ВВЕДЕНИЕ
Темой дипломной работы является анализ использования межсетевых экранов в корпоративных сетях.
В настоящее время невозможно представить работу даже маленькой компании без использования компьютерных технологий. Следовательно, необходимо создание локальных или по-другому корпоративных сетей, в которых обычно задействованы практически все компьютеры любой компании. Однако со времени появления сетей появилась проблема и их безопасности. Многие руководители фирм даже и не задумываются о том, как может повлиять на работу организации несанкционированное проникновение в корпоративную сеть. Каждый руководитель должен понимать важность защиты своей сети от несанкционированных посягательств, атак из глобальной сети и так далее. Каждая уважающая себя фирма связывается с другими локальными сетями через глобальную сеть интернет, так как налаживать отдельные каналы связи между отдельными филиалами довольно дорого, а такое могут позволить себе только крупнейшие корпорации. Следовательно, нарушения защиты сети можно ожидать не только со стороны сотрудников своей корпорации, но и со стороны хакеров через интернет и со стороны конкурирующих фирм, которые могут нанять тех же хакеров и направить их деятельность на порчу конкретного имущества.
Особенность межсетевых экранов заключается в том, что они не только фильтруют входящий трафик. Некоторые версии программно-аппаратных комплексов выявляют большую активность в исходящем потоке данных. Функциональная возможность позволяет удалять исходящие коммуникации, которые постоянно заражены опасными вирусами.
В современных продуктах заложена идентификация приложений, пользователей и угроз, чтобы обеспечить максимальную сохранность данных и компьютера. Процесс распознавания происходит независимо от применяемых портов, тактики обхода средств анализа трафика, а также средств шифрования.
Новая система позволяет вести базу данных обо всех сотрудниках компании. Постоянное обновление сведений дает возможность отслеживать возможную угрозу на коммерческую информацию. Также ИТ-специалисты смогут сформировать отчет о пользователе независимо от того, где он находится. Кроме того, межсетевые экраны блокируют программы, с помощью которых хакеры распространяют вредоносные программы и уязвимости на компьютерную технику.
Такой уровень надежности особенно актуален для тех компаний, где сотрудники фирм сталкиваются с удаленной работой. Установленные фильтры позволяют пользователям безопасно применять корпоративную сеть, находясь в любой точке мира, не только в офисе, но и у себя дома, во время командировки и. т. д.
Ведущие разработчики межсетевых экранов создают специальный портал для клиентов, который предоставляет возможность регулярно получать отчеты о функционировании системы, а также сведения о вредоносной программе.
Масштабный анализ трафика позволяет идентифицировать приложения, которые обмениваются данными в сети. Высокий уровень детализации всегда учитывает современные тенденции переноса приложений в «облачные» веб-сервисы.
Кроме того, процессор межсетевого экрана должен быть очень мощным, чтобы быстро обрабатывать весь входящий и исходящий поток в самых максимальных режимах. Тогда злоумышленники не смогут заблокировать его большим количеством вызовов или полностью нарушить его работу.
Современные версии межсетевых экранов обладают простой конфигурацией и установкой. Понятный интерфейс позволяет внедрить аппаратно-программный комплекс даже начинающим ИТ-специалистам. Установка не занимает много времени.
Некоторые виды межсетевых экранов имеют специальные опции, которые обеспечивают «горячее резервирование». Эта функция предоставляет возможность предотвратить ед иную точку сбоя в корпоративной сети. Также для хорошей надежности можно запустить одновременно два сетевых экрана, которые будут работать в параллельном режиме. В случае если один из комплексов выйдет из строя второй выполнит функцию «парашюта» — запустит необходимые компоненты по обеспечению сетевой безопасности.
Целью дипломной работы является анализ возможностей использования межсетевых экранов в корпоративных сетях.
Для достижения указанной цели необходимо решить ряд задач:
рассмотреть классификацию межсетевых экранов;
изучить способы развертывания межсетевых экранов;
проанализировать способы развертывания межсетевых экранов в корпоративных сетях;
произвести анализ возможностей использования межсетевых экранов в корпоративных сетях.
Объектом исследования являются межсетевые экраны.
Предмет исследования - возможности использования межсетевых экранов в корпоративных сетях.
1 Основы построения сетей передачи данных
Основой для создания сети передачи данных является первичная сеть, которая представляет собой совокупность сетевых узлов, сетевых станций и линий передачи, образующую сеть типовых каналов передачи и типовых групповых трактов.
Каналом передачи называется совокупность технических средств и среды распространения, обеспечивающая передачу сигналов электросвязи или в определенной полосе частот, или с определенной скоростью между двумя станциями или узлами. Канал с нормированными параметрами называется типовым.
Групповой тракт — это совокупность технических средств, обеспечивающая передачу сигналов электросвязи или в полосе частот, или со скоростью передачи нормированной группы каналов. Если параметры группового тракта нормированы, то тракт называется типовым. Групповые тракты строятся на основе линий передачи.
Линия передачи первичной сети — это совокупность физических цепей, линейных трактов однотипных и разнотипных систем передачи, имеющих общие среду распространения, линейные сооружения и устройства их обслуживания. Линии передачи различаются в зависимости от первичной сети, к которым они принадлежат, и от среды распространения. В настоящее время наибольшее распространение получили радиорелейные, тропосферные, проводные и спутниковые линии передачи.
Сетевым узлом (СУ) первичной сети называется комплекс технических средств, обеспечивающий:
организацию и транзит типовых групповых трактов и типовых каналов передачи первичной сети;
переключение указанных трактов и каналов, принадлежащих различным линиям передачи;
предоставление необходимого числа каналов и групповых трактов для образования вторичных сетей.
Сетевые станции первичной сети обеспечивают организацию типовых каналов и трактов, предоставление их для образования вторичных сетей и соединения каналов и групповых трактов различных вторичных сетей между собой.
Фрагмент первичной сети с различными линиями передачи изображен на рисунке 1.
1- аппаратура группообразования; 2- аппаратура уплотнения; 3- устройство долговременной коммутации; 4 - сетевой узел; 5- типовой канал передачи;
Рисунок 1 – Фрагмент первичной сети
1.1 Эталонная модель взаимодействия открытых систем
Организация взаимодействия между устройствами в сети является сложной проблемой, она включает много аспектов, начиная с согласования уровней электрических сигналов, формирования кадров, проверки контрольных сумм и кончая вопросами аутентификации приложений.
Для ее решения используется универсальный подход - разбиение одной сложной задачи на несколько частных, более простых задач. Средства решения отдельных задач упорядочены в виде иерархии уровней. Для решения задачи некоторого уровня могут быть использованы средства непосредственно примыкающего нижележащего уровня. С другой стороны, результаты работы средств некоторого уровня могут быть переданы только средствам соседнего вышележащего уровня.
Многоуровневое представление средств сетевого взаимодействия имеет свою специфику, связанную с тем, что в процессе обмена сообщениями участвуют две машины, то есть в данном случае необходимо организовать согласованную работу двух «иерархий». При передаче сообщений два участника сетевого обмена должны принимать множество соглашений. Они должны согласовать способ кодирования электрических сигналов, правило определения длины сообщений, договориться о методах контроля достоверности и т.п., соглашения должны быть приняты для всех уровней, начиная от самого низкого уровня передачи битов до самого высокого уровня, предоставляющего услуги пользователям сети.
Формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах, называются протоколом.
Модули, реализующие протоколы соседних уровней и находящиеся в одном узле, также взаимодействуют друг с другое в соответствии с четко определенными правилами и с помощью стандартизованных форматов сообщений. Эти правила принято называть интерфейсом. Интерфейс определяет услуги, предоставляемые данным уровнем соседнему уровню.
В сущности, протокол и интерфейс выражают одно и то же понятие, но традиционно в сетях за ними закрепили разные области действия: протоколы определяют правила взаимодействия модулей одного уровня в разных узлах, а интерфейсы - модулей соседних уровней в одном узле.
Средства каждого уровня должны отрабатывать, во-первых, свой собственный протокол, а во-вторых, интерфейсы с соседними уровнями. Иерархически организованный набор протоколов, достаточный для организации взаимодействия узлов в сети, называется стеком коммуникационных протоколов.
Коммуникационные протоколы могут быть реализованы как программно, так и аппаратно. Протоколы нижних уровней часто реализуются комбинацией программных и аппаратных средства протоколы верхних уровней, как правило, чисто программными средствами.
Ряд международных организаций по стандартизации - ISO, ITU-T и некоторые другие - разработали модель, которая сыграла большую роль в развитии сетей.
Модель OSI определяет различные уровни взаимодействия систем, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.
В модели OSI средства взаимодействия делятся на семь уровней:
физический;
канальный;
сетевой;
транспортный;
сеансовый;
уровень представления;
прикладной.
Каждый уровень имеет задание с одним определенным аспектом взаимодействия сетевых устройств.
В модели OSI протоколы скрыты лучше, чем в модели TCP/IP, и при изменении технологии могут быть относительно легко заменены. Возможность производить подобные изменения является одной из главных целей многоуровневых протоколов.
Эталонная модель OSI была разработана прежде, чем были изобретены протоколы. Эта модель не была настроена на какой-нибудь определенный набор протоколов, что сделало ее универсальной.
Рис.2 Модель взаимодействия открытых систем ISO/OSI
Физический уровень - первый уровень сетевой модели OSI (англ. Open Systems Interconnection basic reference model - базовая эталонная модель взаимодействия открытых систем). Это нижний уровень модели OSI - физическая и электрическая среда для передачи данных. Этот уровень определяет метод передачи данных, представленных в двоичном виде, от одного устройства (компьютера) к другому. Он имеет задачу с передачей потока битов по физическим каналам связи, таким как коаксиальный кабель, витая пара, оптоволоконный кабель, спутниковый канал передач данных или цифровой территориальный канал. Обычно физический уровень описывает передачи на примерах топологий, сравнивает аналоговое и цифровое кодирование, синхронизацию бит, сравнивает узкополосную и широкополосную передачу, многоканальные системы связи, последовательную (логическую 5-вольтовую) передачу данных.
Для физического уровня информация представляет собой поток битов, которые нужно доставить без искажений и в соответствии с заданной тактовой частотой (интервалом между соседними битами).
Функции физического уровня реализуются на всех устройствах, подключенных к сети. Со стороны компьютера функции физического уровня выполняются сетевым адаптером или последовательным портом. К этому уровню относятся физические, электрические и механические интерфейсы между двумя системами. Стандартными типами сетевых интерфейсов, относящимися к этому уровню, являются: V.35, RS-232, RS-485, RJ-11, RJ-45, разъемы AUI и BNC.
Спецификации физического уровня определяют параметры сред передачи данных - это например, полоса пропускания, затухание, волновое сопротивление, активное сопротивление, задержки при распространении сигнала и так далее. Помимо физических характеристик сред эти спецификации определяют физические характеристики сигналов. К этому же уровню относятся спецификации интерфейсных разъемов кабелей. Переданные биты, затем будут обработаны и в виде неких данных «пойдут» к более высоким уровням OSI.
На этом уровне также работают концентраторы, повторители сигнала, медиаконвертеры, трансиверы и некоторые другие устройства.
Канальный уровень - обеспечивает передачу пакетов данных, поступающих от протоколов верхних уровней, узлу назначения, адрес которого также указывает протокол верхнего уровня. Протоколы канального уровня оформляют переданные им пакеты в кадры собственного формата, помещая указанный адрес назначения в одно из полей такого кадра, а также сопровождая кадр контрольной суммой. Протокол канального уровня имеет локальный смысл, он предназначен для доставки кадров данных, как правило, в пределах сетей с простой топологией связей и однотипной или близкой технологией, например в односегментных сетях Ethernet или же в многосегментных сетях Ethernet и Token Ring иерархической топологии, разделенных только мостами и коммутаторами. Во всех этих конфигурациях адрес назначения имеет локальный смысл для данной сети и не изменяется при прохождении кадра от узла-источника к узлу назначения. Возможность передавать данные между локальными сетями разных технологий связана с тем, что в этих технологиях используются адреса одинакового формата, к тому же производители сетевых адаптеров обеспечивают уникальность адресов независимо от технологии.
Канальный уровень часто обеспечивает обмен сообщениями только между двумя соседними компьютерами, соединенными индивидуальной линией связи. Примерами протоколов «точка-точка» (как часто называют такие протоколы) могут служить широко распространенные протоколы PPP и LAP-B. В таких случаях для доставки сообщений между конечными узлами через всю сеть используются средства сетевого уровня. Именно так организованы сети X.25. Иногда в глобальных сетях функции канального уровня в чистом виде выделить трудно, так как в одном и том же протоколе они объединяются с функциями сетевого уровня. Примерами такого подхода могут служить протоколы технологий ATM и frame relay.
Другой областью действия протоколов канального уровня являются связи типа «точка-точка» глобальных сетей, когда протокол канального уровня ответственен за доставку кадра непосредственному соседу. Адрес в этом случае не имеет принципиального значения, а на первый план выходит способность протокола восстанавливать искаженные и утерянные кадры , так как плохое качество территориальных каналов, особенно коммутируемых телефонных, часто требует выполнения подобных действий. Если же перечисленные выше условия не соблюдаются, например связи между сегментами Ethernet имеют петлевидную структуру, либо объединяемые сети используют различные способы адресации, как в сетях Ethernet и X.25, то протокол канального уровня не может в одиночку справиться с задачей передачи кадра между узлами и требует помощи протокола сетевого уровня.
Сетевой уровень (Network layer) - служит для образования единой транспортной системы, объединяющей несколько сетей, причем эти сети могут использовать совершенно различные принципы передачи сообщений между конечными узлами и обладать произвольной; структурой связей.
Сети соединяются между Собой специальными устройствами, называемыми маршрутизаторами. Маршрутизатор-- это устройство, которое собирает информацию о топологии межсетевых соединений и на ее основании пересылает пакеты сетевого уровня в сеть назначения. Для того чтобы передать сообщения сетевого уровня, или, как их принято называть, пакеты (packets), от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач между сетями. Таким образом, маршрут представляет собой последовательность маршрутизаторов, через которые проходит пакет. Проблема выбора наилучшего пути называется маршрутизацией, и ее решение является одной из главных задач сетевого уровня.
Сетевой уровень решает также задачи согласования разных технологий, упрощения адресации в крупных сетях и создания надежных и гибких барьеров на пути нежелательного трафика между сетями.
Примерами протоколов сетевого уровня являются протокол межсетевого взаимодействия IP стека TCP/IP и протокол межсетевого обмена пакетами IPX стека Novell.
Транспортный уровень. На пути от отправителя к получателю пакеты могут быть искажены или утеряны. Хотя некоторые приложения имеют собственные средства обработки ошибок, существуют и такие, которые предпочитают сразу иметь дело с надежным соединением. Работа транспортного уровня (Transport layer) заключается в том, чтобы обеспечить приложениям или верхним уровням стека - прикладному и сеансовому - передачу данных с той степенью надежности, которая им требуется. Модель OSI определяет пять классов услуг, предоставляемых транспортным уровнем. Эти виды услуг отличаются качеством: срочностью, возможностью восстановления прерванной связи, наличием средств мультиплексирования нескольких соединений между различными прикладными протоколами через общий транспортный протокол, а главное - способностью к обнаружению и исправлению ошибок передачи, таких как искажение, потеря и дублирование пакетов.
Как правило, все протоколы, начиная с транспортного уровня и выше, реализуются программными средствами конечных узлов сети компонентами их сетевых операционных систем. В качестве примера транспортных протоколов можно привести протоколы TCP и UDP стека TCP/IP и протокол SPX стека Novell.
Сеансовый уровень (Session layer) – обеспечивает управление диалогом для того, чтобы фиксировать, какая из сторон является активной в настоящий момент, а также предоставляет средства синхронизации. Последние позволяют вставлять контрольные точки в длинные передачи, чтобы в случае отказа можно было вернуться назад к последней контрольной точке вместо того, чтобы начинать все с начала. На практике немногие приложения используют сеансовый уровень, и он редко реализуется в виде отдельных протоколов, хотя функции этого уровня часто объединяют с функциями прикладного уровня и реализуют в одном протоколе.
Уровень представления (Presentation layer) имеет дело с формой представления передаваемой по сети информации, не меняя при этом ее содержания. За счет уровня представления информация, передаваемая прикладным уровнем одной системы, всегда будет понятна прикладному уровню в другой системе. С помощью средств данного уровня протоколы прикладных уровней могут преодолеть синтаксические различия в представлении данных или же различия кодов символов, например кодов ASCII и EBCDIC. На этом уровне может выполняться шифрование и дешифрирование данных, благодаря которому секретность обмена данными обеспечивается сразу для всех прикладных служб. Примером такого протокола является протокол Secure Socket Layer (SSL), который обеспечивает секретный обмен сообщениями для протоколов прикладного уровня стека TCP/IP.
Прикладной уровень (Application layer) - это в действительности простой набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к разделяемым ресурсам, таким как файлы, принтеры или гипертекстовые Web-страницы, а также организуют свою совместную работу, например с помощью протокола электронной почты. Единица данных, которой оперирует Прикладной уровень, обычно называется сообщением (message).
Существует очень большое разнообразие служб прикладного уровня. Приведем в качестве примеров протоколов прикладного уровня хотя бы несколько наиболее распространенных реализаций файловых служб: NCP в операционной системе Novell NetWare, 8MB в Microsoft Windows NT, NFS, FTP и TFTP, входящие в стек TCP/IP.
Стержнем всей архитектуры является уровень межсетевого взаимодействия, который реализует концепцию передачи пакетов в режиме без установления соединений, то есть дейтаграммным способом. Именно этот уровень обеспечивает возможность перемещения пакетов по сети, используя тот маршрут, который в данный момент является наиболее рациональным. Этот уровень также называют уровнем internet, указывая тем самым на основную его функцию - передачу данных через составную сеть.
Основным протоколом сетевого уровня (в терминах модели OSI) в стеке является протокол IP (Internet Protocol). Этот протокол изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи.
Так как протокол IP является дейтаграммным протоколом, он не гарантирует доставку пакетов до узла назначения, но старается это сделать.
К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом-источником пакета. С помощью специальных пакетов ICMP сообщает о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.
Основной уровень – на этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет образования логических соединений. Этот протокол позволяет равноранговым объектам на компьютере-отправителе и компьютере-получателе поддерживать обмен данными в дуплексном режиме. TCP позволяет без ошибок доставить сформированный на одном из компьютеров поток байт в любой другой компьютер, входящий в составную сеть. TCP делит поток байт на части - сегменты, и передает их ниже лежащему уровню межсетевого взаимодействия. После того как эти сегменты будут доставлены средствами уровня межсетевого взаимодействия в пункт назначения, протокол TCP снова соберет их в непрерывный поток байт.