33625

МЕЖСЕТЕВОЙ ЭКРАН

Доклад

Информатика, кибернетика и программирование

Как правило эта граница проводится между локальной сетью предприятия и INTERNET хотя ее можно провести и внутри локальной сети предприятия. Возможности брандмауэра: 1Защита от уязвимых мест в службах Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных по своей природе служб. Например брандмауэр может запретить чтобы такие уязвимые службы как NFS не использовались за пределами этой подсети. Это позволяет защититься от использования этих служб атакующими из...

Русский

2013-09-06

79.5 KB

45 чел.

44. МЕЖСЕТЕВОЙ ЭКРАН.

Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик.

Брандмауэры принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

флаги

Поле "действие" может принимать значения пропустить или отбросить. Тип пакета - TCP, UDP или ICMP. Флаги - флаги из заголовка IP-пакета. Поля "порт источника" и "порт назначения" имеют смысл для TCP и UDP пакетов.

Как правило, в ОС, под управлением которой работает брандмауэр вносятся изменения, их цель - повышение защиты брандмауэра. Они затрагивают как ядро ОС, так и файлы конфигурации. На брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр), только счет администратора. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены ПО.

Возможности брандмауэра:

1)Защита от уязвимых мест в службах

Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных по своей природе служб. В результате подсеть будет подвергаться гораздо меньшему числу опасностей, так как через брандмауэр смогут пройти только безопасные протоколы.

Например, брандмауэр может запретить, чтобы такие уязвимые службы, как NFS, не использовались за пределами этой подсети. Это позволяет защититься от использования этих служб атакующими из внешней сети, но продолжать использовать их внутри сети, не подвергаясь особой опасности. Брандмауэры также могут обеспечить защиту от атак с использованием маршрутизации, таких как маршрутизация источника и попыток изменить маршруты передачи данных с помощью команд перенаправления ICMP.

2) Управляемый доступ к системам сети

Некоторые хосты могут быть сделаны достижимыми из внешних сетей (почтовые сервера или информационные сервера), доступ к другим системам извне будет запрещен.

3) Концентрированная безопасность

Брандмауэр может на самом деле оказаться недорогим для организации из-за того, что большинство или все изменения в программах и дополнительные программы по безопасности будут установлены на системе брандмауэра, а не распределены по большому числу хостов. В частности, системы одноразовых паролей и другие дополнительные программы усиленной аутентификации могут быть установлены только на брандмауэре, а не на каждой системе, которой нужно обращаться к Интернету.

4) Повышенная конфиденциальность

Конфиденциальность очень важна для некоторых большинства организаций. Используя брандмауэр, некоторые сети могут заблокировать такие службы, как finger и доменную службу имен. finger дает информацию о пользователях, такую как время последнего сеанса, читалась ли почта, и другие данные. Но finger может дать атакующему инфу о том, как часто используется система, работают ли сейчас в системе пользователи, можно ли атаковать систему, не привлекая внимания.

Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети, поэтому имена и IP-адреса хостов в сети не станут известны хостам в Интернете

5) Протоколирование и статистика использования сети и попыток проникновения

Если все доступы к Интернету и из Интернета осуществляется через брандмауэр, то брандмауэр может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе сигналов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том, были ли брандмауэр или сеть атакованы или зондированы.

6) Аутентификация пользователей.

Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации:

-Имя/пароль

Это самый плохой вариант, т к эта инфа может быть перехвачена.

-Одноразовые пароли

Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.

-Электронные сертификаты

Они используют шифрование с открытыми ключами

Понятие межсетевого экрана

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны (брандмауэры, firewalls).

Межсетевой экран (МЭ) призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней сети. Для противодействия несанкционированному межсетевому доступу он должен располагаться между защищаемой сетью, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 7.1.). Организационно экран входит в состав защищаемой сети.

Межсетевой экран — это программная или программно-аппаратная система межсетевой защиты, позволяющая разделить две (или более) взаимодействующие сети и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной сети в другую. Межсетевой экран пропускает через себя весь трафик, принимая для каждого проходящего пакета решение — пропускать его или отбросить. Для того чтобы МЭ мог выполнить это, ему необходимо определить набор правил фильтрации.

Схема подключения межсетевого экрана как средства  разграничения доступа

Рис 7.1.

Правила фильтрации — перечень условий, по которым с использованием заданных критериев фильтрации разрешается или запрещается дальнейшая передача пакетов (данных), и перечень действий МЭ, по регистрации и (или) выполнению дополнительных защитных функций.

Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet а также зондированию и атакам с каких-либо других компьютеров внешней сети.

Межсетевые экраны позволяют организовать защищенные виртуальные сети. Несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть с применением межсетевых экранов, например, по схеме, приведенной на рис. 7.2, б.

Схемы установления межсетевого экрана при защите корпоративной сети: а) схема единой защиты; б) схема виртуальной корпоративной сети

Рис. 7.2.б.

Концепция построения и функционирования МЭ основывается на выборе политики сетевой безопасности, формулировке функциональных требований к межсетевым экранам, настройке набора составляющих его компонентов.

Политика доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисе защищаемой компьютерной сети. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, а также допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи каким сервисом и на ком компьютере могут воспользоваться сервисом. Отдельно определяются правила аутентификации пользователей и компьютеров, также условия работы пользователей вне локальной сети организации.

Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов: запрещено все, что явно не разрешено; разрешено все, что явно не запрещено.

В зависимости от выбора решение может быть принято как в пользу безопасности в ущерб удобству использования сетевых сервисов, так и наоборот. В первом случае межсетевой экран должен быть сконфигурирован, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Учитывая, что такой подход позволяет адекватно реализовать принцип минимизации привилегий, он с точки зрения безопасности является лучшим. Здесь администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного программного обеспечения, в котором могут быть различные ошибки и некорректности. Принцип «запрещено все, что явно не разрешено», в сущности, является признанием факта, что незнание может причинить вред.

При выборе принципа «разрешено все, что явно не запрещено» межсетевой экран настраивается таким образом, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Администратор может учесть не все действия, которые запрещены пользователям. Ему приходится работать в режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети.

Функциональные требования к межсетевым экранам включают в себя: требования к фильтрации на сетевом, сеансовом и прикладном уровнях модели OSI/ISO; требования по настройке правил фильтрации и администрированию; требования к средствам сетевой аутентификации; требования по внедрению журналов и учету и др.

В общем случае работа межсетевого экрана основана на динамическом выполнении двух групп функций: фильтрации проходящих через него данных; посредничества при реализации межсетевых взаимодействий.

Фильтрация трафика

Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправители том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно представляет как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации выполнением следующего:

- анализ информации по заданным в интерпретируемых правилах критериям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена;

- принятие на основе интерпретируемых правил одного из следующих решений: не пропустить данные; обработать данные от имени получателя и возвратить результат отправителю; передать данные на следующий фильтр для продолжения анализа; пропустить данные, игнорируя следующие фильтры.

В качестве критериев анализа информационного потока могут использоваться следующие параметры: служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные; непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов; внешние характеристики потока информации, например временные, частотные характеристики, объем данных и т.д. Используемые критерии анализа зависят от уровней модели ISO/OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI/ISO, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

7.3 Политика межсетевого взаимодействия, 

Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта:

Политика доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисов защищаемой системы. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне вычислительной сети организации.

Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов:

- запрещено все, что явно не разрешено;

- разрешено все, что явно не запрещено.

7.4. Определение схемы подключения межсетевого экрана

Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра.

Брандмауэры с одним сетевым интерфейсом (рис. 7.3) не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Далее рассмотрены схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемая локальная сеть рассматривается как совокупность закрытой и открытой подсетей. Открытая подсеть – подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-, FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом.

Защита локальной сети брандмауэром с одним сетевым интерфейсом

Рис. 7.3.

Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие:

  •  схема единой защиты локальной сети;
  •  схема с защищаемой закрытой и не защищаемой открытой подсетями;
  •  схема с раздельной защитой закрытой и открытой подсетей.

Схема единой защиты локальной сети является наиболее простым решением (рис. 7.4.), при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются Доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

Схема единой защиты локальной сети

Рис. 7.4.

Из последних двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя брандмауэрами, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть, по крайней мере, две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.

Следует обратить внимание, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи — установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например, терминального сервера Annex компании Bay Networks. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляется только после соответствующей аутентификации внешнего пользователя.

Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно продвинутые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов, выполняя следующие функции:

  •  использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;
  •  использование запроса на аутентификацию с какой-либо машины локальной сети;
  •  использование внешних средств аутентификации;
  •  установку списка контроля доступа на порты терминального сервера;
  •  протоколирование сеансов связи через терминальный сервер.


Открытая

внешняя

сеть

Клиенты

Серверы

Закрытая

внутренняя

сеть

Клиенты

Серверы

Межсетевой экран

б)

а)

Глобальная или городская сеть (WAN, MAN)

Корпоративная

Межсетевой экран

Локальная сеть

Межсетевой экран

Локальная сеть

Межсетевой экран

Internet

Локальная сеть

Межсетевой экран

Локальная сеть

Межсетевой экран

  •  

 

А также другие работы, которые могут Вас заинтересовать

35729. УЧЕТ ЛИЧНОСТНЫХ КАЧЕСТВ УЧЕНИКА ПРИ ОБУЧЕНИИ ИНФОРМАТИКЕ 284.5 KB
  Личностно-ориентированный подход к современному учебному процессу [3] Принципы построения личностно-ориентированной системы обучения Реализация личностно-ориентированного обучения [5] Современные педагогические типологии школьников [6] Классификация критериев дифференциации учащихся [7] Е. Учет личностных качеств ученика при обучении информатике [10] Заключение [11] Литература Введение При традиционной организации обучения ученик находящийся в позиции объекта подвергается постоянной педагогической обработке целенаправленному...
35731. Примерная структура и содержание творческих проектов 173.5 KB
  После сбора необходимой информации учащиеся выдвигают различные творческие идеи по выполнению того или иного изделия. Изделия могут быть объединены техникой исполнения стилем назначением. Каждый из рассматриваемых вариантов должен иметь краткую характеристику которая может включать название изделия его назначение описание техники исполнения. Содержание данного раздела представляет собой подробное описание выбранного для дальнейшего изготовления окончательного варианта изделия.
35735. МОДУЛЬНОЕ ОРИГАМИ. ТВОРЧЕСКИЙ ПРОЕКТ 27 KB
  Создать изделия в технике МОДУЛЬНОЕ ОРИГАМИ. Задачи: познакомиться с техникой модульное оригами научиться делать сам модуль научиться соединять модули в изделие исследовать интерес к технике оригами.
35736. ТВОРЧЕСКИЙ ПРОЕКТ ПО ТЕХНОЛОГИИ Вышивка гладью «Бордовые маки» 7.94 MB
  Немного из истории вышивки гладью. Во времена Моисея искусство вышивки было сильно развито; особенно славился своим искусством Ахалиаб из колена Дана. При византийских царях искусство вышивки достигло высокой степени совершенства как по богатству так и по исполнению. Сначала узоры для вышивки переходили из рук в руки и копировались самими вышивальщицами что нередко представляло им большие затруднения; после изобретения книгопечатания узоры сделались более доступными они собирались и издавались в специальных с этой целью книгах.
35737. Творческое задание по информатике «Мой собственный проект» 34 KB
  Выполнение проекта составляет проектную деятельность которая включает: проведение управленческих мероприятий проектное управление. Продуктами проекта могут быть: результаты маркетинговых исследований маркетинг проектноконструкторская документация управление проектированием. Обратим внимание на то что значение слова проект в управленческой и научнотехнической деятельности отличаются технологическая документация управление производством программное обеспечение управление проектами и т.; решение внутренних...