межсетевой экран. Общие сведения о межсетевых экрана
Скачать 27.71 Kb.
|
ОГЛАВЛЕНИЕ ВВЕДЕНИЕ3 1.ОБЩИЕ СВЕДЕНИЯ О МЕЖСЕТЕВЫХ ЭКРАНА 1.1 Понятие межсетевого экрана 1.2 Разновидности межсетевых экранов 1.3 Возможности межсетевых экранов 1.4 Принцип работы межсетевых экранов 1.5 Типы МСЭ ЗАКЛЮЧЕНИЕ СПИСОК ЛИТЕРАТУРЫ25 ВВЕДЕНИЕ Такие устройства, как межсетевые экраны, предназначенные для обеспечения безопасности сети, осуществляющее мониторинг входящего и исходящего сетевого трафика и на основании установленного объёма правил безопасности формирует решение: разрешить или запретить конкретный трафик. Межсетевые экраны осуществляются в качестве первой линии защиты сетей на протяжении уже более 20 лет. Они образуют барьер между защищенными, контролируемыми внутренними сетями, у которых есть доверие, и ненадежными внешними сетями, такими как Интернет. Межсетевые экраны бывают аппаратными, программными или смешанного типа. Актуальность работы обусловлена важностью значения межсетевых экранов для защиты сети от манипуляций, несанкционированного доступа и шпионажа. Благодаря возможности распределять права доступа, межсетевой экран защищает от несанкционированного доступа как изнутри сети, так и извне. Целью работы является изучение межсетевых экранов. Для выполнения поставленной цели поставим следующие задачи: Ознакомиться с общими сведениями о межсетевых экранах Рассмотреть классификацию межсетевых экранов Провести сравнительный анализ межсетевых экранов в распределенных информационно-управляющих системах ОБЩИЕ СВЕДЕНИЯ О МЕЖСЕТЕВЫХ ЭКРАНАХ Понятие межсетевого экрана Межсетевой экран либо же сетевой экран — промышленность аппаратных или программных средств, организующая надзор и фильтрацию проходящих через неё сетевых пакетов на разных уровнях модели OSI сообразно с назначенными принципами. Место нахождения сетевого экрана в сети Головной целью сетевого экрана приходится оборона компьютерных сетей либо же отдельных узлов от несанкционированного доступа. В свою очередь сетевые экраны нередко именуют фильтрами, поскольку их главная цель — не пропускать (фильтровать) пакеты, отклоняющиеся от критериев, назначенных в конфигурации (рис.1.2). Межсетевой экран называется несколькими терминами. Познакомимся с ними. Брандмауэр (нем. Brandmauer) — извлеченный из немецкого языка термин, приходящий альтернативой английского firewall в его оригинальном понятии (ограждение, разделяющее смежные конструкции при пожаре). Занимательно, что в сфере компьютерных технологий в немецком языке употребляется слово «firewall». Файрвол, файервол, фаервол — образовано транслитерацией английского термина firewall, равноценного понятию межсетевого экрана, на сегодняшний день не является официальным заимствованным словом в русском языке. Рисунок 1.2 Типовое размещение МЭ в корпоративной сети Существует пара выразительно различимых типов межсетевых экранов, и по сей день используемых в нынешнем интернете. Первый тип законнее называть маршрутизатор с фильтрацией пакетов. Данный тип межсетевого экрана работает на машине, подключенной к нескольким сетям и задействует к каждому пакету сумму правил, назначающую переправлять этот пакет либо блокировать. Следующий тип, значимый как прокси сервер, формирован в виде демонов, осуществляющих аутентификацию и пересылку пакетов, достижимо на машине с серией сетевых подключений, в которых пересылка пакетов в ядре отключена. Порой такая пара типов межсетевых экранов работает вместе, так что только конкретной машине (известной как защитный хост (bastion host)) разрешено отправлять пакеты через фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы выполняют работу на защитном хосте, что обыденно безопаснее, чем простые механизмы аутентификации. Межсетевые экраны пользуются различным видом и размером, и временами это просто комплект некоторых различных компьютеров. Тут межсетевой экран означает компьютер или компьютеры между доверенными сетями (например, внутренними) и недоверенными (например, Интернетом), проверяющие полностью проходящий между ними трафик. Результативные межсетевые экраны владеют следующими характеристиками: Каждые соединения обязаны проходить через межсетевой экран. Его эффективность намного упадёт, если существует противоположный сетевой маршрут, — несанкционированный трафик станет передаваться в обход межсетевого экрана. Межсетевой экран пропускает лишь авторизованный трафик. Если он не имеет возможности четко дифференцировать авторизованный и неавторизованный трафик, либо он запрограммирован на пропуск угрожающих или ненужных соединений, то выгода его значительно падает. При нарушении или перегрузке межсетевой экран обязан постоянно переходить в статус «отказ» или закрытое состояние. Разумнее прекратить соединения, нежели покинуть системы незащищенными. Межсетевой экран должен бороться с атаками на самого себя, потому что для его защиты не монтируются дополнительные устройства. Межсетевой экран можно сравнить с замком на входной двери. Он может быть самым убедительным во вселенной, но, если дверь не затворена, мошенники имеют возможность легко проникнуть внутрь. Межсетевой экран охраняет сеть от несанкционированного доступа, как замок — проникновение в помещение. Смогли бы вы оставить дорогие вещи дома, зная, что замок на входной двери является ненадежным? Межсетевой экран – это всего лишь часть головной архитектуры безопасности. При этом он имеет высокую значимость в структуре сети и, как любое другое устройство, несёт свои преимущества и недостатки. Преимущества межсетевого экрана: Межсетевые экраны – отличный приём реализации корпоративных политик безопасности. Его нужно конфигурировать на ограничение соединений едино мнению руководства по этому вопросу. Межсетевые экраны лимитируют доступ к конкретным службам. Например, совместный доступ к веб-серверу может быть разрешен, а к telnet и прочим непубличным службам – заблокирован. Множество межсетевых экранов обеспечивает селективный доступ с помощью аутентификации. Цель применения межсетевых экранов достаточно определена, значит, нет необходимости находить компромисс между безопасностью и удобством использования. Межсетевые экраны – прекрасное средство аудита. При удовлетворительном объеме памяти на жестких дисках или при поддержке удаленного ведения журнала они имеют возможность занесения в журналы информации о всех проходящих трафиках. Межсетевые экраны достаточно превосходными умениями по оповещению персонала об определенных событиях. Недостатки межсетевых экранов: Межсетевые экраны не осуществляют блокировку того, что было авторизовано. Они не запрещают установку простых соединений, санкционированных приложений, но, если приложения несут угрозу, межсетевой экран не способен остановить атаку, вменяя это соединение как авторизованное. Например, межсетевые экраны осуществляют прохождение электронной почты на почтовый сервер, но не могут обнаружить вирусы в сообщениях. Эффективность межсетевых экранов обуславливается правилам, на следование которых они настроены. Правила не должны быть слишком лояльны. Межсетевые экраны не могут прекратить атаки социального инжиниринга или атаки авторизованного пользователя, который специально и злонамеренно пользуется своим адресом. Межсетевые экраны не противодействуют низкокачественным подходам к администрированию или неучтиво разработанным политикам безопасности. Межсетевые не могут прекратить атаки, если трафик не проходит через них. [1] Какие-то люди предвещали концовку эры межсетевых экранов, которые с тяжестью дифференцируют санкционированный и несанкционированный трафик приложений. Множество приложений, к примеру, средства мгновенного обмена сообщениями, обретают всё большую мобильность, и становятся совместимыми с деятельностью через различные порты. Получается, они могут работать в обход межсетевого экрана через порт, открытый для иной авторизованной службы. Кроме всего этого, все больше приложений предусматривают передачу трафика через другие авторизованные порты, доступные с наибольшей долей вероятности. К примеру, подведём такие популярные приложения как HTTP-Tunnel (www.http-tunnel.com) и SocksCap (www.socks.permeo.com). Кроме того, драгируются приложения, непосредственно предназначенные для обхода межсетевых экранов, например, приложение удаленного контроля над компьютерами GoToMyPC (www.gotomypc.com). При этом межсетевые экраны тоже не опускают руки. Текущие релизы ПО от известнейших производителей заключают модернизированные средства по предотвращению вторжений и способности экранирования прикладного уровня. Данные межсетевые экраны обнаруживают и фильтруют несанкционированный трафик, к примеру, приложений по мгновенному обмену сообщениями, старающийся проскочить через порты, открытые для прочих санкционированных служб. Кроме того, нынче межсетевые экраны сопоставляют результаты функционирования с опубликованными стандартами протоколов и приметами разновидной активности (сопоставительно антивирусному ПО) для нахождения и осаждения атак, находящихся в передаваемых пакетах. Итак, они оказываются главным источником защиты сетей. При этом вдруг защиты приложений, обеспечиваемой межсетевым экраном, не хватает, либо она неспособна к правильному разграничению авторизованного и неавторизованного трафика, стоит рассматривать альтернативные компенсирующие методы безопасности. Межсетевым экраном может стать маршрутизатор, персональный компьютер, специально сконструированная машина либо же сумма узлов, специально сконфигурированная на оборону частной сети от протоколов и служб, которые имеют привычку умышленно злоупотреблять вне доверенной сети. Метод защиты обусловлен именно от межсетевого экрана, также и от настроенных на нём политик и правил. По сей день эксплуатируются четыре технологии межсетевых экранов: -Пакетные фильтры. -Прикладные шлюзы. -Шлюзы контурного уровня. -Устройства адаптивной проверки пакетов. Перед тем как исследовать роли межсетевых экранов, изучим пакет протоколов контроля передачи и Интернета (TCP/IP). TCP/IP организует метод передачи данных между компьютерами через сеть. Задача межсетевого экрана – ревизия передачи пакетов TCP/IP между узлами и сетями. TCP/IP — это совокупность протоколов и приложений, осуществляющих индивидуальные функции относительно конкретных уровней модели взаимодействия открытых систем (OSI). TCP/IP организует самостоятельную передачу блоков данных через сеть в форме пакетов, и каждый уровень модели TCP/IP добавляет в пакет заголовок. В зависимости от работающей технологии межсетевой экран обрабатывает информацию, находящуюся в таких заголовках, в целях контроля доступа. Благо он сопровождает разграничение приложений как шлюзы приложений, тогда контроль доступа тоже будет происходить по самим данным, находящимся в теле пакета. Контроль информационных потоков заключается в их фильтрации и преобразовании эквивалентно заданной суммой правил. Так как в современных МЭ фильтрация иногда осуществляется на неодинаковых уровнях эталонной модели взаимодействия открытых систем (OSI), МЭ комфортно представить в виде системы фильтров. Любой фильтр основываясь проходящими через него данными, выносит вердикт – пропустить далее, перебросить за экран, блокировать либо же преобразовать данные (рис.1.3). Рисунок 1.3 Схема фильтрации в МЭ. Присущей ролью МЭ назначается протоколирование информационного обмена. Проведение журналов регистрации дарует администратору обнаружить вредоносные или подозрительные действия, сбои в конфигурации МЭ и уточнить приговор об изменении правил МЭ. Разновидности межсетевых экранов Сетевые экраны распределяются на различные типы, относительно следующих характеристик: Есть ли возможность у экрана обеспечить соединение между одним узлом и сетью, либо же между двумя, а также более различными сетями; На каких уровнях сетевых протоколов разрабатывается контроль потока данных; Ведется ли слежка статуса активных соединений или нет. Опираясь на охват подчиняемых потоков данных сетевые экраны также разбиваются на: Традиционный сетевой (или межсетевой) экран — программа (или присущая частица операционной системы) на шлюзе (сервере, который передает трафик между сетями) или решение механизма, ревизующие входящие и исходящие потоки данных между подключенными сетями. Персональный сетевой экран — программа, установленная на пользовательском компьютере и служащая для защиты от несанкционированного доступа лишь этого компьютера. Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственно личным ресурсам. Опираясь на уровень контроля доступа, рождается разделение на сетевые экраны, которые ведут работу на: Сетевом уровне, во время фильтрации, осуществляемой на ядре адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, констатированных администратором; Сеансовом уровне (пользующийся славой как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, нередко используемых во враждебных вмешательствах — сканировании ресурсов, вскрытиях через неверные реализации TCP/IP, обрыв/замедление соединений, инъекция данных. Уровне приложений, фильтрация на позиционировании анализа данных приложения, передаваемых внутри пакета. Данные типы экранов дают возможность блокировать передачу ненадежной и потенциально вредоносной информации на основании политик и настроек. Частные решения, относящиеся к сетевым экранам уровня приложения, виднеются как прокси-серверы с какими-либо возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Умения прокси-сервера и многопротокольная специализация предоставляют фильтрацию значительно более гибкой, в отличие классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика). [4] В зависимости от отслеживания активных соединений сетевые экраны бывают: Stateless (простая фильтрация), не отслеживающие текущие соединения (например, TCP), а фильтрующие поток данных исключительно на представлении статических правил; Stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее сражаться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Помимо этого, они организуют функционирование таких протоколов, как H.323, SIP, FTP и т. П., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами. 1.3 Возможности межсетевых экранов Фильтрация доступа к заведомо незащищенным службам; Противодействие получению закрытой информации из защищенной подсети, а также инъекции в защищенную подсеть недостоверных данных с помощью уязвимых служб; Контроль доступа к узлам сети; Может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети; Регламентирование порядка доступа к сети; Оповещение о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран; В ходе защитных ограничений могут быть ограничены какие-либо необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому, непосредственно настройка файрвола требует участия специалиста по сетевой безопасности. Иначе вред от неправильного конфигурирования может превысить пользу. Также следует отметить, что использование файрвола повышает время отклика и понижает пропускную способность, так как фильтрация происходит не мгновенно. Принцип работы межсетевых экранов Фильтрация трафика осуществляется на основе ранее предусмотренных правил безопасности. Для этого формируется специальная таблица, в которую заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает. Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их. IP-адреса. Любое устройство, использующее протокол IP, владеет оригинальным адресом. У вас есть возможность задать какой-либо адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот — предоставить доступ лишь определенной области IP-адресов. Порты. Это точки, которые позволяют приложениям вход к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Исходя из этого, мы создаём умение воспрепятствовать доступу к каким-либо приложениям и сервисам. Доменное имя. Адрес ресурса в интернете непосредственно является параметром для фильтрации. Возможно запретить проходить трафику с одного или более сайтов. Пользователь будет защищён от неприемлемого контента, а сеть от вредоносного воздействия. Протокол. Файрвол формализуется так, дабы пропускать трафик одного протокола либо запрещать доступ к одному из них. Тип протокола определяет сумму параметров защиты и задачу, которую выполняет используемое им приложение. Типы МСЭ Прокси-сервер Один из родоначальников МСЭ, который играет роль шлюза для приложений между внутренними и внешними сетями. Прокси-серверы также имеют и другие функции, даже таких, как защита данных и кэширование. Помимо этого, они не допускают подключения напрямую из-за границ сети. Использование дополнительных функций может избыточно нагрузить производительность и понизить пропускную способность. МСЭ с контролем состояния сеансов Экраны с возможностью контролировать статус сеансов — уже традиционная технология. На решение разрешить или блокировать данные влияет статус, порт и протокол. Данные версии прослеживают за всей активностью сразу же после открытия соединения и впредь до самого закрытия. Запрещать трафик или же пропускать решает система, исходя из установленных администратором правила и контекст. В другом случае учитываются данные, которые МСЭ дали прошлые соединения. МСЭ Unified threat management (UTM) Комплексное устройство. Считается, что такой межсетевой экран определяет 3 задачи: Ревизует состояние сеанса; Препятствует вторжениям; Проводит антивирусное сканирование. Иногда фаерволы, модернизированные до версии UTM, включают и другой функционал, к примеру, управление облаком. Межсетевой экран Next-Generation Firewall (NGFW) Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, вычисляют новые уязвимости, совершенствуют вредоносные программы и усугубляют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря представленным функциям: Учет индивидуальности приложений, который дает возможность идентифицировать и нейтрализовать вредоносное ПО; Оборона от беспрестанных атак из инфицированных систем; Обновляемая база данных, содержащая описание приложений и угроз; Мониторинг трафика, который шифруется благодаря протоколу SSL. МСЭ нового поколения с активной защитой от угроз Перед вами тип межсетевого экрана — модернизированная версия NGFW. Данное устройство позволяет защититься от угроз повышенной сложности. При дополнительном функционале умеет: Учитывать контекст и искать ресурсы, которые находятся под приоритетным риском; Продуктивно отражать атаки благодаря автоматизации безопасности, которая самостоятельно владеет защитой и устанавливает политики; Обнаруживать отвлекающую либо подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах; В представленной версии межсетевого экрана NGFW введены унифицированные политики, которые крайне значимо упрощают администрирование. Недостатки МСЭ Межсетевые экраны непосредственно защищают сеть от злоумышленников. Однако необходимо более серьезно отнестись к их настройке. Будьте предельно осторожны: совершив ошибку при настройке параметров доступа, вы имеете шанс нанести вред и файрвол будет останавливать и нужные и ненужные трафики, а сеть перестанет быть работоспособной. Использование межсетевого экрана может стать виновником падения производительности сети. Не забывайте, что они перехватывают весь входящий трафик для проверки. При габаритных размерах сети избыточное стремление обеспечить безопасность и введение огромного числа правил приведет к более медленной работе сети. Сплошь и рядом, одного файрвола недостаточно, дабы полностью обезопасить сеть от внешних угроз. Следственно его применяют вместе с остальными программами, такими как антивирус. ЗАКЛЮЧЕНИЕ В обычных случаях у компании или организации существует внутренняя сеть: либо серверы, либо компьютеры сотрудников или же маршрутизаторы. В данной сети хранится конфиденциальная информация: корпоративная тайна, персональные данные, данные сотрудников. Внутренняя сеть соединяется с глобальным интернетом, что является крайне опасным — злоумышленники могут легко воспользоваться этим соединением, дабы похитить данные. Для защиты от вредоносных действий шпионов устанавливают межсетевые экраны — программы или устройства, которые охраняют границы какой-либо сети. В проделанной работе было изучено понятие межсетевых экранов. В первой главе мы ознакомились с определением межсетевых экранов, привели их разновидности, а также возможности. Вторая глава раскрыла классификацию межсетевых экранов. В третьей главе был проведен сравнительный анализ межсетевых экранов в распределенных информационно - управляющих системах. Таким образом, поставленные цели и задачи были выполнены. СПИСОК ЛИТЕРАТУРЫ Статьи из журналов и сборников: Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оузли, К. Стразсберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006. – С.275. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оузли, К. Стразсберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006. – С.276. Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оузли, К. Стразсберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006. – С.276. Дэвид В. Чепмен, мл., Энди Фокс Брандмауэры Cisco Secury PIX — М.: «Вильямс», 2003. Мейволд Э. Безопасность сетей: практическое пособие / Э. Мейволд; [пер. с англ.] – М.: «СП ЭКОМ», 2006. |