз прикладного уровня (экранирующий шлюз)

Следует отметить, что эта классификация не является жесткой, поскольку используемые протоколы (TCP/IP, SPX/IPX) не полностью соответствуют модели ISO-OSI. Например, прикладной экран может осуществлять функцию шифрования, то есть функционировать и на уровне представления. Шлюз сеансового уровня охватывает транспортный и сетевой уровни.

Прикладной шлюз.

Прикладной или экранирующий шлюз ваполняет ряд функций экранирования верхнего прикладного уровня:

  1.  Аутентификация пользователей, участников соединения
  2.  Проверка подлинности передаваемой информации
  3.  Разграничение доступа к ресурсам внутренней и внешней сети
  4.  Фильтрация и преобразование потока сообщений. Например, динамический поиск и фильтрация вирусов и прозрачное шифрование передаваемой информации.
  5.  Регистрация, анализ и составление отчетов прикладного уровня.
  6.  Кэширование запрашиваемых данных.

На шлюзе прикладного уровня функционируют программные посредники для каждого из обслуживаемых прикладных протоколов (http, ftp, smtp, nntp, …). Каждый программный посредник отвечает за обслуживание одной службы протокола (TCP/IP). Программные посредники перехватывают пакеты соответствующих служб, копируют, преобразуют и перенаправляют информацию, исключая прямое соединение соответствующих служб внутренней и внешней сетей.

В качестве посредников прикладные шлюзы используют специальные серверы соответствующих служб TCP/IP – серверы HTTP, FTP, SMTP, NNTP,…

Основными достоинствами шлюза программного уровня являются:

  1.  Высокий уровень защиты за счет функции посредничества
  2.  Уровень приложений позволяет выполнять большое количество дополнительных проверок, ограничивающих вероятность атак за счет недостатков программного обеспечения
  3.  Нарушение работоспособности шлюза приводит к блокированию сквозного прохождения пакетов, что не нарушает функционирование внутренней сети и сохраняет уровень безопасности.

Относительными недостатками программного шлюза являются:

  1.  Высокие требования к производительности и объему ресурсов шлюза
  2.  Отсутствие «прозрачности» и снижение производительности межсетевых взаимодействий.

В настоящее время широкое распространение получили распространение специализированные программно-аппаратные комплексы межсетевого взаимодействия. При этом, используется мощный, физически защищенный (отдельное охраняемое помещение) компьютер, обладающий специализированными средствами защиты доступа для несанкционированного пользователя.

Обычно, при этом, используются средства защиты, обеспечивающие:

  1.  Разграничение доступа к ресурсам
  2.  Запрет на привилегированный доступ из локальной сети
  3.  Блокировка доступа к ресурсам в обход программного интерфейса
  4.  Мониторинг и аудит всех административных действий.

Формирование политики межсетевого взаимодействия.

Политика межсетевого взаимодействия подразумевает формирование:

  1.  Политики доступа к сетевым сервисам
  2.  Политики работы МЭ

Политика доступа к сетевым сервисам устанавливает правила предоставления сервисов защиты информации. Она устанавливает допустимые адреса клиентов для каждого сервиса. Кроме того, в ней устанавливаются правила для пользователей, определяющие когда, кто, каким сервисом и на каком компьютере может воспользоваться. Кроме того задаются ограничения на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol), PPP(Point-to-Point Protocol). Ограничения на методы доступа обеспечивают защиту от несанкционированного использования «запрещенных» сервисов Internet обходными путями. Правила аутентификации пользователей и компьютеров, а также условия работы вне локальной сети должны определяться отдельно.

Политика работы МЭ определяет базовые принципы управления межсетевым взаимодействием. При этом можно выбрать один из двух возможных принципов:

  1.  Запрещено все, что не разрешено
  2.  Разрешено все, что не запрещено.

Выбор принципа – это выбор компромисс между удобством использования и степенью безопасности. Первый принцип автоматически обеспечивает минимизацию привилегий. При этом Администратор задает правила доступа на каждый тип разрешенного взаимодействия. Правила доступа, созданные по этому принципу, могут создавать пользователям определенные неудобства.

Второй принцип обеспечивает блокирование только явно запрещенные межсетевые взаимодействия. При этом пользователи имеют возможности обойти МЭ, например, используя доступ к новым сервисам, не запрещенным политикой или запустить запрещенные сервисы на нестандартных портах TCP\UDP, которые не запрещены политикой. Администратор должен оперативно реагировать на изменения, предсказывая и запрещая межсетевые взаимодействия, отрицательно влияющие на безопасность.

В общем случае работа МЭ основана на выполнении 2 функций:

  1.  Фильтрация проходящих потоков
  2.  Посредничество при реализации межсетевых взаимодействий

Полнота и правильность управления требуют, чтобы МЭ осуществлял анализ:

  1.  Информации о соединениях от всех семи уровней в пакете
  2.  Истории соединений – информации от предыдущих соединений
  3.  Состояния уровня приложений – информации полученной от других приложений. Например, пользователю можно предоставлять доступ через МЭ только для авторизированных видов сервиса
  4.  Агрегирующих вычислений различных выражений, основанных на указанных выше факторах

Основные схемы подключения МЭ.

Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями закрытости:

  1.  Свободно доступный сегмент (например, рекламный сервер)
  2.  Сегмент с ограниченным доступом (например для доступа сотрудникам с удаленных узлов)
  3.  Закрытый сегмент (например, финансовая группа)

Широко распространены следующие схемы подключения:

  1.  Схема экранирующего маршрутизатора
  2.  Схема единой защиты локальной сети
  3.  Схема защищаемой закрытой и не защищаемой открытой подсетями
  4.  Схема с раздельно защищаемыми закрытой и открытой подсетями.

Если в состав локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести в открытую часть подсети.

Если же безопасность открытых серверов нуждается в повышенных требованиях, необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

Удобным средством организации схемы защиты сети является распределенный МЭ (distributed firewall) – централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети. Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы узла (защищенные каналы VPN), что позволяет обеспечить защиту сетей с нечетко определенными границами. Для реализации этих функций выпускаются МЭ в двух версиях:

  1.  Персональной (для индивидуальных пользователей)
  2.  Распределенной (для корпоративных пользователей)

В настоящее время до 50% атак осуществляется изнутри локальных сетей, поэтому корпоративную локальную сеть можно считать защищенной только при наличии МЭ, обеспечивающих безопасность отдельных компьютеров и фрагментов сети.

МЭ не решает все проблемы безопасности корпоративной сети. Отметим наиболее существенные из набора ограничений, связанных с использованием МЭ:

  1.  Ограничение пропускной способности
  2.  Отсутствие встроенных механизмов защиты от вирусов
  3.  Отсутствие эффективной защиты от потенциально опасных программ (ActiveX и т.п.).
  4.  Отсутствие средств защиты от ошибок администрирования и пользователей
  5.  МЭ по существу являются средствами защиты от прямых состоявшихся атак.

 

А также другие работы, которые могут Вас заинтересовать

19925. Оборотные средства. Структура норм и расходов 26.56 KB
  Лекция №8 Тема: Оборотные средства. Точность расчета норматива зависит от правильного определения норм запаса материальных ресурсов. Техника экономического обоснования норм расходования Материальных Ресурсов связанна с анализом их структуры. Структура норм и рас
19926. Персонал предприятия (ПП) 22.01 KB
  Лекция №9 Тема: персонал предприятия ПП. Вопросы: Состав и структура ПП Планирование и подбор кадров Производительность труда Заработная плата тарифная система формы и системы оплаты труда. Формирования фонда зарплаты фонды оплаты труда ФОТ. ...
19927. Персонал предприятия. Движения рабочей силы 27.82 KB
  Лекция №10 Тема: Персонал предприятия. Для учета и отчетности пользуются абсолютными и средними показателями численности. К абсолютным относятся: Списочная численность работников. Это количество всех работающих принятых на постоянную сезонную или временную раб
19928. Персонал предприятия. Уровни производительности труда 24.86 KB
  Лекция №11 Тема: персонал. При изучении уровней производительности труда используют: Среднечасовая выработка рабочего . 1 Среднедневная выработка рабочего 2 . 3 Факторы нарушения производительности труда – самостоятельно. Заработная плата тари...
19929. Формирование фонда оплаты труда 20.9 KB
  Лекция №11 Тема: Формирование фонда оплаты труда. Фонд ОЗП основной заработной платы включает вознаграждения за выполненную работу в соответствии с установленными нормами труда должностной оклад. Фонд дополнительной ЗП – включает доплаты надбавки гарантийные и к...
19930. СОЦІОЛОГІЯ – НАУКА ПРО СУСПІЛЬСТВО 104.5 KB
  ЛЕКЦІЯ 1 СОЦІОЛОГІЯ – НАУКА ПРО СУСПІЛЬСТВО П Л А Н Виникнення та становлення соціології як самостійної науки. Предмет об’єкт функції та структура соціології. Соціологічні закони та категорії. Метод соціології. Взаємозв'язок соціології з іншими науками...
19931. ТЕОРІЯ СОЦІАЛЬНОЇ СТРУКТУРИ СУСПІЛЬСТВА 472 KB
  ЛЕКЦІЯ 3 ТЕОРІЯ СОЦІАЛЬНОЇ СТРУКТУРИ СУСПІЛЬСТВА П Л А Н Поняття соціальної структури її роль та місце в житті суспільства. Соціальні інтереси соціальні переміщення та соціальна мобільність. 1. Поняття соціальної структури її роль та місце в житті су
19932. СОЦІАЛЬНІ СТАТУСИ І СОЦІАЛЬНІ РОЛІ. СОЦІАЛЬНА СТРАТИФІКАЦІЯ 99 KB
  ЛЕКЦІЯ 4 СОЦІАЛЬНІ СТАТУСИ І СОЦІАЛЬНІ РОЛІ. СОЦІАЛЬНА СТРАТИФІКАЦІЯ П Л А Н Поняття статусу. Особистий та соціальний статуси. Соціальні ролі та їх різновиди. Теорія соціальної стратифікації. Соціальна стратифікація українського суспільства. 1. Поня...
19933. СОЦІОЛОГІЯ ОСОБИСТОСТІ 84.5 KB
  ЛЕКЦІЯ 5 СОЦІОЛОГІЯ ОСОБИСТОСТІ П Л А Н 1. Поняття особистості у соціології. 2. Особистість як об’єкт і суб’єкт суспільних відносин. 3. Основні соціологічні теорії особистості. 4. Соціологічна структура особистості. 1. Поняття особистості у соціології Термін о...