40. Пакетные фильтры

- первоначально разработанный тип F. ПФ - часть устройств роутинга, которые могут управлять доступом на уровне системных адресов и коммуникационных сессий. ПФ анализируют информацию, содержащуюся в заголовках пакетов 3-го и 4-го уровней:

• Адрес источника пакета,(IP-адрес, такой как 192.168.1.1).

• Адрес назначения пакета, (например, 192.168.1.2).

• Тип коммуникационной сессии, т.е. конкретный сетевой протокол, используемый для взаимодействия между системами или устройствами источника и назначения (например, ТСР, UDP или ICMP).

• характеристики коммуникационных сессий уровня 4, порты источника и назначения сессий (ТСР:80 для порта назначения, , ТСР:1320 для порта источника).

Иногда:

• инфа, относящаяся к интерфейсу роутера,

• инфа, характеризующая направление, в котором пакет пересекает интерфейс, т.е. входящий или исходящий пакет для данного интерфейса.

• свойства, относящиеся к созданию логов для данного пакета.

ПФ могут быть реализованы в компонентах сетевой инфраструктуры: пограничные роутеры(осуществляет проверку списка контроля доступа для управления сетевым трафиком); ОС; персональные F

“+” - скорость, тк функционируют на 3 уровне OSI, на границе сети(dmz(промежуточная сеть между пограничным роутером и внутреннем) и Inet).

ПФ прозрачен для клиентов и серверов, так как не разрывает ТСР-соединение.

“-” - не анализируют данные более высоких уровней; атаки со стороны приложений - ПФ не может блокировать конкретные команды приложения, если фильтр разрешил трафик

Логи ПФ содержат инфу, которая использовалась при принятии решения о возможности доступа (адрес источника, адрес назначения, тип трафика

Нет аутентификации пользователя

подделка (spoofing) сетевого адреса. ПФ трудно конфигурировать

ПФ подходят, когда создание logов и аутентификация не важны.

ПФ высокопроизводительны и реализуются в устройствах, обеспечивающих высокую доступность и надежность

40. Firewall. Stateful Inspection firewall’ы. Преимущества и недостатки.

41. Firewall. Host-based firewall'ы. Преимущества и недостатки.

Пакетные фильтры могут использоваться только для обеспечения безопасности хоста, на котором они функционируют. Это полезно при совместном функционировании с различными серверами;( внутренний web-сервер может выполняться на системе, на которой функционирует host-based F)

• + - внутренние серверы сами по себе защищены благодаря host-based F.

ПО, реализующее H-BF, предоставляет возможность управления доступом для ограничения трафика к и от серверов, выполняющихся на том же хосте, существуют определенные возможности создания логов.

Подходят для внутренних сетей небольших офисов, сравнительно небольшая цена.

• -Правила для каждого хоста должны задаваться вручную, с учетом спецификации хоста.

40. Ids. Понятие. Зачем нужны (ведь у нас уже есть firewall и antivirus!).

IDS - прогр или аппаратные системами, которые автоматизируют процесс мониторинга и просмотра событий, возникающих в комп системе или сети, и анализируют их, обнаруживают проникновения. Количество сетевых атак возрастает, и IDS становятся необходимым дополнением инфраструктуры безопасности.

IDS состоят из: 1информационных источников, 2анализа и 3ответа(отчет или активное вмешательство).

Firewall преграждают вход только некоторым типам сетевого трафика, на основе политики.IDS могут обнаружить атакующих, которые обошли F.

+

1. Возможность иметь реакцию на атаку. (а в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника, это трудно реализовать) Ответственность атакующего

2. Блокирование источника

Новые уязвимости можно посмотреть на ICAT, CERT. Однако, обновления не всегда могут быть выполнены; администраторам не хватает времени; ошибки пользователей и адм; При конфигурировании системных механизмов управления доступом для реализации конкретной политики могут существовать несоответствия.

Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы.IDS остановит неспецифическую активность, от кот нет еще защиты.

3. Возможно определение преамбул атак, имеющих вид сетевого зондирования(проверка системы на возможные точки входа.) для обнаружения уязвимостей, и предотвращения их развития.

4. Документирование существующих угроз для сети и систем.

5. Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.

6. IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.