125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Iнформацiйна%20%20безпека%20%20iнфо
.pdfЛабораторна робота № 6 Налаштовування та адміністрування міжмережних екранів
1. Мета роботи
Вивчення структури, функцій та набуття навиків налагодження та технічної експлуатації міжмережних екранів (брандмауерів), реалізованих у локальних обчислювальних мережах (ЛОМ) та автоматизованих робочих місцях (АРМ). Крім того, вивчаються типи політик мережного доступу, технічна реалізація цих політик, вибір типів міжмережних екранів для забезпечення безпеки ЛОМ, порядок їх реалізації і технічної експлуатації.
2.Ключові положення
2.1Призначення міжмережних екранів та причини їх використання
Розвиток сучасних інформаційних технологій привів до появи нового
механізму безпеки - межмережного екранування. Даний механізм вирішує завдання аналізу інформаційних потоків, що проходять між виділеними сегментами інформаційної системи з розмежуванням доступу й прихованням топології й функціональності кожного із сегментів. Найбільш повно дана функція реалізована в міжмережних екранах (firewall).
Сучасні міжмережні екрани являють собою програмно-апаратні комплекси, реалізовані на сучасних ОС, що відповідають високим вимогам у частині безпеки й надійності функціонування, аналізують і розділяють інформаційні потоки на всіх рівнях моделі ISO/OSI, містять засоби моніторингу й автоматичного реагування на спроби НСД.
Крім класичних варіантів міжмережне екранування перспективно використати в Internet-додатках. Internet-рішення засновані на використанні засобів, застосовуваних в інформаційній структурі Internet, тому на ці рішення часто поширюють недоліки, типові для роботи в Internet. Ця точка зору заснована на недооцінці специфіки Internet-систем.
Архітектурно Internet-системи являють собою трирівневі системи “клієнтсервер” з використанням WWW-сервера в якості ПО як проміжного шару. Оскільки саме трирівневі системи звичайно використовуються для найбільш ефективної роботи механізмів безпеки, немає підстав сумніватися в можливості настільки ж успішного впровадження механізмів безпеки в Internet-системи. Додатковою перевагою такого підходу буде можливість атестації таких систем відповідно до діючого законодавства. У цьому випадку WWW-сервер використає механізм екранування сервисів для створення незалежного засобу доступу й блокування дії програмних закладок у ПО сервера баз даних.
2.2 Компоненти брандмауера
Основними компонентами брандмауера є:
−політика мережного доступу;
−механізми посиленої автентифікації;
−фільтрація пакетів;
−прикладні шлюзи.
71
2.3 Можливі різні конфігурації брандмауерів:
−брандмауер з пакетною фільтрацією;
−брандмауер зі шлюзом із двома адресами;
−брандмауер з екранованим хостом;
−брандмауер з екранованою мережею;
−інші.
2.4 Основні етапи настроювання міжмережного екрана
рисунок 1
72
рисунок 2
Закладка – загальні (рисунок 2). У самому верху вікна опція - завантаження й три варіанти на вибір - звичайний, фоновий і не завантажувати. За замовчуванням встановлено перший варіант.
рисунок 3
Закладка – додатки (рисунок 3). У цьому вікні будуть з'являтися програми в міру їхнього першого запуску й виходу в мережу. Діляться додатки (мається на увазі програми) на три категорії - заборонені, користувальницький рівень і
73
дозволені. Заборонені - це ті програми, яким адміністратор заблокував доступ до інтернету;до користувальницького рівня відносяться ті програми, для яких адміністратор склав певні правила використання мережі (тобто не все можна, а тільки певні дії) і нарешті останній варіант - це дозволені програми, тобто ті, котрим дозволено все (мається на увазі, що використати мережу вони можуть як завгодно). Кнопка “компоненти” відображає всі складові програм із цього вікна - динамічні бібліотеки, запущені файли, тобто всі ті компоненти програм, які власне кажучи й використовують мережу (рис. 4).
рисунок 4
рисунок 5
Закладка - системні. Сюди входять - настроювання мережі (рис. 6), ICMP (Internet Control Message Protocol) використовується, щоб посилати повідомлення про помилки керування між комп'ютерами, зв'язаними за мережею (рис. 7). Ці параметри встановлені за замовчуванням. Далі секція -
74
режим невидимості. Тут два варіанти - включений/виключений, за замовчуванням цей режим включений.
рисунок 6
рисунок 7
Секція “загальні правила” показана на рис. 8. У цьому вікні можна побачити встановлені правила використання мережі, сюди ж можна додавати й свої правила. і це буде відноситись до варіанта програм користувальницького рівня.
75
рисунок 8
Закладка - політики (рис. 9). Тут є досить багатий вибір, що залежить від цілей, які переслідує адміністратор. Такі як - дозволяти (будуть дозволені всі з'єднання, крім заблокованих), режим навчання. При цьому режимі все, що взаємодіє з мережею й запускається в перший раз буде піддано питанню програми - як взаємодіяти із цим? І залежно від відповіді адміністратора буде створене правило. Режим блокування (при ньому в протилежність режиму дозволу все, що не дозволено буде заблоковано для виходу в мережу), далі, режим заборони (при ньому абсолютно все буде заблоковано, у не залежності від правил дозволу), нарешті, режим відключення (відключає активність програми, тобто не закриваючи її можливе користування Інтернетом начебто ніякого міжмережного екрану не встановлено).
рисунок 9
Переходимо до останньої закладки настроювань, на якій підключаються модулі (рис. 10), простіше кажучи плагіни. Із програмою йдуть шість плагінів,
76
хоча окремо можна встановлювати більше. Перелічимо ті, що йдуть у комплекті.
рисунок 10
Atack Detection (рис. 11). Подивившись на рис. 11, ви побачите настроювання за замовчуванням, хоча рівень можна встановити на один із трьох - байдужий (програма при ньому буде видавати попередження тільки у випадку 100% атаки на комп'ютер), далі йде режим за замовчуванням - звичайний (при ньому будуть видаватися попередження при скануванні портів комп'ютера), нарешті, третій, максимальний режим (при ньому, навіть при скануванні одного порту на комп'ютері буде видаватися попередження).
77
рисунок 11
Attachments Filter (рис. 12) - цей плагін дозволяє настроїти роботу із вкладеннями в листи. Залежно від типу файла, вкладеного в лист, можна або перейменувати його, або повідомити про вкладення.
рисунок 12
78
Active Content Filtering (рис. 13) - це своєрідний аналог настроювань безпеки в браузері. Плагін цей за замовчуванням працює.
рисунок 13
Content Filtering (рис. 14). З допомогою цієї опції можна ввести адреси сайтів або просто окремі слова, виявивши які програма буде блокувати доступ до них. За замовчуванням плагін активний, але список у нього порожній.
рисунок 14
Domain Name Cache (рис. 15) - плагін частково виконуючої функції проксі. Ця опція дозволяє настроїти фіксовану кількість DNS адрес, яку
79
необхідно запам'ятовувати й скільки їх пам'ятати. Це дасть можливість швидше завантажувати сторінки, оскільки не потрібно буде щораз шукати відповідність DNS адрес та імен сайту.
рисунок 15
Advertisement Blocking (рис. 16) - блокування рекламного змісту web-
сторінки. Тут можна блокувати не тільки рекламні зображення за розміром (баннери), але й рядки рекламного характеру.
рисунок 16
80