- •1. Методы коммутации
- •2. Составные части ивс
- •3. Основные компоненты ивс.
- •4. Архитектура «клиент-сервер» и «файл-сервер»
- •5. Модель взаимодействия открытых систем (модель osi). Функциональное назначение уровней.
- •6. Структуризация сетей. Физическая структуризация сети.
- •7. Структуризация сетей. Логическая структуризация сети.
- •8. Коммуникационное оборудование
- •9. Структура глобальной сети.
- •10. Магистральные сети и сети доступа
- •11. Типы глобальных сетей
- •12. Адресация в tcp/ip сетях. Плоские имена. Протокол NetBios.
- •13. Адресация в tcp/ip сетях. Плоские имена. Служба имён wins
- •14. Адресация в tcp/ip сетях. Организация доменов и доменных имён. Служба dns.
- •15. Адресация в tcp/ip сетях. Протокол dhcp
- •16. Структура сетевой операционной системы
- •17. Одноранговые сетевые ос и ос с выделенными серверами
- •18. Ос для сетей отделов, сетей кампусов и сетей предприятий
- •19. Информационная безопасность
- •20. Идентификация и аутентификация пользователей. Биометрические методы идентификации и аутентификации и их достоинства
- •21. Модели компьютерных атак. Этапы реализации атаки
- •22. Классификация атак. Системы обнаружения атак. Варианты реакций на обнаруженную атаку
- •23. Межсетевой экран
- •24. Электронная цифровая подпись
23. Межсетевой экран
МЭ (брендмауэр, файрволл) – это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакета из одной части в другую.
МЭ пропускает через себя весь трафик. Для каждого проходящего пакета брендмауер принимает решение пропускать его или отбросить. Для того, чтобы МЭ мог принимать эти решения, ему необходимо определить набор правил.
МЭ могут быть реализованы как программно, так и аппаратно. Некоторые МЭ работают только в однопользовательском режиме, для повышения защиты самого брендмауера.
Многие МЭ имеют систему проверки целостности программных кодов. При этом контрольные сумма программных кодов хранятся в защищённом месте и сравниваются при старте программы, во избежание подмены ПО.
Все МЭ можно разделить на три группы, причём все типы могут одновременно встречаться в одном МЭ.
1) Пакетные фильтры. МЭ с ПФ принимают решения о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP-портов в заголовке этого пакета. Адрес и номер порта – это информация сетевого и транспортного уровней, соответственно. Но пакетные фильтры используют и информацию прикладного уровня, так как все стандартные сервисы TCP/IP ассоциируются с определённым номером порта. Для описания правил прохождения пакетов составляются таблицы, содержащие следующие столбцы: действия (принимает значение – пропустить или отбросить), тип пакета (TCP,UDP), адрес источника, порт источника, адрес назначения, порт назначения, флаги (из заголовка IP-пакета).
Достоинства: относительно невысокая стоимость, гибкость в определении правил фильтрации, небольшая задержка при прохождении пакетов. Недостатки: локальная сеть видна (маршрутизируется) из интернет; правила фильтрации пакетов трудны в описании, так как требуют хорошие знания в технологии TCP и UDP; при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищёнными, либо недоступными; аутентификатор с использованием IP-адреса можно обмануть использованием подмены IP-адреса; отсутствует аутентификация на пользовательском уровне.
2) Сервера прикладного уровня. Используют сервера конкретных сервисом (терминалы, такие как telnet; перед. файлов, как ftp; e-mail, такие как smtp, pop3; www; http и т.п.), запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до МЭ и от МЭ до места назначения.
Полный набор поддерживаемых серверов различен для каждого МЭ.
При описании правил доступа используются такие параметры, как: название сервиса, имя пользователя, допустимый временно диапазон использования сервиса, компьютер, с которого можно пользоваться сервисом, схемы аутентификации.
СПУ позволяют обеспечить наиболее высокий уровень защиты, так как взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Достоинства: локальная сеть не видна из интернета; при нарушении работоспособности МЭ пакеты перестают проходить через него; защита на уровне приложений позволяет осуществить большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в ПО; аутентификация на пользовательском уровне, с помощью которой может быть реализована система немедленного предупреждения попытки взлома. Недостатки: более высокая, по сравнению с ПФ стоимость; производительность ниже, чем у пакетных фильтров.
3) Сервера уровня соединения. Представляют из себя транслятор ТСР соединения. Пользователь образует соединение с определённым портом на МЭ, после чего последний (МЭ) производит соединение с местом назначения по другую сторону от МЭ. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задаётся заранее, в то время, как источников может быть много (соединение типа 1 ко многим). Используя различные порты можно создать различные конфигурации.
Достоинства: такой тип сервера позволяет создавать транслятор для любого определённого пользователем сервиса, базирующегося на ТСР; позволяет осуществлять контроль доступа к сервису; позволяет осуществлять сбор статистики по использованию сервиса.