Безпека Internet
Навряд чи слід перераховувати всі переваги, які вона отримує сучасне підприємство, маючи доступом до глобальної мережі Internet. Але, як і ще нові технології, використання Internet має й негативні наслідки. Розвиток глобальних мереж призвело до багаторазовому збільшення кількості користувачів і збільшення кількості атак на комп’ютери, підключені мережі Internet. Щорічні втрати, зумовлені… Читати ще >
Безпека Internet (реферат, курсова, диплом, контрольна)
МІНІСТЕРСТВО ОБРАЗОВАНИ.
РОСІЙСЬКОЇ ФЕДЕРАЦИИ.
Воронезький державний технічний университет.
Кафедра Систем інформаційної безопасности.
РЕФЕРАТ.
Тема: «Безпека Internet: брандмауэры. «.
Виконав: Студент групи ЗИ-991.
Горбунов.
Микита Александрович.
Принял:______________________.
Воронеж 2000.
1) Актуальність темы…3 2) Щит від несанкціонованого доступа…4 3) Конструктивні решения…5 4) Рівень опасности…6 5) Чому брандмауэр…7 6) Міжмережевий екран як від вторгнення из.
Internet…8 7) Основні компоненти межсетевых экранов…13.
А) Фільтруючі маршрутизаторы…13.
Б) Шлюзи мережного уровня…16.
У) Шлюзи прикладного уровня…18.
Р) Посилена аутентификация…21 8) Основні схеми мережевий захисту з урахуванням межсетевого экрана…23.
А) Міжмережевий екран — фільтруючий маршрутизатор…23.
Б) Міжмережевий екран — з урахуванням двупортового шлюза…24.
У) Міжмережевий екран з урахуванням екранізування шлюза…25.
Р) Міжмережевий екран — экранированная подсеть …27.
Д) Застосування межсетевых екранів в організацію віртуальних корпоративних …29 9) Программные методи защиты…29 10) Заключение…33 11) Список використовуваної литературы…34.
Актуальність темы.
Інтенсивне розвиток глобальних комп’ютерних мереж. поява нових технологій пошуку інформації приваблюють дедалі більше уваги до неї Internet зі боку приватних осіб і різних організацій. Багато організації вирішили про інтеграцію своїх локальних і корпоративних мереж в глобальну мережу. Використання глобальних мереж з метою, а також за передачі інформації, що містить відомості конфіденційного характеру, тягне у себе необхідність побудови ефективну систему захисту інформації. Нині у Росії глобальні мережі застосовуються передачі комерційної інформації різного рівня конфіденційності, наприклад для зв’язку з віддаленими офісами з головний штаб квартири організації, або створення Webсторінки організації з розміщеної у ньому між рекламою й діловими предложениями.
Навряд чи слід перераховувати всі переваги, які вона отримує сучасне підприємство, маючи доступом до глобальної мережі Internet. Але, як і ще нові технології, використання Internet має й негативні наслідки. Розвиток глобальних мереж призвело до багаторазовому збільшення кількості користувачів і збільшення кількості атак на комп’ютери, підключені мережі Internet. Щорічні втрати, зумовлені недостатнім рівнем захищеності комп’ютерів, оцінюються десятками мільйонів. При підключенні до Internet локальної чи корпоративної мережі слід подбати про забезпечення інформаційної безпеки цієї мережі. Глобальна мережу Internet створювалася як відкритої системи, призначена для вільного обміну інформацією між. З огляду на відкритості своєї ідеології Internet надає для зловмисників значно більші можливості проти традиційними інформаційними системами. У цій питання проблему захисту мереж, і її компонентів ставати досить важливим і досить актуальним і цей час, час прогресу і комп’ютерних технологій. Багато країн нарешті зрозуміли важливість цієї проблеми. Відбувається збільшення витрат й зусиль вкладених у виробництво та поліпшення різних засобів захисту. Основною метою реферату є розгляд, вивчення функціонування однієї з засобів мережевий захисту як брандмауэр чи міжмережевий екран. Який на цей час є найнадійнішим у плані захисту з запропонованих средств.
Щит від несанкціонованого доступа.
З метою запобігання несанкціонованого доступу до своїх мереж, багато компаній, підключені Internet, покладаються на брандмауэры. Проте, досягаючи у своїй своєї мети, користувач брандмауэра зіштовхнеться із необхідністю вибору між простий роботою й безпекою системы.
Брандмауэр — це з кількох шляхів захисту вашої мережі, одної, яким ви не довіряєте. Взагалі є безліч варіантів забезпечення такої захисту, проте у принципі брандмауэр можна видати за пару механізмів: один — для блокування, другий — для дозволу трафика.
Основною причиною для установки у приватному мережі брандмауэра практично завжди є прагнення користувача захистити мережу від несанкціонованого вторгнення. Найчастіше мережу захищають від нелегального доступу до системним ресурсів, і навіть від відправки який або інформації зовні баз відома її власника. У окремих випадках експорт інформації не сприймається як особливо важливу проблему, проте, для багатьох корпорацій, підключення до Internet, це питання першорядної важливості. Багато організації вдаються до найпростішим шляхом, щоб уникнути подібних неприємностей: просто не підключаються до Internet. Але це вже вдале рішення. Якщо така мережу децентралізована чи ні керована, будь-який пересічний працівник компанії, має доступом до швидкісному модему, може без особливих зусиль підключиться до Internet з допомогою SLIP, що може спричинити спричиняє порушення безпеки всієї сети.
В багатьох випадках можна сказати, що з захисту мережі найкраще встановити брандмауэр. Хоча будь-який ваш співробітник може винести з офісу будь-яку доступну йому інформацію на касетах і дискетах. Internet, бадьорий небезпечними вандалами, таїть у собі набагато більшу загрозу. Їх прорив у локальну мережу компанії, внаслідок організації захисту, справді може коштувати менеджеру мережі місця роботи, навіть якщо збитки при не буде більше, ніж міг бути у разі безпосереднього підключення до Internet через модем або у результаті помсти розсердженого співробітника. Частіше лише у організаціях, вдаються до послуг Internet, проблема переконати керівництво у необхідності брандмауэрной захисту незмірно складніше тих турбот, з якими вони зіштовхуються у її установки. У результаті те, що послуги, надані Internet, очевидні всім, цілком можливо, що вони зажадають всебічної офіційної проверки.
Конструктивні решения.
У процесі конфигурирования брандмауэра конструктивні рішення найчастіше диктуються корпоративної й організаційної політикою компанії, у області забезпечення захисту мереж. Зокрема, будь-яка фірма має зробити дуже серйозна вибір: що з неї важливіше — високий рівень захисту чи простота використання. Існує дві підходу до розв’язання цієї дилеммы.
. Не було спеціально дозволено, то заборонено;. Не було спеціально заборонено, то разрешено.
Важливість даного розмежування переоцінити неможливо. У першому випадку брандмауэр має блокувати все, а системні служби будуть доступні користувачам лише після ретельної оцінки їхньої потреби у цих службах, і навіть ступеня ризику. Такий підхід безпосередньо ускладнює користувачам життя, у результаті чимало їх вважають брандмауэры перешкодою в работе.
У другий випадок цю реакційну роль грає системний адміністратор, який зобов’язаний вміти передбачити, що насамперед, мережевих користувачів здатні послабити надійність брандмауэра, і прийняти відповідних заходів запобігання таких спроб. У результаті такого підходу конфлікт між адміністратором брандмауэра і користувачами розвивається за наростаючою і може бути справді серйозним. Якщо користувачі не усвідомлюють важливості заходів обережності у плані гарантування безпеки сіті й не виконують їх, вони часто здатні піддати ризику усю мережу. Якщо користувачі біля входу до систему (login) отримуватимуть необмежений доступом до брандмауэру, в системі безпеки мережі може виникнути велика пролом. Власне кажучи, наявність користувальних входів в брандмауэрную систему має тенденцію значною мері збільшувати проблему схоронності системы.
Друге найважливіше формулювання у сфері політики безпеки говорить: «Не було спеціально заборонено, те дозволено «Такий їхній підхід найбільш надійний, оскільки він звільняє системного адміністратора від виробничої необхідності приймати рішення, які TCP—порты безпечні чи які ще проломи залишили у системі виробники ядра чи програм. (TCP — протокол транспортного рівня, застосовуваний у Internet в організацію надійної двосторонньої доставки даних, використовуваний багатьма прикладними програмами TCP/IP). Оскільки продавці зовсім не від квапляться оприлюднювати вади свого програмного забезпечення, даний підхід ефективніший, бо, в сутності, основу його лежить твердження, що цілком все, чого ви знаєте, може завдати вам вред.
Рівень опасности.
Є кілька шляхів звести нанівець або піддати ризику брандмауэрную захист. І хоча вони всі погані, про деякі з упевненістю казати як «про найнеприємніших. Виходячи з розуміння, що метою установки більшості брандмауэров є блокування доступу, очевидно, що виявлення будь-ким лазівки, що дозволяє поринути у систему, веде до повного краху всієї захисту даної системи. Якщо ж несанкціонованому користувачеві вдалося поринути у брандмауэр і переконфигурировать його, ситуація може взяти ще більш загрозливого характеру. З метою розмежування термінології приймемо, що у першому випадку маємо справа зі зламуванням брандмауэрной захисту, тоді як у другому — які з її руйнацією. Ступінь шкоди, котрі можуть спричинити за собою руйнація брандмауэрной захисту, визначити надзвичайно складно. Найбільш повні інформацію про надійності такого захисту може дати добро тільки інформацію про розпочатої спробі зламування, зібрана цим брандмауэром. Найстрашніше погане приміром із системи захисту тоді, коли за повної руйнуванні брандмауэра іншого ні найменших слідів, вказують те що, як це робилося. У найкращому випадку брандмауэр сам виявляє спробу зламування і чемно інформує звідси адміністратора. Спроба у своїй приречена провал.
Одне з способів визначити результат спроби зламування брандмауэрной захисту — перевірити стан речей в про зонах ризику. Якщо мережу приєднана до Internet без брандмауэра, об'єктом нападу стане вся мережу. Така ситуація як така передбачає, що мережу стає вразливою кожної спроби зламування. Але якщо вона приєднується до спільної небезпечної мережі, адміністратору доведеться забезпечувати безпеку кожного вузла окремо. Що стосується освіти проломи в брандмауэре зона ризику розширюється й охоплює всю захищену мережу. Зломщик, який одержав доступом до входу в брандмауэр, може звернутися до методу «захоплення островів «користуючись брандмауэром як базою, охопити всю локальну мережу. Така ситуація все-таки дасть слабку надію, бо порушник може залишити сліди в брандмауэре, і можна буде викрити. Якщо ж брандмауэр повністю виведено з ладу, локальна мережу стає відкритої для нападу з зовнішньої системи, й визначення характеру цього нападу стає практично невозможным.
Загалом, цілком імовірно розглядати брандмауэр як звуження зони ризику до точки ушкодження. У певному значенні це може бути не вельми вдалою ідеєю, адже такий нагадує складання яєць до однієї кошик. Проте практикою підтверджено, будь-яка досить велика мережу включає, по меншою мірою, кілька вузлів, уразливих при спробі зламування навіть дуже досвідченим порушником, якщо в нього достатнього при цьому часу. Багато великі компанії мають на озброєнні організаційну політику забезпечення безпеки вузлів, розроблену з урахуванням цих недоліків. Однак було б дуже розумним повністю покладатися виключно на правила. Саме з допомогою брандмауэра можна підвищити надійність вузлів, спрямовуючи порушника у такому вузький тунель, що з’являється реальний шанс виявити і вистежити його, до того як і наробить бід. Приблизно так, як середньовічні замки обносили кількома стінами, в нашому випадку створюється взаимоблокирующая защита.
Чому брандмауэр?
Через Internet порушник може:. вторгнутися у внутрішнє мережу підприємства й отримати не санкціонованого доступу до конфіденційної комп’ютерної інформації;. незаконно скопіювати важливу й цінну підприємствам інформацію;. отримати паролі, адреси серверів, а часом та його вміст;. укладати інформаційну систему підприємства під назвою зареєстрованого користувача і т.д.
З допомогою отриманої зловмисником інформації то, можливо серйозно підірвана конкурентоспроможність підприємства міста і довіру його клиентов.
Є багато видів захисту у мережі, але це найбільш ефективний засіб зашиті об'єкта від нападу, одночасно дозволяє користувачам мати певний доступом до службам Internet, у побудові брандмауэра. Щоб брандмауэр виявився досить ефективним, необхідно старанно вибрати його конфігурацію, встановити і поддерживать.
Брандмауэры є апаратно — програмний підхід, яке обмежує доступ з допомогою примусового прокладання всіх комунікацій, які йдуть із внутрішньої мережі в Internet, з Internet у внутрішнє мережу, цю засіб захисту. Брандмауэры дозволяють також захищати частина вашої внутрішньої мережі від інших її елементів. Апаратні кошти й програмне забезпечення, що утворюють брандмауэр, фільтрують весь трафік і вирішили: чи можна пропустити цей трафік — електронної пошти, файли, дистанційну реєстрацію й інші операції. Організації встановлюють конфігурацію брандмауэров різними способами. На про деякі об'єкти брандмауэры повністю блокують доступ в Internet і з неї, але в інших обмежують доступ в такий спосіб, що тільки одна машина чи користувач може з'єднуватися через Internet з машинами поза внутрішньої мережі. Іноді реалізуються складніші правила, куди входять перевірку кожного повідомлення, спрямованого з внутрішньо мережі на зовнішній, щоб переконається згідно конкретним вимогам стратегії забезпечення безпеки цьому об'єкті. Попри ефективність у цілому, брандмауэр не забезпечує захисту від власного персоналу чи то з зловмисника, вже подолав цей засіб мережевий защиты.
Міжмережевий екран як від вторгнення из.
Internet.
Ряд завдань із відображенню найімовірніших загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани, У виконанні вітчизняної літературі досі використовувалися натомість терміна інші терміни зарубіжного походження: брандмауэр і firewall. Поза комп’ютерної сфери брандмауэром (чи firewall) називають стіну, зроблену з негорючих матеріалів і перешкоджає поширенню пожежі. У сфері комп’ютерних мереж міжмережевий екран є бар'єр, який від фігурального пожежі - спроб зловмисників вторгнутися у внутрішнє мережу у тому, щоб скопіювати, змінити чи стерти інформацію або скористатися пам’яттю чи обчислювальної потужністю що працюють у цієї мережі комп’ютерів. Міжмережевий екран покликаний забезпечити безпечний доступом до зовнішньої сіті й обмежити доступ зовнішніх користувачів до внутрішньої сети.
Міжмережевий екран (МЕ) — це система міжмережевий захисту. що дозволяє розділити загальну мережу на частини чи більше і реалізувати набір правил, визначальних умови проходження пакетів з цими з-за кордону з частині загальної мережі до іншої. Зазвичай, ця кордон проводиться між корпоративної (локальної) мережею підприємства міста і глобальної мережею Internet, хоча яку можна провести і усередині корпоративної мережі підприємства. МЕ пропускає через себе всю трафік, приймаючи кожному за який струменіє пакета рішення — пропускати його відкинути. Щоб МЕ міг досягти цього йому необхідно визначити набір правил фильтрации.
Зазвичай міжмережеві екрани захищають мережу підприємства від «вторгнень «з глобальної мережі Internet, але вони можна використовувати для захисту від «нападів «з корпоративної интрасети, до котрої я підключена локальна мережу підприємства. Жоден міжмережевий екран неспроможна гарантувати повної захисту внутрішньої мережі попри всі можливих обставин. Проте більшості комерційних організацій установка межсетевого екрана є необхідною умовою забезпечення безпеки внутрішньої мережі. Головний доказ на користь застосування межсетевого екрана у тому, що нього системи внутрішньої мережі наражаються на небезпеку із боку слабко захищених служб мережі Internet, і навіть зондуванню і атакам з якихабо інших хост-компьютеров зовнішньої сети.
Локальна мережу Локальна мережу. Схема встановлення межсетевого экрана.
Проблеми недостатньою інформаційну безпеку є «уродженими «практично всім протоколів і служб Internet. Більшість них пов’язані з історичної залежністю Internet від операційній системи UNIX. Відомо, що мережа Arpanet (прабатько Internet) будувалася як мережу, котра зв’язує дослідницькі центри, наукові, військові й урядових установ, великі університети США. Ці структури використовували операційну систему UNIX в ролі платформи для комунікацій і рішення власних завдань. Тому особливості методології програмування серед UNIX і його архітектури наклали відбиток у протоколів обміну та політики безпеки у мережі. Через відкритості й поширеності система UNIX стала улюбленої здобиччю хакерів. Тому не дивовижно, що набір протоколів TCP/IP, що забезпечує комунікації в глобальної мережі Internet й у одержують дедалі більшу популярність интрасетях, має «вроджені «недоліки захисту. Це ж можна згадати і ряді служб Internet.
Набір протоколів керування передаванням повідомлень в Internet (Transmission Control Protocol/Internet Protocol — TCP/IP) використовується в організацію комунікацій в неоднорідною мережевий середовищі, забезпечуючи сумісність між комп’ютерами різних типів. Сумісність — одна з головних переваг TCP/IP, тому більшість локальних комп’ютерних мереж підтримує ці протоколи. З іншого боку, протоколи TCP/IP надають доступом до ресурсів глобальної мережі Internet. Оскільки TCP/IP підтримує маршрутизацію пакетів, він використовують у ролі межсетевого протоколу. Завдяки свою популярність TCP/IP став стандартом де чинника для межсетевого взаимодействия.
У заголовках пакетів TCP/IP вказується інформація, яка може піддатися нападам хакерів. Зокрема, хакер може підмінити адресу відправника у «шкідливих «пакетах, після чого вони виглядати, як пакети, передані авторизированным клиентом.
Зазначу «вроджені слабкості «деяких поширених служб Internet.
Простий протокол передачі електронної пошти (Simple Mail Transfer Protocol — SMTP) дозволяє здійснювати поштову транспортну службу Internet. Одна проблеми безпеки, пов’язана з цим протоколом, у тому, що користувач неспроможна перевірити адресу відправника в заголовку повідомлення електронної пошти. Через війну хакер може послати у внутрішнє мережу дуже багато поштових повідомлень, що розслідування приведе до перевантаження і блокування роботи поштового сервера.
Популярна в Internet програма електронної пошти Sendmail використовує до роботи деяку мережну інформацію — IP-адрес відправника. Перехоплюючи повідомлення, відправлені з допомогою Sendmail, хакер може вжити цю інформацію для нападів, наприклад для спуфинга (підміни адресов).
Протокол передачі файлів (File Transfer Protocol — FTP) забезпечує передачу текстових і двійкових файлів, тому його часто використав Internet в організацію спільного доступу до інформації. Його зазвичай розглядають як із методів роботи з віддаленими мережами. На FTP-серверах зберігаються документи, програми, графіку й решта видів інформації. До даним цих файлів на FTP-серверах не можна звернутися безпосередньо. Це можна зробити, лише переписавши їх повністю з FTP-сервера на локальний сервер. Деякі FTP-серверы обмежують доступ користувачів до своїх архівам даних із допомогою пароля, інші надають вільний доступ (так званий анонімний FTP-сервер). З використанням опції анонімного FTP для свого серверу користувач має бути переконаний, що вона зберігаються лише файли, призначені для вільного распространения.
Служба мережевих імен (Domain Name System — DNS) є розподілену базі даних, яка перетворює імена користувачів і хост-компьютеров в IPадреси, указываемые в заголовках пакетів, і навпаки. DNS також зберігає інформацію про структуру мережі компанії, наприклад кількості комп’ютерів з IP-адресами у кожному домені. Однією проблеми DNS і те, що цей базу даних дуже важко «приховати «від неавторизированных користувачів. Через війну DNS часто використовується хакерами як джерело інформацію про іменах довірених хост-компьютеров.
Служба эмуляции віддаленого термінала (TELNET) вживається для підключення до віддаленим системам, приєднаним до неї, застосовує базові спроби з эмуляции термінала. З використанням цього сервісу Internet користувачі повинні реєструватися на сервері TELNET, вводячи свої ім'я і пароль. Після аутентифікації користувача його робоча станція функціонує як «тупого «термінала, підключеного зовнішнього хосткомп’ютера. З цієї термінала користувач може запроваджувати команди, що забезпечують йому доступом до файлам і запуск програм. Підключившись до сервера TELNET, хакер може сконфигурировать його програму в такий спосіб, щоб він записувала імена і паролі пользователей.
всесвітнє павутиння (World Wide Web — WWW) — це система, джерело якої в мережевих додатках, які дозволяють користувачам переглядати вміст різних серверів в Internet чи интрасетях. Найбільш корисним властивістю WWW є використання гіпертекстових документів, у яких вмонтовані посилання інших документів і Web-узлы, що дозволяє користувачам можливість легко переходити від однієї вузла до іншого. Але це ж властивість є і найслабшою місцем системи WWW, оскільки посилання Web-узлы, які у гіпертекстових документах, містять інформацію у тому, як здійснюється доступом до відповідним вузлам. За такою інформацію, хакери можуть зруйнувати Webвузол або одержати доступом до що зберігається у ньому конфіденційної информации.
До уразливим службам і протоколів Internet ставляться також протокол копіювання UUCP, протокол маршрутизації RIP, графічна віконна система Х Windows і др.
Рішення у тому, фільтрувати з допомогою межсетевого екрана конкретні протоколи і адреси, залежить від ухваленій у защищаемой мережі політики безпеки. Міжмережевий екран є набором компонентів, настраиваемых в такий спосіб, щоб реалізувати обрану політику безпеки. У частковості, вирішити, було б обмежений доступ користувачів до визначених службам Internet з урахуванням протоколів TCP/IP і якщо буде, то аж як степени.
Політика мережевий безпеки кожної організації повинна мати дві складові:. політику доступу до мережним сервісів;. політику реалізації межсетевых экранов.
Відповідно до політикою доступу до мережним сервісів визначається список сервісів Internet, до яким користувачі повинен мати обмежений доступ. Задаються також обмеження на методи доступу, наприклад, використання протоколів SLIP (Serial Line Internet Protocol) і РРР (Point-to-Point Protocol). Обмеження методів доступу потрібно, щоб користувачі було неможливо звертатися до «забороненим «сервісів Internet обхідними шляхами. Наприклад, для обмеження доступу в Internet мережевий адміністратор встановлює спеціальний шлюз, який дозволяє користувачам працювати у системі WWW, вони б встановити РРР-соединения з Web-серверами по коммутируемой линии.
Політика доступу до мережним сервісів зазвичай полягає в одному з таких принципів: 1) заборонити доступ з Internet у внутрішнє мережу, але дозволити доступ з управління внутрішньої мережі в Internet; 2) дозволити обмежений доступ у внутрішнє мережа з Internet, забезпечуючи роботу лише окремих «авторизированных «систем, наприклад поштових серверов.
Відповідно до політикою реалізації межсетевых екранів визначаються правила доступу до ресурсів внутрішньої мережі. Насамперед, необхідно встановити, наскільки «довірчій «чи «підозрілої «повинна бути система захисту. Інакше кажучи, правила доступу до внутрішнім ресурсів мусять базуватися одному з наступних принципів: 1) забороняти усе, що не дозволено в явною формі; 2) вирішувати усе, що не заборонено в явною форме.
Реалізація межсетевого екрана з урахуванням першого принципу забезпечує значну захищеність. Проте правила доступу, сформульовані відповідно до цього принципом, можуть доставляти великі незручності користувачам, крім того, їх реалізація обходиться досить дорого. При реалізації другого принципу внутрішня мережу виявляється менш захищеної від нападів хакерів, проте, користуватися їй буде зручніше і знадобиться менше затрат.
Ефективність захисту внутрішньої мережі з допомогою межсетевых екранів залежить тільки від обраної політики доступу до мережним сервісів й адміністративного ресурсів внутрішньої мережі, а й від раціональності вибору і використання основних компонентів межсетевого экрана.
Функціональні вимоги до межсетевым екранам включають:. вимоги до фільтрації на мережному рівні;. вимоги до фільтрації на прикладному рівні;. вимогами з їх настроюванні правил фільтрації і адмініструванню;. вимоги до засобів мережевий аутентифікації;. вимогами з впровадженню журналів і учету.
Основні компоненти межсетевых экранов.
Більшість компонентів межсетевых екранів можна зарахувати до одній із трьох категорій:. фільтруючі маршрутизатори;. шлюзи мережного рівня;. шлюзи прикладного уровня.
Ці категорії можна як базові компоненти реальних межсетевых екранів. Лише поодинокі міжмережеві екрани включають тільки один з вище перерахованих категорій. Проте, ці категорії відбивають ключові можливості, що відрізняють міжмережеві екрани друг від друга.
Фільтруючі маршрутизаторы.
Фільтруючий маршрутизатор є маршрутизатор чи працюючу на сервері програму, сконфигурированные в такий спосіб, щоб фільтрувати входячи та вихідні пакети. Фільтрація пакетів складає основі інформації, котра міститься в TCPі IPзаголовках пакетів .
Фільтруючі маршрутизатори зазвичай може фільтрувати IP-пакет з урахуванням групи наступних полів заголовка пакета:. IPадресу відправника (адресу системи, яка надіслала пакет);. IP-адрес одержувача (адресу системи яка пакет);. Порт відправника (порт з'єднання перетворені на системі відправника);. Порт одержувача (порт з'єднання перетворені на системі получателя.
);
Порт — це програмне поняття, яке використовується клієнтом чи сервером для посилки чи прийому повідомлень; порт ідентифікується 16 — бітовим числом.
Нині в усіх фільтруючі маршрутизатори фільтрують пакети по TCP/UDP — порт відправника, проте багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, від якого мережного інтерфейсу маршрутизатора прийшов пакет, і далі використовують цю інформацію, як додатковий критерій фильтрации.
Фільтрація може бути різним чином заради блокування сполук з деякими хост-компьютерами чи портами. Наприклад, можна блокувати сполуки, які від конкретних адрес тих хост-компьютеров та мереж. які вважають ворожими чи ненадежными.
Додавання фільтрації по портам TCP і UDP до фільтрації по IP-адресам забезпечує більшої гнучкості. Відомо, такі сервери, як демон TELNET, зазвичай пов’язані з конкретними портами (наприклад, порт 23 протоколу TELNET). Якщо міжмережевий екран може блокувати сполуки TCP чи UDP з деякими портами чи то з них, можна реалізувати політику безпеки, коли він деяких видів сполук встановлюються тільки з конкретними хост-компьютерами.
Наприклад, внутрішня мережу може блокувати все вхідні сполуки з усіма хост-компьютерами за винятком кількох систем. Для цих систем можуть бути дозволяються тільки певні сервіси (SMTP для однієї системи та TELNET чи FTPіншої). При фільтрації по портам TCP і UDP ця політика то, можливо реалізована фильтрующим маршрутизатором чи хосткомп’ютером із можливістю фільтрації пакетов.
Як приклад роботи фільтруючого маршрутизатора розгляну реалізацію політики безпеки, допускає певні з'єднання з внутрішньої мережею з адресою 123.4.*.* Сполуки TELNET дозволяються лише з однією хост-компьютером з адресою 123.4.5.6, що може бути прикладним TELNET-шлюзом, а SMTP-соединения — лише двома хост-компьютерами з адресами 123.4.5.7 і 123.4.5.8, які можна двома шлюзами електронної пошти. Обмін по NNTP (Network News Transfer Protocol) дозволяється тільки від серверу новин з адресою 129.6.48.254 і тільки з NNTP-сервером мережі з адресою 123.4.5.9, а протокол NTP (мережного времени)-для всіх хост-компьютеров. Всі інші сервери і пакети блокуються. рации.
Перше правило дозволяє пропускати пакети TCP з мережі Internet від будь-якої джерела з номером порту великим, ніж 1023, до одержувачу з адресою 123.4.5.6 в порт 23. Порт 23 пов’язані з сервером TELNET, проте клієнти TELNET повинен мати непривилегированные порти з номерами не нижче 1024.
Друге й третє правила працюють аналогічно і дозволяють передачу пакетів до одержувачам з адресами 123.4.5.7 і 123.4.5.8 до порту 25, використовуваний SMTP.
Четверте правило пропускає пакети до NNTP-серверу мережі, але від відправника з адресою 129.6.48.254 до одержувачу з адресою 123.4.5.9 з портом призначення 119 (129.6.48.254 -єдиний NNTP-сервер, від якої внутрішня мережу отримує новини, тому доступом до мережі до виконання протоколу NNTP обмежений тільки з цієї системой).
П’яте правило дозволяє трафік NTP, який використовує протокол UDP замість TCP. від будь-якої джерела до будь-якого одержувачу внутрішньої сети.
Нарешті, шосте правило блокує й інші пакети. Якби правила був, маршрутизатор міг би блокувати, а міг і не блокувати інші типи пакетів. Вище розглянуто дуже проста приклад фільтрації пакетів. Реально використовувані правила дозволяють здійснити складнішу фільтрацію і є як гибкими.
Правила фільтрації пакетів формулюються складно, і зазвичай немає необхідних коштів для тестування їх коректності, крім повільного ручного тестування. В окремих фільтруючих маршрутизаторів немає необхідних коштів протоколювання, тому, якщо правила фільтрації пакетів все-таки дозволять небезпечним пакетів пройти через маршрутизатор, такі пакети не зможе бути виявлено до виявлення наслідків проникнення. Навіть якщо його адміністратору мережі вдасться створити ефективні правила фільтрації, їхні можливості щодо залишаються обмеженими. Наприклад, адміністратор задає правило, згідно з яким маршрутизатор буде відбраковувати все пакети з невідомим адресою відправника. Проте хакер може використовувати як адреси відправника у своїй «вредоносном «пакеті реальний адресу довіреної (авторизованого) клієнта. І тут фільтруючий маршрутизатор не зуміє відрізнити підроблений пакет від сьогодення й пропустить його. Практика показує, що такий вид нападу, званий підміною адреси, доволі поширений у мережі Internet і найчастіше виявляється эффективным.
Міжмережевий екран з фільтрацією пакетів, працюючий лише з мережному рівні еталонною моделі взаємодії відкритих систем OSI-ISO, зазвичай перевіряє інформацію, що є лише у IP-заголовках пакетів. Тому обдурити його нескладно: хакер створює заголовок, який задовольняє що дозволяє правилам фільтрації. Крім заголовка пакета, жодна інша у ньому інформація міжмережними екранами цієї категорії не проверяется.
До позитивним якостям фільтруючих маршрутизаторів слід віднести:. порівняно невисоку вартість;. гнучкість у визначенні правил фільтрації;. невелику затримку під час проходження пакетов.
Недоліками фільтруючих маршрутизаторів є:. внутрішня мережу видно (маршрутизируется) з сети.
Internet;. правила фільтрації пакетів важкі описання і вимагають дуже хороших знань технологій TCP і UDP;. у разі порушення працездатності межсетевого екрана з фільтрацією пакетів все комп’ютери його стають повністю незахищеними або недоступними;. аутентификацию з допомогою IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система дається взнаки за іншу, використовуючи її IP-адрес);. відсутня аутентификация на користувальному уровне.
Шлюзи мережного уровня.
Шлюз мережного рівня іноді називають системою трансляції мережевих адрес або шлюз сеансового рівня моделі OSI. Такий шлюз виключає, пряме взаємодія між авторизированным клієнтом і зовнішніх хосткомп’ютером. Шлюз мережного рівня приймає запит довіреної клієнта на конкретні послуги, і після перевірки допустимості запитаного сеансу встановлює з'єднання з зовнішнім хост-компьютером. Після цього шлюз копіює пакети в обох напрямках, не здійснюючи їх фильтрации.
Шлюз стежить за підтвердженням (квитированием) зв’язок між авторизированным клієнтом і зовнішніх хосткомп’ютером, визначаючи, чи є запитуваний сеанс зв’язку допустимим. Щоб виявити допустимість запиту на сеанс зв’язку, шлюз виконує процедуру.
Коли авторизированный клієнт затребувана певний сервіс, шлюз приймає цей запит, перевіряючи, задовольняє цей клієнт базовим критеріям фільтрації (наприклад, чи може DNS-сервер визначити IPадресу імені клієнта й асоційоване з нею ім'я). Потім, діючи від імені клієнта, шлюз встановлює з'єднання з зовнішнім хост-компьютером і над втіленням процедури квитирования зв’язку з протоколу TCP. Ця процедура складається з обміну TCP-пакетами, які позначаються прапорами SYN (синхронізувати) і АСК (подтвердить).
Перший пакет сеансу TCP, позначений прапором SYN і у якому довільне число, наприклад 1000. є запитом клієнта для відкриття сеансу. Зовнішній хосткомп’ютер, який одержав цей пакет, надсилає у відповідь пакет, позначений прапором АСК і у якому число, на одиницю більше, ніж у прийнятому пакеті підтверджуючи, тим самим прийом пакета SYN від клиента.
Далі здійснюється зворотна процедура: хосткомп’ютер посилає клієнту пакет SYN з вихідним числом (наприклад, 2000), а клієнт підтверджує його отримання передачею пакета АСК, що містить число 2001. У цьому процес квитирования зв’язку завершается.
Шлюз мережного рівня визнає запитане з'єднання допустимим в тому разі, якщо виконанні процедури квитирования зв’язку прапори SYN і АСК, і навіть числа, які у TCP-пакетах, виявляються логічно пов’язаними між собой.
Коли шлюз визначив, що довірений клієнт і зовнішній хост-компьютер є авторизированными учасниками сеансу TCP, і перевірив допустимість цього сеансу, він встановлює з'єднання. Починаючи відразу ж, шлюз копіює і перенаправляє пакети туди, й назад, не проводячи ніякої фільтрації. Він підтримує таблицю встановлених сполук, пропускаючи дані, які стосуються одного з сеансів зв’язку, що у цієї таблиці. Коли сеанс завершується, шлюз видаляє відповідний елемент з таблиці і розриває ланцюг. использовавшуюся у цьому сеансе.
Для копіювання і перенаправлення пакетів в шлюзи мережного рівня застосовуються спеціальні докладання, котрі називають канальними посередниками, оскільки вони встановлюють між двома мережами віртуальну ланцюг чи канал, та був дозволяють пакетів, які генеруються додатками TCP/IP, у цьому каналу. Канальні посередники підтримують кілька служб TCP/IP, тому шлюзи мережного рівня використовуватися належала для розширення можливостей шлюзів прикладного рівня, робота яких полягає в программах-посредниках конкретних приложений.
Фактично більшість шлюзів мережного рівня не в є самостійними продуктами, а поставляються в комплекті зі шлюзами прикладного рівня. Прикладами таких шлюзів є Gauntlet Internet Firewall компанії Trusted Information Systems, Alta Vista Firewall компанії DEC і ANS Interlock компанії ANS. Наприклад, Alta Vista Firewall використовує канальні посередники прикладного рівня кожної з 6 служб TCP/IP, до яких відносяться, зокрема, FTP, HTTP (Hyper Text Transport Protocol) і telnet. З іншого боку, міжмережевий екран компанії DEC забезпечує шлюз мережного рівня, підтримуючий інші загальнодоступні служби TCP/IP, такі як Gopher і SMTP, котрим міжмережевий екран не надає посередників прикладного уровня.
Шлюз мережного рівня виконує одну важливу функцію захисту: його використовують як серверупосередника. Цей сервер-посредник виконує процедуру трансляції адрес, коли він відбувається перетворення внутрішніх IP-адрес до одного «надійний «IP-адрес. Цей адресу асоціюється з межсетевым екраном, з яких передаються все вихідні пакети. У результаті мережі зі шлюзом мережного рівня все вихідні пакети виявляються відправленими від цього шлюзу, що виключає прямий контакт між внутрішньої (авторизированной) мережею і потенційно небезпечної зовнішньої мережею. IP-адрес шлюзу мережного рівня стає єдино активним IP-адресом, який потрапляє у зовнішню мережу. Отже шлюз мережного рівня життя та інші серверы-посредники захищають внутрішні мережі від нападів типу підміни адресов.
Після встановлення шлюзи мережного рівня фільтрують пакети лише з сеансовом рівні моделі OSI, тобто. що неспроможні перевіряти вміст пакетів, переданих між внутрішньої і до зовнішньої мережею лише на рівні прикладних програм. І оскільки ця передача здійснюється «наосліп », хакер, які перебувають у зовнішній мережі, може «проштовхнути «свої «шкідливі «пакети через такий шлюз. Після цього хакер звернеться безпосередньо до внутрішнього Web-серверу, що сам не може забезпечувати функції межсетевого екрана. Інакше кажучи, якщо процедура квитирования зв’язку успішно завершено, шлюз мережного рівня встановить з'єднання і буде «сліпо «скопіювати й спрямовуватиме всі наступні пакети незалежно від своїх содержимого.
Щоб фільтрувати пакети, які генеруються певними мережними службами, відповідно до їх вмістом необхідний шлюз прикладного уровня.
Шлюзи прикладного уровня.
Для усунення низки недоліків, властивих фильтрующим маршрутизаторам, міжмережеві екрани повинні використовувати додаткові програмні кошти на фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні кошти називаються повноважними серверами (серверами-посредниками), а хост-компьютер, у якому вони виконуються, — шлюзом прикладного рівня. Шлюз прикладного рівня виключає пряме взаємодія між авторизированным клієнтом і зовнішнім хост-компьютером. Шлюз фільтрує все вхідні та вихідні пакети на прикладному рівні. Пов’язані із фотографією сервери — посередники перенаправляют через шлюз інформацію, генерируемую конкретними серверами. Досягнення вищого рівня безпеки і гнучкості шлюзи прикладного рівня життя та фільтруючі маршрутизатори можуть бути щодо одного межсетевом екрані. Як приклад розгляну мережу, у якій з допомогою фільтруючого маршрутизатора блокуються вхідні сполуки TELNET і FTP. Цей маршрутизатор допускає проходження пакетів TELNET чи FTP лише до однієї хост-компьютеру — шлюзу прикладного рівня TELNET/FTP. Зовнішній користувач, що хоче з'єднатися із певною системи у мережі, повинен спочатку з'єднатися зі шлюзом прикладного рівня, а вже потім із потрібною внутрішнім хост-компьютером. Це здійснюється так: 1) спочатку зовнішній користувач встановлює TELNET-соединение зі шлюзом прикладного рівня з допомогою протоколу TELNET й запроваджує ім'я даного її хост-компьютера; 2) шлюз перевіряє IP — адресу відправника і дозволяє чи забороняє з'єднання відповідно до тим чи іншим критерієм доступу 3) користувачеві може знадобитися аутентификация (можливо, з допомогою одноразових паролів); 4) сервер-посредник встановлює TELNETз'єднання між шлюзом та внутрішньою хосткомп’ютером; 5) сервер посередник здійснює передачу інформації між двома сполуками; 6) шлюз прикладного рівня реєструє з'єднання. Цей приклад наочно демонструє переваги використання повноважних серверов-посредников.. Повноважні сервери — посередники пропускають ті служби, що їм доручено обслуговувати. Інакше висловлюючись, якщо шлюзи прикладного рівня наділений повноваженнями для служб FTP и.
TELNET, то защищаемой мережі буде розв’язано лише FTP і TELNE, проте інших служб буде цілком блоковані. Для деяких організацій такий її різновид безпеки має значення, оскільки він гарантує, що за міжмережевий екран пропускатимуться ті служби, які вважають безопасными.
. Повноважні серверы-посредники забезпечують можливість фільтрації протоколу. Наприклад, деякі міжмережеві екрани, використовують шлюзи прикладного рівня, можуть фільтрувати FTP — з'єднання та забороняти використання команди FTP put, що гарантовано Демшевського не дозволяє ползователям записувати інформацію на анонимный.
FTP-сервер.
На додачу до фільтрації пакетів багато шлюзи прикладного рівня реєструють все що їх сервером дії і що особливо важливо, попереджають мережного адміністратора про можливі порушеннях захисту. Наприклад, за будь-яких спроб проникнення мережу ззовні BorderWare Firewall Server компанії Secure Computing дозволяє фіксувати адреси відправника і одержувача пакетів, час, у якому ці спроби було здійснено, і використовуваний протокол. Міжмережевий екран Black Hole компанії Milkyway Networks реєструє всі дії серверу та попереджає адміністратора про можливі порушеннях, посилаючи йому сполучення електронної пошті чи пейджер. Аналогічні функції виконують й інших шлюзів прикладного рівня. Шлюзи прикладного рівня дозволяють забезпечити найвищий рівень захисту, оскільки взаємодію Космосу з зовнішнім світом реалізується через мало прикладних повноважних програмпосередників, повністю контролюючих весь вхідний і виходить трафік. Шлюзи прикладного рівня мають низку переваг по порівнянню зі звичайним режимом, у якому прикладної трафік пропускається безпосередньо до внутрішнім хост-компьютерам. Перелічу ці переваги.. Невидимість структури защищаемой мережі з глобальної мережі Internet. Імена внутрішніх систем годі й повідомляти зовнішнім системам через DNS, оскільки шлюз прикладного рівня то, можливо єдиним хост-компьютером, ім'я якого має бути відомо зовнішнім системам.. Надійна аутентификация і реєстрація. Прикладний трафік то, можливо аутентифицирован, перш ніж досягне внутрішніх хост-компьютеров, і можна реєструвати ефективніше, ніж із допомогою стандартної .реєстрації.. Оптимальний співвідношення між ціною і ефективністю. Додаткові чи апаратні кошти на аутентифікації чи реєстрацію потрібно встановлювати лише з шлюзі прикладного уровня.
. Прості правила фільтрації. Правила на фильтрующем маршрутизаторе виявляються менш складними, чим вони були б, якби маршрутизатор сам фільтрував прикладної трафік й відсилав його великому числу внутрішніх систем. Mapшрутизатор повинен пропускати прикладної трафік, призначений лише шлюзу прикладного рівня, і блокувати весь іншої трафік.. Можливість організації значної частини проверок.
Захист лише на рівні додатків дозволяє здійснювати дуже багато додаткових перевірок, що знижує ймовірність зламування з допомогою «дір «в програмному обеспечении.
До вад шлюзів прикладного рівня ставляться:. нижча продуктивність проти фільтруючими маршрутизаторами; зокрема, під час використання клиент-серверных протоколів, як-от TELNET, потрібно двухшаговая процедура для вхідних і вихідних сполук;. Вища вартість проти фильтрующим маршрутизатором Крім TELNET і FTP шлюзи прикладного рівня зазвичай йдуть на електронної пошти, Х Windows та інших служб.
Посилена аутентификация.
Однією з важливих компонентів концепції межсетевых екранів є аутентификация (перевірка дійсності користувача). Перш ніж користувачеві буде дозволили скористатися, що тим чи іншим сервісом, необхідно переконатися, що він справді той, проти всіх себе видає. Однією з способів аутентифікації є використання стандартних UNIX-паролей. Однак це схема найбільш уразити з погляду безпеки — пароль то, можливо перехоплений і використаний іншим обличчям. Багато інциденти у мережі Internet сталися почасти через уразливості традиційних паролів. Зловмисники можуть стежити каналами у мережі Internet і перехоплювати що передаються у яких відкритим текстом паролі, тому схему аутентифікації з традиційними паролями можна припустити застарілої. Для подолання цієї вади розроблений ряд коштів посиленою аутентифікації; смарт-карти, персональні жетони, біометричні механізми тощо. Хоча у них задіяні різні механізми аутентифікації, загальним їм і те, що паролі, які генеруються цими пристроями, що неспроможні бути повторно використані порушником, наглядачами за встановленням зв’язку. Оскільки з паролями у мережі Internet є постійною, міжмережевий екран для з'єднання з Internet, не маючи гроші посиленою аутентифікації або використовує їх, втрачає будь-який сенс. Ряд найпопулярніших коштів посиленою аутентифікації, застосовуваних час, називаються системами з одноразовими паролями. Наприклад, смарт-карты чи жетони аутентифікації генерують інформацію, яку хост-компьютер використовує замість традиційного пароля Результатом є одноразовий пароль, який, навіть коли він буде перехоплений, може бути використаний зловмисником у вигляді користувача для встановлення сеансу з хосткомп’ютером. Оскільки міжмережеві екрани можуть централізувати управління доступом у мережі, є підхожим місцем для установки програм чи пристроїв посиленою аутентифікації. Хоча посиленою аутентифікації можна використовувати на кожному хост-компьютере, більш практично їх розміщення на межсетевом екрані. На рис. показано, що у мережі без межсетевого екрана, котрий використовує заходи посиленою аутентифікації, неаутентифицированный трафік таких додатків, як TELNET чи FTP, зможе напряму проходити до систем у мережі. Якщо хост-компьютеры не застосовують заходів посиленою аутентифікації, зловмисник може спробувати зламати паролі чи перехопити мережевий трафік із метою знайти у ньому сеанси, у ході передаються пароли.
Неаутентифицированный.
Аутентифицированный Трафік TELNET і FTP трафік TELNET і FTP.
Межсетевой екран з усиленной аутентификацией.
На малюнку показано також мережу з межсетевым екраном, використовує посилену аутентификацию. У цьому випадку сеанси TELNET чи FTP, встановлювані із боку мережі Internet з системами мережі, повинні проходити перевірку з допомогою коштів посиленою аутентифікації, як вони дозволені, Системи мережі можуть вимагати до розв’язання доступу і статичні паролі, але це паролі, навіть якщо вони перехоплені зловмисником, не можна використовуватиме, оскільки кошти посиленою аутентифікації та інші компоненти межсетевого екрана запобігають проникнення зловмисника чи обхід ними межсетевого экрана.
Основні схеми мережевий захисту з урахуванням межсетевых экранов.
При підключенні корпоративної чи локальної мережі до глобальних мереж адміністратор мережевий безпеки має вирішувати такі:. захист корпоративної чи локальної мережі від несанкціонованого доступу із боку глобальної мережі;. приховання інформації про структуру сіті й її компонентів від користувачів глобальної мережі,. розмежування доступу в защищаемую мережа з глобальної сіті й з защищаемой мережі в глобальну мережу. Необхідність роботи з віддаленими користувачами вимагає встановлення обмежень доступу до інформаційних ресурсів защищаемой мережі. У цьому часто виникає потреба у організації у складі корпорационной мережі кількох сегментів з різними рівнями захищеності. вільно доступні сегменти (наприклад, рекламный.
WWW-сервер),. сегмент з обмеженою доступом (наприклад, для доступу співробітникам організації з віддалених вузлів),. закриті сегменти (наприклад, локальна фінансова мережу організації). Для захисту корпоративної чи локальної мережі застосовуються такі основні схеми організації межсетевых екранів:. міжмережевий екран — фільтруючий маршрутизатор;. міжмережевий екран з урахуванням двупортового шлюзу;. міжмережевий екран з урахуванням екранованого шлюзу;. міжмережевий екран — экранированная подсеть.
Міжмережевий екран — фільтруючий маршрутизатор Міжмережевий екран, заснований на фільтрації пакетів, є поширеним і найбільш простим у реалізації. Він з фільтруючого маршрутизатора, розташованого між защищаемой мережею і мережею Internet (рис. 8.6). Фільтруючий маршрутизатор сконфигурирован для блокування чи фільтрації вхідних і вихідних пакетів з урахуванням аналізу їх адрес і портів. Комп’ютери, які перебувають в защищаемой мережі, мають прямої доступ до мережі Internet, тоді як більшість доступу до них з Internet блокується. Часто блокуються такі небезпечні служби, як Х Windows, NIS і NFS. У принципі так фільтруючий маршрутизатор може реалізувати будь-яку з політик безпеки, описаних раніше. Але якщо маршрутизатор не фільтрує пакети портом джерела і номера вхідного і вихідного порту, то реалізація політики «заборонено усе, що не дозволено в явною формі «то, можливо затруднена.
Локальна сеть.
Міжмережеві екрани, засновані на фільтрації пакетів, мають таку ж нестачі, як і фільтруючі маршрутизатори, причому ці недоліки стають більш суттєвими при посиленні жорсткості вимог до гарантування безпеки защищаемой мережі. Зазначимо окремі:. складність правил фільтрації, деяких випадках сукупність цих правил може бути некерованої;. неможливість повного тестування правил фільтрації; усе веде до незахищеності мережі від не протестованих атак; внаслідок адміністратору важко сказати, піддавався чи маршрутизатор атаці й скомпрометований він;. кожен хост-компьютер, пов’язані з сетью.
Internet, потребує своїх засобах посиленою аутентификации.
Міжмережевий екран з урахуванням двупортового шлюзу Міжмережевий екран з урахуванням двупортового прикладного шлюзу включає дводомний хост-компьютер з цими двома мережними інтерфейсами. При передачі інформації між цими інтерфейсами здійснюється основна фільтрація. Задля більшої додаткової захисту між прикладним шлюзом і мережею Internet зазвичай розміщують фільтруючий маршрутизатор (малюнок). У результаті між прикладним шлюзом і маршрутизатором утворюється внутрішня экранированная подсеть. Цю подсеть можна використовуватиме розміщення доступних ззовні інформаційних серверів. Фільтруючий маршрутизатор
На відміну від схеми межсетевого екрана з фильтрующим маршрутизатором прикладної шлюз повністю блокує трафік IР між мережею internet і защищаемой мережею. Тільки повноважні серверу — посередники, наявні на прикладному шлюзі, можуть надавати послуги й доступу пользователям.
Цей варіант межсетевого екрана реалізує політику безпеки, засновану на принципі «заборонено усе, що не дозволено в явною формі «, при цьому користувачеві недоступні все служби, крім, котрим визначено належні повноваження. Такий їхній підхід забезпечує високий рівень безпеки, лише маршрути до захищеної подсети відомі лише межсетевому екрану і сховані від зовнішніх систем. Вже згадана схема організації межсетевого екрана є досить простий і ефективної. Слід зазначити, що національна безпека двудомного хост-компьютера, що у ролі прикладного шлюзу, повинна підтримуватися вищому рівні. Будь-яка пролом у захисту може серйозно послабити безпеку защищаемой мережі. Якщо шлюз виявиться скомпрометованим, у зловмисника буде можливості поринути у защищаемую мережу. Цей міжмережевий екран може вимагати від користувачів застосування коштів посиленою аутентифікації, і навіть реєстрації доступу, спроб зондування і атак системи порушником. Для деяких мереж може бути неприйнятною недостатня гнучкість схеми межсетевого екрана з прикладним шлюзом.
Міжмережевий екран з урахуванням екранованого шлюзу Міжмережевий екран з урахуванням екранованого шлюзу об'єднує фільтруючий маршрутизатор і прикладної шлюз, разрешаемый внутрішньої мережі. Прикладний шлюз реалізується на хост — комп’ютері і має сенс тільки один мережевий интерфейс (рисунок).
Фільтруючий маршрутизатор
У цій схемі первинна безпеку забезпечується фильтрующим маршрутизатором. Пакетна фільтрація в фильтрующем маршрутизаторе то, можливо реалізована однією з наступних способів:. дозволяти внутрішнім хост — комп’ютерів відкривати з'єднання з хост — комп’ютерами у мережі Internet визначення сервісів. забороняти все сполуки від внутрішніх хосткомп’ютерів (примушуючи їх використати повноважні серверы-посредники на прикладному шлюзі). Ці підходи можна комбінувати щодо різноманітних сервісів, дозволяючи деяким сервісів з'єднання безпосередньо через пакетну фільтрацію, у те час як іншим лише непряме з'єднання через повноважні серверы-посредники. Усе залежатиме від конкретної політики безпеки, прийнятої у внутрішньої мережі. Зокрема, пакетна фільтрація на фильтрующем маршрутизаторе то, можливо організована в такий спосіб, щоб прикладної шлюз, через повноважні серверы-посредники, забезпечував для систем защищаемой мережі такі сервіси, як TELNET, FTP, SMTP.
Міжмережевий екран виконаний за такій схемі, виходить глибшим, але менш безпечним по порівнянню з межсетевым екраном з прикладним шлюзом з урахуванням двудомного хост — комп’ютера. Це обумовлена тим, що у схемою межсетевого екрана з экранированным шлюзом існує потенційна можливість передачі трафіка у обхід прикладного шлюзу безпосередньо до системи локальної мережі. Основна хиба схеми межсетевого екрана з экранированным шлюзом у тому, що й атакуючий порушник зуміє поринути у хосткомп’ютер, та над ним виявляться незахищені системи внутрішньої мережі. Іншою вадою пов’язані з можливої компрометацією маршрутизатора. Якщо маршрутизатор виявиться скомпрометованим, внутрішня мережу стане доступна атакуючому порушнику. З цих причин нині дедалі більше популярнішою стає схема межсетевого екрана з екранованої подсетью.
Міжмережевий екран — экранированная подсеть Міжмережевий екран, що з екранованої подсети, є розвиток схеми межсетевого екрана з урахуванням екранованого шлюзу. До сформування екранованої подсети використовуються два екрануючих маршрутизатора (малюнок). Зовнішній маршрутизатор розташовується між мережею internet і экранируемой підмережею, а внутрішній — між экранируемой підмережею і защищаемой внутрішньої мережею. Экранируемая подсеть містить прикладної шлюз, а він може включати інформаційні сервери та інші системи, потребують контрольованого доступу. Ця схема межсетевого екрана забезпечує хорошу безпеку завдяки організації екранованої подсети, котра ще краще ізолює внутрішню защищаемую мережу від Internet.
Зовнішній Внутренний.
Маршрутизатор маршрутизатор Экранированная подсеть.
Зовнішній маршрутизатор захищає від мережі internet як экранированную подсеть, і мережу. Вони повинні пересилати трафік відповідно до наступним правилам:. дозволяється трафік від об'єктів internet до прикладному шлюзу;. дозволяється трафік від прикладного шлюзу до internet;. дозволяється трафік електронної пошти від internet до сервера електронної пошти;. дозволяється трафік електронної пошти від серверу електронної пошти до internet;. дозволяється трафік FTP, Gopher тощо. від internet до інформаційного серверу;. забороняється іншої трафик.
Зовнішній маршрутизатор забороняє доступ з internet до систем внутрішньої сіті й блокує весь трафік до internet, що йде від систем, котрі мають бути ініціаторами сполук (зокрема, інформаційний сервер та інших.). Цей маршрутизатор можна використовувати також і блокування інших уразливих протоколів, які нічого не винні передаватися до хост-компьютерам внутрішньої мережі чи то з них.
Внутрішній маршрутизатор захищає мережу як від Internet, і від екранованої подсети. Внутрішній маршрутизатор веде велику частина пакетної фільтрації. Він управляє трафіком до систем внутрішньої сіті й від них відповідності зі такими правилами:. дозволяється трафік від прикладного шлюзу до систем мережі;. дозволяється прикладної трафік від систем мережі до прикладному шлюзу;. дозволяє трафік електронної пошти від серверу електронної пошти до систем мережі;. дозволяється трафік електронної пошти від систем мережі до сервера електронної пошти;. дозволяється трафік FTP, Gopher тощо. від систем мережі до інформаційного серверу;. забороняє іншої трафик;
Щоб проникнути у внутрішнє мережу за такої схеми межсетевого екрана, атакуючому потрібно подолати два фільтруючих маршрутизатора. Навіть якщо взяти атакуючий якимось чином проникнув у хост-компьютер прикладного шлюзу, він має ще подолати внутрішній фільтруючий маршрутизатор. Отже, жодна система внутрішньої мережі не досяжним безпосередньо з Internet, і навпаки. З іншого боку, чіткий поділ функцій між маршрутизаторами і прикладним шлюзом дозволяє досягти вищої пропускної способности.
Прикладний шлюз може охоплювати програми посиленою аутентификации.
Міжмережевий екран з екранованої підмережею має і недоліки;. пара фільтруючих маршрутизаторів потребує великому увазі задля забезпечення необхідного рівня безпеки. оскільки через помилки за її конфигурировании виникатимуть провали безпечно в усій мережі;. існує принципова можливість доступу оминаючи прикладного шлюза.
Застосування межсетевых екранів в організацію віртуальних корпоративних сетей.
Деякі міжмережеві екрани дозволяють організувати віртуальні корпоративні мережі. Кілька локальних мереж, підключених до глобальної мережі, об'єднують у одну віртуальну корпоративну мережу. Передача даних між цими локальними мережами здійснюватися прозорий спосіб для користувачів локальних мереж. Конфіденційність і цілісність переданої інформації мають забезпечувати засобами шифрування, використання цифрових підписів. При передачі даних може шифруватися як вміст пакета, а й деякі поля заголовка.
Програмні методи защиты.
До програмним методам захисту у мережі Internet можуть належати захищені криптопротоколы, які дозволяють надійно захищати сполуки. У процесі розвитку Internet було створено різні захищені мережні протоколи, використовують як симметричную криптографію з закритим ключем, і асиметричну криптографію з відкритим ключем. До основним нині підходам і протоколів, яке забезпечує захист сполук, ставляться SKIP-технология і протокол захисту сполуки SSL.
SKIP (Secure Key Internet Ргоtосоl) -технологією називається стандарт захисту трафіку IP-пакетов, дозволяє на мережному рівні забезпечити захист з'єднання заліза і переданих у ній данных.
Можливі два способу реалізації SKIP-защиты трафіку IP-пакетов:. шифрування блоку даних IP- ракета;. інкапсуляція IP-пакета в SKIP-пакет.
Шифрування блоку даних IP-пакета ілюструється. У цьому випадку шифруються методом симетричній криптографії лише дані IP-пакета, яке заголовок, у якому крім іншого адреси відправника і одержувача, залишається відкритим, і пакет маршрутизируется відповідно до істинними адресами. Закритий ключ K (i, j), поділюваний парою вузлів мережі і і j, обчислюється за схемою ДиффиХеллмана. SKIP-пакет зовні нагадує звичайний IP-пакет. У полі даних SKIP-пакета повністю розміщається в зашифрованому вигляді вихідний IP-пакет. І тут в новому заголовку замість істинних адрес може бути можна побачити деяких інших адреси. Така структура SKIPпакета дозволяє безперешкодно спрямовувати його кожному хост-компьютеру у мережі Internet, у своїй міжмережний адресація здійснюється за звичайному IP-заголовку в SKIP — пакеті. Кінцевий одержувач SKIP — пакета із заздалегідь певному розробниками алгоритму розшифровує криптограму і формує звичайний TCP — чи UDP -пакет, що й передає відповідному модулю (TCP чи UDP) ядра ОС. Універсальний протокол захисту сполуки SSL (Secure Socket Layer) функціонує на сеансовом рівні еталонною моделі OSI. Протокол SSL, розроблений компанією Netscape, використовує криптографію з відкритою ключем. Цей протокол насправді є універсальним засобом, що дозволяє динамічно захищати з'єднання під час використання будь-якого прикладного протоколу (FTP, TELNET, SMTP, DNS тощо.). Протокол SSL підтримують такі провідні компанії, як IBM, Digital Equipment Corporation, Microsoft Corporation, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. і др.
Слід зазначити також функціонально цілковитий вітчизняний криптографічний комплекс «Шифратор IP потоків ». розроблений московським відділенням Пензенського науково-дослідного електротехнічного інституту. Криптографічний комплекс «Шифратор IP потоків «є розподілену систему криптографічних шифраторів, коштів управління криптографічними шифраторами, коштів зберігання, поширення і передачі криптографічного інформації, а також засобів оперативного моніторингу та державній реєстрації подій. Криптографічний комплекс «Шифратор IP потоків «призначений до виконання наступних функцій:. створення захищених подсетей передачі конфіденційної комп’ютерної інформації;. об'єднання локальних мереж на єдину захищену мережу;. організації єдиного Центру управління захищеної підмережею. Комплекс забезпечує:. контроль цілісності переданої інформації;. аутентификацию абонентів (вузлів мережі);. передачу контрольної інформацією Центр управління ключовою системою захищеної IP мережі;. підтримку протоколів маршрутизації PIP II, OSPF, BGP;. підтримку инкапсуляции IPX в IP (відповідно до RFC;
1234);. підтримку инкапсуляции IP в Х.25 і Frame Relay; Криптографічний комплекс «Шифратор IP потоків «має модульну структуру і складається з розподіленої мережі шифраторів IP потоків і єдиної Центру управління ключовою системой.
Шифратор IP протоколів (ШИП) складається з:. криптографічного модуля, безпосередньо вбудованого в ядро ОС. модуля підтримки клієнтської частини ключовою системи;. модуля перевірки цілісності системи при завантаження.. модуля записи протоколів роботи криптографічного системы;
ШИП містить також плату з інтерфейсом ISA, що використовується захисту від НСД за мінімального завантаження системи та для отримання від сертифікованого фізичного датчика випадкових чисел, необхідні реалізації процедури шифрования.
Центр управління ключовою системою (ЦУКС) складається з:. автоматизованого робочого місця управління ключовою системою, яка працює середовищі X Windows;. модуля серверної частини ключовою системи;. сервісною програми перегляду протоколів роботи криптографічного комплексу «Шифратор IP потоків » .
Управління ключами виконується з допомогою ЦУКС й у наступному:. Періодична зміна парних ключів шифрування зареєстрованих вузлів захищеної мережі;. формування та розсилання через мережу довідників відповідності, визначальних можливість абонентів працювати друг з одним;. збирання та збереження до базі даних інформації про всіх критичних подіях у мережі, виникаючих як із аутентифікації абонентів, і під час передачі з-поміж них зашифрованої информации.
У разі позаштатних ситуацій, створюють загрозу порушення захисту, адміністратор ЦУКС вживає заходів, створені задля відновлення цілісності системи захисту информации.
лоло.
Схема організації віртуальної корпоративної мережі з застосуванням криптографічного комплексу «Шифратор IP потоків» показано малюнку. При організації віртуальної корпоративної мережі невеликого розміру без жорстких вимог до часу оповіщення абонентів про компрометації будь-якого абонента і жорстких вимог до повноті зібраних протоколів помилки доступу можливо використання одного ЦУКС. При організації віртуальної корпоративної мережі середнього розміру чи з жорсткими вимогами до часу оповіщення абонентів компрометації будь-якого абонента і до повноті зібраних протоколів про помилках доступу варто використовувати кілька ЦУКС. При цьому бажані, щоб ЦУКС мали незалежні друг від друга канали підключення до глобальної сети.
Заключение
.
Лише після викладеного матеріалу можна зрозуміти следующее.
Сьогодні кращої захистом від комп’ютерних злочинців є міжмережевий екран правильно встановлений і підібраний кожної мережі. І але він не гарантує стовідсоткову захисту від професійних зломщиків, зате ускладнює їм доступом до мережевий інформації, стосовно любителів то тут для них доступ тепер вважається закритим. Також у майбутньому міжмережеві екрани мали стати найкращими захисниками для банків, підприємств, урядів, та інших спецслужб. Є також надія, що коли і нибудь буде створено міжмережевий екран, який нікому вдасться обійти. На цьому етапі програмування можна також ознайомитися укласти, що розробки з межсетевым екранам нині обіцяють в недалекому майбутньому дуже непогані результаты.
Список використовуваної литературы.
1) Зашита інформацією комп’ютерних системах і мережах/ Під ред. В. Ф. Шаньгина .- М.: Радіо і зв’язок, 1999.-328 с.
2) Айков Д., Сейгер До., Фонсторх У. Комп’ютерні злочину. Посібник із боротьби з комп’ютерними злочинами: Пер. з анг. — М.: Мир, 1999. 351с., ил.
3) Секрети безпеки Internet .- До.: Діалектика ,.
1997.-512., ил.
4) Безпека самого персонального комп’ютера / Пер. з англ.;
Худ. обл. М. В. Драко .- Мн.: ТОВ «Попурі», 1997. 480 с.:ил.
5) Конфідент/ березень — квітень 1997.
———————————;
Internet.
Межсетевой.
экран.
Internet.
Фільтруючий маршрутизатор
ЭВМ ЭВМ ЭВМ.
Internet.
Інформаційний сервер
Прикладной.
шлюз.
Локальна сеть.
Internet.
Информационный.
сервер
Прикладной.
шлюз.
Локальна сеть ШИТ 2.
Локальна сеть.
Локальна сеть.
ШИТИЙ 3.
Internet.
ШИТИЙ 1.
ЦУКС.
Локальна сеть.
Информационный.
сервер
Internet.
Локальна сеть.
Сервер електронної почты.
Прикладний шлюз.
Локальна сеть.
Локальна сеть.
Локальна сеть.
Локальна сеть.
Міжмережевий экран.
Міжмережевий экран.
Міжмережевий экран.
Міжмережевий экран.
Internet.
Internet.