МІНІСТЕРСТВО ОСВІТИ p>
РОСІЙСЬКОЇ ФЕДЕРАЦІЇ p>
Воронезький державний технічний університет p>
Кафедра Систем інформаційної безпеки p>
РЕФЕРАТ p>
Тема: "Безпека
Internet: брандмауери. " P>
Виконав: Студент групи ЗИ-991 p>
Горбунов p>
Микита Олександрович. P>
Прийняв :______________________ p>
Воронеж 2000 p>
Зміст p>
1) Актуальність теми ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 3
2) Щит від несанкціонованого доступу ... ... ... ... ... ... ... ... ... ... ... 4
3) Конструктивні рішення ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .5
4) Рівень небезпеки ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .6
5) Чому брандмауер? ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .7
6) Брандмауер як засіб від вторгнення з p>
Internet ... ... ... 8
7) Основні компоненти міжмережевих екранів ... ... ... ... ... ... ... ... .13 p>
А) Фільтруючімаршрутизатори ... ... ... ... ... ... ... ... ... ... ... 13 p>
Б) Шлюзи мережевого рівня ... ... ... ... ... ... ... ... ... ... ... ... ... ... .16 p>
В) Шлюзи прикладного рівня ... ... ... ... ... ... ... ... ... ... ... ... .. 18 p>
Г) Посилена аутентифікація ... ... ... ... ... ... ... ... ... ... ... ... ... 21
8) Основні схеми мережевого захисту на базі міжмережевогоекрана ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 23 p>
А) Брандмауер - фільтруючиймаршрутизатор ... ... 23 p>
Б) Брандмауер - на базі двупортовогошлюзу ... ... .. 24 p>
В) Межсетевой екран на основі екранування шлюзу ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 25 p>
Г) Брандмауер - екранованапідмережа ... ... ... ... .27 p>
Д) Застосування міжмережевих екранів для організації віртуальних корпоративних ... ... ... ... ... ... ... ... ... .29
9) Програмні методи захисту ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 29
10) Висновок ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 33
11) Список використаної літератури ... ... ... ... ... ... ... ... ... ... ... ... .. 34 p>
Актуальність теми p>
Інтенсивний розвиток глобальних комп'ютернихмереж. поява нових технологій пошуку інформаціїпривертають дедалі більше уваги до мережі Internet збоку приватних осіб та різних організацій. Багатоорганізації приймають рішення про інтеграцію своїхлокальних і корпоративних мереж в глобальну мережу.
Використання глобальних мереж з комерційною метою, атакож при передачі інформації, яка містить відомостіконфіденційного характеру, тягне за собоюнеобхідність побудови ефективної системи захистуінформації. В даний час в Росії глобальні мережізастосовуються для передачі комерційної інформаціїрізного рівня конфіденційності, наприклад для зв'язкуз віддаленими офісами з головної штаб квартириорганізації або створення Web-сторінки організації зрозміщеної на ній рекламою і діловими пропозиціями. p>
Навряд чи потрібно перераховувати всі переваги,які отримує сучасне підприємство, маючи доступ доглобальної мережі Internet. Але, як і багато інших новітехнології, використання Internet має і негативнінаслідки. Розвиток глобальних мереж призвело добагаторазового збільшення кількості користувачів ізбільшення кількості атак на комп'ютери, підключені домережі Internet. Щорічні втрати, зумовленінедостатнім рівнем захищеності комп'ютерів,оцінюються десятками мільйонів доларів. Припідключенні до Internet локальної або корпоративної мережінеобхідно подбати про забезпечення інформаційноїбезпеки цієї мережі. Глобальна мережа Internetстворювалася як відкрита система, призначена длявільного обміну інформацією. У силу відкритості своєїідеології Internet надає для зловмисниківзначно більші можливості в порівнянні зтрадиційними інформаційними системами. З цього питанняпро проблему захисту мереж та її компонентів ставатидосить важливим і актуальним і цей час, часпрогресу та комп'ютерних технологій. Багато країннарешті-то зрозуміли важливість цієї проблеми. Відбуваєтьсязбільшення витрат і зусиль направлених на виробництвоі поліпшення різних засобів захисту. Основною метоюреферату є розгляд, і вивченняфункціонування одного з таких засобів мережевого захистуяк брандмауер або міжмережевий екран. Який в данийчас є найбільш надійним в плані захисту зпропонованих засобів. p>
Щит від несанкціонованого доступу p>
З метою уникнення несанкціонованого доступу досвоїх мереж, багато компаній, підключені до Internet,покладаються на брандмауери. Однак, досягаючи при цьомусвоєї основної мети, користувач брандмауеразіткнеться з необхідністю вибору між простою роботоюі безпекою системи. p>
Брандмауер - це одна з декількох шляхів захистувашої мережі, від іншої, якої ви не довіряєте. Взагалііснує безліч варіантів забезпечення такоїзахисту, але в принципі брандмауер можна представити якпару механізмів: один - для блокування, друга - длядозволу трафіку. p>
Основною причиною для установки в приватної мережібрандмауера практично завжди є прагненнякористувача захистити мережу від несанкціонованоговторгнення. У більшості випадків мережа захищають віднелегального доступу до системних ресурсів, а також відвідправлення будь-якої інформації зовні баз відома їївласника. У деяких випадках експорт інформації нерозглядається як особливо важлива проблема, однак, длябагатьох корпорацій, підключення до Internet, це питанняпершорядної важливості. Багато організацій вдаються донайпростішим шляхом, щоб уникнути подібнихнеприємностей: вони просто не підключаються до Internet.
Однак це не таке вже вдале рішення. Якщо така мережадецентралізована або погано керована, будь-який співробітниккомпанії, що має доступ до швидкісного модему, може безособливих зусиль підключиться до Internet за допомогою SLIP,що може призвести до порушення безпеки всієї мережі. p>
У багатьох випадках можна сказати, що для захистумережі найкраще встановити брандмауер. Хоча будь-який вашспівробітник може винести з офісу будь-яку доступну йомуінформацію на касетах і дискетах. Internet, що кишитьнебезпечними вандалами, таїть у собі незмірно більшузагрозу. Їх прорив в локальну мережу компанії,внаслідок поганої організації захисту, цілком можекоштувати менеджеру мережі місця роботи, навіть якщо збиток прице не буде більше, ніж міг би бути у випадкубезпосереднього підключення до Internet через модемабо в результаті помсти розсердженого співробітника. Найчастішевсього в організаціях, що вдаються до послуг Internet,проблема переконати керівництво в необхідностіБрандмауерне захисту незмірно складніше тих турбот, зякими доводиться стикатися в процесі їїустановки. Внаслідок того, що послуги, що надаються
Internet, очевидні для всіх, досить імовірно, що вонизажадають всебічної офіційної перевірки. p>
Конструктивні рішення p>
У процесі конфігурації брандмауераконструктивні рішення часто диктуються корпоративноїта організаційної політики компанії в областізабезпечення захисту мереж. Зокрема, будь-яка фірмаповинна зробити дуже серйозний вибір: що для неї важливіше
- Високий ступінь захисту або простота у використанні.
Існує два підходи до вирішення цієї дилеми. P>
. Що не було спеціально дозволено, то заборонено;
. Що не було спеціально заборонено, те дозволено. P>
Важливість цього розмежування переоцінитинеможливо. У першому випадку брандмауер повинен будеблокувати всі, а системні служби будуть доступнікористувачам лише після ретельної оцінки їхпотреби в цих службах, а також ступеня ризику.
Подібний підхід безпосередньо ускладнює користувачамжиття, внаслідок чого багато хто з них вважаютьбрандмауери перешкодою в роботі. p>
У другому випадку цю ж реакційну роль граєсистемний адміністратор, який зобов'язаний вмітипередбачити, які дії, мережевих користувачівздатні послабити надійність брандмауера, і прийнятивідповідні заходи для запобігання таких спроб. Урезультаті даного підходу конфлікт міжадміністратором брандмауера та користувачами розвиваєтьсяпо висхідній і може стати дійсно серйозним.
Якщо користувачі не усвідомлюють важливості заходівобережності в плані забезпечення безпеки мережі тане виконують їх, вони часто здатні бути небезпечнимвсю мережу. Якщо користувачі при вході в систему (login)будуть одержувати необмежений доступ до брандмауер, всистемі безпеки мережі може виникнути великапролом. Взагалі кажучи, наявність для користувача входів вБрандмауерне систему має тенденцію значноюмірою збільшувати проблему збереження системи. p>
Друга найважливіша формулювання в області політикибезпеки записано: "Як не було спеціально заборонене,те дозволено "Такий підхід найбільш надійний, бо вінзвільняє системного адміністратора від необхідностіприймати рішення, які TCP-порти безпечні або якіще проломи залишили в системі виробники ядра абопрограм. (TCP - протокол транспортного рівня,вживаний в Internet для організації надійноїдвосторонньої доставки даних, що використовується багатьмаприкладними програмами TCP/IP). Оскільки продавцізовсім не поспішають оприлюднювати вади свого програмногозабезпечення, даний підхід є більш ефективним, тому що, всуті, в основі його лежить твердження, що абсолютновсе, чого ви не знаєте, може завдати вам шкоди. p>
Рівень небезпеки p>
Існує кілька шляхів звести нанівець абобути небезпечним для Брандмауерне захист. І хоча вони всіпогані, про деякі можна з упевненістю говорити як пронайнеприємніших. Виходячи з того, що основною метоюустановки більшості брандмауерів є блокуваннядоступу, очевидно, що виявлення будь-ким лазівки,що дозволяє проникнути в систему, веде до повного крахувсього захисту даної системи. Якщо ж несанкціонованомукористувачеві вдалося проникнути в брандмауер іпереконфігурувати його, ситуація може прийняти щебільш загрозливого характеру. З метою розмежуваннятермінології приймемо, що в першому випадку ми маємо справузі зломом Брандмауерне захисту, а в другому - з повнимїї руйнуванням. Ступінь впливу, який може спричинити засобою руйнування Брандмауерне захисту, визначитинеймовірно складно. Найбільш повні відомості про надійністьтакого захисту може дати тільки інформація про зробленуспробі злому, зібрана цим брандмауером. Самоепогане відбувається із системою захисту саме тоді, колипри повному руйнуванні брандмауера не залишається нінайменших слідів, що вказують на те, як це відбувалося.
У кращому ж випадку брандмауер сам виявляє спробузлому і ввічливо інформує про це адміністратора.
Спроба при цьому приречена на провал. P>
Один зі способів визначити результат спробизлому Брандмауерне захисту - перевірити стан речейв так званих зонах ризику. Якщо мережа підключена до
Internet без брандмауера, об'єктом нападу стане всямережу. Така ситуація сама по собі не припускає, щомережа стає вразливою для кожної спроби злому.
Однак якщо вона приєднується до загальної небезпечноюмережі, адміністратору доведеться забезпечувати безпекукожного вузла окремо. У разі утворення проломи вбрандмауері зона ризику розширюється і охоплює всюзахищену мережу. Зломщик, що отримав доступ до входу вбрандмауер, може вдатися до методу "захоплення островів"і, користуючись брандмауером як базою, охопити всюлокальну мережу. Подібна ситуація все ж таки дасть слабкунадію, бо порушник може залишити сліди вбрандмауері, і його можна буде викрити. Якщо жбрандмауер повністю виведений з ладу, локальна мережастає відкритою для нападу з будь-якої зовнішньоїсистеми, і визначення характеру цього нападустає практично неможливим. p>
Загалом, цілком можливо розглядати брандмауеряк засіб звуження зони ризику до однієї точкиушкодження. У певному сенсі це може здатисязовсім не такою вже вдалою ідеєю, адже такий підхіднагадує складання яєць в один кошик. Однакпрактикою підтверджено, що будь-яка досить велика мережавключає, щонайменше, кілька вузлів, уразливих приспробі злому навіть не дуже досвідченим порушником, якщоу нього достатнього для цього часу. Багато великихкомпанії мають на озброєнні організаційну політикузабезпечення безпеки вузлів, розроблену з урахуваннямцих недоліків. Однак було б не дуже розумнимцілком покладатися виключно на правила. Саме здопомогою брандмауера можна підвищити надійність вузлів,направляючи порушника в такий вузький тунель, щоз'являється реальний шанс виявити і вистежити його, дотого, як він наробить бід. Подібно до того, яксередньовічні замки обносили кількома стінами, внашому випадку створюється взаімоблокірующая захист. p>
Чому брандмауер? p>
Через Internet порушник може:
. вторгнутися у внутрішню мережу підприємства та отримати несанкціонований доступ до конфіденційної інформації;
. незаконно скопіювати важливу й цінну для підприємства інформацію;
. отримати паролі, адреси серверів, а часом і їх вміст;
. входити в інформаційну систему підприємства під іменем зареєстрованого користувача і т.д. p>
За допомогою отриманої інформації зловмисникомможе бути серйозно підірвана конкурентоспроможністьпідприємства і довіра його клієнтів. p>
Існує багато видів захисту в мережі, але найбільш ефективний спосіб захисту об'єкту від нападу,одночасно дозволяє користувачам мати деякийдоступ до служб Internet, полягає в побудовібрандмауера. Щоб брандмауер був доситьефективним, необхідно ретельно вибрати йогоконфігурацію, встановити та підтримувати. p>
Брандмауери представляють собою апаратно --програмний підхід, що обмежує доступ за рахунокпримусового прокладання всіх комунікацій, що йдутьз внутрішньої мережі в Internet, з Internet у внутрішнюмережу, через це засіб захисту. Брандмауери дозволяютьтакож захищати частина вашої внутрішньої мережі від іншихїї елементів. Апаратні засоби і програмнезабезпечення, що утворюють брандмауер, фільтрують весьтрафік і приймають рішення: чи можна пропустити цейтрафік - електронну пошту, файли, дистанційнуреєстрацію та інші операції. Організаціївстановлюють конфігурацію брандмауерів різнимиспособами. На деяких об'єктах брандмауери повністюблокують доступ в Internet і з неї, а на іншихобмежують доступ таким чином, що тільки однамашина або користувач може зробити за допомогою Internet з машинами за межами внутрішньої мережі. Інодіреалізуються більш складні правила, які включаютьперевірку кожного повідомлення, направленого з внутрішньомережі у зовнішню, щоб переконатися у відповідностіконкретним вимогам стратегії забезпеченнябезпеки на даному об'єкті. Незважаючи наефективність в цілому, брандмауер не забезпечуєзахист від власного персоналу або від зловмисника,вже подолав цей засіб мережевого захисту. p>
Брандмауер як засіб від вторгнення з p>
Internet p>
Ряд завдань з відображення найбільш ймовірних загроздля внутрішніх мереж здатні вирішувати міжмережеві екрани,
У вітчизняній літературі до останнього часувикористовувалися замість цього терміна інші терміниіноземного походження: брандмауер і firewall. Позакомп'ютерної сфери брандмауером (або firewall) називаютьстіну, зроблену з негорючих матеріалів іперешкоджає поширенню пожежі. У сферікомп'ютерних мереж міжмережевий екран єбар'єр, що захищає від фігурально пожежі - спробзловмисників вторгнутися у внутрішню мережу для того,щоб скопіювати, змінити або стерти інформацію абоскористатися пам'яттю або обчислювальною потужністющо працюють у цій мережі комп'ютерів. Брандмауерпокликаний забезпечити безпечний доступ до зовнішньої мережі іобмежити доступ зовнішніх користувачів до внутрішньоїмережі. p>
Брандмауер (МЕ) - це система міжмережевийзахисту. дозволяє розділити загальну мережу на дві частиниабо більше і реалізувати набір правил, що визначаютьумови проходження пакетів з даними через кордон зоднієї частини загальної мережі в іншу. Як правило, цямежа проводиться між корпоративної (локальною) мережеюпідприємства і глобальною мережею Internet, хоча її можнапровести і всередині корпоративної мережі підприємства. МЕпропускає через себе весь трафік, беручи для кожногощо проходить пакету рішення - пропускати його абовідкинути. Для того щоб МЕ міг здійснити це йомунеобхідно визначити набір правил фільтрації. p>
Зазвичай міжмережеві екрани захищають внутрішню мережупідприємства від "вторгнень" з глобальної мережі Internet,однак вони можуть використовуватися і для захисту від
"нападів" з корпоративної інтрамережі, до якоїпідключена локальна мережа підприємства. Жоденміжмережевий екран не може гарантувати повного захистувнутрішньої мережі при всіх можливих обставин.
Однак для більшості комерційних організаційустановка межс?? тевого екрану є необхіднимумовою забезпечення безпеки внутрішньої мережі.
Головний аргумент на користь застосування брандмауераполягає в тому, що без нього системи внутрішньої мережінаражаються на небезпеку з боку слабо захищених службмережі Internet, а також зондування і атакам з будь -або інших хост-комп'ютерів зовнішньої мережі. p>
Локальна мережа Локальна мережа. Схема встановлення брандмауера p>
Проблеми недостатньої інформаційної безпекиє "вродженими" практично для всіх протоколів іслужб Internet. Велика частина цих проблем пов'язана зісторичної залежністю Internet від операційноїсистеми UNIX. Відомо, що мережа Arpanet (прародитель
Internet) будувалася як мережа, що зв'язуєдослідні центри, наукові, військові таурядові установи, великі університети США.
Ці структури використовували операційну систему UNIX вякості платформи для комунікацій та рішеннявласних завдань. Тому особливості методологіїпрограмування в середовищі UNIX та її архітектури наклаливідбиток на реалізацію протоколів обміну і політикибезпеки в мережі. Через відкритості іпоширеності система UNIX стала улюбленою здобиччюхакерів. Тому зовсім не дивно, що набірпротоколів TCP/IP, що забезпечує комунікації вглобальної мережі Internet і в які отримують все більшупопулярність інтрамережі, має "вроджені" недолікизахисту. Те ж саме можна сказати і про ряд служб
Internet. P>
Набір протоколів управління передачею повідомлень в
Internet (Transmission Control Protocol/Internet
Protocol - TCP/IP) використовується для організаціїкомунікацій в неоднорідному мережевому середовищі, забезпечуючисумісність між комп'ютерами різних типів.
Працює - одне з основних переваг TCP/IP,тому більшість локальних комп'ютерних мережпідтримує ці протоколи. Крім того, протоколи TCP/IPнадають доступ до ресурсів глобальної мережі
Internet. Оскільки TCP/IP підтримує маршрутизаціюпакетів, він зазвичай використовується як міжмережевогопротоколу. Завдяки своїй популярності TCP/IP ставстандартом де фактора для міжмережевої взаємодії. p>
У заголовках пакетів TCP/IP вказуєтьсяінформація, яка може піддатися нападамхакерів. Зокрема, хакер може підмінити адресавідправника у своїх "шкідливих" пакетах, після чоговони будуть виглядати, як пакети, що передаютьсяавторизованим клієнтом. p>
Відзначу "вроджені слабкості" деякихпоширених служб Internet. p>
Простий протокол передачі електронної пошти
(Simple Mail Transfer Protocol - SMTP) дозволяєздійснювати поштову транспортну службу Internet. Одназ проблем безпеки, пов'язана з цим протоколом,полягає в тому, що користувач не може перевіритиадреса відправника в заголовку повідомлення електронноїпошти. У результаті хакер може послати у внутрішнюмережа велика кількість листів, що приведедо перевантаження і блокування роботи поштового сервера. p>
Популярна в Internet програма електронної пошти
Sendmail використовує для роботи деяку мережнуінформацію - IP-адреса відправника. Перехоплюючиповідомлення, що відправляються за допомогою Sendmail, хакер можевикористати цю інформацію для нападів, наприклад дляспуфінга (підміни адрес). p>
Протокол передачі файлів (File Transfer Protocol -
FTP) забезпечує передачу текстових і двійкових файлів,тому його часто використовують в Internet для організаціїспільного доступу до інформації. Його зазвичайрозглядають як один з методів роботи з віддаленимимережами. На FTP-серверах зберігаються документи, програми,графіка та інші види інформації. До даних цих файлівна FTP-серверах не можна звернутися безпосередньо. Це можназробити, тільки переписав їх цілком з FTP-сервера налокальний сервер. Деякі FTP-сервери обмежуютьдоступ користувачів до своїх архівів даних за допомогоюпароля, інші ж надають вільний доступ (такзваний анонімний FTP-сервер). При використанніопції анонімного FTP для свого сервера користувачповинен бути впевнений, що на ньому зберігаються тільки файли,призначені для вільного поширення. p>
Служба мережевих імен (Domain Name System - DNS)являє собою розподілену базу даних, якаперетворює імена користувачів і хост-комп'ютерів в IP -адреси, вказані в заголовках пакетів, і навпаки.
DNS також зберігає інформацію про структуру мережі компанії,наприклад кількості комп'ютерів з IP-адресами в кожномудомені. Однією з проблем DNS є те, що цю базуданих дуже важко "приховати" від неавторизованихкористувачів. У результаті DNS часто використовуєтьсяхакерами як джерело інформації про імена довірениххост-комп'ютерів. p>
Служба емуляції віддаленого терміналу (TELNET)вживається для підключення до віддалених систем,приєднаним до мережі, застосовує базові можливості земуляції терміналу. При використанні цього сервісу
Internet користувачі повинні реєструватися на сервері
TELNET, вводячи свої ім'я та пароль. Після аутентифікаціїкористувача його робоча станція функціонує в режимі
"тупого" термінала, підключеного до зовнішнього хост -комп'ютера. З цього терміналу користувач може вводитикоманди, які забезпечують йому доступ до файлів ізапуск програм. Підключившись до сервера TELNET, хакерможе конфігурувати його програму таким чином,щоб вона записувала імена і паролі користувачів. p>
Всесвітня павутина (World Wide Web - WWW) - цесистема, заснована на мережевих програмах, якідозволяють користувачам переглядати вмістрізних серверів в Internet або інтрамережі. Самимкорисною властивістю WWW є використаннягіпертекстових документів, в які вбудовані посилання наінші документи і Web-сайти, що дає користувачамможливість легко переходити від одного вузла до іншого.
Проте це ж властивість є і найбільш слабким місцемсистеми WWW, оскільки посилання на Web-сайти, що зберігаються вгіпертекстових документах, що містять інформацію про те,як здійснюється доступ до відповідних вузлів.
Використовуючи цю інформацію, хакери можуть зруйнувати Web -вузол або отримати доступ до що зберігається в ньомуконфіденційної інформації. p>
До вразливим службам і протоколами Internet відносятьсятакож протокол копіювання UUCP, протокол маршрутизації
RIP, графічна віконна система Х Windows і ін p>
Рішення про те, фільтрувати чи за допомогоюбрандмауера конкретні протоколи та адреси,залежить від прийнятої в мережі, що захищається політикибезпеки. Брандмауер є наборомкомпонентів, які настроюються таким чином, щобреалізувати обрану політику безпеки. УЗокрема, необхідно вирішити, чи буде обмежений доступкористувачів до певних служб Internet на базіпротоколів TCP/IP і якщо буде, то до якого ступеня. p>
Політика мережевої безпеки кожної організаціїповинна включати дві складові:
. політику доступу до мережевих сервісів;
. політику реалізації міжмережевих екранів. p>
Відповідно до політики доступу до мережевихсервісів визначається список сервісів Internet, дояким користувачі повинні мати обмежений доступ.
Задаються також обмеження на методи доступу, наприклад,на використання протоколу SLIP (Serial Line Internet
Protocol) і РРР (Point-to-Point Protocol). Обмеженняметодів доступу необхідно для того, щоб користувачіне могли звертатися до "заборонених" сервісів Internetобхідними шляхами. Наприклад, якщо для обмеження доступув Internet мережевий адміністратор встановлюєспеціальний шлюз, який не дає можливостікористувачам працювати в системі WWW, вони могли бвстановити РРР-з'єднання з Web-серверами покомутованої лінії. p>
Політика доступу до мережевих сервісів зазвичайгрунтується на одному з наступних принципів:
1) заборонити доступ з Internet у внутрішню мережу, аледозволити доступ з внутрішньої мережі в Internet;
2) дозволити обмежений доступ у внутрішню мережу з
Internet, забезпечуючи роботу тільки окремих
"авторизованих" систем, наприклад поштових серверів. p>
Відповідно до політики реалізації міжмережевихекранів визначаються правила доступу до ресурсіввнутрішньої мережі. Перш за все, необхідно встановити,наскільки "довірчої" або "підозрілою" повиннабути система захисту. Іншими словами, правила доступу довнутрішніх ресурсів повинні базуватися на одному знаступних принципів:
1) забороняти все, що не дозволено в явній формі;
2) дозволяти все, що не заборонено в явній формі. P>
Реалізація брандмауера на основі першихпринципу забезпечує значну захищеність. Однакправила доступу, сформульовані відповідно до цьогопринципом, можуть доставляти великі незручностікористувачам, а крім того, їх реалізація обходитьсядосить дорого. При реалізації другого принципувнутрішня мережа виявляється менш захищеною віднападів хакерів, однак, користуватися їй буде зручнішеі буде потрібно менше витрат. p>
Ефективність захисту внутрішньої мережі за допомогоюміжмережевих екранів залежить не тільки від обраноїполітики доступу до мережевих сервісів і ресурсіввнутрішньої мережі, але і від раціональності вибору івикористання основних компонентів брандмауера. p>
Функціональні вимоги до міжмережевих екраніввключають:
. вимоги до фільтрації на мережному рівні;
. вимоги до фільтрації на прикладному рівні;
. вимоги з настройки правил фільтрації та адміністрування;
. вимоги до засобів мережевої аутентифікації;
. вимоги щодо впровадження журналів та обліку. p>
Основні компоненти міжмережевих екранів p>
Більшість компонентів міжмережевих екранів можнавіднести до однієї з трьох категорій:
. фільтруючі маршрутизатори;
. шлюзи мережевого рівня;
. шлюзи прикладного рівня. p>
Ці категорії можна розглядати як базовікомпоненти реальних міжмережевих екранів. Лише деякіміжмережеві екрани включають тільки одну з перерахованихкатегорій. Тим не менше, ці категорії відображають ключовіможливості, що відрізняють міжмережеві екрани один від одного. p>
Фільтруючі маршрутизатори p>
Фільтруючий маршрутизатор являє собоюмаршрутизатор або що працює на сервері програму,сконфігуровані таким чином, щоб фільтрувативхідних і вихідних пакетів. Фільтрація пакетівздійснюється на основі інформації, що міститься в TCP-і IP-заголовках пакетів. p>
Фільтруючі маршрутизатори звичайно можефільтрувати IP-пакет на основі групи наступних полівзаголовка пакета:
. IP-адреса відправника (адреса системи, яка надіслала пакет);
. IP-адреса одержувача (адреса системи яка приймає пакет);
. Порт відправника (порт з'єднання в системі відправника);
. Порт одержувача (порт з'єднання в системі одержувача p>
); p>
Порт - це програмне поняття, якевикористовується клієнтом або сервером для посилки абоприйому повідомлень; порт ідентифікується 16 - двійковогочислом. p>
В даний час не всі фільтруючімаршрутизатори фільтрують пакети по TCP/UDP - портвідправника, однак багато виробників маршрутизаторівпочали забезпечувати таку можливість. Деякімаршрутизатори перевіряють, з якого мережного інтерфейсумаршрутизатора прийшов пакет, і потім використовують цюінформацію як додатковий критерій фільтрації. p>
Фільтрація може бути реалізована різнимичином для блокування сполук з певнимихост-комп'ютерами або портами. Наприклад, можнаблокувати з'єднання, що йдуть від конкретних адрес тиххост-комп'ютерів і мереж. які вважаються ворожимиабо ненадійними. p>
Додавання фільтрації по портах TCP і UDP дофільтрації по IP-адресами забезпечує більшу гнучкість.
Відомо, що такі сервери, як демон TELNET, звичайнопов'язані з конкретними портами (наприклад, порт 23протоколу TELNET). Якщо міжмережевий екран можеблокувати з'єднання TCP або UDP з певнимипортами або від них, то можна реалізувати політикубезпеки, при якій деякі види з'єднаньвстановлюються тільки з конкретними хост-комп'ютерами. p>
Наприклад, внутрішня мережа може блокувати всівхідні з'єднання з усіма хост-комп'ютерами завинятком декількох систем. Для цих систем можутьбути дозволені тільки певні сервіси (SMTP дляоднієї системи і TELNET або FTP-для іншої). Прифільтрації по портах TCP і UDP ця політика може бутиреалізована фільтруючим маршрутизатором або хост -комп'ютером з можливістю фільтрації пакетів. p>
Як приклад роботи фільтруючогомаршрутизатора розгляну реалізацію політикибезпеки, яка допускає певні з'єднання звнутрішньою мережею з адресою 123.4 .*.* З'єднання TELNETдозволяються тільки з одним хост-комп'ютером з адресою
123.4.5.6, який може бути прикладним TELNET-шлюзом,а SMTP-з'єднання - тільки з двома хост-комп'ютерами задресами 123.4.5.7 та 123.4.5.8, які можуть бути двомашлюзами електронної пошти. Обмін по NNTP (Network News
Transfer Protocol) дозволяється тільки від серверановин з адресою 129.6.48.254 і тільки з NNTP-сервероммережі з адресою 123.4.5.9, а протокол NTP (мережевогочасу)-для всіх хост-комп'ютерів. Всі інші сервери іпакети блокуються. рації p>
Перше правило дозволяє пропускати пакети TCP змережі Internet від будь-якого джерела з номером портубільшим, ніж 1023, до одержувача з адресою 123.4.5.6 впорт 23. Порт 23 пов'язаний з сервером TELNET, а всі клієнти
TELNET повинні мати непривілейованих порти з номерамине нижче 1024. p>
Друге та третє правила працюють аналогічно ідозволяють передачу пакетів до одержувачів з адресами
123.4.5.7 та 123.4.5.8 в порт 25, що використовується SMTP. P>
Четверте правило пропускає пакети до NNTP-серверамережі, але тільки від відправника з адресою 129.6.48.254 доодержувачу з адресою 123.4.5.9 з портом призначення 119
(129.6.48.254-єдиний NNTP-сервер, від якоговнутрішня мережа отримує новини, тому доступ до мережідля виконання протоколу NNTP обмежений тільки цієїсистемою). p>
П'яте правило дозволяє трафік NTP, якийвикористовує протокол UDP замість TCP. від будь-якого джереладо будь-якого одержувачу внутрішньої мережі. p>
Нарешті, шосте правило блокує всі іншіпакети. Якби цього правила не було, маршрутизаторміг би блокувати, а міг би і не блокувати іншітипи пакетів. Вище було розглянуто дуже простий прикладфільтрації пакетів. Реально використовуються правиладозволяють здійснити більш складну фільтрацію іє більш гнучкими. p>
Правила фільтрації пакетів формулюються складно, ізазвичай немає коштів для тестування їх коректності,крім повільного ручного тестування. У деякихфільтруючих маршрутизаторів немає коштівпротоколювання, тому, якщо правила фільтраціїпакетів все-таки дозволять небезпечним пакетам пройти черезмаршрутизатор, такі пакети не зможуть бути виявлені довиявлення наслідків проникнення. Навіть якщоадміністратора мережі вдасться створити ефективні правилафільтрації, їх можливості залишаються обмеженими.
Наприклад, адміністратор задає правило, відповідноз яким маршрутизатор буде відбраковувати всі пакетиз невідомим адресою відправника. Однак хакер можевикористовувати як адресу відправника у своєму
"шкідливі" пакеті реальну адресу довіреної
(авторизованого) клієнта. У цьому випадку фільтруючиймаршрутизатор не зуміє відрізнити підроблений пакет відсьогодення і пропустить його. Практика показує, щоподібний вид нападу, що називається підміною адреси,досить широко поширений в мережі Internet і частовиявляється ефективним. p>
Брандмауер з фільтрацією пакетів, що працюєтільки на мережевому рівні еталонної моделі взаємодіївідкритих систем OSI-ISO, звичайно перевіряє інформацію,міститься тільки в IP-заголовках пакетів. Томуобдурити його нескладно: хакер створює заголовок, якийзадовольняє що дозволяє правилами фільтрації. Крімзаголовка пакету, ніяка інша що міститься в ньомуінформація міжмережевим екранами даної категорії неперевіряється. p>
До позитивних якостей фільтруючихмаршрутизаторів слід віднести:
. порівняно невисоку вартість;
. гнучкість у визначенні правил фільтрації;
. невелику затримку при проходженні пакетів. p>
Недоліками фільтруючих маршрутизаторівє:
. внутрішня мережа видно (маршрут) з мережі p>
Internet;
. правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;
. при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;
. аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);
. відсутній автентифікація на користувача рівні. p>
Шлюзи мережевого рівня p>
Шлюз мережевого рівня іноді називають системоютрансляції мережевих адрес або шлюзом сеансовогпро рівнямоделі OSI. Такий шлюз виключає, інтерфейсавторизованим між клієнтом і зовнішнім хост -комп'ютером. Шлюз мережевого рівня приймає запитдовіреної клієнта на конкретні послуги, і післяперевірки допустимості запитаного сеансу встановлюєз'єднання із зовнішнім хост-комп'ютером. Після цього шлюзкопіює пакети в обох напрямках, не здійснюючи їхфільтрації. p>
Шлюз стежить за підтвердженням (квітірованіем)зв'язку між авторизованим клієнтом і зовнішнім хост -комп'ютером, визначаючи, чи є запитуваний сеансзв'язку допустимим. Щоб виявити допустимість запиту насеанс зв'язку, шлюз виконує наступну процедуру. p>
Коли авторизований клієнт запитуєдеякий сервіс, шлюз приймає цей запит, перевіряючи,чи задовольняє цей клієнт базових критеріївфільтрації (наприклад, чи може DNS-сервер визначити IP -адреса клієнта і асоційоване з ним ім'я). Потім,діючи від імені клієнта, шлюз встановлює з'єднанняіз зовнішнім хост-комп'ютером і стежить за виконаннямпроцедури квітірованія зв'язку по протоколу TCP. Цяпроцедура складається з обміну TCP-пакетами, якіпозначаються прапорами SYN (синхронізувати) і АСК
(підтвердити). p>
Перший пакет сеансу TCP, позначений прапором SYN іщо містить довільне число, наприклад 1000. єзапитом клієнта на відкриття сеансу. Зовнішній хост -комп'ютер, який отримав цей пакет, посилає у відповідьпакет, позначений прапором АСК і містить число, наодиницю більше, ніж у прийнятому пакеті підтверджуючи, тимсамим прийом пакету SYN від клієнта. p>
Далі здійснюється зворотна процедура: хост -комп'ютер надсилає клієнту пакет SYN з вихідним числом
(наприклад, 2000), а клієнт підтверджує його отриманняпередачею пакета АСК, що містить число 2001. На цьомупроцес квітірованія зв'язку завершується. p>
Шлюз мережевого рівня визнає ви запросилиз'єднання припустимим тільки в тому випадку, якщо привиконання процедури квітірованія зв'язку прапори SYN і АСК,а також числа, що містяться в TCP-пакетах, виявляютьсялогічно пов'язаними між собою. p>
Після того як шлюз визначив, що довіренийклієнт і зовнішній хост-комп'ютер єавторизованими учасниками сеансу TCP, і перевіривдопустимість цього сеансу, він встановлює з'єднання.
Починаючи з цього моменту, шлюз копіює і перенаправляєпакети туди і назад, не проводячи ніякої фільтрації. Вінпідтримує таблицю встановлених з'єднань, пропускаючидані, що відносяться до одного з сеансів зв'язку,зафіксованих у цій таблиці. Коли сеанс завершується,шлюз видаляє відповідний елемент з таблиці ірозриває ланцюг. використалася в даному сеансі. p>
Для копіювання і перенаправлення пакетів у шлюзахмережевого рівня застосовуються спеціальні програми,які називають канальними посередниками, оскільки вонивстановлюють між двома мережами віртуальну ланцюг абоканал, а потім дозволяють пакетів, які генеруютьсядодатками TCP/IP, проходити по цьому каналу.
Канальні посередники підтримують кілька служб
TCP/IP, тому шлюзи мережевого рівня можу