21326

Межсетевой экран

Реферат

Информатика, кибернетика и программирование

Владелец компьютера имеющего выход в Internet устанавливает межсетевой экран чтобы предотвратить получение посторонними конфиденциальных данных хранящихся на защищаемом компьютере рис. Если с другой стороны это приложение таково что по вашему мнению оно не должно взаимодействовать с другим компьютером например текстовый редактор или новая игра загруженная из Internet то скорее всего вы создадите правило которое будет блокировать передачу пакетов этим приложением. Но тем не менее самой защищенной является сеть которая...

Русский

2013-08-02

214 KB

13 чел.

PAGE  8

1. Межсетевой экран

Межсетевой экран (его еще называют FireWall или брандмауер)- это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере (рис.1).

Рис.1

Межсетевой экран может предотвращать доступ ко всем службам, исключая специальные компьютерные сервисы, выполняющие функции доставки почтовых сообщений (SMTP) и функции информационного характера (TELNET, FTP).

Для выполнения разграничения доступных служб должна быть описана политика доступа, которую межсетевые экраны проводят с большой эффективностью. Главное правило при описании политики доступа - это запрещение доступа к службам, которым для работы не требуется доступ из внешней сети.

1.1. Фильтры пакетов

Фильтры пакетов работают весьма быстро, и они не предполагают никакой специальной конфигурации программных средств (приложений) конечных пользователей. Все, что могут делать фильтры пакетов, - это разрешать или запрещать доступ к вашему компьютеру на основании указанного адреса того, с кем вы связываетесь или того, кто хочет с вами связаться. Хакеры могут обмануть такие фильтры посредством подмены IP-адреса отправителя пакета. Соединения между клиентом и сервером являются прямыми, поэтому хакеры могут без особого труда воспользоваться анализаторами пакетов для выяснения адресной структуры вашего компьютера или вашей сети. Очень часто в качестве таких пакетных фильтров используются маршрутизаторы.

На маршрутизаторах устанавливают фильтры пакетов для фильтрации поступающей в сеть и исходящей информации.

Фильтрующий маршрутизатор обычно может фильтровать IP пакеты на основе группы следующих полей заголовка пакета:

IP адрес отправителя;

IP адрес получателя;

порт отправителя;

порт получателя.

Маршрутизаторы проверяют каждый пакет по той или иной таблице контроля доступа (где перечислены, например, IP-адреса заслуживающих доверия серверов), поэтому они могут без труда блокировать не заслуживающий доверия трафик. Фильтры пакетов могут также изымать пакеты из обращения на основании их номеров портов в TCP и UDP соединениях; как следствие, некоторые определенные типы соединений (например, telnet или ftp) могут быть разрешены только особо доверенным серверам (рис.2).

Рис.2

Пакетный фильтр последовательно смотрит каждое правило и ищет первое правило, которое соответствует данному пакету. Если такого правила не найдено, то пакет блокируется (правило блокировки по умолчанию). Но если включен специальный режим автообучения, то вам предоставляется  возможность создать новое правило для обработки пакетов (или соединений для TCP-пакетов) данного типа, а также вручную разрешить или заблокировать данный пакет.

В режиме автообучения при обнаружении пакетным фильтром попытки установления соединения или UDP-пакета, для которого нет правила, программа выдает на экран диалоговое окно, в котором сообщает об этом пакете и спрашивает у вас, что делать с такими пакетами в будущем. Обычно такое происходит, если вы запускаете программу, которая пытается установить соединение с другим компьютером (и в окне указывается имя этой программы). В этом случае вы, скорее всего, разрешите это соединение, или даже создадите правило для автоматического разрешения таких пакетов в будущем, чтобы избежать появления на экране этого диалогового окна. Будем называть такое приложение «доверенным». Если, с другой стороны, это приложение таково, что, по вашему мнению, оно не должно взаимодействовать с другим компьютером (например, текстовый редактор или новая игра, загруженная из Internet), то, скорее всего, вы создадите правило, которое будет блокировать передачу пакетов этим приложением. Но при этом вы должны учитывать, что некоторые программы создают несколько исходящих соединений одновременно, а некоторые клиентские программы могут организовывать взаимодействие с удаленными серверами таким образом, что они будут подключаться к вашему компьютеру (делать попытки установления входящих соединений).

К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:

- сравнительно невысокая стоимость;

- гибкость в определении правил фильтрации;

- небольшая задержка при прохождении пакетов.

Недостатки фильтрующих маршрутизаторов:

- внутренняя сеть видна (маршрутизируется)из сети Интернет;

-правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP иUDP;

- при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными.

1.2. Шлюзы сеансового уровня  

Шлюзы сеансового уровня  представляет собой класс маршрутизаторов, работающих как  транслятор TCP соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом. Эта процедура состоит из обмена ТСР пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса ТСР, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает соединения, использовавшиеся в текущем сеансе.

Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.

Для защиты локальных сетей разработано множество довольно сложных и дорогих программных комплексов, реализующих различные механизмы защиты: фильтрация пакетов, трансляция адресов и т.д. Но, тем не менее, самой защищенной является сеть, которая вообще не подключена к Internet. Это абсолютно надежный способ защиты, но у него есть один существенный недостаток: если вы им воспользуетесь, то ваши пользователи не смогут работать в Internet.

Но может быть, в этой идее все-таки есть рациональное зерно? А что, например, если подключить к Internet не всю локальную сеть, а только один компьютер? Ведь настройку одного компьютера легче «вылизать» и за ним легче уследить, чем за всей сетью. Правда, пользователям, желающим поработать в Internet, придется пересаживаться за этот единственный компьютер, и через некоторое время они выстроятся в длинную очередь. Не получается! Вот если бы существовала программа, которая, работая на подключенном к Internet компьютере, позволяла бы остальным компьютерам сети эмулировать выход в Internet, оставаясь при этом «невидимыми»...

1.3. Прокси-сервер

На самом деле такой программой и является «proxy-сервер». Он не является классическим Firewall (огненной стеной), поскольку защита сети не входит в его функции. Сеть защищена своей изоляцией от Internet. А «proxy-сервер» позволяет пользователям этой изолированной сети выходить в Internet, используя единственный подключенный компьютер. Есть и еще одно объяснение концепции «proxy-серверов».

Помните, как в библиотеке вам вначале приходилось заказывать книгу из закрытого для доступа хранилища? Так как читатели в закрытую часть библиотеки не допускались, библиотекарь выступал в качестве вашего посредника (proxy) и приносил заказанную книгу.

Конечно, как правило, этот процесс занимал больше времени, чем, если бы вы сами имели доступ к стеллажам с книгами. Но предположим, что каждый раз, когда библиотекарь приносил книгу для одного студента, он делал несколько ее копий и оставлял у себя на столе выдачи для тех студентов, кому потребуется та же самая книга. Результат - идеальная комбинация быстрого обслуживания и надежной защиты.

Приведенная аналогия объясняет две основные функции proxy-сервера. Во-первых, proxy-сервер действует как посредник, помогая пользователям частной сети получить информацию из Internet, когда она им необходима, при этом он обеспечивает защиту сети. Во-вторых, ргоху - сервер может сохранять часто запрашиваемую информацию в «кэше» на локальном диске, быстро доставляя ее пользователям без повторного обращения в Internet.

Proxy-серверы разрывают прямое соединение между клиентом и сервером при этом (или, если угодно, между студентом и ценной книгой), при этом все внутренние IP-адреса сети отображаются на один - единственный «надежный» IP-адрес. Злоумышленнику известен только этот адрес, поэтому атаки с подменой адресов становятся невозможны. Любой прокси - сервер состоит из множества специфических посредников для конкретных приложений. Он состоит: из посредника HTTP для страниц Web, посредника ftp, посредника SMTP/POP для электронной почты; посредника NNTP для серверов новостей, посредника RealAudio/Real-Video и т. д. Каждый из этих посредников принимает пакеты только тех служб, для копирования, передачи и фильтрации которых он создан. В качестве примера организации посредника упомянем механизм Socket’ов «Microsoft Proxy» и его развитие «ISA server». Выглядит все это так:

Эти продукты подробно описаны в документации. Служба соединений Winsock Proxy состоит из двух частей - сервера и клиентской части. Клиентская часть при установке подменяет собой обычный Winsock. Когда какое-либо приложение на рабочей станции пытается установить Winsock-соединение с удаленным хостом, клиентская часть Winsock Proxy устанавливает его со своим сервером, а тот уже «от своего имени» - с требуемым хостом. Сервер как бы транслирует пакеты в рамках установленного соединения, подменяя в них поля адресата и отправителя. Здесь используются прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy службой, а хост, на котором работает proxy служба,- шлюзом уровня приложений или шлюзами прикладного уровня.

1.4. Шлюз прикладного уровня

Шлюз прикладного уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.

По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ. Главное заключается в невидимости структуры защищаемой сети из глобальной сети Internet, Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам.

Недостаткам шлюзов уровня приложений является относительно низкая производительность по сравнению с фильтрующими маршрутизаторами.

Наиболее эффективный способ защиты при работе с Internet предполагает размещение системы FireWall  между вашей локальной сетью и Internet. межсетевой экран обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности.

Следуя аналогии с библиотекой, эквивалентом межсетевого экрана с фильтрацией пакетов был бы библиотекарь, ведущий список заслуживающих доверия студентов и допускающий только их в закрытое для других книгохранилище. Это ускорило бы процесс получения книг, но вынудило бы вести список доступа. Кроме того, такое решение чревато злоупотреблениями, когда студенты представляются под чужим именем. Вот тут, кроме фильтрации пакетов на межсетевой экран навешивается еще много других функций.

Для того, чтобы, эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученной из других источников программы).

2. Как межсетевой экран защищает сеть

Межсетевой экран может защитить вас, от несанкционированной передачи данных с вашего компьютера или приема вашим компьютером пакетов, обработка которых может привести к его блокировке. Он может предупредить вас о попытках использовать ресурсы вашего компьютера, о которых вы не знали, помочь вам узнать, какие ресурсы ваш компьютер предоставляет другим компьютерам в Internet, а также предоставить вам средства контроля, за тем, кто устанавливает соединение с вашим компьютером или с кем устанавливает соединение ваш компьютер.

Если с функцией пакетного фильтра часто справляется маршрутизатор, а proxy-сервера не предназначены для защиты локальной сети (а только для изоляции ее от глобальной сети), то мощные межсетевые экраны (firewall) специально построены для защиты и только для защиты сетей. Они, как правило, включают в себя все перечисленные ранее элементы: пакетные фильтры с их набором правил фильтрации, набор proxy прикладного уровня и еще средства анализа входящих приложений. Анализ включает поиск специальных команд относящимся, например,  к FTP-сервисам. Эти команды, попадая к вам в процессе скачивания вами файла, в FTP-сеансе позволяют атакующему попасть к вам на компьютер или в сеть и порезвиться там. Межсетевые экраны, такие как CheckPoint   FireWall-1 позволяют «на лету» вылавливать вирусы, производить идентификацию сторонних пользователей, шифрование и дешифрацию трафика и блокировать выполнение JavaScript-сценариев и ActivX-приложений.

inSock

Proxy

Вызов

Sockets

Сервер в Internet

Proxy-сервер

Компьютер-

Клиент в ЛВС

Межсетевой

Экран

EMBED MS_ClipArt_Gallery  

Net

EMBED MS_ClipArt_Gallery  

Internet

EMBED MS_ClipArt_Gallery  


 

А также другие работы, которые могут Вас заинтересовать

80312. Фінансово-економічні результати й ефективність діяльності 80 KB
  Суть фінансової діяльності підприємства полягає у виникненні грошових відносин, пов’язаних з неперервним кругообігом коштів у формах: витрачання ресурсів, одержання доходів, їх використання, а також із приводу відносин з постачальниками, покупцями продукції, працівниками підприємства, державними органами та ін.
80313. Виробництво, якість і конкурентоспроможність продукції 121.5 KB
  Поняття якості продукції необхідність і значення її підвищення в сучасних умовах Показники і методи оцінювання якості продукції Управління якістю продукції. Стандартизація та сертифікація продукції. Економічна ефективність і шляхи підвищення якості та конкурентоспроможності продукції.
80314. Організаційні основи виробництва 77 KB
  Систематична розробка наукових методів організації виробництва у промисловості почалася наприкінці XIX ст. Особливу роль у розробці наукових основ організації виробництва відіграли роботи Ф.У. Тейлора. Він сформулював принципи організації виробництва і розробив на цій основі систему наукового управління
80315. Впровадження інновацій у сферу виробництва 111 KB
  Процес організації інноваційної діяльності на підприємстві стосується як споживачів інвесторів державних і місцевих органів влади наукових та науковотехнічних організацій постачальників працівників підприємства тощо так і забезпечує вирішення основних завдань підприємства. Сучасне підприємство за певних умов може власними силами розробляти нові вироби здійснювати науководослідні та проектно-конструкторські роботи якщо вони відносно нескладні. Для розробки досить складних виробів проведення довгострокових що потребують значних...
80316. Організація нормування праці 117 KB
  Класифікація витрат робочого часу та склад норми часу. Вивчення затрат робочого часу спостереженням. ЗМІСТ ЛЕКЦІЇ Сутність і завдання нормування праці Необхідною умовою організації праці та виробничих процесів на підприємстві є встановлення точних витрат часу на всі роботи що виконуються на робочих місцях бригад дільниць та цехів. На ефективно працюючих підприємствах норми часу регулюють всі основні технологічні процеси роботи і операції та більшість обслуговуючих.
80317. Організація наукових досліджень та проектних робіт 132 KB
  Планування фінансування і звітність про виконання науководослідних та проектноконструкторських робіт. Види методи й етапи виконання наукових досліджень Основна спрямованість науковотехнічної діяльності одержання нових знань використання їх для створення і вдосконалення засобів знарядь предметів та умов праці й життя людини духовного та культурного розвитку суспільства. Згідно з чинним законодавством держава забезпечує: соціальноекономічні організаційні правові умови для формування та ефективного використання науковотехнічного...
80318. Підприємство в сучасних умовах господарювання 90 KB
  Господарський комплекс, або, інакше кажучи, національна економіка країни, являє собою сукупність взаємопов’язаних галузей, які відрізняють її національне господарство від господарства інших країн. Економіка країни має особливу структуру, формування і розвиток якої відбувається залежно від суспільних потреб
80319. Капітал і виробничі фонди підприємства 319 KB
  Загальна характеристика капіталу та виробничих фондів. Класифікація структура облік та оцінка основних фондів підприємства. Амортизація основних фондів. Загальна характеристика капіталу та виробничих фондів Слово капітал має німецьке походження і означає вартість яка внаслідок використання найманої робочої сили дає додану вартість .
80320. Нематеріальні ресурси та активи підприємства 95 KB
  Якщо йдеться про нематеріальні активи рідкісні за своєю природою, то вони утворюються не в результаті вкладення коштів, а завдяки привласненню рідкісності (наприклад, права на користування природними ресурсами). Але і в цьому разі доступ до обмежених дефіцитних ресурсів також захищено відповідними правами.