Межсетевые экраны

Автор работы: Пользователь скрыл имя, 17 Мая 2013 в 15:14, реферат

Краткое описание

Согласно руководящему документу, межсетевые экраны - однокомпонентные или функционально распределенные средства, реализующие контроль за информацией, поступающей или исходящей в или из АС. Межсетевой экран разделяет сеть на две или более части и реализует набор правил - политику безопасности, определяющие условия прохождения пакетов из одной части сети в другую, а так же разрешенные службы и типы доступа.
Границы защищаемой сети обычно проводятся на стыке корпоративной сети и сети Интернет. Но можно располагать их и внутри корпоративной сети, например для защиты подразделений, где обрабатывается более конфиденциальная информация.

Содержимое работы - 1 файл

Межсетевые экраны.docx

— 25.78 Кб (Скачать файл)

МЕЖСЕТЕВЫЕ ЭКРАНЫ.

 

Согласно руководящему документу, межсетевые экраны - однокомпонентные или функционально распределенные средства, реализующие контроль за информацией, поступающей или исходящей  в или из АС. Межсетевой экран разделяет сеть на две или более части и реализует набор правил - политику безопасности, определяющие условия прохождения пакетов из одной части сети в другую, а так же разрешенные службы и типы доступа.

Границы защищаемой сети обычно проводятся на стыке корпоративной  сети и сети Интернет. Но можно располагать  их и внутри корпоративной сети, например для защиты подразделений, где обрабатывается более конфиденциальная информация.

 

Самой простой политикой  безопасности является предоставление доступа к интернету всем внутренним компьютерам корпоративной сети и полный запрет доступа из внешних к внутренним сетям.

 

 

 

Особенности межсетевых экранов

 

  1. Управление доступом в интернет;
  2. Фильтрация небезопасных служб, чтобы они не использовались за пределами защищенной сети;
  3. Концентрированная безопасность;
  4. Повышенная конфиденциальность;
  5. Детальная протоколируемость.

 

Недостатки:

  1. Ограничение нужных по мнению пользователей служб;
  2. Остающиеся уязвимыми места;
  3. Плохая защита от собственных сотрудников;
  4. Межсетевые экраны не защищают от вирусов;
  5. Уменьшение пропускной способности;
  6. Все яйца в одной корзине.   WTF???

 

Межсетевые экраны можно  классифицировать в зависимости  от уровня модели OSI, на котором они работают.

 

 

 

 

 

 

Коммутаторы

 

Позволяет привязать mac адреса сетевых карт компьютера к определенным портам коммутатора. Если считать информацию на основе адреса сетевых карт отправителя или получателя, реализуя при этом виртуальные локальные сети VLAN.

Коммутаторы могут позволять  реализовывать VLAN на уровне портов своего.

Коммутатор может выступать  в качестве межсетевого экрана канального уровня.

 

Недостатки:

  1. Область действия коммутатора ...... не годится для регулировки доступа из интернета;
  2. MAC адрес сетевой карты можно подделать.

 

Организация VLAN на уровне портов коммутатора более надежна, но не устраняет первый недостаток.

 

 

 

Межсетевые экраны с фильтрацией  пакетов

 

Работают на сетевом  уровне и являются наиболее распространенным простым средством для реализации небольших сетей с простой  структурой. Они представляют собой  либо маршрутизатор, либо программный модуль, сконфигурированный для фильтрации входящих и исходящих пакетов на основе информации из ip заголовков пакетов. В первую очередь анализируется информация сетевого уровня, а именно айпишник отправителя или айпишник получателя.

Анализируется протокол сеансового уровня, информация о котором так  же имеется в айпи-заголовках пакетов. В более развитых межсетевых экранах  анализируется информация о TCP/UDP портах отправителя или получателя, которые относятся к сеансовому или транспортному уровню. Это позволяет реализовать доступ к компьютеру только определенным службам, запрещая доступ остальным.

 

Политика безопасности в виде следующей таблицы.

 

Тип пакета

Адрес отправителя

Порт отправителя

Адрес получателя

Порт получателя

Действие

           
           
           

Действия: разрешить, запретить  или отбросить. В последнем случае пакет отбрасывается или удаляется, а при запрещении отправителю  возвращается icmp пакет с сообщением об отказе.

Последнее правило обычно - правило, запрещающее весь остальной  трафик. В целом, межсетевые экраны продолжают проверку пока не найдут правило, которому соответствует обрабатываемый пакет. Если обрабатывается пакет, не соответствующий  ни одному из правил таблицы, используется правило по умолчанию, в котором  должно быть явно прописано, которое  отбрасывает все пакеты, неудовлетворяющие  низлежащим правилам.

 

Положительные достоинства  данных межсетевых экранов - низкая стоимость, гибкие правила фильтрации, минимальная  задержка при прохождении экрана, обеспечивается некоторый уровень  безопасности при минимальной цене.

Недостатки - локальная  сеть видна или маршрутизируется из интернета, при большом числе  правил их труднее тестировать, адреса и порты отправителя и получателя являются единственной анализируемой  информацией, айпишник отправителя  можно подделать и обмануть систему  аутентификации пакетов; за доверенный компьютер может сесть человек, не имеющий прав доступа и получить доступ к конфиденциальной информации; данные межсетевые экраны не анализируют  работу сетевых приложений; у данных межсетевых экранов зачастую отсутствуют  развитые средства протоколирования сети.

 

 

 

Межсетевые экраны сеансового уровня

 

Они следят заа подтверждением связи между авторизованным клиентом и внешним компьютером, определяя, является ли запрашиваемый сеанс  допустимым, при этом анализируется  информация из заголовков пакетов сеансового уровня.

При запросе от клиентов, межсетевые экраны проверяют, удовлетворяет  ли клиент базовым критериям фильтрации.

 

пропустил всю процедуру. :(

 

Продвинутые межсетевые экраны сеансового уровня способны обеспечить борьбу с дос атаками. Одним из ее примеров является атака synflood.

Когда сервер получает пакет  с флагом syn, он выделяет дополнительную память для нового соединения. Обычно имеются ограничения на число создаваемых соединений. Резервирование памяти под соединение продолжается пока сервер не получит пакет с установленными флгами SYN и ACK или RST. Атака synflood предусматривает посылку на сервер множество TCP пакетов с флагом syn от имени несуществующих или неработающих компьютеров. Используется технология подмена айпи адресов. Важно чтобы пакеты отправлялись от имени нерабочего компьютера, так как если запрос идет от работоспособного компьютера, то когда сервер пошлет ему пакет с флагами SYN и ACK, тот сильно удивится и пошлет в ответ пакет с флагом RST, говорящий о том что ты мне совсем не нужен и я тобой не интересовался. При данной атаке, выделенная под установку нового соединения память быстро исчерпывается и сервер зависает.

 

 

 

Могут использоваться межсетевые экраны сеансового уровня.

В состав межсетевого экрана.

  1. Межсетевой экран получает пакет SYN.
  2. Пропускает пакет на внутренний сервер.
  3. Сервер отправлет в ответ пакет с флакжами SYN и ACK.
  4. Межсетевой экран пересылает пакет клиенту. Здесь же, от имени клиента межсетевой экран посылает на внутренний сервер ACK. За счет быстрого ответа, память выделяемая для установки новых соединений не переполняется и атак synflood не проходит.
  5. Если внешний клиент запрашивал соединение, то он пришлет пакет с флагом ACK, который экран может передать или нет. Если экран не получит ACK от внешнего клиента, то межсетевой экран вышлет в адрес сервера пакет с флагом RST, который приведет к разрыву соединения.

 

 

Еще один вариант защиты от dos-атак.

Прежде чем передавать пакет SYN на сервер, экран сам устанавливает соединение с внешним клиентом. Лишь после установления соединения, он инициализирует соединение с самим сервером.

 

Так же, к числу межсетевых экранов можно отнести прокси-сервера  c NAT.

При использовании NAT, внутренняя сеть имеет серые айпи-адреса, которые невидимы и недоступны в интернете. ЗЛО не сможет получить доступ к такому компьютеру. Для защиты компьютера корпоративной сети интернета, межсетевой экран перехватывает запрос, который поступает от имени клиента, посылая пакет от своего внешнего айпи-адреса. Полученный ответ передается внутреннему компьютеру, при этом межсетевой экран подставляет уже внутренний айпи-адрес. Это позволяет достичь сразу двух целей - обеспечить регулирование доступа к корпоративной сети и уменьшить число белых айпи-адресов, за которые в частности нужно платить правами.

Имеется несколько режимов NAT:

 

  • при динамическом NAT идет трансляция на уровне портов.

 

Межсетевой экран имеет  один внешний айпи-адрес. Все обращения  в доступную сеть со стороны клиентов внутренней сети осуществляются с использованием данного внешнего айпи-адреса, при  этом при обращении клиента, межсетевой экран выделяет ему уникальный программный  код транспортного протокола  для одного и того же внешнего айпи-адреса. Динамический режим предназначен для  компьютеров, которым необходим  доступ в интернет.

 

  • при статическом NAT внешнему интерфейсу межсетевого экрана назначается некоторое число внешних белых айпи-адресов. Оно должно соответствовать числу внутренних серверов, которые должны быть доступны для внешних пользователей.

 

Надо иметь в виду, что сервера, к которым должен быть доступ извне размещают в  специальной зоне - демилитаризованной зоне. При этом, к этим серверам имеется  доступ извне, но даже если ЗЛО сумеет их взломать, он не получит доступ в  корпоративную сеть.

 

При статическом NAT межсетевой экран транслирует внутренние айпи-адреса во внешние и наоборот. Он используется когда во внутренней сети меется сервер, к которому должен быть доступ извне.

 

  • комбинированный режим (статический и динамический совместно). Для нескольких компьютеров  используется динамический NAT, для интернет-серверов - статический NAT.

 

Недостатки:

  • анализируется информация только на сеансовом уровне, не анализируется информация на прикладном уровне;
  • после успешного завершения  связи для установки соединения, экран просто перенаправляет все последующие пакеты, не контролируя содержимое.

 

 

 

Межсетевые экраны прикладного  уровня

 

Они как и межсетевые экраны сеансового уровня, экраны прикладного уровня перехватывают входящие и исходящие пакеты, используя программы, которые перенаправляют информацию через межсетевой экран, исключая прямые соединения между клиентом и сервером, однако посредники, используемые экранами прикладного уровня имеют заметные отличия от посредников или прокси экранов сеансового уровня.

 

  1. Пропускают  только пакеты определенной службы, которую  они обслуживают. Когда служба не поддерживается, возможны следующие  действия:
    1. отказаться от использования службы;
    2. разработать собственный прокси;
    3. пропускать службу через межсетевой экран с помощью заглушки с минимальной фильтрацией пакетов, что не очень безопасно.

 

Образуется два соединения - от клиента до экрана и от экрана до сервера. При описании правил доступа, анализируется служба или протокол, имя пользователя и пароль, а так  же допустимый временной интервал использования  службы и компьютера или пользователя, у которых возможен доступ. При  этом возможны различные схемы аутентификации: как компьютеров, так и пользователей (предпочтительнее).

 

  1. Если  экраны сеансового уровня после установления соединения просто перенаправляют поступающие  пакеты без какой-либо фильтрации, то у посредников прикладного уровн  проверяется содержимое каждого  проходящего пакета. Они могут  фильтровать отдельные виды команд прикладного уровня. Так же они  способны осуществлять контроль windows. Посредники прикладного уровня делятся на прозрачные(работают незаметно для пользователя - например прокси) и непрозрачные (необходимо сначала установить соединение с прокси-сервером, указав его айпишник и свое имя-пароль, после прохождения аутентификации возможно установление соединения с внешним сервером).

 

Достоинства таких экранов:

  • исключается прямой доступ ко всем службам;
  • анализируется содержимое пакетов на прикладном уровне;
  • надежность аутентификации и протоколирования;
  • возможность аутентификации конкретных пользователей;
  • оптимальное соотношение цена/качество.

 

Недостатки:

  • в случае непрозрачности необходимо двухшаговое обращение к серверам;
  • меньшая производительность в связи с большим объемом анализируемой информации;
  • большая стоимость.

 

 

МЕЖСЕТЕВЫЕ ЭКРАНЫ КОНТЕКСТНОГО УРОВНЯ (stateful inspection firewall)

 

Включают в себя элементы трех ранее описанных межсетевых экранов.

Как и экраны с фильтрацией  пакетов, они работают на сетевом  уровне модели OSI и фильтруют пакеты на основе информации об ip-адресах, портах, источниках и клиентах. Они выполняют функцию межсетевых экранов сеансового уровня, определяя относятся ли пакеты к соответствующему сеансу. Они выполняют функции прикладного уровня, оценивая содержимое каждого пакета в соответствии с выбранной политикой безопасности, анализируя информацию прикладного уровня. Но если экраны прикладного уровня устанавливают два соединения, одно между клиентом и экраном, а второе между экраном и сервером, то межсетевые экраны экспортного уровня допускают прямое соединение между клиентом и сервером, используя вместо применения программ посредников специальный алгоритм распознавания и обработки данных на уровне приложений. При этом они сравниваются с известными шаблонами данных, что потенциально обеспечивает высокую эффективность фильтрации данных. Они прозрачны для пользователя и не требуют внесения изменений в клиентское ПО.

Информация о работе Межсетевые экраны