Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Ульяновский Государственный Технический Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Тема 23 Межсетевые экраны.doc

Скачиваний:

Добавлен:

04.05.2019

Размер:

120.83 Кб

Скачать

☆

1 / 31 2 3 > Следующая >>>

Тема: Межсетевые экраны — брандмауэры (FireWall)

Гостехкомиссией при Президенте РФ разработан Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» в дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

В указанном документе межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и /или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации (как минимум на сетевом уровне), т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя, таким образом, разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Выделяются пять классов МЭ, где пятый — низший, а первый — высший. Классифицируемый экран должен фильтровать потоки данных, по крайней мере, на сетевом уровне. При умеренных требованиях по защите информации можно ограничиться МЭ пятого или четвертого классов, реализованных в виде маршрутизаторов с включенными средствами фильтрации (экранирующих маршрутизаторов).

Во многих точках Intranet-сети наиболее целесообразно применять так называемые аппаратные брандмауэры. Они являются специализированными компьютерами, как правило, встраиваемыми в стойку с сетевой ОС, адаптированной под выполняемые функции (загрузка ОС производится с гибкого диска или же из постоянной памяти). Чтобы представить, какие возможности имеют аппаратные брандмауэры, рассмотрим функциональные возможности следующих изделий:

Брандмауэр FireBox (производства WatchGuard) имеет смешанную архитектуру — динамической фильтрации пакетов и «прозрачного» прокси (proxy) (при этом с глобальной сетью организуется двухсторонняя связь). В архитектуре брандмауэра:

• обеспечивается оптимальный баланс между безопасностью и производительностью;

• динамическая фильтрация пакетов отслеживает состояние соединения, что позволяет «отфильтровывать» не только пакеты, но и соединения;

• наборы правил являются динамическими и могут быть изменены во время работы (в набор входит 28 стандартных правил типа DNS, Telnet и др. и могут определяться правила пользователями в зависимости от потребностей и угроз безопасности);

• прокси анализирует график на сетевом уровне, что дает возможность получить более надежную защиту;

• могут распознаваться подмены сервисов и пакетов;

• имеется функция регистрации пользователей (это позволяет не только повысить безопасность, но и вести мониторинг сети на основе имен пользователей, а не IP-адресов и имен хостов);

• обеспечивается поддержка VPN (Virtual Private Network — виртуальная частная сеть), т. е. безопасный доступ в корпоративную сеть через Internet (для авторизованных удаленных пользователей. При этом используется протокол РРТР (Point-to-Point Tunelling Protocol — туннельный протокол точка-точка), который создает в общей сети безопасный «туннель», через который «прозрачно» проходит весь трафик.

Брандмауэр от компании Bay Network отличается тем, что он входит в состав маршрутизатора BCN. Так как маршрутизатор является устройством, которое выполняет функции передачи пакетов, вычислительные возможности указанного маршрутизатора таковы, что ему можно поручить и решение задачи сортировки пакетов.

Маршрутизаторы работают на сетевом уровне модели OSI и поэтому должны иметь высокопроизводительную ОС, а она вполне может одновременно выполнять указанную дополнительную задачу. Следовательно, брандмауэр от Bay Networks, с одной стороны, предоставляется чисто программным средством, но, с другой стороны, он не использует никакого компьютера общего назначения (рабочую станцию), устанавливается в стойке и всем остальным похож на другие брандмауэры (кроме заботы о безопасности он выполняет еще и другие функции). Этот маршрутизатор-брандмауэр является специализированным компьютером, но его специализация оказалась гораздо шире, чем было изначально задумано.

Как правило, брандмауэры обеспечивают многоуровневую защиту и используют механизмы предупреждения, сообщают сетевым менеджерам о случаях попытки несанкционированного доступа к сети. Необходимо также подчеркнуть, что некоторые брандмауэры поддерживают частные виртуальные сети (например, между головным и дочерним офисами через общедоступную сеть).

Межсетевые экраны

Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например, через сеть Интернет, требует качественного решения двух базовых задач:

защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
защиты информации в процессе передачи по открытым каналам связи.

Решение первой задачи основано на использовании межсетевых экранов (брандмауэров), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Для защиты локальных сетей брандмауэр располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливается на этом же компьютере, а сам межсетевой экран в этом случае называют персональным.

В обыденной жизни брандмауэром называется стена, сделанная из негорючих материалов и препятствующая распространению огня. В сфере компьютерных технологий брандмауэр представляет собой барьер, защищающий от виртуального пожара – попыток злоумышленников проникнуть в сеть или в ПК.

Различают два вида брандмауэров:

Брандмауэры, предназначенные для защиты индивидуального пользователя, называют персональными брандмауэрами, персональными фаерволами или системами персонального экранирования;
Брандмауэры, предназначенные для защиты локальной или корпоративной сети, называют корпоративными брандмауэрами, сетевыми брандмауэрами или межсетевыми экранами.

Межсетевые экраны, которые устанавливают у себя сервис-провайдеры, не обеспечивают защиты индивидуального пользователя, подсоединяющегося к сети Интернет через модем.

Сервис-провайдеры, как правило, защищают только сервер базы данных. В этих базах хранится конфиденциальная информация, доступная только локальным клиентам.

Персональные межсетевые экраны

Для защиты локальных компьютеров, имеющих выход в Интернет, используются персональные брандмауэры или межсетевые экраны, которые еще называют файерволом (от firewall – «огненная стена»).

Персональный межсетевой экран является универсальным программным средством, обеспечивающим защиту компьютера от несанкционированного доступа к его различным информационным ресурсам по протоколу TCP/IP (Transmission Control Protocol/Internet Protocol) посредством контроля всей сетевой активности ПК путем отслеживания состояния портов и попыток подключения к ним из Глобальной сети, а также путем фиксирования на ПК всех программ, которые пытаются несанкционированно выйти в Интернет.

Межсетевой экран включает в себя фильтр пакетов (именно он и называется «файервол»). Эта служба может быть как встроенной в ядро операционной системы, на которой работает экран, так и устанавливаемой отдельно. Они помогают сохранить информацию, находящуюся на дисках компьютера, как от несанкционированного доступа, так и попыток передачи информации о пользователе в сеть, а также прикрывают порты от внешних атак. Персональные брандмауэры фильтруют весь входящий и исходящий трафик, чем могут создать довольно много трудностей для взломщика.

Основой этой программы является драйвер, взаимодействующий непосредственно с драйвером сетевого уровня. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера. Персональный межсетевой экран в большинстве случаев после инсталляции не требует дополнительных настроек и обеспечивает защиту компьютера еще на этапе его загрузки. При установке персонального межсетевого экрана к компьютерам не предъявляется никаких дополнительных требований — это может быть стационарный или переносной компьютер с операционной системой Windows 95/98/Me/NT/2000/XP и модемом или сетевой картой.

Принцип работы брандмауэров

Вся связь в Интернете реализована посредством обмена индивидуальными пакетами данных. Каждый пакет передается машине адресата от исходной машины. По существу, ПК «соглашаются» с тем, что они связаны, и каждая машина посылает назад пакеты подтверждения, чтобы исходная машина узнала, что данные были получены. Достичь адресата пакет сможет, если будет содержать адрес получателя и номер порта, определяющий, какой программе следует обрабатывать данный пакет. Для того чтобы компьютер получения «знал» отправителя пакета, каждый пакет должен также содержать IP-адрес и номер порта принимающей машины. Таким образом, любой пакет, путешествующий в Сети, обязательно содержит адрес отправителя и получателя, и именно эта информация, прежде всего, нуждается в защите. Программное обеспечение межсетевой защиты «осматривает» каждый ПК (все его порты) и каждый пакет данных, прежде чем тот достигнет нужного компьютера, и будут запущены другие приложения, которым адресованы эти пакеты. До завершения сеанса связи все последующие входящие пакеты проверяются лишь на соответствие порта и адреса получателя, а также адреса отправителя. В силу этого существующие сегодня способы хакерских атак часто основаны на подмене адреса исходящего пакета на адрес, уже участвующий в сеансе связи. Поскольку при установке сеанса связи соединение между двумя ПК является двунаправленным и из-за ограничений, налагаемых протоколами связи, длина передаваемых пакетов является конечной, то для гарантированного качественного соединения пакеты во встречных потоках маркируются особым образом. В их состав входят АСК-биты (Acknowledgement), подтверждающие безошибочный прием предыдущего пакета. По отсутствию этих битов брандмауэр определяет, что устанавливается новый сеанс связи. Таким образом, пакеты, являющиеся частью установленного соединения, проходят сквозь брандмауэр, а пакеты, предназначенные для попытки соединения и имеющие те же адреса получателя, — блокируются.

1 / 31 2 3 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
15.04.2019241.15 Кб2тема 12.doc
#
12.08.201983.02 Кб1тема 13 финансовая палитика.docx
#
04.05.2019211.46 Кб4Тема 14 Протокольный стек TCPIP.doc
#
04.05.2019274.94 Кб4Тема 17 IP адреса Маски подсети Основной шлюз.doc
#
12.08.201948.44 Кб1тема 2 финансовая система.docx
#
04.05.2019120.83 Кб2Тема 23 Межсетевые экраны.doc
#
04.05.201973.73 Кб4Тема 24 Проектирование сети и выбор аппаратных...doc
#
04.05.2019179.2 Кб3Тема 29 Сетевые ОС.doc
#
20.04.2015128.51 Кб11Тема 2_Правовые основы АД_2.doc
#
03.05.201952.74 Кб2Тема 3 Классификация сетей.doc
#
20.04.2015162.82 Кб37Тема 3 Управление капиталом.doc