21326

Межсетевой экран

Реферат

Информатика, кибернетика и программирование

Владелец компьютера имеющего выход в Internet устанавливает межсетевой экран чтобы предотвратить получение посторонними конфиденциальных данных хранящихся на защищаемом компьютере рис. Если с другой стороны это приложение таково что по вашему мнению оно не должно взаимодействовать с другим компьютером например текстовый редактор или новая игра загруженная из Internet то скорее всего вы создадите правило которое будет блокировать передачу пакетов этим приложением. Но тем не менее самой защищенной является сеть которая...

Русский

2013-08-02

214 KB

10 чел.

PAGE  8

1. Межсетевой экран

Межсетевой экран (его еще называют FireWall или брандмауер)- это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере (рис.1).

Рис.1

Межсетевой экран может предотвращать доступ ко всем службам, исключая специальные компьютерные сервисы, выполняющие функции доставки почтовых сообщений (SMTP) и функции информационного характера (TELNET, FTP).

Для выполнения разграничения доступных служб должна быть описана политика доступа, которую межсетевые экраны проводят с большой эффективностью. Главное правило при описании политики доступа - это запрещение доступа к службам, которым для работы не требуется доступ из внешней сети.

1.1. Фильтры пакетов

Фильтры пакетов работают весьма быстро, и они не предполагают никакой специальной конфигурации программных средств (приложений) конечных пользователей. Все, что могут делать фильтры пакетов, - это разрешать или запрещать доступ к вашему компьютеру на основании указанного адреса того, с кем вы связываетесь или того, кто хочет с вами связаться. Хакеры могут обмануть такие фильтры посредством подмены IP-адреса отправителя пакета. Соединения между клиентом и сервером являются прямыми, поэтому хакеры могут без особого труда воспользоваться анализаторами пакетов для выяснения адресной структуры вашего компьютера или вашей сети. Очень часто в качестве таких пакетных фильтров используются маршрутизаторы.

На маршрутизаторах устанавливают фильтры пакетов для фильтрации поступающей в сеть и исходящей информации.

Фильтрующий маршрутизатор обычно может фильтровать IP пакеты на основе группы следующих полей заголовка пакета:

IP адрес отправителя;

IP адрес получателя;

порт отправителя;

порт получателя.

Маршрутизаторы проверяют каждый пакет по той или иной таблице контроля доступа (где перечислены, например, IP-адреса заслуживающих доверия серверов), поэтому они могут без труда блокировать не заслуживающий доверия трафик. Фильтры пакетов могут также изымать пакеты из обращения на основании их номеров портов в TCP и UDP соединениях; как следствие, некоторые определенные типы соединений (например, telnet или ftp) могут быть разрешены только особо доверенным серверам (рис.2).

Рис.2

Пакетный фильтр последовательно смотрит каждое правило и ищет первое правило, которое соответствует данному пакету. Если такого правила не найдено, то пакет блокируется (правило блокировки по умолчанию). Но если включен специальный режим автообучения, то вам предоставляется  возможность создать новое правило для обработки пакетов (или соединений для TCP-пакетов) данного типа, а также вручную разрешить или заблокировать данный пакет.

В режиме автообучения при обнаружении пакетным фильтром попытки установления соединения или UDP-пакета, для которого нет правила, программа выдает на экран диалоговое окно, в котором сообщает об этом пакете и спрашивает у вас, что делать с такими пакетами в будущем. Обычно такое происходит, если вы запускаете программу, которая пытается установить соединение с другим компьютером (и в окне указывается имя этой программы). В этом случае вы, скорее всего, разрешите это соединение, или даже создадите правило для автоматического разрешения таких пакетов в будущем, чтобы избежать появления на экране этого диалогового окна. Будем называть такое приложение «доверенным». Если, с другой стороны, это приложение таково, что, по вашему мнению, оно не должно взаимодействовать с другим компьютером (например, текстовый редактор или новая игра, загруженная из Internet), то, скорее всего, вы создадите правило, которое будет блокировать передачу пакетов этим приложением. Но при этом вы должны учитывать, что некоторые программы создают несколько исходящих соединений одновременно, а некоторые клиентские программы могут организовывать взаимодействие с удаленными серверами таким образом, что они будут подключаться к вашему компьютеру (делать попытки установления входящих соединений).

К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:

- сравнительно невысокая стоимость;

- гибкость в определении правил фильтрации;

- небольшая задержка при прохождении пакетов.

Недостатки фильтрующих маршрутизаторов:

- внутренняя сеть видна (маршрутизируется)из сети Интернет;

-правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP иUDP;

- при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными.

1.2. Шлюзы сеансового уровня  

Шлюзы сеансового уровня  представляет собой класс маршрутизаторов, работающих как  транслятор TCP соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом. Эта процедура состоит из обмена ТСР пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса ТСР, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает соединения, использовавшиеся в текущем сеансе.

Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.

Для защиты локальных сетей разработано множество довольно сложных и дорогих программных комплексов, реализующих различные механизмы защиты: фильтрация пакетов, трансляция адресов и т.д. Но, тем не менее, самой защищенной является сеть, которая вообще не подключена к Internet. Это абсолютно надежный способ защиты, но у него есть один существенный недостаток: если вы им воспользуетесь, то ваши пользователи не смогут работать в Internet.

Но может быть, в этой идее все-таки есть рациональное зерно? А что, например, если подключить к Internet не всю локальную сеть, а только один компьютер? Ведь настройку одного компьютера легче «вылизать» и за ним легче уследить, чем за всей сетью. Правда, пользователям, желающим поработать в Internet, придется пересаживаться за этот единственный компьютер, и через некоторое время они выстроятся в длинную очередь. Не получается! Вот если бы существовала программа, которая, работая на подключенном к Internet компьютере, позволяла бы остальным компьютерам сети эмулировать выход в Internet, оставаясь при этом «невидимыми»...

1.3. Прокси-сервер

На самом деле такой программой и является «proxy-сервер». Он не является классическим Firewall (огненной стеной), поскольку защита сети не входит в его функции. Сеть защищена своей изоляцией от Internet. А «proxy-сервер» позволяет пользователям этой изолированной сети выходить в Internet, используя единственный подключенный компьютер. Есть и еще одно объяснение концепции «proxy-серверов».

Помните, как в библиотеке вам вначале приходилось заказывать книгу из закрытого для доступа хранилища? Так как читатели в закрытую часть библиотеки не допускались, библиотекарь выступал в качестве вашего посредника (proxy) и приносил заказанную книгу.

Конечно, как правило, этот процесс занимал больше времени, чем, если бы вы сами имели доступ к стеллажам с книгами. Но предположим, что каждый раз, когда библиотекарь приносил книгу для одного студента, он делал несколько ее копий и оставлял у себя на столе выдачи для тех студентов, кому потребуется та же самая книга. Результат - идеальная комбинация быстрого обслуживания и надежной защиты.

Приведенная аналогия объясняет две основные функции proxy-сервера. Во-первых, proxy-сервер действует как посредник, помогая пользователям частной сети получить информацию из Internet, когда она им необходима, при этом он обеспечивает защиту сети. Во-вторых, ргоху - сервер может сохранять часто запрашиваемую информацию в «кэше» на локальном диске, быстро доставляя ее пользователям без повторного обращения в Internet.

Proxy-серверы разрывают прямое соединение между клиентом и сервером при этом (или, если угодно, между студентом и ценной книгой), при этом все внутренние IP-адреса сети отображаются на один - единственный «надежный» IP-адрес. Злоумышленнику известен только этот адрес, поэтому атаки с подменой адресов становятся невозможны. Любой прокси - сервер состоит из множества специфических посредников для конкретных приложений. Он состоит: из посредника HTTP для страниц Web, посредника ftp, посредника SMTP/POP для электронной почты; посредника NNTP для серверов новостей, посредника RealAudio/Real-Video и т. д. Каждый из этих посредников принимает пакеты только тех служб, для копирования, передачи и фильтрации которых он создан. В качестве примера организации посредника упомянем механизм Socket’ов «Microsoft Proxy» и его развитие «ISA server». Выглядит все это так:

Эти продукты подробно описаны в документации. Служба соединений Winsock Proxy состоит из двух частей - сервера и клиентской части. Клиентская часть при установке подменяет собой обычный Winsock. Когда какое-либо приложение на рабочей станции пытается установить Winsock-соединение с удаленным хостом, клиентская часть Winsock Proxy устанавливает его со своим сервером, а тот уже «от своего имени» - с требуемым хостом. Сервер как бы транслирует пакеты в рамках установленного соединения, подменяя в них поля адресата и отправителя. Здесь используются прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy службой, а хост, на котором работает proxy служба,- шлюзом уровня приложений или шлюзами прикладного уровня.

1.4. Шлюз прикладного уровня

Шлюз прикладного уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.

По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ. Главное заключается в невидимости структуры защищаемой сети из глобальной сети Internet, Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам.

Недостаткам шлюзов уровня приложений является относительно низкая производительность по сравнению с фильтрующими маршрутизаторами.

Наиболее эффективный способ защиты при работе с Internet предполагает размещение системы FireWall  между вашей локальной сетью и Internet. межсетевой экран обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности.

Следуя аналогии с библиотекой, эквивалентом межсетевого экрана с фильтрацией пакетов был бы библиотекарь, ведущий список заслуживающих доверия студентов и допускающий только их в закрытое для других книгохранилище. Это ускорило бы процесс получения книг, но вынудило бы вести список доступа. Кроме того, такое решение чревато злоупотреблениями, когда студенты представляются под чужим именем. Вот тут, кроме фильтрации пакетов на межсетевой экран навешивается еще много других функций.

Для того, чтобы, эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученной из других источников программы).

2. Как межсетевой экран защищает сеть

Межсетевой экран может защитить вас, от несанкционированной передачи данных с вашего компьютера или приема вашим компьютером пакетов, обработка которых может привести к его блокировке. Он может предупредить вас о попытках использовать ресурсы вашего компьютера, о которых вы не знали, помочь вам узнать, какие ресурсы ваш компьютер предоставляет другим компьютерам в Internet, а также предоставить вам средства контроля, за тем, кто устанавливает соединение с вашим компьютером или с кем устанавливает соединение ваш компьютер.

Если с функцией пакетного фильтра часто справляется маршрутизатор, а proxy-сервера не предназначены для защиты локальной сети (а только для изоляции ее от глобальной сети), то мощные межсетевые экраны (firewall) специально построены для защиты и только для защиты сетей. Они, как правило, включают в себя все перечисленные ранее элементы: пакетные фильтры с их набором правил фильтрации, набор proxy прикладного уровня и еще средства анализа входящих приложений. Анализ включает поиск специальных команд относящимся, например,  к FTP-сервисам. Эти команды, попадая к вам в процессе скачивания вами файла, в FTP-сеансе позволяют атакующему попасть к вам на компьютер или в сеть и порезвиться там. Межсетевые экраны, такие как CheckPoint   FireWall-1 позволяют «на лету» вылавливать вирусы, производить идентификацию сторонних пользователей, шифрование и дешифрацию трафика и блокировать выполнение JavaScript-сценариев и ActivX-приложений.

inSock

Proxy

Вызов

Sockets

Сервер в Internet

Proxy-сервер

Компьютер-

Клиент в ЛВС

Межсетевой

Экран

EMBED MS_ClipArt_Gallery  

Net

EMBED MS_ClipArt_Gallery  

Internet

EMBED MS_ClipArt_Gallery  


 

А также другие работы, которые могут Вас заинтересовать

22104. Методы абстрактного синтеза 40 KB
  Задача абстрактного синтеза заключается в составлении таблиц переходов и выходов автоматов по заданным условиям его функционирования представленным в форме регулярных выражений. Построенный по этим таблицам автомат обычно содержит лишние внутренние состояния. На втором этапе производится минимизация количества внутренних состояний заданного автомата. Синтезируемый автомат может быть задан либо как автомат Мура либо как автомат Мили.
22105. Общие правила подчинения мест регулярного выражения 54.5 KB
  Определим вначале внутренние состояния в которые переходит автомат из состояния 0 при подаче на его вход сигнала x1. Следовательно автомат из состояния 0 под действием сигнала x1 переходит в состояние 2. Аналогично сигнал x2 переводит автомат из состояния 0 в состояние 1 т. Отсюда получаем следующую отмеченную таблицу переходов: yg e e e e e e y1 e y2 xj ai 0 1 2 3 4 5 6 7 8 x1 2 2 4 2 6 2 7 7 2 x2 1 1 3 1 5 1 8 8 1 yg E e e y1 e y2 xj ai A0 a1 a2 a3 a4 a5 x1 A1 a2 a3 a4 a4 a1 x2 A0 a0 a0 a5 a5 a0 Из построенной таблицы видно что из...
22107. Структурный синтез конечных автоматов 28 KB
  По таблице переходов автомата определяют к каким группам принадлежат внутренние состояния в которые автомат из данного состояния под воздействием каждой буквы входного алфавита. Эти состояния запишем в виде последовательности букв под каждым из состояний автомата. Например из состояния 0 автомат переходит в состояния 2 3 и 1 которые принадлежат соответственно к следующим группам a b и a. Проводят новое разделение внутренних состояний на группы объединяя в каждой группе состояния отмеченные одинаковой последовательностью букв.
22108. Элементарные автоматы 30.5 KB
  Таблица переходов Т триггера имеет вид: yg 0 1 xj ai 0 1 T=0 0 1 T=1 1 0 Из таблицы переходов видно что Ттриггер обладает полной системой переходов и выходов поскольку для каждой пары состояний 00 01 10 11 имеется входной сигнал обеспечивающий переход из одного состояния в другое. На практике более удобно вместо отмеченных таблиц переходов пользоваться так называемыми матрицами переходов элементарных автоматов. Матрица переходов определяет значения сигналов на входах элементарного автомата обеспечивающие каждый их четырех...
22109. D-триггер(триггер задержки) 28.5 KB
  Название Dтриггера происходит от слова €œdelay€ – задержка. Из определения следует что состояние триггера в момент времени t1 повторяет значение входного сигнала Dt в момент времени t отсюда и название триггера задержки. Матрица переходов для Dтриггера: D Qt Qt1 0 0 0 1 0 1 0 1 0 1 1 1 Обозначения асинхронного и синхронного Dтриггеров. Матрица переходов RS триггера имеет вид.
22110. J-K триггер (универсальный триггер) 24 KB
  Триггером JK типа называют автомат Мура с двумя устойчивыми состояниями и двумя входами J и K который при условии J K = 1 осуществляет инверсию предыдущего состояния т. при J K = 1 Qt1 = Qt а в остальных случаях функционируют в соответствии с таблицей истинности RS триггера при этом вход J эквивалентен входу S а вход K входу R. Этот триггер уже не имеет запрещенной комбинации входных сигналов и его таблица истинности т.
22111. Структурная схема конечного автомата 26.5 KB
  Комбинационная схема строится из логических элементов образующих функционально полную систему а память – на элементарных автоматах обладающих полной системой переходов и выходов. Каждое состояние абстрактного автомата ai i=0n кодируется в структурных автоматах набором состояний элементов памяти Q2 R=1R. Здесь Q – состояние автомата а ai = {0 1} Как и прежде Q Общее число необходимых элементов памяти можно определить из следующего неравенства 2R n 1.
22112. Табличный метод структурного синтеза конечных автоматов 75.5 KB
  На этапе структурного синтеза выбираем также способ кодирования состояний и выходных сигналов заданного автомата через состояния и выходные сигналы элементарных автоматов в результате чего составляют кодированные таблицы переходов и выходов. Функции возбуждения элементарных автоматов и функции выходов получаются на основе кодированной таблицы переходов и выходов. Рассмотрим примеры синтеза которые позволяют сформулировать общий алгоритм структурного синтеза конечных автоматов.