95020

Внутренняя архитектура межсетевых экранов, пакетные фильтры, шлюзы уровня сеанса, посредники прикладного уровня, инспекторы состояний

Реферат

Информатика, кибернетика и программирование

Межсетевой экран представляет собой барьер, защищающий от попыток злоумышленников вторгнуться в сеть, для того чтобы скопировать, изменить или стереть информацию либо чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров.

Русский

2015-09-19

437.5 KB

3 чел.

Московский Инженерно-Физический Институт

«Факультет Информационная Безопасность»

Реферат № 2 по предмету «Безопасность вычислительных сетей-2»

на тему:

«Внутренняя архитектура межсетевых экранов, пакетные фильтры, шлюзы уровня сеанса, посредники прикладного уровня,  инспекторы состояний. »

Выполнил: Зуев Илья Сергеевич

Студент группы: Б9-03


Содержание

Введение

  1.  Межсетевые экраны
    1.  Коммутаторы
    2.  Пакетные фильтры
    3.  Шлюзы сеансового уровня
    4.  Посредники прикладного уровня
    5.  Инспекторы состояния

Заключение


Введение

Межсетевой экран представляет собой барьер, защищающий от попыток злоумышленников вторгнуться в сеть, для того чтобы скопировать, изменить или стереть информацию либо чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран устанавливается на границе защищаемой сети и фильтрует все входящие и исходящие данные, пропуская только авторизованные пакеты.

Межсетевой экран является набором компонентов, настроенных таким образом, чтобы реализовать определенную политику контроля внешнего доступа к вашей сети. Обычно Межсетевые экраны защищают внутреннюю сеть компании от "вторжений" из Internet, однако они могут использоваться и для защиты от "нападений", например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься межсетевым экраном как "авторизованный". Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Выработка политики безопасности поможет понять, какие компоненты межсетевого экрана вам необходимы и как их сконфигурировать, чтобы обеспечить те ограничения доступа, которые вы задали.

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (таблица 1). Модель OSI, разработанная Международной организацией по стандартизации (International Standards Organization - ISO), определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, - начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Таблица 1.

Межсетевые экраны и модели OSI.

Уровень модели OSI 

Протоколы Internet

Категория межсетевых экранов

Прикладной 

Telnet, FTP, DNS, NFS, PING, SMTP, HTTP 

Шлюз прикладного уровня, межсетевой экран экспертного уровня 

Представления данных 

Сеансовый 

TCP 

Шлюз сеансового уровня 

Транспортный 

TCP 

Сетевой 

IP 

Межсетевой экран с фильтрацией пакетов 

Канальный 

Физический 

Существующие межсетевые экраны сильно отличаются друг от друга как по уровню защиты, так и по используемым в них способах защиты. Однако большинство межсетевых экранов, поставляемых как коммерческие продукты, можно (впрочем, достаточно условно) отнести к одной из четырех категорий:

  •  Межсетевой экран с фильтрацией пакетов (packet-filtering firewall);
  •  шлюзы сеансового уровня (circuit-level gateway);
  •  шлюзы прикладного уровня (application-level gateway);
  •  Межсетевой экран экспертного уровня (stateful inspection firewall).


Межсетевые экраны

Межсетевой экран (МЭ) обеспечивает решение следующих задач защиты:

• ограничение доступа внешних пользователей к внутренним ресурсам корпоративной сети

• разграничение доступа пользователей защищаемой сети к внешним ресурсам, что позволяет регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей

Межсетевые экраны реализуют одну из стратегий доступа к информационным ресурсам:

• "разрешено все, что не запрещено в явном виде". Эта стратегия облегчает администрирование межсетевого экрана, т.к. от администратора не требуется никакой предварительной настройки. Любой сетевой пакет, пришедший на МЭ, пропускается через него, если это не запрещено правилами. Однако в случае неправильной настройки эта стратегия позволяет реализовать злоумышленнику множество атак на сеть

• "запрещено все, не разрешено в явном виде". Эта стратегия более безопасна, однако, нагружает администратора безопасности дополнительными задачами по предварительной настройке базы правил межсетевого экрана. Администратор безопасности должен на каждый тип разрешенного взаимодействия задавать правила доступа

Выделяют следующие классы МЭ:

• коммутаторы, функционирующие на канальном уровне

• сетевые или пакетные фильтры, которые функционируют на сетевом уровне

• шлюзы сеансового уровня (circuit-level proxy)

посредники прикладного уровня (application proxy или application gateway)

• инспекторы состояния (stateful inspection)

• персональные межсетевые экраны

1.1 Коммутаторы

Коммутаторы функционируют на канальном уровне и разграничивают доступ к информации в локальной сети, не ограничивая трафик внешних сетей. Коммутаторы позволяют осуществлять фильтрацию трафика на основе MAC-адресов, содержащихся во фреймах, пытающихся получить доступ к определенному порту коммутатора. Однако практически все современные сетевые карты позволяют программно изменять их MAC-адреса, что приводит к неэффективности такого метода фильтрации. Поэтому в качестве признака фильтрации могут быть использованы другие параметры. Например, в коммутаторах для локальных сетей разграничивается трафик. Более совершенные коммутаторы могут функционировать на более высоких уровнях модели TCP/IP.

Пакетные фильтры

Пакетные фильтры (packet filter) - межсетевые экраны, которые функционируют на сетевом уровне и принимают решение о разрешении прохождения трафика в сеть на основании информации, находящейся в заголовке пакета. Пакетные фильтры также могут оперировать заголовками пакетов более высоких уровней (например, TCP или UDP). Эта технология используется в большинстве маршрутизаторов (т.н. экранирующий маршрутизатор, screening router) и некоторых коммутаторах. В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:

• адреса отправителей и получателей

• тип протокола (TCP, UDP, ICMP и т.д.)

• номера портов отправителей и получателей (для TCP и UDP трафика)

• другие параметры заголовка пакета (например, флаги TCP-заголовка)

С помощью перечисленных параметров можно задавать гибкую схему разграничения доступа. При поступлении пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению (т.е. может ли осуществить процесс маршрутизации). Затем маршрутизатор сверяется с набором правил (списком контроля доступа, access control list), проверяя, должен ли он маршрутизировать этот пакет. При создании правил для пакетных фильтров можно использовать два источника информации: внутренний и внешний. Первый источник включает в себя уже названные поля заголовка сетевого пакета. Второй, реже используемый источник оперирует информацией внешней по отношению к сетевым пакетам. Например, дата и время прохождения сетевого пакета.

Пакетные фильтры имеют ряд недостатков:

• отсутствует возможность анализа трафика на прикладном уровне, на котором реализуется множество атак - проникновение вирусов, Internet-червей, отказ в обслуживании и т.д. Пакетные фильтры анализируют только заголовок и не анализируют поле данных, которое может содержать информацию, противоречащую политике информационной безопасности. Например, в поле данных может содержаться команда на доступ к файлу паролей по протоколу FTP или http 

• сложность настройки и администрирования, которые требуют создания как минимум двух правил для каждого типа разрешенного взаимодействия (для входящего и исходящего трафика). При создании большого количества правил могут быть созданы противоречивые правила. Большое количество правил снижает производительность МЭ

• слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя, что позволяет подменить такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола

Пакетные фильтры могут быть реализованы аппаратно или программно (например, в ОС Windows 2000, Unix и т.д.). Пакетный фильтр может быть установлен не только на устройстве, расположенном на границе между двумя сетями (например, на маршрутизаторе), но и на рабочей станции пользователя, повышая тем самым ее защищенность.

Пакетные фильтры являются составной частью практически всех межсетевых экранов, использующих контроль состояния.

Шлюзы сеансового уровня

Шлюз сеансового уровня - это технология, используемая в межсетевых экранах, которая заключается в том, что шлюз исключает прямое взаимодействие двух узлов на сеансовом уровне, выступая в качестве посредника (proxy), перехватывающего все запросы одного узла на доступ к другому и, устанавливающего соединение после проверки допустимости таких запросов. Затем шлюз сеансового уровня копирует пакеты, передаваемые в рамках одной сессии между двумя узлами, не осуществляя дополнительной фильтрации. Как только авторизованное соединение установлено, шлюз помещает в специальную таблицу соединений адреса отправителя и получателя, состояние соединения, информацию о номере последовательности и т.д. Как только сеанс связи завершается, запись о нем удаляется из этой таблицы. Все последующие пакеты, которые могут быть сформированы злоумышленником отбрасываются.

Достоинство данной технологии в том, что она исключает прямой контакт между двумя узлами. Адрес шлюза сеансового уровня является единственным элементом, который связывает внешнюю сеть с внутренними, защищаемыми ресурсами. Кроме того, поскольку соединение между узлами устанавливается только после проверки его допустимости, то тем самым шлюз предотвращает возможность реализации подмены адреса, присущую пакетным фильтрам.

Однако эффективность этой технологии низка из-за невозможности проверки содержания поля данных. Злоумышленнику представляется возможность передачи в защищаемую сеть "программных закладок" и других деструктивных программных средств. Возможность перехвата TCP-сессии, позволяет злоумышленнику даже в рамках разрешенной сессии реализовывать свои атаки.

Посредники прикладного уровня

Посредники прикладного уровня кроме функций шлюза сеансового уровня осуществляют посредническую функцию между двумя узлами, исключая их непосредственное взаимодействие, но позволяют проникать в контекст передаваемого трафика, т.к. функционируют на прикладном уровне. Межсетевые экраны, построенные по этой технологии, содержат посредников приложений (application proxy), которые могут обрабатывать сгенерированный приложениями трафик, фильтруя каждый пакет. При отсутствии посредника приложения межсетевой экран не сможет обработать его трафик, и он будет отбрасываться.

Инспекторы состояния

Инспекторы состояний реализуют функции всех типов межсетевых экранов и позволяют контролировать:

• каждый передаваемый пакет - на основе имеющейся таблицы правил

• каждую сессию - на основе таблицы состояний

• каждое приложение - на основе разработанных посредников

Помимо фильтрации трафика межсетевые экраны позволяют:

• транслировать сетевые адреса, что позволяет скрыть топологию сети от злоумышленника. Трансляция может осуществляться динамически и статически. В первом случае адрес выделяется узлу в момент обращения к межсетевому экрану. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МЭ

• проверку подлинности (аутентификацию) пользователей по предъявлении обычного идентификатора (имени) и пароля или с помощью более надежных методов, например, с помощью цифровых сертификатов

• регистрацию событий, имеющих отношение к безопасности. К таким событиям относятся пропуск или блокирование сетевых пакетов, изменение правил разграничения доступа администратором безопасности и другие действия. Регистрация позволяет обращаться к создаваемым журналам в случае нарушения безопасности или необходимости сбора доказательств для судебных разбирательств или внутреннего расследования.

Межсетевые экраны могут быть реализованы программно и аппаратно. Программная реализация дешевле, но менее производительна и требует значительных ресурсов системы. Аппаратные МЭ поставляются, как специальные программно-аппаратные комплексы, использующие специализированные или обычные операционные системы (как правило, на базе FreeBSD или Linux), модифицированные для выполнения защитных функций. К достоинству таких решений можно отнести:

• простота внедрения МЭ в технологию обработки информации обеспечивается поставкой с предустановленной и настроенной операционной системой и защитными механизмами, что требует только подключения его к сети

• аппаратные устройства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется по стандартным или защищенным протоколам, например, Telnet SNMP, SSL 

• производительность системы увеличивается из-за аппаратной поддержки некоторых функций, что снижает нагрузку на центральный процессор сервера или рабочей станции, а также использования специализированной операционной системы

• реализация межсетевого экрана в специальном устройстве позволяет реализовать механизмы обеспечения программной и аппаратной отказоустойчивости. Аппаратные устройства относительно легко объединяются в кластеры

К недостаткам межсетевых экранов можно отнести:

• необходимость реконфигурации архитектуры сетей, использующих некоторые технологии и сервисы, например, широковещательную рассылку сообщений

• отсутствие эффективных решений от разрушающих программных средств, использующих мобильный код JavaScript, Java, ActiveX 

• отсутствие в межсетевых экранах интегрированных антивирусных средств защиты, способных контролировать весь передаваемый трафик

• снижение производительности сети в тех случаях, когда межсетевой экран анализирует содержание каждого пакета


Заключение.

Межсетевые экраны не являются панацеей при борьбе с атаками злоумышленников. Они не могут предотвратить атаки внутри локальной сети, но вместе с другими средствами защиты играют исключительно важную роль для защиты сетей от вторжения извне. Понимание технологии работы межсетевых экранов позволяет не только сделать правильный выбор при покупке системы защиты, но и корректно настроить межсетевой экран.

Как видно из написанного выше, наиболее эффективную защиту обеспечивает межсетевые экраны «Инспекторы состояний», но за эффективность надо платить! Ну а если же необходимо построить относительно защищенную ЛВС с минимальными затратами и с минимальной потерей производительности, то лучше всего подойдут межсетевые экраны с фильтрацией пакетов.


 

А также другие работы, которые могут Вас заинтересовать

49004. РАЗРАБОТКА СМК ДЛЯ ПАССАЖИРСКОГО ВАГОННОГО ДЕПО 1.02 MB
  Список используемой литературы Приложение Структура управления пассажирского вагонного депо. Приложение Реестр процессов пассажирского вагонного депо Приложение Политика депо в области качества.
49005. Методика викладання хімії 118.32 KB
  Діяльність вчителя, яка представляє собою передачу знань, умінь та навичок учням, організація їх самостійної роботи по набуттю знань и навичок, формування наукового світогляду та поведінки, керівництво й управління процесом підготовки учнів до життя в суспільстві
49006. Саздание программы на языке программирования Паскаль 254 KB
  Результаты расчетов должны выводиться на экран и в файл. Оформление графиков и таблиц выполнять средствами математических пакетов (Maple, MathCad). Демонстрационный вариант программы подготовить в среде визуального программирования Delphi.
49007. Логистическая система предприятия ООО «Евроторг» 1.35 MB
  ООО «Евроторг» является юридическим лицом, имеет обособленное имущество (его составляют основные фонды и оборотные средства, а также иные ценности, стоимость которых отражается в балансе организации), самостоятельный баланс
49008. АУДИТОРЛЫҚ ҚЫЗМЕТТIҢ АҚПАРАТТЫҚ ТЕХНОЛОГИЯЛАРЫ 26.85 KB
  Аудиторлық қызметтiң компьютерлік ақпараттық жүйесiнiң (КАЖ) атқарымдық есептерi. Аудиторлық қызметтегі автоматтандырылған ақпараттық технологиялар (ААТ). Аудиторлық қызметтегі автоматтандырылған ақпараттық технологияларды (ААТ) программалық қамтамасыз ету
49009. Философия. Философские взгляды 80.54 KB
  История философии, во-первых, есть история единой попытки людей философствовать и посредством философии узнавать о себе и о мире то, чего без философии узнать нельзя. Во-вторых, история философии - многогранное единство человеческого опыта.
49010. Проектування установки для наплавлення 829 KB
  Виходячи з масогабаритних показників деталі а також обраного матеріалу для наплавлення обирається тип основного та допоміжного обладнання. Потім проводиться розрахунки механізму подачі матеріалу що наплавляється механізму пересування апарату а також розрахунок механізму підйому інструменту для наплавлення. На підставі цих розрахунків обирається стандартне обладнання проектується необхідна установка для наплавлення.
49011. Технология изготовления ходовых винтов 941 KB
  В металлорежущих станках, прессах и других машинах, где винтовые механизмы служат для преобразования вращательного движения в поступательное, применяют ходовые винты. Различают ходовые винты скольжения с прямоугольной, трапецеидальной и треугольной резьбой и ходовые винты качения полукруглой или арочной формы.
49012. Вся история балета 388.5 KB
  Балет в 18 веке Балет как искусство Балет 17ый век Когда Людовика 14й был коронован его интерес к танцам сильно поддерживался рождённым в Италии кардиналом Мазарини который помогал Людовику 14му. Юный король мальчиком сделал свой дебют в балете.