39987

Межсетевые экраны и их роль в построении защищенных систем

Контрольная

Информатика, кибернетика и программирование

Типичные возможности фильтрация доступа к заведомо незащищенным службам; препятствование получению закрытой информации из защищенной подсети а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб; контроль доступа к узлам сети; может регистрировать все попытки доступа как извне так и из внутренней сети что позволяет вести учёт использования доступа в Интернет отдельными узлами сети; регламентирование порядка доступа к сети; уведомление о подозрительной деятельности попытках зондирования или атаки на узлы сети или сам...

Русский

2013-10-13

230.34 KB

23 чел.

11. Межсетевые экраны и их роль в построении защищенных систем

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  1. обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  2. на уровне каких сетевых протоколов происходит контроль потока данных;
  3. отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  1.  традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  2.  персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  1.  сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  2.  сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  3.  уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  1.  stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  2.  stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Типичные возможности

  1. фильтрация доступа к заведомо незащищенным службам;
  2. препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
  3. контроль доступа к узлам сети;
  4. может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
  5. регламентирование порядка доступа к сети;
  6. уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.

Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Проблемы, не решаемые файрволом

Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

  1. не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;
  2. не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
  3. не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через вашу систему. Межсетевой экран использует один или более наборов ''правил'' для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более нижеперечисленных задач:

  1.  Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.
  2.  Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.
  3.  Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).

Принципы работы межсетевых экранов

Существует два основных способа создания наборов правил межсетевого экрана: ''включающий'' и ''исключающий''. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика. Поэтому включающий межсетевой экран является лучшим выбором для систем, предоставляющих сервисы в сети Интернет. Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть. Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Замечание: Если не указано иначе, то все приведенные в этом разделе примеры наборов правил и конфигураций относятся к типу включающего межсетевого экрана.

Безопасность может быть дополнительно повышена с использованием ''межсетевого экрана с сохранением состояния''. Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.

Что такое межсетевой экран

Межсетевой экран (другие названия брандмауэр, фаервол) это защитный барьер между вашим компьютером и сетью к которой он подключен. Когда вы заходите в интернет, то ваш компьютер становиться видимыми для внешнего мира. Вы видимы через нечто, что называется порт. Порт это идентифицируемый определенным номером системный ресурс, выделяемый приложению, которое выполняется на некотором сетевом хосте (компьютер или другое сетевое устройство), для связи с приложениями, которые выполняются на других сетевых хостах (в том числе c другими приложениями на этом же хосте). Есть много тысяч таких портов и, как было сказано выше, у каждого есть свой уникальный номер.

Наиболее часто используемыми портами во всемирной сети являются:

  1.  80 — порт для загрузки web-страниц;
  2.  110 — используется по умолчанию для загрузки электронной почты;
  3.  25 — используется по умолчанию для отправки электронной почты.

Суть брандмауэра в том, чтобы закрыть порты, которые вы не используете. В противном случае через них злоумышленник или вредоносная программа (вирус, троян) могут проникнуть на ваш ПК. Если вы подключены к сети интернет, то вы просто обязаны иметь межсетевой экран.

Что может случиться, если вы не будете использовать брандмауэр

Если после установки операционной системы вы не активируете брандмауэр или если он не будет активирован по умолчанию, то ваша система может быть атакована спустя несколько минут после выхода в интернет. Через открытые порты могут проникнуть вирусы, троянские черви и шпионские программы, которые принесут вам немало неприятностей в будущем, а вы об этом даже не будете догадываться. Однажны, авторитетное за границей издание  PC Format запустило эксперимент и в результате операционная система на их абсолютно незащищенном компьютере была приведена в полную непригодность спустя два с половиной часа серфинга по интернету. Межсетевой экран мог бы остановить часть атак, которым подвергся компьютер.

Не стоит также считать, что наличие только фаервола поможет уберечься от всех бед. Не стоит забывать об установке антивируса с последующим регулярным обновлением баз, а также о регулярном скачивании и установке обновлений безопасности для вашей Windows.

Как брандмауэр помогает защитить ваш ПК

Большинство межсетевых экранов, включая встроенные в Windows, будет оповещать вас о подозрительном входящем трафике. Но хороший брандмауэр должен оповещать и о подозрительном исходящем трафике. Например встроенный брандмауэр Windows XP не умеет это делать, по этому его лучше заменить на программу от стороннего производителя. Наличие подозрительного исходящего трафика поможет вам понять, что ваш компьютер уже заражен троянским или шпионским ПО.

Виды межсетевых экранов

Брандмауэры можно поделить на две простые категории: аппаратные и программные.Аппаратным фаерволом может быть маршрутизатор, который находиться между вашим ПК и сетью Интернет. В таком случае к нему можно подключить несколько компьютеров и все они будут защищены брандмауэром, который является частью маршрутизатора. Программный межсетевой экран — это специализированное ПО, которое пользователь устанавливает себе на компьютер.

Даже если у вас уже есть маршрутизатор со встроенным межсетевым экраном, вы можете также установить программный фаервол на каждый компьютер в отдельности. Тогда злоумышленнику будет значительно тяжелее проникнуть в вашу систему.

Надеюсь, я смог понятно объяснить, что такое брандмауэр и те, кто им до сих пор не пользуются начнут это делать.

Не забудьте оставить комментарий. До новых встреч!


 

А также другие работы, которые могут Вас заинтересовать

43317. Гарантированное удаление информации 298.5 KB
  Гарантированное удаление информации зачем это нужно Большинство пользователей персональных компьютеров уверены в том что стандартные функции уничтожения файлов предусмотренные в операционной системе позволяют раз и навсегда избавиться от файлов. Также немаловажным фактором является скорость удаления информации. Например если несмотря на все методы защиты каким-то образом был произведен несанкционированный доступ к секретной информации и выгоднее уничтожить эту самую информацию чем позволить злоумышленнику скачать ее нарушив таким...
43318. Обґрунтування зовнішньоекономічної угоди по експорту поліамідних волокон 241.5 KB
  Загальна характеристика товару Програма підготовки угоди. Аналіз можливостей країни з експорту товару. Характеристика умов експорту товару Визначення країниімпортера товару. Обґрунтування доцільної схеми транспортування та базисних умов поставки товару.
43319. Розкриття основних понять опіки (піклування) та патронату над дітьми 239.5 KB
  Поняття і значення опіки та піклування над дітьми. Історія становлення та розвитку інституту опіки та піклування в Україні. Загальна характеристика інститутів опіки та піклування над дітьм. Встановлення опіки та піклування над дітьми.
43320. Загальна характеристика аналітичних програм на телеканалі „Київ” 76 KB
  Загальна історія аналітичного телебачення Журналістика періоду перебудови Українське телебачення в 19912000 роках Жанрова стуктура телевізійної журналістики Аналітичні програми телеканалу Київ†та їх характеристика: Споживач Час мера з Олександром Колодієм У центрі уваги СТН Тижневик Телепресклуб Столиця Список використаної літератури Загальна історія аналітичного телебачення Перші аналітичні програми з'явилися в Радянському Союзі на початку 60х років. Саме 60ті роки для телебачення стали етапом...
43321. Адміністративно-правові засади управління інформаційною галуззю 176 KB
  Адміністративно правовий статус Інтернетвидань. Це укази Президента України серед яких підписані такі як “Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україніâ€ “Про додаткові заходи щодо безперешкодної діяльності засобів масової інформації дальшого утвердження свободи слова в Україніâ€ “Про Державний комітет інформаційної політики телебачення та радіомовлення Україн膓Про невідкладні додаткові заходи щодо зміцнення моральності...
43322. Гомосексуальність і гомофобія: естетика versus демонізація 5.32 MB
  Тема гомосексуальніості в Україні є однією з маловивчених і ледве не табуйованих. Помічати явища, що не вписуються в загальноприйняті рамки, а тим більше говорити про них вважається недоречним. Суспільна думка дотепер послуговується стереотипами стосовно людей, що мають потяг до своєї статі, як «нездорових», «неприродних»; це явище асоціюється з психотичними розладами, розпустою, схильністю до злочинів, хворобами. Подібна ситуація не є випадковою, формування негативного образу гомосексуальних і бісексуальних людей має свою довгу історію. На запитання, чи психічна хвороба є внутрішньою властивістю гомосексуального стану, можна відповісти: «Для того, щоб правдиво оцінити це, потрібні майбутні, незалежні від ідеологів дослідження»
43323. Страви з круп 152 KB
  Страви з крупів – найкалорійніші вони містять вітаміни В і РР. Для приготування страв і гарнірів із крупів використовують казани на плитні каструлі різної місткості котломір грохот друшляк сита лопатки кухарські виделки шумівки черпаки та інший посуд і інвентар. Перед варінням каші крупу просіюють перебивають і промивають.
43324. АНАЛІЗ КРЕДИТОСПРОМОЖНОСТІ ПІДПРИЄМСТВА НА ПРИКЛАДІ ВАТ «НІКОПОЛЬСЬКИЙ ЗАВОД ФЕРОСПЛАВІВ» 464.5 KB
  Поняття та суть кредитоспроможності підприємства. АНАЛІЗ КРЕДИТОСПРОМОЖНОСТІ ПІДПРИЄМСТВА НА ПРИКЛАДІ ВАТ НІКОПОЛЬСЬКИЙ ЗАВОД ФЕРОСПЛАВІВ. Аналіз кредитоспроможності підприємства та дослідження шляхів покращення його кредитоспроможності. Діяльність підприємства в системі ринкової економіки неможлива без періодичного використання різноманітних форм залучення кредитів.
43325. Розрахунок фінансового стану підприємства 638 KB
  Акціонерне товариство провело деномінацію акцій шляхом дроблення у співвідношенні 1:6 витрати по операції склали 750 грн. Показник Статутний капітал грн. Номінальна вартість грн. Відбудеться зменшення нерозподіленого прибутку на суму 750 грн.