Отчет_Практика №_ 7 Темтан Қанаш. Брандмауэры, как средство безопасности информационных систем
Скачать 31.4 Kb.
|
Брандмауэры, как средство безопасности информационных систем Быстрый рост глобальной сети Internet и стремительное развитие информационных технологий формированию привели к информационной среды, оказывающей влияние на все сферы человеческой деятельности. Новые технологические возможности облегчают распространение информации, повышают эффективность производственных процессов, способствуют расширению деловых отношений. Однако несмотря на интенсивное развитие компьютерных средств и информационных технологий, уязвимость современных информационных систем и компьютерных сетей, к сожалению, не уменьшается. Поэтому проблемы обеспечения информационной безопасности привлекают пристальное внимание как специалистов в области компьютерных систем и сетей, так и многочисленных пользователей, включая компании ,работающие в сфере электронного бизнеса. Без знания и квалифицированного применения современных технологий, стандартов, протоколов и средств защиты информации невозможно достигнуть требуемого уровня информационной безопасности. Одним из таких средств является брандмауэры. В классическом определении , брандмауэр — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.А если объяснить более легким языком,то брандмауэр (межсетевой экран)-это программа, которая занимается в основном одним делом, это контроль выхода программ в интернет. Чтобы понять как работает межсетевой экран, то представьте себе что сайты это машины, а брандмауэр это таможня. Вот всё почти также. Каждая программа которая идет в интернет, она должна иметь разрешение на это. Если его нет, то брандмауэр будет вас спрашивать, можно ли программе пойти в интернет. На данный момент я использую Outpost Firewall, который увы, уже не поддерживается. В этом брандмауэре минимум настроек, сам брандмауэр работает на уровне драйвера, то есть как бы надежный. И тут есть тоже списки, кому можно идти в интернет, кому нельзя. Но главное это то, что здесь есть режимы работы, то есть присутствует режим обучения, режим блокировки и режим разрешать все. Я просто беру и вручную заношу все свои программы в список разрешенных программ. Всему остальному доступ в интернет блокирован. Что мне это все дает? Я четко знаю кому есть доступ в интернет. Никакая другая программа его не получит, в том числе и вредоносная программа, трояны, или просто подозрительные программы. Все это будет автоматически блокироваться. Для меня это очень важно. Никакой вирус, даже при большом желании, не сможет вынести из компьютера какие-то данные. Ничего и никто не сможет украсть с моего компьютера информацию. Можно ли обойтись без брандмауэра, если есть антивирус? Во-первых многие антивирусы уже содержат в себе межсетевой экран. Во-вторых антивирус как бы и брандмауэр это немного разные программы, хотя они и находятся в категории безопасность. Брандмауэр контролирует доступ, а антивирус уже разбирается с вирусами на компьютере. Когда они работают вместе, то конечно это лучшая защита. Обычно антивирус, который содержит в себе межсетевой экран, то он имеет в своем названии еще такое как Internet Security. Существует несколько общих проблем, которые могут возникнуть в результате использования брандмауэра. Самой распространенной проблемой является то, что помимо вредоносных программ, брандмауэр часто блокирует нормальный, нужный нам трафик. Некоторые веб-сайты могут иметь ограниченный доступ или не открываться, потому что они были неправильно диагностированы. Довольно часто возникают проблемы с сетевыми играми (знаком не понаслышке ,так как сам играю), так как брандмауэр, часто распознает подобный трафик, как вредоносный и блокирует работу программ. Исходя из этого, следует отметить, что хоть брандмауэр штука весьма полезная, его нужно правильно настраивать, чтобы он не портил жизнь своими запретами. В заключении хотел бы сказать, что защита информационной системы должна быть комплексной — это и брандмауэры, и антивирусы, и правильная настройка самой системы. Брандмауэр добавляет еще один уровень безопасности вашим системам, но не может остановить проникновение решительно настроенного взломщика в вашу сеть. Если вы снижаете внутреннюю безопасность системы, поскольку верите в надежность межсетевого экрана, это существенно упрощает работу взломщика. Брандмауэр с изолированным хостом На сегодняшний день компьютерная сеть является привычным средством коммуникации, а также инструментом для обмена информацией. В связи при создание компьютерных сетей с много пользовательским режиме работы в локальных и глобальных сетях возникает целый ряд взаимосвязанных проблем по защите информации, хранящейся в компьютерах или серверах компьютерной сети. Современные сетевые операционные системы, которые уже полностью защищены от атак и угрозой также представляют мощные средства защиты от несанкционированного доступа к сетевым ресурсам. Однако, возникают случаи, когда даже такая защита становится уязвимой и не срабатывает программные продукты для защиты информации. Практика показывает, что несанкционированный пользователь или программные продукты, называемые как вирусы, имеющий достаточный опыт в области системного и сетевого программирования, задавшийся целью подключиться к сети, даже имея ограниченный доступ к отдельным ресурсам, рано или поздно все равно может получить доступ к некоторым защищенным ресурсам сети. Поэтому возникает проблемы необходимости в создании дополнительных аппаратных и программных средств защиты сетевых ресурсов от несанкционированного доступа или подключения . Брандмауэр с изолированным хостом является одним из таких средств защиты. Что такое брандмауэр и как он работает мы ознакомились выше.Теперь разберемся с понятием брандмауэр с изолированным хостом. Изолированный хост означает необходимость установки маршрутизаторов, которые не пропускают информацию широковещательных и коллизионных доменов, используют различные диапазоны адресов для различных сегментов. Большинство сетей в наше время используют технологию Ethernet, постоянно выполняющую широковещательную рассылку информации, которая может быть полезна внешним и внутренним атакующим. Поскольку данные свободно распространяются в такой среде, вам следует убедиться, что части сети, в которых хранится критичная информация, надлежащим образом отделены в отдельные сегменты от других частей сети. К примеру, сетевой администратор может решить ограничить прямой доступ к мейнфрейму, на котором хранится критичная информация. Соответствующий трафик следует направить через один канал и фильтровать его маршрутизатором или межсетевым экраном. Также, администратор может решить, что не все пользователи сети должны иметь доступ к административной подсети, в которой размещены консоли управления для всех маршрутизаторов, систем IDS, серверов, на которых хранятся журналы регистрации событий. Компьютеры из административной подсети должны иметь возможность взаимодействия с остальными частями сети, но нет никаких оснований, чтобы обычные пользователи имели возможность свободного доступа в административную подсеть. Доступ в эту подсеть следует изолировать с помощью списков контроля доступа, реализуемых с помощью окружающих маршрутизаторов и правильной сегментации. В брандмауэре с изолриванным хостом эту часть выполняет прикладной шлюз.Прикладной шлюз использует только один сетевой интерфейс,в то время как обычный два,что уменьшает функциональность брандмауэра. Что дает нам эта гибкость? Гибкость настроек позволяет запрещать или разрешать соединения по портам, адресам, протоколам. На основании вышеизложенного мы можем понять ,что брандмауэр с изолированным хостом менее безопасный ,так как информация может пройти в обход этого шлюза. В брандмауэре с изолированным хостом мы не имеем полноценной возможностьи регистрации попыток доступа изнутри и извне, контроль доступа к узлам сети, ограничение доступа к защищённым сетям, уведомления о попытках атак. На сегодняшний день лучшей защитой от компьютерных преступников является брандмауэр, правильно установленный и подобранный для каждой сети. И хотя он не гарантирует стопроцентную защиту от профессиональных взломщиков, но зато усложняет им доступ к сетевой информации, что касается любителей, то для них доступ теперь считается закрытым. Также в будущем межсетевые экраны должны будут стать лучшими защитниками для банков, предприятий, правительств, и других спецслужб. Также есть надежда, что когда-нибудь будет создан межсетевой экран, который никому не удастся обойти. На данном этапе программирования можно также заключить, что разработки по брандмауэрам на сегодняшний день сулят в недалёком будущем весьма неплохие результаты. Политика брандмауэра Интернет, стал неотъемлемой частью нашей жизни. Мы используем его разными способами. Для некоторых он служит средством добычи информации. Для других средством развлечений. И некоторые говорят, «с Интернетом стало легче и удобней жить». С одной стороны это весьма неплохо, но если задуматься, то он может доставить кучу проблем,которыми лучше не сталкиваться. В интернете много всего нецензурного, порнографии и мошенничества, а также выплывающие окна, которые содержат информацию подталкивающие к самоубийству, отказу от приема пищи, убийствам. При этом эти окна появляются независимо от желания пользователя. Контакты с нежелательными людьми с помощью чатов или электронной почты, игровые сайты, но вред интернета заключается, в первую очередь, в зависимости от него, которая превращается в болезнь Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ. Одним из таких средств является брандмауэр.Принцип работы брандмауэра мы описали в предыдущих эссе .А что представляет собой политика брандмауэра ? Цель политики брандмауэра - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы. Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами. При поступлении информационного пакета сетевой интерфейс извне на содержимое заголовка этого пакета проверяется. Правила, принадлежащие цепочке входа данного сетевого интерфейса, применяются последовательно одно за другим до тех пор, пока не будет найдено такое, которому удовлетворяет данный сетевой пакет. Соответственно, каждый сетевой пакет, отправляемый вовне проверяется на соответствие правилам, содержащимся в цепочке выхода сетевого интерфейса. При обнаружении первого соответствия правилу проверка прекращается и к пакету применяется действие, указанное в составе правила: ACCEPT, RFIECT или DENY. Если пакет не удовлетворяет ни одному из правил, содержащихся в цепочке, вступает действие политика по умолчанию. Таким образом, при работе бранимауэра пакет обрабатывается по первому из правил, которому он удовлетворяет. Также мы не должны забывать об общих правилах использования брандмауэра. Правила политики должны отслеживаться и изменяться по мере изменения требований организации, например, когда новые приложения или хосты реализуются в сети. Работа компонентов брандмауэра должна быть проверена и соотнесена с потенциальными проблемами ресурсов, которые будут определены и решены, т. е. чтобы не снижалась производительность. Журналы событий и системы оповещения также следует постоянно контролировать для обнаружения угроз, как успешные, так и неудачные. Наборы правил и политики для Firewall должны управляться через формальные процессы управления изменениями, чтобы избежать влияния на безопасность и на бизнес–операции. Правила и испытания должны проводиться периодически, чтобы обеспечить постоянное соблюдение политики организации. Брандмауэр должен быть обновлен последней версией поставщиков обновлений для устранения любых обнаруженных уязвимостей. На данный момент абсолютно обезопасить свой выход в интернет является не выполнимой задачей.Но тем не менее мы не должны подвергать опасности свое личное пространство,различного рода информацию.Организация программных и технических мер безопасности является актуальной задачей. Ошибки, приводящие к возможности атак на информацию За несколько последних десятилетий требования к информационной безопасности существенно изменились. До начала широкого использования автоматизированных систем обработки данных безопасность информации достигалась исключительно физическими и административными мерами. С появлением компьютеров стала очевидной необходимость использования автоматических средств защиты файлов данных и программной среды. Следующий этап развития автоматических средств защиты связан с появлением распределенных систем обработки данных и компьютерных сетей, в которых средства сетевой безопасности кроме защиты файлов и программной среду необходимо использовать для защиты передаваемых по сетям данных. В наиболее полной трактовке под средствами сетевой безопасности мы будем иметь в виду меры предотвращения нарушений безопасности, которые возникают при передаче информации по сетям, а также меры, позволяющие определять, что такие нарушения безопасности имели место. Никто не спорит, что эти средства безопасноти в какой-то мере решают проблему. Но со стороны пользователя есть ошибки ,приводящие к возможности атак на информацию. Ошибки в прикладном программном обеспечении были и остаются основным путем проникновения злоумышленника как на сервера, так и на рабочие станции. Объективная причина этого – разработка подобного ПО различными группами разработчиков, которые просто не в состоянии уделить должного внимания сетевой и локальной безопасности своего продукта. И если фирмы-разработчики операционных систем тратят огромные суммы на тщательные испытания поведения их программ в нестандартных ситуациях, а также активно учитывают многолетний опыт своих же ошибок, то для небольших фирм это просто не под силу, да и крайне невыгодно экономически. Ошибки активно ищутся группами «хакеров» практически во всем более или менее распространенном ПО, однако, наибольшую известность приобретают, конечно, исследования программ, установленных почти у каждого пользователя. Так, например, в одной из недавних версий Microsoft Internet Explorer'а была обнаружена ошибка, связанная с переполнением буфера, которая приводила к тому, что часть URL-адреса попадала на «исполнение» и трактовалась как последовательность команд процессора. При этом длины этого участка хватало, например, для того, чтобы загрузить на ЭВМ из сети троянскую программу и передать ей управление. В последующей версии ошибка была исправлена. Программа ICQ – самый популярный электронный пейджер в сети Интернет – в очередной своей версии была снабжена своими создателями возможностью поддерживать миниатюрный WWW-сервер. Однако ошибка в его реализации позволяла при добавлении слева точек в имени первого каталога получать доступ ко всем файлам жесткого диска – открывался полный сетевой доступ по чтению. Многие атаки используют не только непосредственные ошибки в реализации ПО, но и непродуманные разработчиками аспекты использования стандартных возможностей программы. Так, пожалуй, самым ярким примером этого являются макро-вирусы в документах системы Microsoft Office. Возможность исполнения макросов была встроена в эту систему из самых благих побуждений, но тот факт, что макросы могут запускаться на определенные события (например, открытие документа) и получать доступ на модификацию к другим документам, сразу же был использован создателями вирусов отнюдь не в благих целях. Также к ошибкам можно отнести халатность к безопасности самих пользователей,то есть установка антивируса либо брандмауэра уже обеспечило бы хоть какую-то,но безопасность. К такой ошибке можно отнести и личностный фактор пользователя.К примеру доверие паролей различным сайтам. Можно сказать с уверенностью,что в ближайшее время не стоит ожидать каких-либо кардинальных улучшений по обеспечению безопасности в рамках всего Интернет,но самому пользователю нужно учитывать все факторы,которые могут привести к атаке на информацию и сделать выводы. |