Лекція

Тема 7. Методи і засоби захисту від віддалених атак через мережу Internet.

Заняття 3. Особливості функціонування міжмережевих екранів.

Навчальні питання:

1. Основні компоненти міжмережевих екранів.

2. Основні схеми мережного захисту на базі міжмережевих екранів.

3. Особливості функціонування між мережевих екранів на різних рівнях моделі OSI (Слайд 1)

Інтенсивний розвиток глобальних комп'ютерних мереж, поява нових технологій пошуку інформації притягують усе більше уваги до мережі Internet з боку приватних осіб і різних організацій. Багато організацій приймають рішення про інтеграції своїх локальних і корпоративних мереж у глобальну мережу. Використання глобальних мереж у комерційних цілях, а також при передачі інформації, що містить відомості конфіденційного характеру, спричиняє необхідності побудови ефективної системи захисту інформації. У цей час в Україні глобальні мережі застосовуються для передачі комерційної інформації різного рівня конфіденційності, наприклад для зв'язку з віддаленими офісами з штабквартирою організації або створення Web-сторінки організації з розміщеної на ній рекламою та діловими пропозиціями.

Навряд чи потрібно перераховувати всі переваги, які одержує сучасне підприємство, маючи доступ до глобальної мережі Internet. Але, як і багато інших нових технологій, використання Internet має і негативні наслідки. Розвиток глобальних мереж привело до багаторазового збільшення кількості користувачів і збільшення кількості атак на комп'ютери, підключені до мережі Internet. Щорічні втрати, обумовлені недостатнім рівнем захищеності комп'ютерів, оцінюються десятками мільйонів доларів. При підключенні до Internet локальної або корпоративної мережі необхідно подбати про забезпечення інформаційної безпеки цієї мережі.

Глобальна мережа Internet створювалася як відкрита система, призначена для вільного обміну інформацією. У силу відкритості своєї ідеології Internet надає для зловмисників значно більші можливості в порівнянні із традиційними інформаційними системами. Через Internet порушник може:

ввійти у внутрішню мережу підприємства та одержати несанкціонований доступ до конфіденційної інформації;

незаконно скопіювати важливу та цінну для підприємства інформацію;

одержати паролі, адреси серверів, а іноді та їх зміст;

входити в інформаційну систему підприємства під ім'ям зареєстрованого користувача і т.і.

За допомогою отриманою зловмисником інформації може бути серйозно підірвана конкурентноздатність підприємства та довіра його клієнтів.

Низку завдань щодо відбиття найбільш імовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани (МЕ). У вітчизняній літературі до останнього часу використалися замість цього терміна інші терміни іноземного походження: брандмауер та firewall. Поза комп'ютерною сферою брандмауером (або firewall) називають стіну, зроблену з негорючих матеріалів, що перешкоджує поширенню пожежі. У сфері комп'ютерних мереж міжмережевий екран це бар'єр, що захищає від уявної пожежі тобто спробі зловмисників вторгнутися у внутрішню мережу для того, щоб скопіювати, змінити або стерти інформацію або скористатися пам'яттю чи обчислювальною потужністю працюючих у цій мережі комп'ютерів. міжмережевий екран покликаний забезпечити безпечний доступ до зовнішньої мережі та обмежити доступ зовнішніх користувачів до внутрішньої мережі. (Слайд 2)

Рис 1. Схема встановлення міжмережевого екрана

(Слайд 3) Міжмережевий екран - це система міжмережевого захисту, що дозволяє розділити загальну мережу на дві частини або більше та реалізувати набір правил, що визначають умови проходження пакетів з даними через межу з однієї частини загальної мережі в іншу. Як правило, ця межа проводиться між корпоративною (локальної) мережею підприємства та глобальною мережею Internet, хоча її можна провести і всередині корпоративної мережі підприємства. МЕ пропускає через себе весь трафік, приймаючи для кожного пакета, що проходить рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це, йому необхідно визначити набір правил фільтрації.

Звичайно міжмережеві екрани захищають внутрішню мережу підприємства від "вторгнень" із глобальної мережі Internet, однак вони можуть використовуватися та для захисту від "нападів" з корпоративної інтрамережі, до якої підключена локальна мережа підприємства. Жоден міжмережевий екран не може гарантувати повного захисту внутрішньої мережі при всіх можливих обставинах. Однак для більшості комерційних організацій установка міжмережевого екрана є необхідною умовою забезпечення безпеки внутрішньої мережі. Головний аргумент на користь застосування міжмережевого екрана полягає в тому, що без нього системи внутрішньої мережі піддаються небезпеки з боку слабко захищених служб мережі Internet, а також зондуванню та атакам з будь-яких інших хост-комп’ютерів зовнішньої мережі.

Політика мережевої безпеки кожної організації повинна включати дві складові: (Слайд 4)

- політику доступу до мережних сервісів;

- політику реалізації міжмережевих екранів.

Відповідно до політики доступу до мережних сервісів визначається список сервісів Internet, до яких користувачі повинні мати обмежений доступ.

У відповідності з політикою реалізації міжмережевих екранів визначаються правила доступу до ресурсів внутрішньої мережі. Насамперед, необхідно встановити, наскільки "довірча" або "підозріла" повинна бути система захисту.

Ефективність захисту внутрішньої мережі за допомогою міжмережевих екранів залежить не тільки від обраної політики доступу до мережних сервісів і ресурсів внутрішньої мережі, але і від раціональності вибору та використання основних компонентів міжмережевого екрана.