Ссылка на файл: >>>>>> http://file-portal.ru/Актуальные проблемы межсетевого экрана/
Принципы работы межсетевых экранов
Проблемы безопасности и критерии оценки межсетевых экранов
Разделы сайта
Студент группы ЗИ Горбунов Никита Александрович. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной штаб квартиры организации или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями. Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. По этому вопрос о проблеме защиты сетей и её компонентов становиться достаточно важным и актуальным и это время, время прогресса и компьютерных технологий. Многие страны наконец-то поняли важность этой проблемы. Происходит увеличение затрат и усилий направленных на производство и улучшение различных средств защиты. Основной целью реферата является рассмотрение, и изучение функционирования одного из таких средств сетевой защиты как брандмауэр или межсетевой экран. Который в настоящее время является наиболее надежным в плане защиты из предлагаемых средств. Щит от несанкционированного доступа С целью избежания несанкционированного доступа к своим сетям, многие компании, подключенные к Internet, полагаются на брандмауэры. Однако, достигая при этом своей основной цели, пользователь брандмауэра столкнётся с необходимостью выбора между простой работой и безопасностью системы. Брандмауэр — это один из нескольких путей защиты вашей сети, от другой, которой вы не доверяете. Вообще существует множество вариантов обеспечения такой защиты, но в принципе брандмауэр можно представить как пару механизмов: Основной причиной для установки в частной сети брандмауэра практически всегда является стремление пользователя защитить сеть от несанкционированного вторжения. В большинстве случаев сеть защищают от нелегального доступа к системным ресурсам, а также от отправки какой либо информации вовне баз ведома её владельца. В некоторых случаях экспорт информации не рассматривается как особо важная проблема, однако, для многих корпораций, подключение к Internet, это вопрос первостепенной важности. Многие организации прибегают к самому простому пути, чтобы избежать подобных неприятностей: Однако это не такое уж удачное решение. Если такая сеть децентрализована или плохо управляема, любой сотрудник компании, имеющий доступ к скоростному модему, может без особого труда подключится к Internet с помощью SLIP, что может привести к нарушению безопасности всей сети. Во многих случаях можно сказать, что для защиты сети лучше всего установить брандмауэр. Хотя любой ваш сотрудник может вынести из офиса любую доступную ему информацию на кассетах и дискетах. Internet , кишащий опасными вандалами , таит в себе неизмеримо большую угрозу. Их прорыв в локальную сеть компании, вследствие плохой организации защиты, вполне может стоить менеджеру сети места работы, даже если ущерб при этом не будет больше, чем мог бы быть в случае непосредственного подключения к Internet через модем либо в результате мести рассерженного сотрудника. Вследствие того, что услуги, предоставляемые Internet, очевидны для всех, весьма вероятно, что они потребуют всесторонней официальной проверки. Конструктивные решения В процессе конфигурирования брандмауэра конструктивные решения зачастую диктуются корпоративной и организационной политикой компании в области обеспечения защиты сетей. В частности, любая фирма должна сделать очень серьезный выбор: Существует два подхода к решению этой дилеммы. Важность данного разграничения переоценить невозможно. В первом случае брандмауэр должен будет блокировать все, а системные службы будут доступны пользователям лишь после тщательной оценки их потребности в этих службах, а также степени риска. Подобный подход непосредственно осложняет пользователям жизнь, в результате чего многие из них считают брандмауэры помехой в работе. Если пользователи при входе в систему login будут получать неограниченный доступ к брандмауэру, в системе безопасности сети может возникнуть большая брешь. Вообще говоря, наличие пользовательских входов в брандмауэрную систему имеет тенденцию в значительной мере увеличивать проблему сохранности системы. Вторая важнейшая формулировка в области политики безопасности гласит: Уровень опасности Существует несколько путей свести на нет либо подвергнуть риску брандмауэрную защиту. И хотя они все плохи, о некоторых можно с уверенностью говорить как о самых неприятных. В целях разграничения терминологии примем, что в первом случае мы имеем дело со взломом брандмауэрной защиты, а во втором — с полным ее разрушением. В лучшем же случае брандмауэр сам выявляет попытку взлома и вежливо информирует об этом администратора. Попытка при этом обречена на провал. Один из способов определить результат попытки взлома брандмауэрной защиты — проверить состояние вещей в так называемых зонах риска. Если сеть подсоединена к Internet без брандмауэра, объектом нападения станет вся сеть. Такая ситуация сама по себе не предполагает, что сеть становится уязвимой для каждой попытки взлома. Взломщик, получивший доступ к входу в брандмауэр, может прибегнуть к методу "захвата островов" и, пользуясь брандмауэром как базой, охватить всю локальную сеть. Подобная ситуация все же даст слабую надежду, ибо нарушитель может оставить следы в брандмауэре, и его можно будет разоблачить. Если же брандмауэр полностью выведен из строя, локальная сеть становится открытой для нападения из любой внешней системы, и определение характера этого нападения становится практически невозможным. В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Через Internet нарушитель может: С помощью полученной злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов. Существует много видов защиты в сети, но наиболее эффективный способ зашиты объекта от нападения, одновременно позволяющий пользователям иметь некоторый доступ к службам Internet, заключается в построении брандмауэра. Чтобы брандмауэр был достаточно эффективным, необходимо тщательно выбрать его конфигурацию, установить и поддерживать. Брандмауэры представляют собой аппаратно - программный подход, который ограничивает доступ за счет принудительного прокладывания всех коммуникаций, идущих из внутренней сети в Internet, из Internet во внутреннюю сеть, через это средство защиты. Брандмауэры позволяют также защищать часть вашей внутренней сети от остальных её элементов. Аппаратные средства и программное обеспечение, образующие брандмауэр, фильтруют весь трафик и принимают решение: Организации устанавливают конфигурацию брандмауэров разными способами. На некоторых объектах брандмауэры полностью блокируют доступ в Internet и из неё, а на других ограничивают доступ таким образом, что только одна машина или пользователь может соединяться через Internet с машинами за пределами внутренней сети. Иногда реализуются более сложные правила, которые включают проверку каждого сообщения, направленного из внутренне сети во внешнюю, чтобы убедится в соответствии конкретным требованиям стратегии обеспечения безопасности на данном объекте. Несмотря на эффективность в целом, брандмауэр не обеспечивает защиту от собственного персонала или от злоумышленника, уже преодолевшего это средство сетевой защиты. Межсетевой экран как средство от вторжения из Internet Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны, В отечественной литературе до последнего времени использовались вместо этого термина другие термины иностранного происхождения: В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от фигурального пожара - попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или стереть информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней сети. Как правило, эта граница проводится между корпоративной локальной сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации. Обычно межсетевые экраны защищают внутреннюю сеть предприятия от "вторжений" из глобальной сети Internet, однако они могут использоваться и для защиты от "нападений" из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других хост-компьютеров внешней сети. Локальная сеть Локальная сеть. Схема установления межсетевого экрана Проблемы недостаточной информационной безопасности являются "врожденными" практически для всех протоколов и служб Internet. Эти структуры использовали операционную систему UNIX в качестве платформы для коммуникаций и решения собственных задач. Поэтому особенности методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию протоколов обмена и политики безопасности в сети. То же самое можно сказать и о ряде служб Internet. Отмечу "врожденные слабости" некоторых распространенных служб Internet. Простой протокол передачи электронной почты Simple Mail Transfer Protocol - SMTP позволяет осуществлять почтовую транспортную службу Internet. Популярная в Internet программа электронной почты Sendmail использует для работы некоторую сетевую информацию - IP-адрес отправителя. Перехватывая сообщения, отправляемые с помощью Sendmail, хакер может употребить эту информацию для нападений, например для спуфинга подмены адресов. Протокол передачи файлов File Transfer Protocol - FTP обеспечивает передачу текстовых и двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к информации. Его обычно рассматривают как один из методов работы с удаленными сетями. На FTP-серверах хранятся документы, программы, графика и другие виды информации. К данным этих файлов на FTP-серверах нельзя обратиться напрямую. Одной из проблем DNS является то, что эту базу данных очень трудно "скрыть" от неавторизированных пользователей. При использовании этого сервиса Internet пользователи должны регистрироваться на сервере TELNET, вводя свои имя и пароль. После аутентификации пользователя его рабочая станция функционирует в режиме "тупого" терминала, подключенного к внешнему хост-компьютеру. Однако это же свойство является и наиболее слабым местом системы WWW, поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых документах, содержат информацию о том, как осуществляется доступ к соответствующим узлам. Используя эту информацию, хакеры могут разрушить Web-узел или получить доступ к хранящейся в нем конфиденциальной информации. К уязвимым службам и протоколам Internet относятся также протокол копирования UUCP, протокол маршрутизации RIP, графическая оконная система Х Windows и др. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран является набором компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. Политика сетевой безопасности каждой организации должна включать две составляющие: В соответствии с политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, например, на использование протоколов SLIP Serial Line Internet Protocol и РРР Point-to-Point Protocol. Прежде всего, необходимо установить, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов: Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. Функциональные требования к межсетевым экранам включают: Основные компоненты межсетевых экранов Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий: Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов. Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета: Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными портами например, порт 23 протокола TELNET. Для этих систем могут быть разрешены только определенные сервисы SMTP для одной системы и TELNET или FTP -для другой. Обмен по NNTP Network News Transfer Protocol разрешается только от сервера новостей с адресом Все другие серверы и пакеты блокируются. Наконец, шестое правило блокирует все остальные пакеты. Выше был рассмотрен очень простой пример фильтрации пакетов. Реально используемые правила позволяют осуществить более сложную фильтрацию и являются более гибкими. Правила фильтрации пакетов формулируются сложно, и обычно нет средств для тестирования их корректности, кроме медленного ручного тестирования. Поэтому обмануть его несложно: Недостатками фильтрующих маршрутизаторов являются: Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз следит за подтверждением квитированием связи между авторизированным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли этот клиент базовым критериям фильтрации например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за выполнением процедуры квитирования связи по протоколу TCP. Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например Далее осуществляется обратная процедура: На этом процесс квитирования связи завершается. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. И поскольку эта передача осуществляется "вслепую", хакер, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через такой шлюз. Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами, в соответствии с их содержимым необходим шлюз прикладного уровня. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложением серверы — посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами. Иначе говоря, если шлюзы прикладного уровня наделен полномочиями для служб FTP и TELNET, то в защищаемой сети будут разрешены только FTP и TELNE, а все другие службы будут полностью блокированы. Для некоторых организаций такой вид безопасности имеет большое значение, так как он гарантирует, что через межсетевой экран будут пропускаться только те службы , которые считаются безопасными. Например, некоторые межсетевые экраны, использующие шлюзы прикладного уровня, могут фильтровать FTP — соединения и запрещать использование команды FTP put, что гарантированно не позволяет ползователям записывать информацию на анонимный FTP-сервер. Шлюзы прикладного уровня имеют ряд преимуществ по сравнению с обычным режимом, при котором прикладной трафик пропускается непосредственно к внутренним хост-компьютерам. Дополнительные или аппаратные средства для аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня. Mapшрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной трафик. К недостаткам шлюзов прикладного уровня относятся: Усиленная аутентификация Одним из важных компонентов концепции межсетевых экранов является аутентификация проверка подлинности пользователя. Прежде чем пользователю будет предоставлено право воспользоваться, тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных паролей. Для преодоления этого недостатка разработан ряд средств усиленной аутентификации; смарт-карты, персональные жетоны, биометрические механизмы и т. Ряд наиболее популярных средств усиленной аутентификации, применяемых в настоящее время, называются системами с одноразовыми паролями. Например, смарт—карты или жетоны аутентификации генерируют информацию, которую хост- компьютер использует вместо традиционного пароля Результатом является одноразовый пароль, который, даже если он будет перехвачен, не может быть использован злоумышленником под видом пользователя для установления сеанса с хост- компьютером. Неаутентифицированный Аутентифицированный Трафик TELNET и FTP трафик TELNET и FTP.
Диаграмма ганта в outlook
Боголюбов инженерная графика
Особенности кодирования информации
Тема 3. Базовые технологии сетевой безопасности
Виндовс 10 последнее обновление проблемы
Оформление фотографий на стене своими руками
Сшить подушку для мальчика
Каталог файлов
Кредит под залог коммерческой недвижимости коммерческое предложение
Маленькие стихи вознесенского
8. Функции межсетевых экранов. Проблемы безопасности межсетевых экранов
Источники российского избирательного права
Как сварить рис пошагово с фото
Приора где находится антенна
РЕФЕРАТ
Инна георгиева гибкий график катастроф