21326

Межсетевой экран

Реферат

Информатика, кибернетика и программирование

Владелец компьютера имеющего выход в Internet устанавливает межсетевой экран чтобы предотвратить получение посторонними конфиденциальных данных хранящихся на защищаемом компьютере рис. Если с другой стороны это приложение таково что по вашему мнению оно не должно взаимодействовать с другим компьютером например текстовый редактор или новая игра загруженная из Internet то скорее всего вы создадите правило которое будет блокировать передачу пакетов этим приложением. Но тем не менее самой защищенной является сеть которая...

Русский

2013-08-02

214 KB

10 чел.

PAGE  8

1. Межсетевой экран

Межсетевой экран (его еще называют FireWall или брандмауер)- это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере (рис.1).

Рис.1

Межсетевой экран может предотвращать доступ ко всем службам, исключая специальные компьютерные сервисы, выполняющие функции доставки почтовых сообщений (SMTP) и функции информационного характера (TELNET, FTP).

Для выполнения разграничения доступных служб должна быть описана политика доступа, которую межсетевые экраны проводят с большой эффективностью. Главное правило при описании политики доступа - это запрещение доступа к службам, которым для работы не требуется доступ из внешней сети.

1.1. Фильтры пакетов

Фильтры пакетов работают весьма быстро, и они не предполагают никакой специальной конфигурации программных средств (приложений) конечных пользователей. Все, что могут делать фильтры пакетов, - это разрешать или запрещать доступ к вашему компьютеру на основании указанного адреса того, с кем вы связываетесь или того, кто хочет с вами связаться. Хакеры могут обмануть такие фильтры посредством подмены IP-адреса отправителя пакета. Соединения между клиентом и сервером являются прямыми, поэтому хакеры могут без особого труда воспользоваться анализаторами пакетов для выяснения адресной структуры вашего компьютера или вашей сети. Очень часто в качестве таких пакетных фильтров используются маршрутизаторы.

На маршрутизаторах устанавливают фильтры пакетов для фильтрации поступающей в сеть и исходящей информации.

Фильтрующий маршрутизатор обычно может фильтровать IP пакеты на основе группы следующих полей заголовка пакета:

IP адрес отправителя;

IP адрес получателя;

порт отправителя;

порт получателя.

Маршрутизаторы проверяют каждый пакет по той или иной таблице контроля доступа (где перечислены, например, IP-адреса заслуживающих доверия серверов), поэтому они могут без труда блокировать не заслуживающий доверия трафик. Фильтры пакетов могут также изымать пакеты из обращения на основании их номеров портов в TCP и UDP соединениях; как следствие, некоторые определенные типы соединений (например, telnet или ftp) могут быть разрешены только особо доверенным серверам (рис.2).

Рис.2

Пакетный фильтр последовательно смотрит каждое правило и ищет первое правило, которое соответствует данному пакету. Если такого правила не найдено, то пакет блокируется (правило блокировки по умолчанию). Но если включен специальный режим автообучения, то вам предоставляется  возможность создать новое правило для обработки пакетов (или соединений для TCP-пакетов) данного типа, а также вручную разрешить или заблокировать данный пакет.

В режиме автообучения при обнаружении пакетным фильтром попытки установления соединения или UDP-пакета, для которого нет правила, программа выдает на экран диалоговое окно, в котором сообщает об этом пакете и спрашивает у вас, что делать с такими пакетами в будущем. Обычно такое происходит, если вы запускаете программу, которая пытается установить соединение с другим компьютером (и в окне указывается имя этой программы). В этом случае вы, скорее всего, разрешите это соединение, или даже создадите правило для автоматического разрешения таких пакетов в будущем, чтобы избежать появления на экране этого диалогового окна. Будем называть такое приложение «доверенным». Если, с другой стороны, это приложение таково, что, по вашему мнению, оно не должно взаимодействовать с другим компьютером (например, текстовый редактор или новая игра, загруженная из Internet), то, скорее всего, вы создадите правило, которое будет блокировать передачу пакетов этим приложением. Но при этом вы должны учитывать, что некоторые программы создают несколько исходящих соединений одновременно, а некоторые клиентские программы могут организовывать взаимодействие с удаленными серверами таким образом, что они будут подключаться к вашему компьютеру (делать попытки установления входящих соединений).

К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:

- сравнительно невысокая стоимость;

- гибкость в определении правил фильтрации;

- небольшая задержка при прохождении пакетов.

Недостатки фильтрующих маршрутизаторов:

- внутренняя сеть видна (маршрутизируется)из сети Интернет;

-правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP иUDP;

- при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными.

1.2. Шлюзы сеансового уровня  

Шлюзы сеансового уровня  представляет собой класс маршрутизаторов, работающих как  транслятор TCP соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом. Эта процедура состоит из обмена ТСР пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса ТСР, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает соединения, использовавшиеся в текущем сеансе.

Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.

Для защиты локальных сетей разработано множество довольно сложных и дорогих программных комплексов, реализующих различные механизмы защиты: фильтрация пакетов, трансляция адресов и т.д. Но, тем не менее, самой защищенной является сеть, которая вообще не подключена к Internet. Это абсолютно надежный способ защиты, но у него есть один существенный недостаток: если вы им воспользуетесь, то ваши пользователи не смогут работать в Internet.

Но может быть, в этой идее все-таки есть рациональное зерно? А что, например, если подключить к Internet не всю локальную сеть, а только один компьютер? Ведь настройку одного компьютера легче «вылизать» и за ним легче уследить, чем за всей сетью. Правда, пользователям, желающим поработать в Internet, придется пересаживаться за этот единственный компьютер, и через некоторое время они выстроятся в длинную очередь. Не получается! Вот если бы существовала программа, которая, работая на подключенном к Internet компьютере, позволяла бы остальным компьютерам сети эмулировать выход в Internet, оставаясь при этом «невидимыми»...

1.3. Прокси-сервер

На самом деле такой программой и является «proxy-сервер». Он не является классическим Firewall (огненной стеной), поскольку защита сети не входит в его функции. Сеть защищена своей изоляцией от Internet. А «proxy-сервер» позволяет пользователям этой изолированной сети выходить в Internet, используя единственный подключенный компьютер. Есть и еще одно объяснение концепции «proxy-серверов».

Помните, как в библиотеке вам вначале приходилось заказывать книгу из закрытого для доступа хранилища? Так как читатели в закрытую часть библиотеки не допускались, библиотекарь выступал в качестве вашего посредника (proxy) и приносил заказанную книгу.

Конечно, как правило, этот процесс занимал больше времени, чем, если бы вы сами имели доступ к стеллажам с книгами. Но предположим, что каждый раз, когда библиотекарь приносил книгу для одного студента, он делал несколько ее копий и оставлял у себя на столе выдачи для тех студентов, кому потребуется та же самая книга. Результат - идеальная комбинация быстрого обслуживания и надежной защиты.

Приведенная аналогия объясняет две основные функции proxy-сервера. Во-первых, proxy-сервер действует как посредник, помогая пользователям частной сети получить информацию из Internet, когда она им необходима, при этом он обеспечивает защиту сети. Во-вторых, ргоху - сервер может сохранять часто запрашиваемую информацию в «кэше» на локальном диске, быстро доставляя ее пользователям без повторного обращения в Internet.

Proxy-серверы разрывают прямое соединение между клиентом и сервером при этом (или, если угодно, между студентом и ценной книгой), при этом все внутренние IP-адреса сети отображаются на один - единственный «надежный» IP-адрес. Злоумышленнику известен только этот адрес, поэтому атаки с подменой адресов становятся невозможны. Любой прокси - сервер состоит из множества специфических посредников для конкретных приложений. Он состоит: из посредника HTTP для страниц Web, посредника ftp, посредника SMTP/POP для электронной почты; посредника NNTP для серверов новостей, посредника RealAudio/Real-Video и т. д. Каждый из этих посредников принимает пакеты только тех служб, для копирования, передачи и фильтрации которых он создан. В качестве примера организации посредника упомянем механизм Socket’ов «Microsoft Proxy» и его развитие «ISA server». Выглядит все это так:

Эти продукты подробно описаны в документации. Служба соединений Winsock Proxy состоит из двух частей - сервера и клиентской части. Клиентская часть при установке подменяет собой обычный Winsock. Когда какое-либо приложение на рабочей станции пытается установить Winsock-соединение с удаленным хостом, клиентская часть Winsock Proxy устанавливает его со своим сервером, а тот уже «от своего имени» - с требуемым хостом. Сервер как бы транслирует пакеты в рамках установленного соединения, подменяя в них поля адресата и отправителя. Здесь используются прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy службой, а хост, на котором работает proxy служба,- шлюзом уровня приложений или шлюзами прикладного уровня.

1.4. Шлюз прикладного уровня

Шлюз прикладного уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.

По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ. Главное заключается в невидимости структуры защищаемой сети из глобальной сети Internet, Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам.

Недостаткам шлюзов уровня приложений является относительно низкая производительность по сравнению с фильтрующими маршрутизаторами.

Наиболее эффективный способ защиты при работе с Internet предполагает размещение системы FireWall  между вашей локальной сетью и Internet. межсетевой экран обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности.

Следуя аналогии с библиотекой, эквивалентом межсетевого экрана с фильтрацией пакетов был бы библиотекарь, ведущий список заслуживающих доверия студентов и допускающий только их в закрытое для других книгохранилище. Это ускорило бы процесс получения книг, но вынудило бы вести список доступа. Кроме того, такое решение чревато злоупотреблениями, когда студенты представляются под чужим именем. Вот тут, кроме фильтрации пакетов на межсетевой экран навешивается еще много других функций.

Для того, чтобы, эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученной из других источников программы).

2. Как межсетевой экран защищает сеть

Межсетевой экран может защитить вас, от несанкционированной передачи данных с вашего компьютера или приема вашим компьютером пакетов, обработка которых может привести к его блокировке. Он может предупредить вас о попытках использовать ресурсы вашего компьютера, о которых вы не знали, помочь вам узнать, какие ресурсы ваш компьютер предоставляет другим компьютерам в Internet, а также предоставить вам средства контроля, за тем, кто устанавливает соединение с вашим компьютером или с кем устанавливает соединение ваш компьютер.

Если с функцией пакетного фильтра часто справляется маршрутизатор, а proxy-сервера не предназначены для защиты локальной сети (а только для изоляции ее от глобальной сети), то мощные межсетевые экраны (firewall) специально построены для защиты и только для защиты сетей. Они, как правило, включают в себя все перечисленные ранее элементы: пакетные фильтры с их набором правил фильтрации, набор proxy прикладного уровня и еще средства анализа входящих приложений. Анализ включает поиск специальных команд относящимся, например,  к FTP-сервисам. Эти команды, попадая к вам в процессе скачивания вами файла, в FTP-сеансе позволяют атакующему попасть к вам на компьютер или в сеть и порезвиться там. Межсетевые экраны, такие как CheckPoint   FireWall-1 позволяют «на лету» вылавливать вирусы, производить идентификацию сторонних пользователей, шифрование и дешифрацию трафика и блокировать выполнение JavaScript-сценариев и ActivX-приложений.

inSock

Proxy

Вызов

Sockets

Сервер в Internet

Proxy-сервер

Компьютер-

Клиент в ЛВС

Межсетевой

Экран

EMBED MS_ClipArt_Gallery  

Net

EMBED MS_ClipArt_Gallery  

Internet

EMBED MS_ClipArt_Gallery  


 

А также другие работы, которые могут Вас заинтересовать

54211. Математична гра-казка. Подорож Петрика пяточкіна по країны числяндії 248 KB
  Хід гри – казки Учитель. Він пише учитель дістає листа з конверта підписаного за всіма правилами й адресованого учням 2А класу і зачитує: Любі другокласники Ви вже не новачки в школі. Учитель.
54212. Дослідження таблиці додавання. Різні прийоми додавання одноцифрових чисел. Закріплення додавання багатоцифрових чисел з переходом через розряд та складання і розвязування задач за схемами 78 KB
  Продовжувати роботу над дослідженням таблиці додавання. Ознайомлення з властивостями додавання числа 9 і до числа 9. Закріпити вміння додавати багатоцифрові числа з переходом через розряд. Вдосконалювати вміння складати і розв’язувати задачі до схеми; розв’язувати рівняння.
54213. Закріплення табличного множення і ділення 826.5 KB
  Множення і ділення виконує перевірку множення і ділення знаходить половину третину чверть іисла; розуміє залежність результату дії множення ділення від зміни ОДНОГО 3 компонентів високий достатній середній Завдання 11 Завдання 5 Завдання 3 2.і і Завдання 6 3. Рівняння і нерівності розвязує рівняння 3 одним невідомим; наводить приклад змінної яке...
54214. Нахождение неизвестного делителя. Задачи в два действия. Составление и решение выражений 45.5 KB
  Неизвестное число разделили на 6 и получили 5. Найдите неизвестное число. Неизвестное число уменьшили на 7 и получили 89. Чему равно неизвестное число Неизвестное число уменьшили в 6 раз и получили 7.
54216. Ділення багатоцифрових чисел на трицифрові, коли частка містить нулі 176 KB
  Мета: вчити учнів письмовому діленню багатоцифрових чисел на трицифрові, коли в частці є нулі; удосконалювати знання і навички учнів у розв’язані задач; розвивати обчислювальні навички, логічні мислення, кругозір учнів, уяву, спостережливість, раціональність думки; виховувати інтерес до математики, охайність в записах, бережливе ставлення до природи.
54217. Культура Древнего Египта и ее основные особенности 16.48 KB
  На северо-востоке Африки находится родина древнейшей в мире цивилизации – Египет. 4 – 3-м тысячелетии до н.э., когда обитавшие в Средней Европе варварские племена еще носили звериные шкуры и жили в пещерах...
54218. Узагальнення з теми «Числові та буквені вирази. Формули. Рівняння» 50.5 KB
  Питання для першої команди: Що значить розв’язати рівняння Сформулюйте властивість віднімання суми від числа. Сформулюйте властивість нуля при додаванні. Як знайти невідомий від’ємник Як перевірити чи вірно розв’язано рівняння Питання для другої команди: Який вираз називають буквеним Сформулюйте властивість нуля при відніманні. Як знайти невідомий доданок Сформулюйте сполучну властивість додавання.
54219. Десятичные дроби. Урок-соревнование в 5-м классе 35.5 KB
  Оборудование: Компьютер, мультимедийный проектор, карточки для деления класса на команды, жетоны для оценивания ответов, колокольчики, призы победителям.