admin / 25.10.2018

Экран выполняет функции

Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 9.1). При этом всœе взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.

Рис. 9.1. Схема подключения межсетевого экрана МЭ

МЭ, защищающий сразу множество узлов внутренней сети, призван решить:

‣‣‣ задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователœей к внутренним ресурсам корпоративной сети. К таким пользователям бывают отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;

‣‣‣ задачу разграничения доступа пользователœей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, к примеру, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.

До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, к примеру, по следующим основным признакам.

По функционированию на уровнях модели OSI:‣‣‣ пакетный фильтр (экранирующий маршрутизатор — screening router);‣‣‣ шлюз сеансового уровня (экранирующий транспорт);‣‣‣ прикладной шлюз (application gateway);‣‣‣ шлюз экспертного уровня (stateful inspection firewall).

По используемой технологии:‣‣‣ контроль состояния протокола (stateful inspection);‣‣‣ на базе модулей посредников (proxy).

По исполнению:‣‣‣ аппаратно-программный;‣‣‣ программный.

По схеме подключения:‣‣‣ схема единой защиты сети;‣‣‣ схема с защищаемым закрытым и не защищаемым открытым сегментами сети;‣‣‣ схема с раздельной защитой закрытого и открытого сегментов сети.

Читайте также

  • — Функции межсетевых экранов

    Назначение межсетевых экранов Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого… [читать подробнее].

    • Межсетевое экранирование

    На практике часто закрытые корпоративные распределенные и сосредоточенные КС связаны с общедоступными сетями типа Internet. Режимы взаимодействия пользователей закрытой РКС с общедоступной системой могут быть различны:

    — с помощью общедоступной РКС связываются в единую систему закрытые сегменты корпоративной системы или удаленные абоненты;

    — пользователи закрытой РКС взаимодействуют с абонентами общедоступной сети.

    В первом режиме задача подтверждения подлинности взаимодействующих абонентов (процессов) решается гораздо эффективнее, чем во втором режиме. Это объясняется возможностью использования абонентского шифрования при взаимодействии КС одной корпоративной сети.

    Если абоненты общедоступной сети не используют абонентское шифрование, то практически невозможно обеспечить надежную аутентификацию процессов, конфиденциальность информации, защиту от подмены и несанкционированной модификации сообщений.

    Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название межсетевой экран (Firewall) (рис. 34). Как правило, межсетевой экран реализуется на выделенной ЭВМ, через которую защищенная РКС (ее фрагмент) подключается к общедоступной сети.

     

     

     

    Рис.34

    Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы.

    Межсетевой экран выполняет четыре функции:

    — фильтрация данных;

    — использование экранирующих агентов;

    — трансляция адресов;

    — регистрация событий.

    Основной функцией межсетевого экрана является фильтрация входного (выходного) трафика. В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

    Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и на прикладном уровнях. Чем большее количество уровней охватывает экран, тем он совершеннее. Межсетевые экраны, предназначенные для защиты информации высокой степени важности, должны обеспечивать:

    — фильтрацию по адресам отправителя и получателя (или по другим эквивалентным атрибутам);

    — фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

    — фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

    — фильтрацию с учетом любых значимых полей сетевых пакетов;

    — фильтрацию на транспортном уровне запросов на установление виртуальных соединений;

    — фильтрацию на прикладном уровне запросов к прикладным сервисам;

    — фильтрацию с учетом даты и времени;

    — возможность сокрытия субъектов доступа защищаемой компьютерной сети;

    — возможность трансляции адресов.

    В межсетевом экране могут использоваться экранирующие агенты (proxy-серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию.

    Тема 3. Базовые технологии сетевой безопасности

    Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта. Действия экранирующего агента являются прозрачными для участников взаимодействия.

    Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных внутренних адресов. Это позволяет скрыть топологию сети и использовать большее число адресов, если их выделено недостаточно для защищенной сети.

    Межсетевой экран выполняет регистрацию событии в специальных журналах. Предусматривается возможность настройки экрана на ведение журнала с требуемой для конкретного применения полнотой. Анализ записей позволяет зафиксировать попытки нарушения установленных правил обмена информацией в сети и выявить злоумышленника.

    Экран не является симметричным. Он различает понятия: «снаружи» и «внутри». Экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал. Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в РКС имеются фрагменты сети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

    В зависимости от степени конфиденциальности и важности информации установлены 5 классов защищенности межсетевых экранов. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности — пятый, а самый высокий -первый. Межсетевой экран первого класса устанавливается при обработке информации с грифом «особой важности».

    Межсетевые экраны целесообразно выполнять в виде специализированных систем. Это должно повысить производительность таких систем (весь обмен осуществляется через экран), а также повысить безопасность информации за счет упрощения структуры. Учитывая важность межсетевых экранов в обеспечении безопасности информации во всей защищенной сети, к ним предъявляются высокие требования по разграничению доступа, обеспечению целостности информации, восстанавливаемости, тестированию и т. п. Обеспечивает работу межсетевого экрана администратор. Желательно рабочее место администратора располагать непосредственно у межсетевого экрана, что упрощает идентификацию и аутентификацию администратора, а также упрощает выполнение функций администрирования.

    В сетях с большой интенсивностью обмена межсетевой экран может быть реализован на двух и более ЭВМ, которые целесообразно размещать на одном объекте. Функции межсетевого экрана и шлюза (моста) могут быть реализованы на одной КС. На практике часто фрагменты защищенной сети связываются между собой через общедоступную сеть. Все фрагменты подключаются к общедоступной сети через межсетевые экраны.

    Научно-технический прогресс сегодня идет семимильными шагами, ведь вчера мы еще с уверенностью не могли сказать, что такое компьютер, а сегодня уже обсуждаем способы его безопасности, и способов этих сейчас существует предостаточно. Однако какие из них более надежны, пользователи обычно узнают из своего собственного, порой отрицательного, опыта.  Сегодня мы поговорим об одном из способов, который поможет обезопасить ваш компьютер – межсетевом экране.

     

    Что такое firewall?

     

    Год назад 90% пользователей Интернета не могли с уверенностью сказать, что представляет собой межсетевой экран или как он по-другому называется firewall. Сегодня же рынок интернет технологий прямо-таки пестрит разнообразием платных и бесплатных версий данной программы, потому что в условиях постоянного появления вирусов работа компьютера без firewall просто невозможна. Возможно, не все знают, но компьютер, подключенный к Интернету без установленного сетевого экрана, заражается вирусами буквально через пару часов.

     

    Кстати, одним из бесплатных видов этой программы является Zone Alarm, который вполне подходит для пользователя с домашним компьютером. Он довольно-таки надежен, однако не стоит быть в нем полностью уверенным, потому что профессиональные хакеры находят все больше уязвимых мест в существующих операционных системах.

     

    Принцип обмена информацией

     

    Пришло время узнать, как наши компьютеры получают зараженную информацию извне. А все происходит после того, как компьютер подключается к интернету и получает свой IP-адрес. Этот адрес не должен знать никто, кроме вас и вашего провайдера. А затем ваш компьютер посылает запрос другому и сообщает свой адрес. После этого происходит обмен данными, и не известно, какова вероятность, что вы именно в этот момент не получаете зараженные файлы.

     

    Итак, вы уже поняли, что для того, чтобы взломать ваш компьютер, требуется знать его IP-адрес. Естественно, вы регулярно обмениваетесь адресами с другими компьютерами, это необходимо для работы в Интернете. Однако если вы пользуетесь надежными ресурсами, их хозяева не будут взламывать ваш компьютер или разглашать адреса клиентов другим.

     

    Хотя для хакеров всегда найдутся свои лазейки: есть специальные программы, отбирающие именно те сетевые адреса, по которым числятся компьютеры.  Вот тут-то вам и поможет firewall.

     

    Необходимость firewall

     

    Вообще у межсетевого экрана есть две цели. Вот о них мы сейчас и поговорим.

     

    1. Защита компьютера от утечки информации.

     

    Сейчас, как известно, очень распространены различные троянские вирусы или, как и называют, «трояны». Если троян попадает на компьютер, он может либо красть пароли и другие важную информацию, либо давать кому-то другому возможность управлять вашим компьютером удаленно. Firewall же предусматривает работу с сетью только для некоторых, известных ему программ, таких как почтовый клиент, браузер и т.д. Если же программа ему не известна, он либо запрашивает у вас разрешение на ее доступ в сеть, либо запрещает доступ без вашего разрешения.

     

    2. Защита от проникновения на компьютер извне.

     

    Иногда некоторые операционные системы, например, тот же Windows, держат несколько портов открытыми.

    Студенческий документ № 098756 из ИНТУИТ

    А значит, через них может распространяться различная сетевая зараза. Поэтому порты нужно закрыть и сделать невидимыми. И тогда ваш компьютер станет невидимым, и никто не будет его атаковать.

     

    При этом опытные хакеры все равно могут получить адрес вашего компьютера, даже если все порты невидимы. Поэтому еще одна задача межсетевого экрана firewall – делать порты невидимыми и закрывать их, тогда вероятность взлома уменьшается.

    Дата публикации: 13-01-2011, 23:53

    Похожие статьи:

  • Компьютерная безопасность
  • Бесплатный фаервол от компании Comodo
  • Для чего взламывать ваш компьютер?
  • Особенности антивирусных программ
  • Как установить антивирусное программное обеспечение?
  • Программное обеспечение
  • Как защитить компьютер от вирусов?
  • Как защитить себя в интернете
  • Вышла новая версия брандмауэра Kerio Control Firewall
  • Как защитить компьютер от хакерских атак

    • Принципы работы межсетевых экранов

    123456Следующая ⇒

    Экранирование и межсетевые экраны

    Основные понятия

    По материалам руководящего документа Государственной технической комиссии России межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

    Мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные.

    Формальная постановка задачи экранирования, состоит в следующем. Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис.1а). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.


    Рис.1а. Экран как средство разграничения доступа.

    На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис.1б).


    Рис.1б. Экран как последовательность фильтров

    Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

    Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором – о внутреннем. Межсетевой экран – идеальное место для встраивания средств активного аудита. МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой.

    На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

    В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (рис.2). Первичная фильтрация (например, пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором, за которым располагается так называемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации – Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.


    Рис.2. Двухкомпонентное экранирование с демилитаризованной зоной.

    Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

    Внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

    Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Чаще корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Можно считать, что корпоративный внешний межсетевой экран является составным (распределенным), и требуется решать задачу согласованного администрирования всех компонентов.

    Существуют также персональные МЭ, предназначенные для защиты отдельных компьютеров. Главное отличие персонального межсетевого экрана от распределенного — наличие функции централизованного управления.

    Межсетевой экран и его функции

    Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях — персональной (для домашних пользователей) и распределенной (для корпоративных пользователей).

    Принципы работы межсетевых экранов

    Существует два основных способа создания наборов правил межсетевого экрана: »включающий» и »исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

    Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

    Безопасность может быть дополнительно повышена с использованием »межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что оптимально для реальных применений.

    123456Следующая ⇒

    Дата добавления: 2017-02-24; просмотров: 577 | Нарушение авторских прав

    Похожая информация:


    Поиск на сайте:


    FILED UNDER : IT

    admin

    Submit a Comment

    Must be required * marked fields.

    :*
    :*