21326

Межсетевой экран

Реферат

Информатика, кибернетика и программирование

Владелец компьютера имеющего выход в Internet устанавливает межсетевой экран чтобы предотвратить получение посторонними конфиденциальных данных хранящихся на защищаемом компьютере рис. Если с другой стороны это приложение таково что по вашему мнению оно не должно взаимодействовать с другим компьютером например текстовый редактор или новая игра загруженная из Internet то скорее всего вы создадите правило которое будет блокировать передачу пакетов этим приложением. Но тем не менее самой защищенной является сеть которая...

Русский

2013-08-02

214 KB

10 чел.

PAGE  8

1. Межсетевой экран

Межсетевой экран (его еще называют FireWall или брандмауер)- это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере (рис.1).

Рис.1

Межсетевой экран может предотвращать доступ ко всем службам, исключая специальные компьютерные сервисы, выполняющие функции доставки почтовых сообщений (SMTP) и функции информационного характера (TELNET, FTP).

Для выполнения разграничения доступных служб должна быть описана политика доступа, которую межсетевые экраны проводят с большой эффективностью. Главное правило при описании политики доступа - это запрещение доступа к службам, которым для работы не требуется доступ из внешней сети.

1.1. Фильтры пакетов

Фильтры пакетов работают весьма быстро, и они не предполагают никакой специальной конфигурации программных средств (приложений) конечных пользователей. Все, что могут делать фильтры пакетов, - это разрешать или запрещать доступ к вашему компьютеру на основании указанного адреса того, с кем вы связываетесь или того, кто хочет с вами связаться. Хакеры могут обмануть такие фильтры посредством подмены IP-адреса отправителя пакета. Соединения между клиентом и сервером являются прямыми, поэтому хакеры могут без особого труда воспользоваться анализаторами пакетов для выяснения адресной структуры вашего компьютера или вашей сети. Очень часто в качестве таких пакетных фильтров используются маршрутизаторы.

На маршрутизаторах устанавливают фильтры пакетов для фильтрации поступающей в сеть и исходящей информации.

Фильтрующий маршрутизатор обычно может фильтровать IP пакеты на основе группы следующих полей заголовка пакета:

IP адрес отправителя;

IP адрес получателя;

порт отправителя;

порт получателя.

Маршрутизаторы проверяют каждый пакет по той или иной таблице контроля доступа (где перечислены, например, IP-адреса заслуживающих доверия серверов), поэтому они могут без труда блокировать не заслуживающий доверия трафик. Фильтры пакетов могут также изымать пакеты из обращения на основании их номеров портов в TCP и UDP соединениях; как следствие, некоторые определенные типы соединений (например, telnet или ftp) могут быть разрешены только особо доверенным серверам (рис.2).

Рис.2

Пакетный фильтр последовательно смотрит каждое правило и ищет первое правило, которое соответствует данному пакету. Если такого правила не найдено, то пакет блокируется (правило блокировки по умолчанию). Но если включен специальный режим автообучения, то вам предоставляется  возможность создать новое правило для обработки пакетов (или соединений для TCP-пакетов) данного типа, а также вручную разрешить или заблокировать данный пакет.

В режиме автообучения при обнаружении пакетным фильтром попытки установления соединения или UDP-пакета, для которого нет правила, программа выдает на экран диалоговое окно, в котором сообщает об этом пакете и спрашивает у вас, что делать с такими пакетами в будущем. Обычно такое происходит, если вы запускаете программу, которая пытается установить соединение с другим компьютером (и в окне указывается имя этой программы). В этом случае вы, скорее всего, разрешите это соединение, или даже создадите правило для автоматического разрешения таких пакетов в будущем, чтобы избежать появления на экране этого диалогового окна. Будем называть такое приложение «доверенным». Если, с другой стороны, это приложение таково, что, по вашему мнению, оно не должно взаимодействовать с другим компьютером (например, текстовый редактор или новая игра, загруженная из Internet), то, скорее всего, вы создадите правило, которое будет блокировать передачу пакетов этим приложением. Но при этом вы должны учитывать, что некоторые программы создают несколько исходящих соединений одновременно, а некоторые клиентские программы могут организовывать взаимодействие с удаленными серверами таким образом, что они будут подключаться к вашему компьютеру (делать попытки установления входящих соединений).

К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:

- сравнительно невысокая стоимость;

- гибкость в определении правил фильтрации;

- небольшая задержка при прохождении пакетов.

Недостатки фильтрующих маршрутизаторов:

- внутренняя сеть видна (маршрутизируется)из сети Интернет;

-правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP иUDP;

- при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными.

1.2. Шлюзы сеансового уровня  

Шлюзы сеансового уровня  представляет собой класс маршрутизаторов, работающих как  транслятор TCP соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом. Эта процедура состоит из обмена ТСР пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса ТСР, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает соединения, использовавшиеся в текущем сеансе.

Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.

Для защиты локальных сетей разработано множество довольно сложных и дорогих программных комплексов, реализующих различные механизмы защиты: фильтрация пакетов, трансляция адресов и т.д. Но, тем не менее, самой защищенной является сеть, которая вообще не подключена к Internet. Это абсолютно надежный способ защиты, но у него есть один существенный недостаток: если вы им воспользуетесь, то ваши пользователи не смогут работать в Internet.

Но может быть, в этой идее все-таки есть рациональное зерно? А что, например, если подключить к Internet не всю локальную сеть, а только один компьютер? Ведь настройку одного компьютера легче «вылизать» и за ним легче уследить, чем за всей сетью. Правда, пользователям, желающим поработать в Internet, придется пересаживаться за этот единственный компьютер, и через некоторое время они выстроятся в длинную очередь. Не получается! Вот если бы существовала программа, которая, работая на подключенном к Internet компьютере, позволяла бы остальным компьютерам сети эмулировать выход в Internet, оставаясь при этом «невидимыми»...

1.3. Прокси-сервер

На самом деле такой программой и является «proxy-сервер». Он не является классическим Firewall (огненной стеной), поскольку защита сети не входит в его функции. Сеть защищена своей изоляцией от Internet. А «proxy-сервер» позволяет пользователям этой изолированной сети выходить в Internet, используя единственный подключенный компьютер. Есть и еще одно объяснение концепции «proxy-серверов».

Помните, как в библиотеке вам вначале приходилось заказывать книгу из закрытого для доступа хранилища? Так как читатели в закрытую часть библиотеки не допускались, библиотекарь выступал в качестве вашего посредника (proxy) и приносил заказанную книгу.

Конечно, как правило, этот процесс занимал больше времени, чем, если бы вы сами имели доступ к стеллажам с книгами. Но предположим, что каждый раз, когда библиотекарь приносил книгу для одного студента, он делал несколько ее копий и оставлял у себя на столе выдачи для тех студентов, кому потребуется та же самая книга. Результат - идеальная комбинация быстрого обслуживания и надежной защиты.

Приведенная аналогия объясняет две основные функции proxy-сервера. Во-первых, proxy-сервер действует как посредник, помогая пользователям частной сети получить информацию из Internet, когда она им необходима, при этом он обеспечивает защиту сети. Во-вторых, ргоху - сервер может сохранять часто запрашиваемую информацию в «кэше» на локальном диске, быстро доставляя ее пользователям без повторного обращения в Internet.

Proxy-серверы разрывают прямое соединение между клиентом и сервером при этом (или, если угодно, между студентом и ценной книгой), при этом все внутренние IP-адреса сети отображаются на один - единственный «надежный» IP-адрес. Злоумышленнику известен только этот адрес, поэтому атаки с подменой адресов становятся невозможны. Любой прокси - сервер состоит из множества специфических посредников для конкретных приложений. Он состоит: из посредника HTTP для страниц Web, посредника ftp, посредника SMTP/POP для электронной почты; посредника NNTP для серверов новостей, посредника RealAudio/Real-Video и т. д. Каждый из этих посредников принимает пакеты только тех служб, для копирования, передачи и фильтрации которых он создан. В качестве примера организации посредника упомянем механизм Socket’ов «Microsoft Proxy» и его развитие «ISA server». Выглядит все это так:

Эти продукты подробно описаны в документации. Служба соединений Winsock Proxy состоит из двух частей - сервера и клиентской части. Клиентская часть при установке подменяет собой обычный Winsock. Когда какое-либо приложение на рабочей станции пытается установить Winsock-соединение с удаленным хостом, клиентская часть Winsock Proxy устанавливает его со своим сервером, а тот уже «от своего имени» - с требуемым хостом. Сервер как бы транслирует пакеты в рамках установленного соединения, подменяя в них поля адресата и отправителя. Здесь используются прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy службой, а хост, на котором работает proxy служба,- шлюзом уровня приложений или шлюзами прикладного уровня.

1.4. Шлюз прикладного уровня

Шлюз прикладного уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.

По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ. Главное заключается в невидимости структуры защищаемой сети из глобальной сети Internet, Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам.

Недостаткам шлюзов уровня приложений является относительно низкая производительность по сравнению с фильтрующими маршрутизаторами.

Наиболее эффективный способ защиты при работе с Internet предполагает размещение системы FireWall  между вашей локальной сетью и Internet. межсетевой экран обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности.

Следуя аналогии с библиотекой, эквивалентом межсетевого экрана с фильтрацией пакетов был бы библиотекарь, ведущий список заслуживающих доверия студентов и допускающий только их в закрытое для других книгохранилище. Это ускорило бы процесс получения книг, но вынудило бы вести список доступа. Кроме того, такое решение чревато злоупотреблениями, когда студенты представляются под чужим именем. Вот тут, кроме фильтрации пакетов на межсетевой экран навешивается еще много других функций.

Для того, чтобы, эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученной из других источников программы).

2. Как межсетевой экран защищает сеть

Межсетевой экран может защитить вас, от несанкционированной передачи данных с вашего компьютера или приема вашим компьютером пакетов, обработка которых может привести к его блокировке. Он может предупредить вас о попытках использовать ресурсы вашего компьютера, о которых вы не знали, помочь вам узнать, какие ресурсы ваш компьютер предоставляет другим компьютерам в Internet, а также предоставить вам средства контроля, за тем, кто устанавливает соединение с вашим компьютером или с кем устанавливает соединение ваш компьютер.

Если с функцией пакетного фильтра часто справляется маршрутизатор, а proxy-сервера не предназначены для защиты локальной сети (а только для изоляции ее от глобальной сети), то мощные межсетевые экраны (firewall) специально построены для защиты и только для защиты сетей. Они, как правило, включают в себя все перечисленные ранее элементы: пакетные фильтры с их набором правил фильтрации, набор proxy прикладного уровня и еще средства анализа входящих приложений. Анализ включает поиск специальных команд относящимся, например,  к FTP-сервисам. Эти команды, попадая к вам в процессе скачивания вами файла, в FTP-сеансе позволяют атакующему попасть к вам на компьютер или в сеть и порезвиться там. Межсетевые экраны, такие как CheckPoint   FireWall-1 позволяют «на лету» вылавливать вирусы, производить идентификацию сторонних пользователей, шифрование и дешифрацию трафика и блокировать выполнение JavaScript-сценариев и ActivX-приложений.

inSock

Proxy

Вызов

Sockets

Сервер в Internet

Proxy-сервер

Компьютер-

Клиент в ЛВС

Межсетевой

Экран

EMBED MS_ClipArt_Gallery  

Net

EMBED MS_ClipArt_Gallery  

Internet

EMBED MS_ClipArt_Gallery  


 

А также другие работы, которые могут Вас заинтересовать

32010. Учебно-методический комплекс по прохождению преддипломной практики (9 семестр) и написанию и защите выпускной аттестационной работы (дипломного проекта) 373.5 KB
  Шихвердиев Учебнометодический комплекс по прохождению преддипломной практики 9 семестр и написанию и защите выпускной аттестационной работы дипломного проекта для студентов специальности 080507. Владеть навыками: профессиональной аргументации при разборе стандартных ситуаций в сфере предстоящей деятельности; сбора обработки и анализа первичной экономической информации и материалов; проведения анализа формирования корпоративного управления в компании; работы с научной и специальной литературой законодательными и нормативными...
32011. Изучение рисков при оценке загородной недвижимости Ленинградской области 227 KB
  Актуальность темы состоит в том что рынок недвижимости является динамичной средой и оказывает влияние на экономические отношения в сфере загородной недвижимости. Целью данной работы является изучение рисков при оценке загородной недвижимости Ленинградской области. Задачами являются: Изучение факторов влияющих на возникновение рисков в сфере загородной недвижимости Ленинградской области. Рассмотрение обще методических подходов к оценке рисков загородной недвижимости.
32012. Управление капиталом предприятия на материалах ООО «Лотос М» 978 KB
  Капитал — одно из ключевых понятий финансового менеджмента. С позиций финансового менеджмента капитал выражает общую величину средств в денежной, материальной и нематериальной формах, вложенных в активы (имущество) организации. С позиций корпоративных финансов капитал отражает денежные (финансовые) отношения, возникающие между корпорацией и другими субъектами хозяйствования по поводу его формирования и использования.
32013. Методика по выполнению дипломной работы 217.5 KB
  В процессе подготовки дипломной работы студент должен показать свои знания и способности в решении проблем экономики и управления. Методические рекомендации по выполнению дипломной работы для студентов специальности Менеджмент организации основываются на методических указаниях к выполнению курсового проекта по дисциплинам этой специальности и являются их логическим продолжением образуя с последними методическое единство. В результате успешной защиты студентом дипломной работы Государственной аттестационной комиссии принимается решение о...
32015. Разработка автоматизированной системы складского учета в ЗАО «КонсультантПлюс» 4.34 MB
  Целью данного дипломного проекта является разработка автоматизированной системы складского учета в ЗАО «КонсультантПлюс». Эффективное управление складскими запасами позволяет не только предоставить пользователям своевременную и адекватную информацию о запасах и исполнении заказов, но и повысить обороты и рентабельность компании, сократить уровень складских запасов и их потери, одновременно избегая их дефицита, улучшить обслуживание заказчиков.
32016. МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ (ДИПЛОМНЫЙ ПРОЕКТ) 3.17 MB
  Структура и содержание дипломного проекта 6 3. Оформление выпускной квалификационной работы дипломного проекта 10 4. Порядок подготовки дипломного проекта к защите 14 5. Об условиях выдачи дипломов с отличием выпускникам Института экономики управления и права 28 Общие требования предъявляемые к выпускной квалификационной работе дипломному проекту Выполнение выпускной квалификационной работы дипломного проекта в дальнейшем в тексте дипломный проект завершает подготовку специалиста и показывает его готовность решать...
32017. МАГІСТЕРСЬКА ДИПЛОМНА РОБОТА для студентів за магістерською програмою «Моделювання та інформаційні технології в економіці» 378 KB
  Попередній розгляд захист МДР 2. Рекомендація МДР до захисту кафедрою 2. МДР є кваліфікаційною роботою на підставі захисту якої державна екзаменаційна комісія визначає рівень теоретичної та практичної підготовки випускника його здатність до самостійної роботи за фахом і приймає рішення про присвоєння відповідної кваліфікації та видачу диплома. Метою підготовки МДР є закріплення та демонстрація сформованих упродовж навчання в університеті професійних компетенцій за відповідною спеціальністю.
32018. Диаграммы и способы их применения 552.5 KB
  Такие диаграммы не основаны на числовых данных и используются для более наглядной подачи материала. Организационные диаграммы используют для графического описания иерархических отношений в организациях например между руководителями отделов и сотрудниками. СОЗДАНИЕ ОРГАНИЗАЦИОННОЙ ДИАГРАММЫ Для создания любой диаграммы можно нажать кнопку Добавить диаграмму или организационную диаграмму панели инструментов Рисование или выполнить команду Вставка Схематическая диаграмма.