95020

Внутренняя архитектура межсетевых экранов, пакетные фильтры, шлюзы уровня сеанса, посредники прикладного уровня, инспекторы состояний

Реферат

Информатика, кибернетика и программирование

Межсетевой экран представляет собой барьер, защищающий от попыток злоумышленников вторгнуться в сеть, для того чтобы скопировать, изменить или стереть информацию либо чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров.

Русский

2015-09-19

437.5 KB

5 чел.

Московский Инженерно-Физический Институт

«Факультет Информационная Безопасность»

Реферат № 2 по предмету «Безопасность вычислительных сетей-2»

на тему:

«Внутренняя архитектура межсетевых экранов, пакетные фильтры, шлюзы уровня сеанса, посредники прикладного уровня,  инспекторы состояний. »

Выполнил: Зуев Илья Сергеевич

Студент группы: Б9-03


Содержание

Введение

  1.  Межсетевые экраны
    1.  Коммутаторы
    2.  Пакетные фильтры
    3.  Шлюзы сеансового уровня
    4.  Посредники прикладного уровня
    5.  Инспекторы состояния

Заключение


Введение

Межсетевой экран представляет собой барьер, защищающий от попыток злоумышленников вторгнуться в сеть, для того чтобы скопировать, изменить или стереть информацию либо чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран устанавливается на границе защищаемой сети и фильтрует все входящие и исходящие данные, пропуская только авторизованные пакеты.

Межсетевой экран является набором компонентов, настроенных таким образом, чтобы реализовать определенную политику контроля внешнего доступа к вашей сети. Обычно Межсетевые экраны защищают внутреннюю сеть компании от "вторжений" из Internet, однако они могут использоваться и для защиты от "нападений", например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься межсетевым экраном как "авторизованный". Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Выработка политики безопасности поможет понять, какие компоненты межсетевого экрана вам необходимы и как их сконфигурировать, чтобы обеспечить те ограничения доступа, которые вы задали.

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (таблица 1). Модель OSI, разработанная Международной организацией по стандартизации (International Standards Organization - ISO), определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, - начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Таблица 1.

Межсетевые экраны и модели OSI.

Уровень модели OSI 

Протоколы Internet

Категория межсетевых экранов

Прикладной 

Telnet, FTP, DNS, NFS, PING, SMTP, HTTP 

Шлюз прикладного уровня, межсетевой экран экспертного уровня 

Представления данных 

Сеансовый 

TCP 

Шлюз сеансового уровня 

Транспортный 

TCP 

Сетевой 

IP 

Межсетевой экран с фильтрацией пакетов 

Канальный 

Физический 

Существующие межсетевые экраны сильно отличаются друг от друга как по уровню защиты, так и по используемым в них способах защиты. Однако большинство межсетевых экранов, поставляемых как коммерческие продукты, можно (впрочем, достаточно условно) отнести к одной из четырех категорий:

  •  Межсетевой экран с фильтрацией пакетов (packet-filtering firewall);
  •  шлюзы сеансового уровня (circuit-level gateway);
  •  шлюзы прикладного уровня (application-level gateway);
  •  Межсетевой экран экспертного уровня (stateful inspection firewall).


Межсетевые экраны

Межсетевой экран (МЭ) обеспечивает решение следующих задач защиты:

• ограничение доступа внешних пользователей к внутренним ресурсам корпоративной сети

• разграничение доступа пользователей защищаемой сети к внешним ресурсам, что позволяет регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей

Межсетевые экраны реализуют одну из стратегий доступа к информационным ресурсам:

• "разрешено все, что не запрещено в явном виде". Эта стратегия облегчает администрирование межсетевого экрана, т.к. от администратора не требуется никакой предварительной настройки. Любой сетевой пакет, пришедший на МЭ, пропускается через него, если это не запрещено правилами. Однако в случае неправильной настройки эта стратегия позволяет реализовать злоумышленнику множество атак на сеть

• "запрещено все, не разрешено в явном виде". Эта стратегия более безопасна, однако, нагружает администратора безопасности дополнительными задачами по предварительной настройке базы правил межсетевого экрана. Администратор безопасности должен на каждый тип разрешенного взаимодействия задавать правила доступа

Выделяют следующие классы МЭ:

• коммутаторы, функционирующие на канальном уровне

• сетевые или пакетные фильтры, которые функционируют на сетевом уровне

• шлюзы сеансового уровня (circuit-level proxy)

посредники прикладного уровня (application proxy или application gateway)

• инспекторы состояния (stateful inspection)

• персональные межсетевые экраны

1.1 Коммутаторы

Коммутаторы функционируют на канальном уровне и разграничивают доступ к информации в локальной сети, не ограничивая трафик внешних сетей. Коммутаторы позволяют осуществлять фильтрацию трафика на основе MAC-адресов, содержащихся во фреймах, пытающихся получить доступ к определенному порту коммутатора. Однако практически все современные сетевые карты позволяют программно изменять их MAC-адреса, что приводит к неэффективности такого метода фильтрации. Поэтому в качестве признака фильтрации могут быть использованы другие параметры. Например, в коммутаторах для локальных сетей разграничивается трафик. Более совершенные коммутаторы могут функционировать на более высоких уровнях модели TCP/IP.

Пакетные фильтры

Пакетные фильтры (packet filter) - межсетевые экраны, которые функционируют на сетевом уровне и принимают решение о разрешении прохождения трафика в сеть на основании информации, находящейся в заголовке пакета. Пакетные фильтры также могут оперировать заголовками пакетов более высоких уровней (например, TCP или UDP). Эта технология используется в большинстве маршрутизаторов (т.н. экранирующий маршрутизатор, screening router) и некоторых коммутаторах. В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:

• адреса отправителей и получателей

• тип протокола (TCP, UDP, ICMP и т.д.)

• номера портов отправителей и получателей (для TCP и UDP трафика)

• другие параметры заголовка пакета (например, флаги TCP-заголовка)

С помощью перечисленных параметров можно задавать гибкую схему разграничения доступа. При поступлении пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению (т.е. может ли осуществить процесс маршрутизации). Затем маршрутизатор сверяется с набором правил (списком контроля доступа, access control list), проверяя, должен ли он маршрутизировать этот пакет. При создании правил для пакетных фильтров можно использовать два источника информации: внутренний и внешний. Первый источник включает в себя уже названные поля заголовка сетевого пакета. Второй, реже используемый источник оперирует информацией внешней по отношению к сетевым пакетам. Например, дата и время прохождения сетевого пакета.

Пакетные фильтры имеют ряд недостатков:

• отсутствует возможность анализа трафика на прикладном уровне, на котором реализуется множество атак - проникновение вирусов, Internet-червей, отказ в обслуживании и т.д. Пакетные фильтры анализируют только заголовок и не анализируют поле данных, которое может содержать информацию, противоречащую политике информационной безопасности. Например, в поле данных может содержаться команда на доступ к файлу паролей по протоколу FTP или http 

• сложность настройки и администрирования, которые требуют создания как минимум двух правил для каждого типа разрешенного взаимодействия (для входящего и исходящего трафика). При создании большого количества правил могут быть созданы противоречивые правила. Большое количество правил снижает производительность МЭ

• слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя, что позволяет подменить такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола

Пакетные фильтры могут быть реализованы аппаратно или программно (например, в ОС Windows 2000, Unix и т.д.). Пакетный фильтр может быть установлен не только на устройстве, расположенном на границе между двумя сетями (например, на маршрутизаторе), но и на рабочей станции пользователя, повышая тем самым ее защищенность.

Пакетные фильтры являются составной частью практически всех межсетевых экранов, использующих контроль состояния.

Шлюзы сеансового уровня

Шлюз сеансового уровня - это технология, используемая в межсетевых экранах, которая заключается в том, что шлюз исключает прямое взаимодействие двух узлов на сеансовом уровне, выступая в качестве посредника (proxy), перехватывающего все запросы одного узла на доступ к другому и, устанавливающего соединение после проверки допустимости таких запросов. Затем шлюз сеансового уровня копирует пакеты, передаваемые в рамках одной сессии между двумя узлами, не осуществляя дополнительной фильтрации. Как только авторизованное соединение установлено, шлюз помещает в специальную таблицу соединений адреса отправителя и получателя, состояние соединения, информацию о номере последовательности и т.д. Как только сеанс связи завершается, запись о нем удаляется из этой таблицы. Все последующие пакеты, которые могут быть сформированы злоумышленником отбрасываются.

Достоинство данной технологии в том, что она исключает прямой контакт между двумя узлами. Адрес шлюза сеансового уровня является единственным элементом, который связывает внешнюю сеть с внутренними, защищаемыми ресурсами. Кроме того, поскольку соединение между узлами устанавливается только после проверки его допустимости, то тем самым шлюз предотвращает возможность реализации подмены адреса, присущую пакетным фильтрам.

Однако эффективность этой технологии низка из-за невозможности проверки содержания поля данных. Злоумышленнику представляется возможность передачи в защищаемую сеть "программных закладок" и других деструктивных программных средств. Возможность перехвата TCP-сессии, позволяет злоумышленнику даже в рамках разрешенной сессии реализовывать свои атаки.

Посредники прикладного уровня

Посредники прикладного уровня кроме функций шлюза сеансового уровня осуществляют посредническую функцию между двумя узлами, исключая их непосредственное взаимодействие, но позволяют проникать в контекст передаваемого трафика, т.к. функционируют на прикладном уровне. Межсетевые экраны, построенные по этой технологии, содержат посредников приложений (application proxy), которые могут обрабатывать сгенерированный приложениями трафик, фильтруя каждый пакет. При отсутствии посредника приложения межсетевой экран не сможет обработать его трафик, и он будет отбрасываться.

Инспекторы состояния

Инспекторы состояний реализуют функции всех типов межсетевых экранов и позволяют контролировать:

• каждый передаваемый пакет - на основе имеющейся таблицы правил

• каждую сессию - на основе таблицы состояний

• каждое приложение - на основе разработанных посредников

Помимо фильтрации трафика межсетевые экраны позволяют:

• транслировать сетевые адреса, что позволяет скрыть топологию сети от злоумышленника. Трансляция может осуществляться динамически и статически. В первом случае адрес выделяется узлу в момент обращения к межсетевому экрану. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МЭ

• проверку подлинности (аутентификацию) пользователей по предъявлении обычного идентификатора (имени) и пароля или с помощью более надежных методов, например, с помощью цифровых сертификатов

• регистрацию событий, имеющих отношение к безопасности. К таким событиям относятся пропуск или блокирование сетевых пакетов, изменение правил разграничения доступа администратором безопасности и другие действия. Регистрация позволяет обращаться к создаваемым журналам в случае нарушения безопасности или необходимости сбора доказательств для судебных разбирательств или внутреннего расследования.

Межсетевые экраны могут быть реализованы программно и аппаратно. Программная реализация дешевле, но менее производительна и требует значительных ресурсов системы. Аппаратные МЭ поставляются, как специальные программно-аппаратные комплексы, использующие специализированные или обычные операционные системы (как правило, на базе FreeBSD или Linux), модифицированные для выполнения защитных функций. К достоинству таких решений можно отнести:

• простота внедрения МЭ в технологию обработки информации обеспечивается поставкой с предустановленной и настроенной операционной системой и защитными механизмами, что требует только подключения его к сети

• аппаратные устройства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется по стандартным или защищенным протоколам, например, Telnet SNMP, SSL 

• производительность системы увеличивается из-за аппаратной поддержки некоторых функций, что снижает нагрузку на центральный процессор сервера или рабочей станции, а также использования специализированной операционной системы

• реализация межсетевого экрана в специальном устройстве позволяет реализовать механизмы обеспечения программной и аппаратной отказоустойчивости. Аппаратные устройства относительно легко объединяются в кластеры

К недостаткам межсетевых экранов можно отнести:

• необходимость реконфигурации архитектуры сетей, использующих некоторые технологии и сервисы, например, широковещательную рассылку сообщений

• отсутствие эффективных решений от разрушающих программных средств, использующих мобильный код JavaScript, Java, ActiveX 

• отсутствие в межсетевых экранах интегрированных антивирусных средств защиты, способных контролировать весь передаваемый трафик

• снижение производительности сети в тех случаях, когда межсетевой экран анализирует содержание каждого пакета


Заключение.

Межсетевые экраны не являются панацеей при борьбе с атаками злоумышленников. Они не могут предотвратить атаки внутри локальной сети, но вместе с другими средствами защиты играют исключительно важную роль для защиты сетей от вторжения извне. Понимание технологии работы межсетевых экранов позволяет не только сделать правильный выбор при покупке системы защиты, но и корректно настроить межсетевой экран.

Как видно из написанного выше, наиболее эффективную защиту обеспечивает межсетевые экраны «Инспекторы состояний», но за эффективность надо платить! Ну а если же необходимо построить относительно защищенную ЛВС с минимальными затратами и с минимальной потерей производительности, то лучше всего подойдут межсетевые экраны с фильтрацией пакетов.


 

А также другие работы, которые могут Вас заинтересовать

73423. Дорожні знаки як технічні засоби організації дорожнього руху 36 KB
  Дорожні знаки ставляться до технічних засобів організації дорожнього руху і є обов’язковою приналежністю всіх доріг і вулиць населених пунктів. Усі дорожні знаки діляться на вісім груп: попереджуючі знаки; знаки пріоритету; заборонні знаки; знаки що пропонують...
73424. Сигнальні стовпці та розмітка 302 KB
  Використання стовпців та розмітки Застосування і типи стовпців Вимоги до використання стовпців Вимоги до сучасної розмітки Дорожні стовпчики маркіровані светоотражающими елементами призначені для позначення узбіч автомобільних доріг відповідають гос.
73425. Штучні нерівності на дорозі 577.5 KB
  Довжина кожної нерівності повинна бути не менш ширини проїзної частини. Припустиме відхилення — не більш 0,2 м з кожної сторони дороги. На ділянці дороги для обладнання нерівностей повинен бути забезпечений водовідвід із проїзної частини дороги.
73426. Облаштування доріг об’єктами дорожнього сервісу 57 KB
  Транспортний процес не може здійснюватися без сучасних автомобільних доріг так само, як і без їхньої облаштованості об’єктами дорожнього сервісу. З кожним роком збільшується дальність як вантажних, так і пасажирських перевезень.
73427. Розміщення й планування майданчиків відпочинку, автобусних зупинок 372.5 KB
  Призначення майданчиків відпочинку та автобусних зупинок Норми проектування майданчиків відпочинку та автобусних зупинок Забезпечення інформацією учасників дорожнього руху У водіїв транспортних засобів при русі по дорогах поступово в міру стомлення збільшується час реакції...
73428. Проблеми збереження природного середовища при будівництві доріг 28.05 KB
  Умови проектування автомобільних доріг Екологія та автомобільні дороги Принципова схема прогнозованої екологічної оцінки проектованої автомобільної дороги Проблеми збереження природного середовища в її природній різноманітності й багатстві визначають сьогодні практично всі сторони життя...
73429. Еколгічна сумісність із навколишнім середовищем 29.5 KB
  На етапі прокладки траси майбутньої дороги особливу роль відіграє ландшафтне проектування що враховує не тільки вимоги земельного законодавства по вилученню земельних ділянок під будівництво дороги подолання контурних і висотних перешкод але й вимоги по захисту навколишнього середовища.
73430. Захист населення від екологічного забруднення придорожнього природного середовища 73.5 KB
  Технічні снігозахисні посадки захист від ерозії протиерозійне озеленення піщаних заметів пескозащитное озеленення сильних вітрів і курних бур; забезпечення безпеки руху й зорового орієнтування тобто вказівка напрямку дороги за межами видимості покриття підкреслення...
73431. Захист тварин і рослин 39 KB
  Проектування автомобільних доріг через ліси лісопитомники заповідники Основні методи зменшення впливу автотранспорту на тварин Дороги особливо швидкісні автомагістралі являють загрозу дикою тваринам у двох відносинах: погіршенні якості середовища проживання й небезпеки зіткнення...