Реферат: Брандмауэры - текст реферата. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Реферат

Брандмауэры

Банк рефератов / Программирование

Рубрики  Рубрики реферат банка

закрыть
Категория: Реферат
Язык реферата: Русский
Дата добавления:   
 
Скачать
Microsoft Word, 463 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникального реферата

Узнайте стоимость написания уникальной работы

Безопасность Internet : брандмау эры . ” Актуальность темы Интенсив ное развитие глобальных компь ютерных сетей . появление новых технологий пои ска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций . Мног ие организации принимают решение об интеграци и своих локальных и кор поративных сет ей в глобальную сеть . Использование глобальны х сетей в коммерческих целях , а также при передаче информации , содержащей сведения конфиденциального характера , влечет за собой необходимость построения эффективной системы защ иты информации . В на с тоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности , например для связи с удаленными офисами из головной штаб ква ртиры организации или создания Web-страницы орга низации с размещенной н а ней ре кламой и деловыми предложениями. Вряд ли нужно перечислять все преимущ ества , которые получает современное предприятие , имея доступ к глобальной сети Internet . Но , как и многие другие новые технологии , использование Internet имеет и негативные после дств ия . Развитие глобальных сетей привело к мн огократному увеличению количества пользователей и увеличению количества атак на компьютеры , подключенные к сети Internet . Ежегодные потери , обусловленные недостаточн ым уровнем защищенности компьютеров , оцениваю тся десятками миллионов долларов . При подключении к Internet локальной и ли корпоративной сети необходимо позаботиться об обеспечении информационной безопасности это й сети . Глобальная сеть Internet создав алась как открытая система , предназначенная д ля свобо дного обмена информацией . В си лу открытости своей идеологии Internet предоставляет для злоумышленников значительно большие возможности по сравнению с традиционн ыми информационными системами . По этому вопро с о проблеме защиты сетей и её компон ентов становит ься достаточно важным и актуальным и это время , время прогресса и компьютерных технологий . Многие страны на конец-то поняли важность этой проблемы . Происх одит увеличение затрат и усилий направленных на производство и улучшение различных ср едств защиты . Осн о вной целью рефер ата является рассмотрение , и изучение функцио нирования одного из таких средств сетевой защиты как брандмауэр или межсетевой экран . Который в настоящее время является наибо лее надежным в плане защиты из предлагаем ых средств. Щит от несанкц ионированного доступ а С целью избежания несанкционированного до ступа к своим сетям , многие компании , подк люченные к Internet , полагаются на б рандмауэры . Однако , достигая при этом своей основной цели , пользователь брандмауэра столкнё тся с необходимостью выб ора между про стой работой и безопасностью системы . Брандмауэр – это один из нескольких путей защиты вашей сети , от другой , ко торой вы не доверяете . Вообще существует м ножество вариантов обеспечения такой защиты , но в принципе брандмауэр можно представить как пару механизмов : один – для б локировки , второй – для разрешения трафика. Основной причиной для установки в час тной сети брандмауэра практически всегда явля ется стремление пользователя защитить сеть от несанкционированного вторжения . В большинстве случа ев сеть защищают от нелегального доступа к системным ресурсам , а также от отправки какой либо информации вовне баз ведома её владельца . В некоторых сл учаях экспорт информации не рассматривается к ак особо важная проблема , однако , для мног их корпораций , под к лючение к Internet , это вопрос первостепенной важности . Многие организации прибегают к самому простом у пути , чтобы избежать подобных неприятностей : они просто не подключаются к Internet . Однако это не такое уж удачное решение . Если такая сеть децентрализов а на или плохо управляема , любой сотрудник к омпании , имеющий доступ к скоростному модему , может без особого труда подключится к Internet с помощью SLIP , что может привести к нарушению безопасности всей сети. Во многих случаях можно сказать , что для защиты с ети лучше всего уста новить брандмауэр . Хотя любой ваш сотрудник может вынести из офиса любую доступную ему информацию на кассетах и дискетах . Internet , кишащий опасными вандалами , таит в себе неизмеримо большую угрозу . Их прорыв в локальную сеть компании , вследс твие плохой организации защиты , вполне может стоить менеджеру сети места работы , даже если ущерб при этом не будет больше , чем мог бы быть в случае непосредств енного подключения к Internet через моде м либо в результате мести рассерженного с отрудник а . Чаще всего в организациях , прибегающих к услугам Internet , проблема убедить руководство в необход имости брандмауэрной защиты неизмеримо сложнее тех забот , с которыми приходится сталкивать ся в процессе ее установки . Вследствие тог о , что услуги , предостав ляемые Internet , очевидны для всех , весьма вероятно , что они потребуют всесторо нней официальной проверки. Конструктивные решения В процессе конфигурирования б рандмауэра конструктивные решения зачастую дикту ются корпоративной и организационной политикой ко мпании в области обеспечения защиты сетей . В частности , любая фирма должна сделать очень серьезный выбор : что для нее важнее — высокая степень защиты или простота в использовании . Существует два подхода к решению этой дилеммы . Что не было специально разре шено , то запрещено ; Что не было специально запрещено , то разрешено. Важность данного разграничения переоценить невозможно . В первом случае брандмауэр долж ен будет блокировать все , а системные служ бы будут доступны пользователям лишь после тщательной оценки их потребности в эт их службах , а также степени риска . Подобны й подход непосредственно осложняет пользователям жизнь , в результате чего многие из ни х считают брандмауэры помехой в работе. Во втором случае эту же реакционную роль играет системный администра тор , ко торый обязан уметь предвидеть , какие действия , сетевых пользователей способные ослабить на дежность брандмауэра , и принять соответствующие меры для предотвращения таких попыток . В результате данного подхода конфликт между администратором брандмауэра и пользовател ями развивается по нарастающей и может ст ать действительно серьезным . Если пользователи не осознают важности мер предосторожности в плане обеспечения безопасности сети и н е выполняют их , они зачастую способны подв ергнуть риску всю сеть . Если п ол ьзователи при входе в систему (login) будут получ ать неограниченный доступ к брандмауэру , в системе безопасности сети может возникнуть большая брешь . Вообще говоря , наличие пользо вательских входов в брандмауэрную систему име ет тенденцию в значительной ме ре увел ичивать проблему сохранности системы. Вторая важнейшая формулировка в области политики безопасности гласит : "Что не было специально запрещено , т о разрешено " Такой подход наиболее надежен , ибо он освобождает системного администратора от н еобходимости принимать решения , какие TCP — порты безо пасны или какие еще бреши оставили в системе производители ядра или программ . (TCP — протокол транспортного уровня , применяемый в Internet для органи зации надежной двусторонней доставки данных , используемый многими п рикладными программами TCP/IP). Поско льку продавцы вовсе не спешат обнародовать изъяны своего программного обеспечения , данный подход более эффективен , ибо , в сущности , в основе его лежит утверждение , что а бсолютно все , чего вы не знаете , может нанести вам вред. Уровень опасности Существуе т несколько путей свести на нет либо подвергнуть риску брандмауэрную защиту . И хот я они все плохи , о некоторых можно с уверенностью говорить как о самых неприятн ых . Исходя из того , что основной целью установки большинств а брандмауэров является блокирование доступа , очевидно , что обнаружен ие кем-либо лазейки , позволяющей проникнуть в систему , ведет к полному краху всей з ащиты данной системы . Если же несанкционирова нному пользователю удалось проникнуть в бранд мауэр и перек о нфигурировать его , с итуация может принять еще более угрожающий характер . В целях разграничения терминологии примем , что в первом случае мы имеем дело со взломом брандмауэрной защиты , а во втором — с полн ым ее разрушением. Степень ущерба , который может повл ечь за собой разрушение брандмауэрной защиты , определить невероятно сложно . Наиболее полные сведения о надежности такой защит ы может дать только информация о предприн ятой попытке взлома , собранная этим брандмауэ ром . Самое плохое происходит с системой за щи т ы именно тогда , когда при п олном разрушении брандмауэра не остается ни малейших следов , указывающих на то , как это происходило . В лучшем же случае бра ндмауэр сам выявляет попытку взлома и веж ливо информирует об этом администратора . Попы тка при этом обрече н а на пров ал. Один из способов определить результат попытки взлома брандмауэрной защиты — проверить состояние вещей в так называемых зонах риска. Если сеть подсоединена к Internet без брандмауэра , объектом напад ения станет вся сеть . Такая ситуация сама по с ебе не предполагает , что сеть становится уязвимой для каждой попытки в злома . Однако если она подсоединяется к об щей небезопасной сети , администратору придется обеспечивать безопасность каждого узла отдельно . В слу чае образования бреши в брандмауэре зона ри ска расширяется и охватывает всю за щищенную сеть . Взломщик , получивший доступ к входу в брандмауэр , может прибегнуть к методу "захвата островов " и , пользуясь брандмау эром как базой , охватить всю локальную сет ь . Подобная ситуация все же даст слабую надежду, ибо нарушитель может оставить следы в брандмауэре , и его можно будет разоблачить . Если же брандмауэр полностью выведен из строя , локальная сеть становится открытой для нападения из любой внешней системы , и определение характера этого на падения становится практически невозможны м. В общем , вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения . В определенно м смысле это может показаться совсем не такой уж удачной идеей , ведь такой подх од напоминает складывание яиц в одну корзину . Однако практикой подтверждено , что любая довольно крупная сеть включает , по м еньшей мере , несколько узлов , уязвимых при попытке взлома даже не очень сведущим нар ушителем , если у него достаточного для это го времени . Многие крупные компании имеют на вооружении организационную полит ику обеспечения безопасности узлов , разработанную с учетом этих недостатков . Однако было бы не слишком разумным целиком полагаться исключительно на правила . Именно с помощь ю брандмауэра можно повысить надежность уз л ов , направляя нарушителя в такой узкий тоннель , что появляется реальный ша нс выявить и выследить его , до того ка к он наделает бед . Подобно тому , как ср едневековые замки обносили несколькими стенами , в нашем слу чае создается взаимоблокирующая защита. Поч ему брандмауэр ? Через Internet нарушитель может : вторгнуться во внутреннюю сеть предприяти я и получить несанкционированный доступ к конфиденциальной информации ; незаконно скопировать важную и ценную для предприятия информацию ; получить пароли , адреса серве ров , а подчас и их содержимое ; входить в информационную систему предприя тия под именем зарегистрированного пользователя и т.д. С помощью полученной злоумышленником инфо рмации может быть серьезно подорвана конкурен тоспособность предприятия и доверие его кли ентов. Существует м ного видов защиты в сети , но наиболее эффективный способ зашиты объекта от нападени я , одновременно позволяющий пользователям иметь некоторый доступ к службам Internet , заключается в построении брандмауэра . Чтобы брандмауэр был достаточн о эффективным , необходимо тщ ательно выбрать его конфигурацию , установить и поддерживать. Брандмауэры представляют собой аппаратно - программный подход , который ограничивает досту п за счет принудительного прокладывания всех коммуникаций , идущих из внутренн ей се ти в Internet , из Internet во внутреннюю сеть , через это средс тво защиты . Брандмауэры позволяют также защищ ать часть вашей внутренней сети от осталь ных её элементов . Аппаратные средства и пр ограммное обеспечение , образующие брандмауэр , филь труют весь трафик и принимают решение : можно ли пропустить этот трафик – эле ктронную почту , файлы , дистанционную регистрацию и другие операции . Организации устанавливают конфигурацию брандмауэров разными способами . На некоторых объектах брандмауэры полностью бло киру ю т доступ в Internet и из неё , а на других ограничивают доступ таким образом , ч то только одна машина или пользователь мо жет соединяться через Internet с машинами за пределами внутренней сети . Иногда реализуются более с ложные правила , которые включают провер ку каждого сообщения , направленного из внутренн е сети во внешнюю , чтобы убедится в со ответствии конкретным требованиям стратегии обес печения безопасности на данном объекте . Несмо тря на эффективность в целом , брандмауэр н е обеспечивает защиту от собственно г о персонала или от злоумышленника , уже преодолевшего это средство сетевой защиты. Межсетевой экран как средств о от вторжения из Internet Ряд задач по отражению на иболее вероятных угроз для внутренних сетей способны решать межсетевые экраны, В отечественн ой литературе до последнего времени использовалис ь вместо этого термина другие термины ино странного происхождения : брандмауэр и firewall. Вне компью терной сферы брандмауэром (или firewall) называют стену , сдела нную из негорючих материалов и препятствующую распространению пожара . В сфере компьют ерных сетей межсетевой экран представляет соб ой барьер , защищающий от фигурального пожара - попыток злоумышленников вторгнуться во внут реннюю сеть для того , чтобы скопировать , и зменить или стереть информацию либо вос п ользоваться памятью или вычислительн ой мощностью работающих в этой сети компь ютеров . Межсетевой экран призван обеспечить б езопасный доступ к внешней сети и огранич ить доступ внешних пользователей к внутренней сети. Межсетевой экран (МЭ ) - это система межсе тевой защ иты . позволяющая разделить общую сеть на д ве части или более и реализовать набор правил , определяющих условия прохождения пакето в с данными через границу из одной ча сти общей сети в другую . Как правило , э та граница проводится между корпоративной ( локальной ) сетью предприятия и гл обальной сетью Internet, хотя ее можно провести и вну три корпоративной сети предприятия . МЭ пропус кает через себя весь трафик , принимая для каждого проходящего пакета решение - пропуска ть его или отбросить . Для того чтобы М Э мог осуществить это ему необходимо определить набор правил фильтрации. Обычно межсетевые экраны защищают внутрен нюю сеть предприятия от "вторжений " из гло бальной сети Internet, однако они могут использоваться и для защиты от "нападений " из корпоративн ой интрасети , к которой подключена локал ьная сеть предприятия . Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоят ельствах . Однако для большинства коммерческих организаций установка межсетевого экрана явля е тся необходимым условием обеспечения безопасности внутренней сети . Главный довод в пользу применения межсетевого экрана с остоит в том , что без него системы вну тренней сети подвергаются опасности со сторон ы слабо защищенных служб сети Internet, а также зонд ированию и атакам с каких-либо других хост-компьютеров внешней сети. Проблемы недостаточной информационной безопа сности являются "врожденными " практически для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Известно , что сеть Arpanet (прародитель Internet) строилас ь как сеть , связывающая исследовательские цен тры , научные , военные и правительственные учре ждения , крупные университеты США . Эти структур ы использовали операци онную систему UNIX в качестве платформы для коммуникаций и решения соб ственных задач . Поэтому особенности методологии программирования в среде UNIX и ее архитектуры н аложили отпечаток на реализацию протоколов об мена и политики безопасности в сети . Из-за от крытости и распространенности система UNIX стала любимой добычей хакеров . Поэтому совсем н е удивительно , что набор протоколов TCP/IP, который обесп ечивает коммуникации в глобальной сети Internet и в пол учающих все большую популярность интрасетях , имеет "вр ожденные " недостатки защиты . То же самое можно сказать и о ряде слу жб Internet. Набор протоколов управления передачей соо бщений в Internet (Transmission Control Protocol/Internet Protocol - TCP/IP) используется для организации коммуни каций в неоднородной с етевой среде , об еспечивая совместимость между компьютерами разны х типов . Совместимость - одно из основных п реимуществ TCP/IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы . Кроме т ого , протоколы TCP/IP предоставляют доступ к р есур сам глобальной сети Internet. Поскольку TCP/IP поддерживает маршрутизаци ю пакетов , он обычно используется в качест ве межсетевого протокола . Благодаря своей поп улярности TCP/IP стал стандартом де фактора для меж сетевого взаимодействия. В заголовках паке тов TCP/IP указывается информация , которая может подвергнуться нападен иям хакеров . В частности , хакер может подм енить адрес отправителя в своих "вредоносных " пакетах , после чего они будут выглядеть , как пакеты , передаваемые авторизированным кл иентом . Отме чу "врожденные слабости " некоторых распространенных служб Internet. Простой протокол передачи эл ектронной почты (Simple Mail Transfer Protocol - SMTP) позволяет о существлять почтовую транспортную службу Internet. Одна из проблем безопасности , связанная с э тим протоколом , заключается в том , что пользо ватель не может проверить адрес отправителя в заголовке сообщения электронной почты . В результате хакер может послать во внутр еннюю сеть большое количество почтовых сообще ний , что приведет к перегрузке и блокир о ванию работы почтового сервера. Популярная в Internet программа электрон ной почты Sendmail использует для работы некоторую сетевую информацию - IP-адрес отправителя . Перехватыв ая сообщения , отправляемые с помощью Sendmail, хакер може т употребить эту информ ацию для напад ений , например для спуфинга (подмены адресов ). Протокол передачи файлов (File Transfer Protocol - FTP) обеспечивает передачу текстовых и двоичных файлов , поэто му его часто используют в Internet для организации совм естного доступа к информации . Его обычно рассматривают как один из методов работы с удаленными сетями . На FTP-серверах хранятс я документы , программы , графика и другие в иды информации . К данным этих файлов на FTP-серверах нельзя обратиться напрямую . Это м ожно сделать , только переписа в их целиком с FTP-сервера на локальный сервер . Некоторые FTP-серверы ограничивают доступ пользоват елей к своим архивам данных с помощью пароля , другие же предоставляют свободный д оступ (так называемый анонимный FTP-сервер ). При использовании опции анонимн о го FTP для своег о сервера пользователь должен быть уверен , что на нем хранятся только файлы , предн азначенные для свободного распространения. Служба сетевых имен (Domain Name System - DNS) представляет собой распределенную базу данных , которая п реобразует и мена пользователей и хост-ком пьютеров в IP-адреса , указываемые в заголовках пакетов , и наоборот . DNS также хранит информ ацию о структуре сети компании , например к оличестве компьютеров с IP-адресами в каждом домене . Одной из проблем DNS является то , ч то эт у базу данных очень трудно "скрыть " от неавторизированных пользователей . В результате DNS часто используется хакерами как источник информации об именах доверенных хост-компьютеров. Служба эмуляции удаленного т ерминала (TELNET) употребляется для подключения к у даленным системам , присоединенным к сети , прим еняет базовые возможности по эмуляции термина ла . При использовании этого сервиса Internet пользователи должны регистрироваться на сервере TELNET, вводя свои имя и пароль . После аутентификации пользо вателя ег о рабочая станция функционирует в режиме "тупого " терминала , подключенного к внешнему хост-компьютеру . С этого терминал а пользователь может вводить команды , которые обеспечивают ему доступ к файлам и з апуск программ . Подключившись к серверу TELNET, хакер м ожет сконфигурировать его программу таким образом , чтобы она записывала имена и пароли пользователей. Всемирная паутина (World Wide Web - WWW) - это система , основанная на сетевых приложениях , которые позволяют пользователям прос матривать содержимое различ ных серверов в Internet или интрасетях . Самым полезным свойством WWW является исп ользование гипертекстовых документов , в которые встроены ссылки на другие документы и Web-узлы , что дает пользователям возможность лег ко переходить от одного узла к другому . О днако это же свойство является и наиболее слабым местом системы WWW, поскольку с сылки на Web-узлы , хранящиеся в гипертекстовых документах , содержат информацию о том , как осуществляется доступ к соответствующим узла м . Используя эту информацию , хакеры могут разрушить Web-узел или получить доступ к хранящейся в нем конфиденциальной информации . К уязвимым службам и протоколам Internet относятся также протокол копирования UUCP, протокол маршрутизации RIP, графич еская оконная система Х Windows и др. Решение о том , фильтровать ли с помощью межсетевого экрана конкретные проток олы и адреса , зависит от принятой в за щищаемой сети политики безопасности . Межсетевой экран является набором компонентов , настраиваем ых таким образом , чтобы реализовать выбранную политику безо п асности . В частност и , необходимо решить , будет ли ограничен д оступ пользователей к определенным службам Internet на базе протоколов TCP/IP и если будет , то до какой степе ни. Политика сетевой безопасности каждой организации должна в ключать две составляющие : политику доступа к сетевым сервисам ; политику реализации межсетевых экранов. В соответствии с политикой доступа к сетевым сервисам определяется список сервисо в Internet, к которым пользователи должны иметь ограниченный доступ . Задаются также ограничения н а методы доступа , например , на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Protocol). Ограничение методов доступа необходимо для того , чтобы пользователи не могли обращаться к "запрещенным " сервисам Internet обходным и путями . Например , если для ограничен ия доступа в Internet сетевой администратор устанавливает специальный шлюз , который не дает возможности пользователям работать в системе WWW, они могли бы установить РРР-соединения с Web-серверами по коммутируемой лини и. Политика доступа к сетевым сервисам о бычно основывается на одном из следующих принципов : 1) запретить доступ из Internet во внутреннюю сеть , но разрешить доступ из внутренней сети в Internet; 2) разрешить ограниченный доступ во внутр еннюю сеть из Intern et, обеспечивая работу только отде льных "авторизированных " систем , например почтовых серверов. В соответствии с политикой реализации межсетевых экранов определяются правила доступ а к ресурсам внутренней сети . Прежде всего , необходимо установить , насколько "доверит ельной " или "подозрительной " должна быть систем а защиты . Иными словами , правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов : 1) запрещать все , что не разрешено в явной форме ; 2) разрешать все , что не запрещено в явной форме. Реализация межсетевого экрана на основе первого принципа обеспечивает значительную з ащищенность . Однако правила доступа , сформулирован ные в соответствии с этим принципом , могут доставлять большие неудобства пользователям , а кроме того , их ре ализация обходится достаточно дорого . При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров , однако , пол ьзоваться ей будет удобнее и потребуется меньше затрат. Эффективность защиты внутренней сети с помощью межсе тевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сет и , но и от рациональности выбора и исп ользования основных компонентов межсетевого экра на. Функциональные требования к межсетевым эк ранам включают : тре бования к фильтрации на сетево м уровне ; требования к фильтрации на прикладном уровне ; требования по настройке правил фильтрации и администрированию ; требования к средствам сетевой аутентифик ации ; требования по внедрению журналов и уч ету. Основные компонен ты межсетевых экр анов Большинство компонентов межсетевых экранов можно отнести к одной из трех категори й : фильтрующие маршрутизаторы ; шлюзы сетевого уровня ; шлюзы прикладного уровня. Эти категории можно рассматривать как базовые компоненты реальных межсете вых экранов . Лишь немногие межсетевые экраны вк лючают только одну из перечисленных категорий . Тем не менее , эти категории отражают ключевые возможности , отличающие межсетевые экран ы друг от друга. Фильтрующие маршрутизаторы Фильтрующий маршрутизатор предст авляет собой маршрутизатор или работающую на серв ере программу , сконфигурированные таким образом , чтобы фильтровать входящее и исходящие пак еты . Фильтрация пакетов осуществляется на осн ове информации , содержащейся в TCP- и IP- заголовках пакетов . Фильтру ющие маршрутизаторы обычно может фильтровать IP- пакет на основе группы следующих поле й заголовка пакета : IP - адрес отправителя (адрес системы , которая послала пакет ); IP- адрес получателя (адрес системы которая принимает пакет ); Порт отправителя (порт соеди нения в системе отправителя ); Порт получателя (порт соединения в сис теме получателя ); Порт – это программное понятие , котор ое используется клиентом или сервером для посылки или приема сообщений ; порт идентифи цируется 16 – битовым числом. В настоящее врем я не все филь трующие маршрутизаторы фильтруют пакеты по TCP/UDP – порт отправителя , однако многие производители ма ршрутизаторов начали обеспечивать такую возможно сть . Некоторые маршрутизаторы проверяют , с как ого сетевого интерфейса маршрутизатора пришел па кет , и затем используют эту инфор мацию как дополнительный критерий фильтрации. Фильтрация может быть реализована различн ым образом для блокирования соединений с определенными хост-компьютерами или портами . Напри мер , можно блокировать соединения , идущие от конкретных адресов тех хост-компьютеров и сетей . которые считаются враждебными или ненадежными. Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость . Известно , что такие серверы , как демон TELNET, обычно связан ы с конкретными портами (например , порт 23 протокола TELNET). Если межсетевой экран может б локировать соединения TCP или UDP с определенными портами или от них , то можно реализовать политику безопасности , при которой некоторые виды соединений устанавливают ся только с конкр етными хост-компьютерами. Например , внутренняя сеть может блокирова ть все входные соединения со всеми хост-ко мпьютерами за исключением нескольких систем . Для этих систем могут быть разрешены толь ко определенные сервисы (SMTP для одной сист емы и TELNET или FTP -для другой ). При фильтрации по портам TCP и UDP эта п олитика может быть реализована фильтрующим ма ршрутизатором или хост-компьютером с возможностью фильтрации пакетов. В качестве примера работы фильтрующего маршрутизатора рассмотрю ре ализацию полити ки безопасности , допускающей определенные соедине ния с внутренней сетью с адресом 123.4.*.* Соеди нения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который может быть прикладным TELNET-шлюзом , а SMTP-соединения - т олько с дв умя хост-компьютерами с адресами 123.4.5.7 и 123.4.5.8, котор ые могут быть двумя шлюзами электронной п очты . Обмен по NNTP (Network News Transfer Protocol) разрешается только от серве ра новостей с адресом 129.6.48.254 и только с NNTP- сервером сети с адресом 123.4.5.9, а протокол NTP (сетево го времени )-для всех хост-компьютеров . Все другие серверы и пакеты блокируются . рации Первое правило позволяет пропускать пакет ы TCP из сети Internet от любого источника с номером порт а большим , чем 1023, к получ ателю с ад ресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не ниже 1024. Второе и третье правила работают анал огично и разрешают передачу пакетов к пол учателям с адресами 12 3.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP. Четвертое правило пропускает пакеты к NNTP-серверу сети , но только от отправителя с адресом 129.6.48.254 к получателю с адресом 123.4.5.9 с портом назначения 119 (129.6.48.254 -единственный NNTP-сервер , от которого внутренняя сеть получает новости , поэтому доступ к сети для выполн ения протокола NNTP ограничен только этой системой ). Пятое правило разрешает трафик NTP, который использует протокол UDP вместо TCP. от любого источника к любому получателю внутренн ей сети. Наконец , шестое правило блокирует все остальные пакеты . Если бы этого правила не было , маршрутизатор мог бы блокировать , а мог бы и не блокировать другие типы пакетов . Выше был рассмотрен очень просто й пример фильтрации пакетов . Реально использу ем ые правила позволяют осуществить более сложную фильтрацию и являются более гибк ими. Правила фильтрации пакетов формулируются сложно , и обычно нет средств для тестирова ния их корректности , кроме медленного ручного тестирования . У некоторых фильтрующих маршр утизаторов нет средств протоколирования , поэтому , если правила фильтрации пакетов все-т аки позволят опасным пакетам пройти через маршрутизатор , такие пакеты не смогут быть выявлены до обнаружения последствий проникно вения . Даже если администратору сети уд а стся создать эффективные правила фильтрации , их возможности остаются ограниченны ми . Например , администратор задает правило , в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адр есом отправителя . Однако хакер может использ о вать в качестве адреса отправите ля в своем "вредоносном " пакете реальный а дрес доверенного (авторизированного ) клиента . В этом случае фильтрующий маршрутизатор не с умеет отличить поддельный пакет от настоящего и пропустит его . Практика показывает , что под о бный вид нападения , называемы й подменой адреса , довольно широко распространен в сет и Internet и часто оказывается эффективным. Межсетевой экран с фильтрацией пакетов , работающий только на сетевом уровне эталон ной модели взаимодействия открытых систем OSI-I SO, обы чно проверяет информацию , содержащуюся только в IP-заголовках пакетов . Поэтому обмануть его несложно : хакер создает заголовок , который у довлетворяет разрешающим правилам фильтрации . Кро ме заголовка пакета , никакая другая содержаща яся в нем информаци я межсетевыми экра нами данной категории не проверяется. К положительным качествам фильтрующих мар шрутизаторов следует отнести : сравнительно невысокую стоимость ; гибкость в определении правил фильтрации ; небольшую задержку при прохождении пакето в. Недостат ками фильтрующих маршрутизатор ов являются : внутренняя сеть видна (маршрутизируется ) и з сети Internet; правила фильтрации пакетов трудны в о писании и требуют очень хороших знаний те хнологий TCP и UDP; при нарушении работоспособности межсетевого экрана с фил ьтрацией пакетов все компьютеры за ним становятся полностью нез ащищенными либо недоступными ; аутентификацию с использованием IP-адреса м ожно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую , используя ее IP-адрес ); отсутствует ауте нтификация на пользов ательском уровне. Шлюзы сетевого уровня Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзо м сеансового уровня модели OSI. Такой шлюз исключает , прямое взаимодействие между авторизированным к лиентом и вне шним хост-компьютером . Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги , и после п роверки допустимости запрошенного сеанса устанав ливает соединение с внешним хост-компьютером . После этого шлюз копирует пакеты в обоих направле н иях , не осуществляя их фильтрации. Шлюз следит за подтверждением (квитирован ием ) связи между авторизированным клиентом и внешним хост-компьютером , определяя , является ли запрашиваемый сеанс связи допустимым . Чтоб ы выявить допустимость запроса на сеанс с вяз и , шлюз выполняет следующую процедуру. Когда авторизированный клиент запрашивает некоторый сервис , шлюз принимает этот запро с , проверяя , удовлетворяет ли этот клиент базовым критериям фильтрации (например , может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя ). Затем , дейс твуя от имени клиента , шлюз устанавливает соединение с внешним хост-компьютером и следи т за выполнением процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами , которые помечаются ф лагами SYN (синхрониз ировать ) и АСК (подтвердить ). Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число , например 1000. явл яется запросом клиента на открытие сеанса . Внешний хост-компьютер , получивший этот пакет , посылает в ответ пакет , помеченный фл агом АСК и содержащий число , на единицу большее , чем в принятом пакете подтверждая , тем самым прием пакета SYN от клиента. Далее осуществляется обратная процедура : хост-компьютер посылает клиенту пакет SYN с исхо дным числом (например , 2000), а клиент подтв ерждает его получение передачей пакета АСК , содержащего число 2001. На этом процесс квитир ования связи завершается. Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случа е , если при выполнении процедуры квит и рования связи флаги SYN и АСК , а также чи сла , содержащиеся в TCP-пакетах , оказываются логи чески связанными между собой. После того как шлюз определил , что доверенный клиент и внешний хост-компьютер являются авторизированными участниками сеанса TCP, и пров ерил допустимость этого сеанса , он уст анавливает соединение . Начиная с этого момент а , шлюз копирует и перенаправляет пакеты т уда и обратно , не проводя никакой фильтрац ии . Он поддерживает таблицу установленных сое динений , пропуская данные , относящиеся к од н ому из сеансов связи , зафиксирова нных в этой таблице . Когда сеанс завершает ся , шлюз удаляет соответствующий элемент из таблицы и разрывает цепь . использовавшуюся в данном сеансе. Для копирования и перенаправления пакетов в шлюзах сетевого уровня применяютс я специальные приложения , которые называют канальными посредниками, поскольку они устанавливают между двум я сетями виртуальную цепь или канал , а затем разрешают пакетам , которые генерируются приложениями TCP/IP, проходить по этому каналу . Канальны е посредн ики поддерживают несколько служб TCP/IP, поэто му шлюзы сетевого уровня могут использоваться для расширения возможностей шлюзов прикладно го уровня , работа которых основывается на программах-посредниках конкретных приложений. Фактически большинство шлюзов се тевог о уровня не являются самостоятельными продукт ами , а поставляются в комплекте со шлюзами прикладного уровня . Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems, Alta Vista Firewall компании DEC и ANS Interlo ck компании ANS. Например, Alta Vista Firewall использу ет канальные посредники прикладного уровня дл я каждой из шести служб TCP/IP, к которым относятся , в частности, FTP, HTTP (Hyper Text Transport Protocol) и telnet. Кроме того , межсетевой экран компании DEC обеспечивает шлюз сетевого уровня , поддерживающий другие общедост упные службы TCP/IP, такие как Gopher и SMTP, для которых межсетевой экран не предоставляет посредников прикладного уровня. Шлюз сетевого уровня выполняет еще од ну важную функцию защиты : он используетс я в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит прео бразование внутренних IP-адресов в один "надежны й " IP-адрес . Этот адрес ассоциируется с межсе тевым экраном , из которого передаются вс е исходящие пакеты . В результате в сети со шлюзом сетевого уровня все исходящие пакеты оказываются отправленными из этого шлюза , что исключает прямой контакт между внутренней (авторизированной ) сетью и потенциально опасной внешней сетью . IP-а д рес шлюза сетевого уровня становится единственно активным IP-адресом , который попадает во внеш нюю сеть . Таким образом шлюз сетевого уров ня и другие серверы-посредники защищают внутр енние сети от нападений типа подмены адре сов. После установления связи шлюз ы се тевого уровня фильтруют пакеты только на сеансовом уровне модели OSI, т.е . не могут проверять с одержимое пакетов , передаваемых между внутренней и внешней сетью на уровне прикладных программ . И поскольку эта передача осуществ ляется "вслепую ", хакер , нах одящийся во внешней сети , может "протолкнуть " свои "вредонос ные " пакеты через такой шлюз . После этого хакер обратится напрямую к внутреннему Web- серверу , который сам по себе не может обеспечивать функции межсетевого экрана . Иными словами , если процедура к в итировани я связи успешно завершена , шлюз сетевого у ровня установит соединение и будет "слепо " копировать и перенаправлять все последующие пакеты независимо от их содержимого. Чтобы фильтровать пакеты , генерируемые оп ределенными сетевыми службами , в соответ с твии с их содержимым необходим шлюз прикл адного уровня. Шлюзы прикладного уровня Для устранения ряда недостатков , присущих фильтрующим маршрутизаторам , межсетевые экраны должны использовать дополнительные программные средства для фильтрации сообщений серв исов типа TELNET и FTP. Такие программные средства называются полномочными серверами (серверами- посредниками ), а хост-компьютер , на котором они выполняются , - шлюзом прикладного уровня. Шлюз прикладного уровня исключает прямое взаимодействие между авторизи рованным кл иентом и внешним хост-компьютером . Шлюз фильтр ует все входящие и исходящие пакеты на прикладном уровне . Связанные с приложением серверы – посредники перенаправляют через шл юз информацию , генерируемую конкретными серверами. Для достижения более высокого уровн я безопасности и гибкости шлюзы прикладного уровня и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране . В качестве примера рассмотрю сеть , в которой с помощью фильтрующего маршрутизатора блокируются входящие соединен и я TELNET и FTP. Этот маршру тизатор допускает прохождение пакетов TELNET или FTP только к одному хост-компьютеру - шлюзу прикладного уровн я TELNET/FTP. Вне шний пользователь , который хочет соединиться с некоторой системой в сети , должен сначал а соединиться с о шлюзом прикладного у ровня , а затем уже с нужным внутренним хост-компьютером . Это осуществляется следующим образом : 1) сначала внешний пользователь устанавливае т TELNET-соединение со шлюзом прикладного уровня с помощью протокола TELNET и вводит имя интере с ующего его внутреннего хост-компьютера ; 2) шлюз проверяет IP – адрес отправителя и разреш ает или запрещает соединение в соответствии с тем или иным критерием доступа 3) пользователю может потребовать ся аутентификация (возможно , с помощью однораз овых парол ей ); 4) сервер-посредник устанавливает TELNET-соединение между шлюзом и внутренним хост-компьютером ; 5)сервер посредник осуществляет передачу информации между этими двумя соединениями ; 6) шлюз прикладного уровня регистрирует с оединение. Этот пример наглядн о показывает п реимущества использования полномочных серверов-посред ников. Полномочные серверы - посредники пропускают только те службы , которые им поручено о бслуживать . Иначе говоря , если шлюзы прикладно го уровня наделен полномочиями для служб FTP и TELNET , то в защищаемой сети будут разрешены только FTP и TELNE, а все другие службы будут полностью блокированы . Для некоторых организаций такой вид безопасност и имеет большое значение , так как он г арантирует , что через межсетевой экран будут пропускаться тольк о те службы , которые считаются безопасными . Полномочные серверы-посредники обеспечивают в озможность фильтрации протокола . Например , некотор ые межсетевые экраны , использующие шлюзы прик ладного уровня , могут фильтровать FTP – соединения и запрещать использ ование команды FTP put , что гарантированно не позволяет ползователям запи сывать информацию на анонимный FTP-сервер. В дополнение к фильтрации пакетов мно гие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и , что особ енно важно , пред упреждают сетевого админи стратора о возможных нарушениях защиты . Напри мер , при попытках проникновения в сеть изв не BorderWare Firewall Server компании Secure Computing позволяет фиксировать адреса отправителя и получателя пакетов , время , в которое э ти попы тки были предприняты , и использ уемый протокол . Межсетевой экран Black Hole компании Milkyway Networks регистрир ует все действия сервера и предупреждает администратора о возможных нарушениях , посылая ему сообщение по электронной почте или на пейджер . Аналог ичные функции выполняют и ряд других шлюзов прикладного уровня. Шлюзы прикладного уровня позволяют обеспе чить наиболее высокий уровень защиты , посколь ку взаимодействие с внешним миром реализуется через небольшое число прикладных полномочных программ-посред ников , полностью контролирующи х весь входящий и выходящий трафик. Шлюзы прикладного уровня имеют ряд пр еимуществ по сравнению с обычным режимом , при котором прикладной трафик пропускается не посредственно к внутренним хост-компьютерам . Переч ислю эти преимущ ества . Невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних систем можно не сообщать внешни м системам через DNS, поскольку шлюз прикладного уровня может быть единственным хост-компьютером , имя которого должно быть известно в нешни м системам. Надежная аутентификация и ре гистрация. Прикладной трафик мож ет быть аутентифицирован , прежде чем он до стигнет внутренних хост-компьютеров , и может б ыть зарегистрирован более эффективно , чем с помощью стандартной .регистрации. Оптимальное с оотношение между ценой и эффективностью . Дополнительные или аппаратные средства дл я аутентификации или регистрации нужно устана вливать только на шлюзе прикладного уровня . Простые правила фильтрации. Правила на фильтрующем маршрут изаторе оказываются менее сложными , чем они были бы , если бы маршрутизатор сам фильтровал прикладной трафик и отправлял е го большому числу внутренних систем. Mapшрутизатор должен пропускать прикладной трафик , предназначенн ый только для шлюза прикладного уровня , и блокироват ь весь о стальной трафик. Возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок , что снижает вероятность взлома с использовани ем "дыр " в программном обеспечении . К недостатка м шлюзов прикладного уровня относятся : более низкая производительность по сравне нию с фильтрующими маршрутизаторами ; в частно сти , при использовании клиент-серверных протоколов , таких как TELNET, требуется двухшаговая процедура для входных и выходных соедин ений ; Более высокая стоимость по сравнению с фильтрующим маршрутизатором Помимо TELNET и FTP шлюзы прикладного уровня обычно исполь зуются для электронной почты , Х Windows и некоторых других служб. Усиленная аутентификация Одним из важных компонентов конц епции межсетевых экранов является аутенти фикация (проверка подлинности пользователя ). Прежде чем пользователю будет предоставлено право воспользоваться , тем или иным сервисом , н еобходимо убедиться , что он действительно тот , за кого себя выдает. Одним из сп особов аутентификации является использование стандартных UNIX-паролей . Одна ко эта схема наиболее уязвимо с точки зрения безопасности - пароль может быть пере хвачен и использован другим лицом . Многие инциденты в сети Internet произошли отчасти из-за уязвимо сти традиционных паролей . Злоумышленники могут наблюдать за каналами в сети Internet и перехват ывать передающиеся в них открытым текстом пароли , поэтому схему аутентификации с трад иционными паролями следует признать устаревшей. Для преодоления этого недост атка разработан ряд средств усиленной аутентификации ; смарт-карты , персональные жетоны , биометрические механизмы и т.п . Хотя в них задействов аны разные механизмы аутентификации , общим дл я них является то , что пароли , генерируемы е этими устройствами , не мо г ут быть повторно использованы нарушителем , наблюда ющим за установлением связи . Поскольку пробле ма с паролями в сети Internet является постоянной , межсетевой экран для соединения с Internet, не распола гающий средствами усиленной аутентификации или не исполь зующий их , теряет всякий с мысл . Ряд наиболее популярных средств усиленной аутентификации , применяемых в настоящее врем я , называются системами с одноразовыми пароля ми . Например , смарт– карты или жетоны аутентиф икации генерируют информацию , которую хост-комп ьютер использует вместо традиционного пар оля Результатом является одноразовый пароль , который , даже если он будет перехвачен , не может быть использован злоумышленником под видом пользователя для установления сеанса с хост - компьютером. Так как межсетевые э краны могут централизовать управление доступом в сети , они являются подходящим местом для установки программ или устройств усиленной аутентифика ции . Хотя средства усиленной аутентификации м огут использоваться на каждом хост-компьютере , более практично их р азмещение на межсетевом экране . На рис . показано , что в сети без межсетевого экрана , использующего меры усиленной аутентификации , неаутентифицирова нный трафик таких приложений , как TELNET или FTP, может напрямую проходить к системам в сети . Если хос т-компь ютеры не применяют мер усиленной аутентификации , злоумышленник может попытаться взломать пароли или перехватить сетевой трафи к с целью найти в нем сеансы , в хо де которых передаются пароли. В этом случае сеансы TELNET или FTP, устанавливаемые со стороны се ти Internet с системами сети , должны проходить проверку с помощью средств усиленной аутентификации , прежде чем они будут разрешены , Системы сети могут запрашива ть для разрешения доступа и статические п ароли , но эти пароли , даже если они буд ут перехвачены з лоумышленником , нельзя бу дет использовать , так как средства усиленной аутентификации и другие компоненты межсетево го экрана предотвращают проникновение злоумышлен ника или обход ими межсетевого экрана. Основные схемы сетевой защит ы на базе межсетевых экран ов При подключении корпоративной или локальн ой сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи : защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети ; скрытие информации о структуре сети и ее компонентов от пользователей глобал ьной сети, разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой с ети в глобальную сеть. Необходимость работы с удаленными пользов ателями требует установки жестких ограничений д оступа к информационным ресурсам защи щаемой сети . При этом часто возникает потр ебность в организации в составе корпорационно й сети нескольких сегментов с разными уро внями защищенности свободно доступные сегменты (например , рек ламный WWW-сервер ), сегмент с ограниченным доступом (нап ример , для доступа сотрудникам организации с удаленных узлов ), закрытые сегменты (например , локальная фин ансовая сеть организации ) . Для защиты корпоративной или локальной сети применяются следующие основные схемы организации меж сетевых экранов : межсетевой экран - фильтрующий маршрутизатор ; межсетевой экран на основе двупортового шлюза ; межсетевой экран на основе экранированног о шлюза ; межсетевой экран – экранированная подсет ь. Межсетевой экран – фильтрую щий маршрутизатор Межсет евой экран , основанн ый на фильтрации пакетов , является самым р аспространенным и наиболее простым в реализац ии . Он состоит из фильтрующего маршрутизатора , расположенного между защищаемой сетью и сетью Internet ( рис . 8.6). Фильтрующий маршрутизатор сконфигур иров ан для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов . Компьютеры , находящиеся в защищаемой сети , имеют прямой доступ в сеть Internet, в то время как большая часть до ступа к ним из Internet блокируется . Ч асто блокирую тся такие опасные службы , как Х Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасности , описанных ране е . Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входно го и вых одного порта , то реализация политики "запрещено все , что не разрешено в явной форме " может быть затруднена. Межсетевые экраны , основанные на фильтрац ии пакетов , имеют такие же недостатка , что и фильтрующие маршрутизаторы , причем эти недостатки становятся б олее ощутимыми при ужесточении требований к безопасности защища емой сети . Отметим некоторые из них : сложность правил фильтрации , в некоторых случаях совокупность этих правил может с тать неуправляемой ; невозможность полного тестирования правил фильтрации ; э то приводит к незащищеннос ти сети от не протестированных атак ; в результате администратору трудно опреде лить , подвергался ли маршрутизатор атаке и скомпрометирован ли он ; каждый хост-компьютер , связанный с сетью Internet, нужда ется в своих средствах усилен ной ауте нтификации. Межсетевой экран на базе двупортового шлюза Межсетевой экран на базе двупортового прикладного шлюза включает двудомны й хост-компьютер с двумя сетевыми интерфейсам и . При передаче информации между этими инт ерфейсами и осуществляется ос новная фильт рация . Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещ ают фильтрующий маршрутизатор (рисунок ). В резу льтате между прикладным шлюзом и маршрутизато ром образуется внутренняя экранированная подсеть . Эту подсеть можно использовать для размещения доступных извне информационных серв еров . В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлю з полностью блокирует трафик I Р между сет ью internet и защищаемой сетью . Только полномоч ные се рвера - посредники , располагаемые на прикладном шлюзе , могут предоставлять услуги и доступ пользователям. Данный вариант межсетевого экрана реализу ет политику безопасности , основанную на принц ипе "запрещено все , что не разрешено в явной форме ", при э том пользователю не доступны все службы , кроме тех , для которы х определены соответствующие полномочия . Такой подход обеспечивает высокий уровень безопаснос ти , только маршруты к защищенной подсети и звестны только межсетевому экрану и скрыты от внешних систе м. Рассматриваемая схема организации межсетевог о экрана является довольно простой и дост аточно эффективной. Следует отметить , что безопасность двудом ного хост-компьютера , используемого в качестве прикладного шлюза , должна поддерживаться на высоком уровне . Л юбая брешь в его защите может серьезно ослабить безопасность защищаемой сети . Если шлюз окажется скомпро метированным , у злоумышленника появится возможнос ть проникнуть в защищаемую сеть. Этот межсетевой экран может требовать от пользователей применение сред ств ус иленной аутентификации , а также регистрации д оступа , попыток зондирования и атак системы нарушителем . Для некоторых сетей может оказаться н еприемлемой недостаточная гибкость схемы межсете вого экрана с прикладным шлюзом. Межсетевой экран на основе эк ранированного шлюза Межсетевой экран на основе экранированног о шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз , разрешаемый со стороны внутренней сети . Прикладной шлюз реализуется на хост – компьютере и имеет только один сетевой интерфейс (рису нок ). В этой схеме первичная безопасность о беспечивается фильтрующим маршрутизатором . Пакетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих спос обов : позволять внутренним хост – компьютерам открывать соединения с хост – ком пьютерами в сети Internet для определения сервисов запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать пол номочные серверы-посредники на прикладном шлюзе ). Эти подходы можно комбинировать для р азличных сервисов , разреша я некоторым сер висам соединение непосредственно через пакетную фильтрацию , в то время как другим тол ько непрямое соединение через полномочные сер веры-посредники . Все зависит от конкретной пол итики безопасности , принятой во внутренней се ти . В частности , па к етная фильтрац ия на фильтрующем маршрутизаторе может быть организована таким образом , чтобы прикладной шлюз , используя свои полномочные серверы-поср едники , обеспечивал для систем защищаемой сет и такие сервисы , как TELNET, FTP, SMTP. Межсетевой экран выпол ненный по данной схеме , получается более глубоким , но менее безопасным по сравнению с межсетев ым экраном с прикладным шлюзом на базе двудомного хост – компьютера . Это обусловл ено тем , что в схеме межсетевого экрана с экранированным шлюзом существует поте н циальная возможность передачи трафик а в обход прикладного шлюза непосредственно к системе локальной сети . Основной недостаток схемы межсетевого экр ана с экранированным шлюзом заключается в том , что если атакующий нарушитель сумеет проникнуть в хост-компью тер , то перед ним окажутся незащищенные системы внутренней сети . Другой недостаток связан с возможной компрометацией маршрутизатора . Если маршрутизато р окажется скомпрометированным , внутренняя сеть станет доступна атакующему нарушителю. По этим причинам в настоящее вр емя все более популярной становится схема межсетевого экрана с экранированной подсетью. Межсетевой экран – экраниро ванная подсеть Межсетевой экран , состоящий из экранированной подсети , представляет собой р азвитие схемы межсетевого экрана на осн ове экранированного шлюза . Для создания экранированной подсети используются два экрани рующих маршрутизатора (рисунок ). Внешний маршрутиза тор располагается между сетью internet и экранируемой подсе тью , а внутренний - между экранируемой подсетью и защищаемой внутренней сетью . Экраниру емая подсеть содержит прикладной шлюз , а т акже может включать информационные серверы и другие системы , требующие контролируемого до ступа . Эта схема межсетевого экрана обеспечив ает хорошую безопасность благодаря организации экран и рованной подсети , которая еще лучше изолирует внутреннюю защищаемую сеть от Internet. Внешний маршрутизатор защищает от сети internet как экранированную подсеть , так и внутреннюю се ть . Он должен пересылать трафик согласно с ледующим правилам : разрешается т рафик от объектов internet к при кладному шлюзу ; разрешается трафик от прикладного шлюза к internet ; разрешается трафик электронной почты от internet к серверу электронной почты ; разрешается трафик электронной почты от сервера электронной почты к internet ; разрешается трафик FTP , Gopher и т.д . от internet к информационному сер веру ; запрещается остальной трафик. Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует ве сь трафик к internet , идущий от систем , которые не должн ы являться инициаторами соединений ( в частности , информационный сервер и др .). Э тот маршрутизатор может быть использован такж е для блокирования других уязвимых протоколов , которые не должны передаваться к хост-ко мпьютерам внутренней сети или от них. Внутре нний маршрутизатор защищает вну треннюю сеть как от Internet , так и от экранированной подсети . Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации . Он управ ляет трафиком к системам внутренней сети и от них в соответствии со следующими пр авилами : разрешается трафик от прикладного шлюза к системам сети ; разрешается прикладной трафик от систем сети к прикладному шлюзу ; разрешает трафик электронной почты от сервера электронной почты к системам сети ; разрешается трафик электронной почты от сис тем сети к серверу электронной почты ; разрешается трафик FTP, Gopher и т.д . от систем сети к информационному серверу ; запрещает остальной трафик ; Чтобы проникнуть во внутреннюю сеть п ри такой схеме межсетевого экрана , атакующему нужно пройти два фильтрующи х маршрут изатора . Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза , он должен еще преодолеть внутренний фильтр ующий маршрутизатор . Таким образом , ни одна система внутренней сети не достижима непос редственно из Internet, и наоб орот . Кроме того , че ткое разделение функций между маршрутизаторами и прикладным шлюзом позволяет достигнуть б олее высокой пропускной способности. Прикладной шлюз может включать программы усиленной аутентификации. Межсетевой экран с экранированной подсеть ю имеет и недостатки ; пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необход имого уровня безопасности . поскольку из-за оши бок при их конфигурировании могут возникнуть провалы в безопасности всей сети ; существует принципиальная возможность д оступа в обход прикладного шлюза. Применение межсетевых экранов для организации виртуальных корпоративных сете й Некоторые межсетевые экраны п озволяют организовать виртуальные корпоративные сети . Несколько локальных сетей , подключенных к глоба льной сети , объединяются в одну виртуальную корпоративную сеть . Передача дан ных между этими локальными сетями производить ся прозрачным образом для пользователей локал ьных сетей . Конфиденциальность и целостность передаваемой информации должны обеспечиватьс я при помощи средств шифрования , использ ование цифровых подписей . При передаче данных может шифроваться не только содержимое п акета , но и некоторые поля заголовка . Программные методы защиты К программным методам защиты в сети Internet могут быть отнесены защищенные кр иптопротоколы , которые позволяют надежно защищать соединения . В процессе развития Internet были созданы различные защищенные сетевые протоколы , испо льзующие как симметричную криптографию с закр ытым ключом , так и асимметричную криптографию с о ткрытым ключом . К основным на сегодняшний день подходам и протоколам , о беспечиваю щим защиту соединений , относятся SKIP -технология и протокол защиты соединения SSL. SKIP (Secure Key Internet Рго t осо l ) -технологией называется стандарт защиты трафика IP-паке т ов , позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Возможны два способа реализации SKIP-защиты трафика IP-пакетов : шифрование блока данных IP – ракета ; инкапсуляция IP-пакета в SKIP-пакет. Шифрование блока данных IP-пакета и ллюстрируется . В этом случае шифруются методо м симметричной криптографии только данные IP-па кета , а его заголовок , содержащий помимо п рочего адреса отправителя и получателя , остае тся открытым , и пакет маршрутизируется в с оответствии с истинным и адресами . За крытый ключ K(i,j) , разделяемый парой узлов сети i и j, вычисляется по схеме Диффи-Хеллмана . SKIP-пакет внешне похож на обычный IP-пакет . В поле данных SKIP-пакет а полностью размещается в зашифрованном виде исходный IP-пакет . В этом случае в н овом заголовке вместо истинных адресов могут быть помещены некоторые другие адрес а . Такая структура SKIP-пакета позволяет беспрепя тственно направлять его любому хост-компьютеру в сети Internet, при этом межсетевая адресация осуществ ляется по обычному IP-за головку в SKIP – пакете . Конечный получатель SKIP – пакета по заранее опре деленному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP – или UDP – пакет , который и передает соответствующему модулю ( TCP или UDP ) ядра о перационной с истемы . Универсальный протокол защиты соединения SSL (Secure Socket Layer) функционирует на сеансовом уровне эталонной модели OSI. Протокол SSL, разработанный компани ей Netscape, исп ользует криптографию с открытым ключом . Этот протокол является действитель но универса льным средством , позволяющим динамически защищать соединение при использовании любого прикладн ого протокола (FTP, TELNET, SMTP, DNS и т.д .). Протокол SSL поддерживают так ие ведущие компании , как IBM, Digital Equipment Corporation, Microsoft Corp oration, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. и др. Следует отметить также функционально зако нченный отечественный криптографический комплекс "Шифратор IP потоков ". разработанный московским отделением П ензенского научно-ис следовательского электротехни ческого института . Криптографический комплекс "Шиф ратор IP п отоков " представляет собой распределенную систему криптографических шифраторов , средств управления криптографическими шифраторами , средств хранения , распространения и передачи криптографическ ой информации , а также средств оперативного мониторинга и регистрации происходящих событий . Криптографический комплекс "Шифратор IP потоков " пред назначен для выполнения следующих функций : создания защищенных подсетей передачи кон фид енциальной информации ; объединения локальных сетей в единую защищенную сеть ; организации единого центра управления защ ищенной подсетью. Комплекс обеспечивает : контроль целостности передаваемой информации ; аутентификацию абонентов (узлов сети ); передачу кон трольной информации в Центр управления ключевой системой защищенной IP сети ; поддержку протоколов маршрутизации PIP II, OSPF, BGP; поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234); поддержку инкапсуляции IP в Х .25 и Frame Relay; Криптографически й комплекс "Шифратор IP потоков " имеет модульную структуру и состоит из распределенной сети шифраторов IP потоков и единого центра управления ключевой системой. Шифратор IP протоколов (ШИП ) состоит из : криптографического модуля , непосредственно вс троенного в ядро операционной системы модуля поддержки клиентской части ключево й системы ; модуля проверки целостности системы при загрузки. модуля записи протоколов работы криптогра фической системы ; ШИП содержит также плату с интерфейсо м ISA, испол ьзуемую для защи ты от НСД при заг рузке системы и для получения от сертифиц ированного физического датчика случайных чисел , необходимых для реализации процедуры шифровани я. Центр управления ключевой системой (ЦУКС ) состоит из : автоматизированного рабочего места управлени я ключевой системой , работающей в среде X Windows; модуля серверной части ключевой системы ; сервисной программы просмотра протоколов работы криптографического комплекса "Шифратор IP потоков ". Управление ключами выполняется при помощи ЦУКС и заключается в сл едующем : Периодическая смена парных ключей шифрова ния зарегистрированных узлов защищенной сети ; формирование и рассылка по сети справ очников соответствия , определяющих возможность аб онентов работать друг с другом ; сбор и хранение в базе данных инф ормации о всех критичных событиях в сети , возникающих как при аутентификации абон ентов , так и при передаче между ними з ашифрованной информации. В случае возникновения нештатных ситуаций , создающих угрозу нарушения защиты информаци и , администратор ЦУКС предпринимает действия , направленные на восстановление целостности системы защиты информации. Схема организации виртуальной корпоративной сети с применением криптографического компле кса “Шифратор IP потоков ” показана на рисунке . При организации виртуальной корпоративн ой сети небольшог о размера без жёстких требований к времен и оповещения абонентов о компрометации какого -либо абонента и без жёстких требований к полноте собираемых протоколов об ошибках доступа возможно использование одного ЦУКС . При организации виртуальн о й корпор ативной сети среднего размера или с жёстк ими требованиями к времени оповещения абонент ов компрометации какого-либо абонента и к полноте собираемых протоколов об ошибках дост упа следует использовать несколько ЦУКС . При этом желательно , чтобы ЦУКС и м ели независимые друг от друга каналы подключения к глобальной сети. Заключение После всего изложенного материала можн о заключить следующее. На сегодняшний день лучшей защитой от компьютерных преступников является межсетевой экран правильно установленны й и подобр анный для каждой сети . И хотя он не гарантирует стопроцентную защиту от профессион альных взломщиков , но зато усложняет им до ступ к сетевой информации , что касается лю бителей то для них доступ теперь считаетс я закрытым . Также в будущем межсетевые экраны должны будут стать лучшими защ итниками для банков , предприятий , правительств , и других спецслужб . Также есть надежда , что когда нибудь будет создан межсетевой экран , который никому не удастся обойти . Н а данном этапе программирования можно также зак л ючить , что разработки по межсетевым экранам на сегодняшний день сулят в недалёком будущем весьма неплохие резу льтаты.
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Советы психолога.
Ваши дети отбились от рук? Попробуйте ногами.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, реферат по программированию "Брандмауэры", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru