Брандмауер поняття сутність і властивості

Зміст

Введення

1. Що таке брандмауер?

2. У чому полягає робота брандмауера?

3. Види брандмауерів

4. Переваги використання брандмауера

5. Рівень небезпеки

6. Міжмережевий екран як засіб від вторгнення з Internet

7. Функціональні вимоги та компоненти міжмережевих екранів

8. Посилена аутентифікація

9. Основні схеми мережевого захисту на базі міжмережевих екранів

10. Що може і чого не може брандмауер Windows

Висновок

Література

Введення

Інтенсивний розвиток глобальних комп'ютерних мереж, поява нових технологій пошуку інформації привертають все більше уваги до мережі Internet з боку приватних осіб і різних організацій. Багато організацій приймають рішення про інтеграцію своїх локальних і корпоративних мереж в глобальну мережу. Використання глобальних мереж у комерційних цілях, а також при передачі інформації, яка містить відомості конфіденційного характеру, тягне за собою необхідність побудови ефективної системи захисту інформації. В даний час в Росії глобальні мережі застосовуються для передачі комерційної інформації різного рівня конфіденційності, наприклад для зв'язку з віддаленими офісами з головної штаб квартири організації або створення Web-сторінки організації з розміщеною на ній рекламою і діловими пропозиціями.

Навряд чи потрібно перераховувати всі переваги, які отримує сучасне підприємство, маючи доступ до глобальної мережі Internet. Але, як і багато інші нові технології, використання Internet має і негативні наслідки. Розвиток глобальних мереж призвело до багаторазового збільшення кількості користувачів і збільшення кількості атак на комп'ютери, підключені до мережі Internet. Щорічні втрати, зумовлені недостатнім рівнем захищеності комп'ютерів, оцінюються десятками мільйонів доларів. При підключенні до Internet локальної або корпоративної мережі необхідно подбати про забезпечення інформаційної безпеки цієї мережі. Глобальна мережа Internet створювалася як відкрита система, призначена для вільного обміну інформацією. У силу відкритості своєї ідеології Internet надає для зловмисників значно більші можливості в порівнянні з традиційними інформаційними системами. Тому питання про проблему захисту мереж і її компонентів ставати досить важливим та актуальним і цей час, час прогресу і комп'ютерних технологій. Багато країн нарешті зрозуміли важливість цієї проблеми. Відбувається збільшення витрат і зусиль спрямованих на виробництво і поліпшення різних засобів захисту. Основною метою реферату є розгляд, і вивчення функціонування одного з таких засобів мережевого захисту як брандмауер або міжмережевий екран. Який в даний час є найбільш надійним в плані захисту з пропонованих засобів.

1.Що таке брандмауер?

Брандмауер, або міжмережевий екран, - це «напівпроникна мембрана», яка розташовується між що захищається внутрішнім сегментом мережі і зовнішньою мережею або іншими сегментами мережі Internet і контролює всі інформаційні потоки у внутрішній сегмент і з нього. Контроль трафіку полягає в його фільтрації, тобто у вибірковому пропущенні через екран, а іноді і з виконанням спеціальних перетворень і формуванням сповіщень для відправника, якщо його даним у пропуску відмовлено. Фільтрація здійснюється на підставі набору умов, попередньо завантажених в брандмауер і відображають концепцію інформаційної безпеки корпорації. Брандмауери можуть бути виконані у вигляді як апаратного, так і програмного комплексу, записаного в комутуючий пристрій або сервер доступу (сервер-шлюз, просто сервер, хост-комп'ютер і т.д.), вбудованого в операційну систему або представляти собою працює під її управлінням програму.

2. У чому полягає робота брандмауера?

Робота брандмауера полягає в аналізі структури і вмісту інформаційних пакетів, що надходять із зовнішньої мережі, і в залежності від результатів аналізу пропуску пакетів у внутрішню мережу (сегмент мережі) або повному їх відфільтровування. Ефективність роботи міжмережевого екрану, що працює під управлінням Windows, обумовлена ​​тим, що він повністю заміщає реалізований стек протоколів TCP \ IP, і тому порушувати його роботу з допомогою спотворення протоколів зовнішньої мережі (що часто робиться хакерами) неможливо.

Міжмережеві екрани зазвичай виконують такі функції:

• фізичне відділення робочих станцій і серверів внутрішнього сегмента мережі (внутрішньої підмережі) від зовнішніх каналів зв'язку;

• багатоетапну ідентифікацію запитів, що надходять в мережу (ідентифікація серверів, вузлів зв'язку про інших компонентів зовнішньої мережі);

• перевірку повноважень і прав доступу користувача до внутрішніх ресурсів мережі;

• реєстрацію всіх запитів до компонентів внутрішньої підмережі ззовні;

• контроль цілісності програмного забезпечення і даних;

• економію адресного простору мережі (у внутрішній підмережі може використовуватися локальна система адресації серверів);

• приховування IP адрес внутрішніх серверів з метою захисту від хакерів.

Брандмауери можуть працювати на різних рівнях протоколів моделі OSI.

На мережевому рівні виконується фільтрація вступників пакетів, заснована на IP адреси (наприклад, не пропускати пакети з Інтернету, направлені на ті сервери, доступ до яких зовні заборонено; не пропускати пакети з фальшивими зворотними адресами або IP адресами, занесеними до «чорного списку», і т.д.). На транспортному рівні фільтрація припустима ще й за номерами портів ТСР і прапорів, що містяться в пакетах (наприклад, запитів на встановлення з'єднання). На прикладному рівні може виконуватися аналіз прикладних протоколів (FTP, HTTP, SMTP і т.д.) і контроль за змістом потоків даних (заборона внутрішнім абонентам на отримання будь-яких типів файлів: рекламної інформації або виконуваних програмних модулів, наприклад).

Можна в брандмауері створювати та експертну систему, яка, аналізуючи трафік, діагностує події, що можуть становити загрозу безпеки внутрішньої мережі, та інформує про це адміністратора. Експертна система здатна також у разі небезпеки (спам, наприклад) автоматично посилювати умови фільтрації і т.д.

3. Види брандмауерів

Брандмауери бувають апаратними або програмними.

Апаратний брандмауер представляє собою пристрій, фізично підключається до мережі. Це пристрій відслідковує всі аспекти вхідного і вихідного обміну даними, а також перевіряє адреси джерела і призначення кожного оброблюваного повідомлення. Це забезпечує безпеку, допомагаючи запобігти небажаним проникнення в мережу або на комп'ютер. Програмний брандмауер виконує ті ж функції, використовуючи не зовнішній пристрій, а встановлену на комп'ютері програму.

На одному і тому ж комп'ютері можуть використовуватися як апаратні, так і програмні брандмауери.

4.Преімущества використання брандмауера

Брандмауер представляє собою захисну кордон між комп'ютером (або комп'ютерною мережею) і зовнішнім середовищем, користувачі або програми якої можуть намагатися отримати несанкціонований доступ до комп'ютера. Зазвичай зломщики використовують спеціальні програми для пошуку в Інтернеті незахищених підключень. Така програма відправляє на комп'ютер дуже маленьке повідомлення. За відсутності брандмауера комп'ютер автоматично відповідає на повідомлення, виявляючи свою незахищеність. Встановлений брандмауер отримує такі повідомлення, але не відповідає на них; таким чином, зломщики навіть не підозрюють про існування даного комп'ютера.

5.Уровень небезпеки

Існує кілька шляхів звести нанівець або піддати ризику брандмауерних захист. І хоча вони всі погані, про деяких можна з упевненістю говорити як про самих неприємних. Виходячи з того, що основною метою встановлення більшості брандмауерів є блокування доступу, очевидно, що виявлення будь-ким лазівки, що дозволяє проникнути в систему, веде до повного краху всієї захисту даної системи. Якщо ж несанкціонованому користувачеві вдалося проникнути в брандмауер і переконфігурувати його, ситуація може прийняти ще більш загрозливого характеру. З метою розмежування термінології приймемо, що в першому випадку ми маємо справу зі зломом брандмауерних захисту, а в другому - з повним її руйнуванням. Ступінь впливу, який може спричинити за собою руйнування брандмауерних захисту, визначити неймовірно складно. Найбільш повні відомості про надійність такого захисту може дати тільки інформація про діяльність, спробі злому, зібрана цим брандмауером. Найгірше відбувається із системою захисту саме тоді, коли при повному руйнуванні брандмауера не залишається жодних слідів, що вказують на те, як це відбувалося. У кращому ж випадку брандмауер сам виявляє спробу злому і ввічливо інформує про це адміністратора. Спроба при цьому приречена на провал.

Один зі способів визначити результат спроби злому брандмауерних захисту - перевірити стан речей в так званих зонах ризику. Якщо мережа підключена до Internet без брандмауера, об'єктом нападу стане вся мережа. Така ситуація сама по собі не передбачає, що мережа стає вразливою для кожної спроби злому. Однак якщо вона приєднується до загальної незахищеної мережі, адміністраторові доведеться забезпечувати безпеку кожного вузла окремо. У разі утворення проломи в брандмауері зона ризику розширюється і охоплює всю захищену мережу. Зломщик, що отримав доступ до входу в брандмауер, може вдатися до методу "захоплення островів" і, користуючись брандмауером як базою, охопити всю локальну мережу. Подібна ситуація все ж дасть слабку надію, бо порушник може залишити сліди в брандмауері, і його можна буде викрити. Якщо ж брандмауер повністю виведений з ладу, локальна мережа стає відкритою для нападу з будь-якої зовнішньої системи, і визначення характеру цього нападу стає практично неможливим.

Загалом, цілком можливо розглядати брандмауер як засіб звуження зони ризику до однієї точки пошкодження. У певному сенсі це може здатися зовсім не такою вже вдалою ідеєю, адже такий підхід нагадує складання яєць в один кошик. Однак практикою підтверджено, що будь-яка досить велика мережа включає, щонайменше, декілька вузлів, уразливих при спробі злому навіть не дуже досвідченим порушником, якщо у нього достатнього для цього часу. Багато великих компаній мають на озброєнні організаційну політику забезпечення безпеки вузлів, розроблену з урахуванням цих недоліків. Однак було б не надто розумним цілком покладатися виключно на правила. Саме за допомогою брандмауера можна підвищити надійність вузлів, направляючи порушника в такий вузький тунель, що з'являється реальний шанс виявити і вистежити його, до того як він наробить бід. Подібно до того, як середньовічні замки обносили кількома стінами, в нашому випадку створюється взаімоблокірующая захист.

6.Межсетевой екран як засіб від вторгнення з Internet

Ряд завдань по віддзеркаленню найбільш ймовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани, У вітчизняній літературі до останнього часу використовувалися замість цього терміна інші терміни іноземного походження: брандмауер і firewall. Поза комп'ютерної сфери брандмауером (або firewall) називають стіну, зроблену з негорючих матеріалів і перешкоджає поширенню пожежі. У сфері комп'ютерних мереж міжмережевий екран є бар'єр, що захищає від фігурального пожежі - спроб зловмисників вторгнутися у внутрішню мережу для того, щоб скопіювати, змінити або стерти інформацію або скористатися пам'яттю чи обчислювальною потужністю працюють у цій мережі комп'ютерів. Міжмережевий екран покликаний забезпечити безпечний доступ до зовнішньої мережі та обмежити доступ зовнішніх користувачів до внутрішньої мережі.

Міжмережевий екран (МЕ) - це система міжмережевого захисту. дозволяє розділити загальну мережу на дві частини або більше і реалізувати набір правил, що визначають умови проходження пакетів з даними через кордон з однієї частини загальної мережі в іншу. Як правило, ця межа проводиться між корпоративною (локальної) мережею підприємства і глобальною мережею Internet, хоча її можна провести і усередині корпоративної мережі підприємства. МЕ пропускає через себе весь трафік, приймаючи для кожного проходить пакету рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це йому необхідно визначити набір правил фільтрації.

Зазвичай міжмережеві екрани захищають внутрішню мережу підприємства від "вторгнень" з глобальної мережі Internet, однак вони можуть використовуватися і для захисту від "нападів" з корпоративної інтрамережі, до якої підключена локальна мережа підприємства. Жоден міжмережевий екран не може гарантувати повного захисту внутрішньої мережі при всіх можливих обставин. Однак для більшості комерційних організацій установка міжмережевого екрану є необхідною умовою забезпечення безпеки внутрішньої мережі. Головний аргумент на користь застосування міжмережевого екрану полягає в тому, що без нього системи внутрішньої мережі наражаються на небезпеку з боку слабо захищених служб мережі Internet, а також зондування і атакам з будь-яких інших хост - комп'ютерів зовнішньої мережі.

Проблеми недостатньої інформаційної безпеки є "вродженими" практично для всіх протоколів і служб Internet. Велика частина цих проблем пов'язана з історичною залежністю Internet від операційної системи UNIX. Відомо, що мережа Arpanet (прабатько Internet) будувалася як мережа, що зв'язує дослідні центри, наукові, військові та урядові установи, великі університети США. Ці структури використовували операційну систему UNIX в якості платформи для комунікацій і вирішення власних завдань. Тому особливості методології програмування в середовищі UNIX та її архітектури наклали відбиток на реалізацію протоколів обміну і політики безпеки в мережі. Через відкритості та поширеності система UNIX стала улюбленою здобиччю хакерів. Тому зовсім не дивно, що набір протоколів TCP / IP, який забезпечує комунікації в глобальній мережі Internet і в які отримують все більшу популярність інтрамережі, має "вроджені" недоліки захисту. Те ж саме можна сказати і про ряд служб Internet.

Набір протоколів управління передачею повідомлень в Internet (Transmission Control Protocol / Internet Protocol - TCP / IP) використовується для організації комунікацій в неоднорідному мережевому середовищі, забезпечуючи сумісність між комп'ютерами різних типів. Сумісність - одна з основних переваг TCP / IP, тому більшість локальних комп'ютерних мереж підтримує ці протоколи. Крім того, протоколи TCP / IP надають доступ до ресурсів глобальної мережі Internet. Оскільки TCP / IP підтримує маршрутизацію пакетів, він зазвичай використовується в якості міжмережевого протоколу. Завдяки своїй популярності TCP / IP став стандартом де фактора для міжмережевого взаємодії.

У заголовках пакетів TCP / IP зазначається інформація, яка може піддатися нападам хакерів. Зокрема, хакер може підмінити адресу відправника у своїх "шкідливих" пакетах, після чого вони будуть виглядати, як пакети, що передаються авторизованим клієнтом.

7.Функціональние вимоги і компоненти міжмережевих екранів

Функціональні вимоги до міжмережевих екранів включають:

• вимоги до фільтрації на мережевому рівні;

• вимоги до фільтрації на прикладному рівні;

• вимоги по налаштуванню правил фільтрації та адміністрування;

• вимоги до засобів мережевої аутентифікації;

• вимоги щодо впровадження журналів та обліку.

Більшість компонентів міжмережевих екранів можна віднести до однієї з трьох категорій:

• фільтруючі маршрутизатори;

• шлюзи мережевого рівня;

• шлюзи прикладного рівня.

Ці категорії можна розглядати як базові компоненти реальних міжмережевих екранів. Лише деякі міжмережеві екрани включають тільки одну з перерахованих категорій. Тим не менше, ці категорії відображають ключові можливості, що відрізняють міжмережеві екрани один від одного.

8. Фільтруючі маршрутизатори

Фільтруючий маршрутизатор являє собою маршрутизатор або працює на сервері програму, сконфігуровані таким чином, щоб фільтрувати входить і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-і IP-заголовках пакетів.

Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:

• IP-адреса відправника (адреса системи, яка послала пакет);

• IP-адресу одержувача (адреса системи, яка приймає пакет);

• порт відправника (порт з'єднання в системі відправника);

• порт одержувача (порт з'єднання в системі одержувача);

Порт - це програмне поняття, яке використовується клієнтом або сервером для здійснення та отримання повідомлень; порт ідентифікується 16 - бітовим числом.

В даний час не всі фільтруючі маршрутизатори фільтрують пакети по TCP / UDP - порт відправника, однак багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації.

Фільтрація може бути реалізована в різний спосіб для блокування сполук з певними хост - комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж. які вважаються ворожими або ненадійними.

Додавання фільтрації по портів TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Відомо, що такі сервери, як домен TELNET, зазвичай пов'язані з конкретними портами (наприклад, порт 23 протоколу TELNET). Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються лише з конкретними хост - комп'ютерами.

До позитивних якостей фільтруючих маршрутизаторів слід віднести:

• порівняно невисоку вартість;

• гнучкість у визначенні правил фільтрації;

• невелику затримку при проходженні пакетів.

Недоліками фільтруючих маршрутизаторів є:

• внутрішня мережа видно (маршрутизується) з мережі Internet правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;

• при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;

• аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);

• відсутня аутентифікація на рівні користувача.

9.Шлюзи мережевого рівня

Шлюз мережевого рівня іноді називають системою трансляції мережевих адрес або шлюзом сеансового рівня моделі OSI. Такий шлюз виключає, пряма взаємодія між авторизованим клієнтом і зовнішнім хост-комп'ютером. Шлюз мережевого рівня приймає запит довіреної клієнта на конкретні послуги, і після перевірки допустимості запитаного сеансу встановлює з'єднання із зовнішнім хост - комп'ютером. Після цього шлюз копіює пакети в обох напрямках, не здійснюючи їх фільтрації.

Шлюз стежить за підтвердженням (квітірованіем) зв'язку між авторизованим клієнтом і зовнішнім хост - комп'ютером, визначаючи, чи є запитуваний сеанс зв'язку допустимим.

Фактично більшість шлюзів мережевого рівня не є самостійними продуктами, а поставляються в комплекті зі шлюзами прикладного рівня. Прикладами таких шлюзів є Gauntlet Internet Firewall компанії Trusted Information Systems, Alta Vista Firewall компанії DEC і ANS Interlock компанії ANS. Наприклад, Alta Vista Firewall використовує канальні посередники прикладного рівня для кожної з шести служб TCP / IP, до яких належать, зокрема, FTP, HTTP (Hyper Text Transport Protocol) і T elnet. Крім того, міжмережевий екран компанії DEC забезпечує шлюз мережевого рівня, що підтримує інші загальнодоступні служби TCP / IP, такі як Gopher і SMTP, для яких міжмережевий екран не надає посередників прикладного рівня.

Шлюз мережевого рівня виконує ще одну важливу функцію захисту: він використовується в якості сервера-посередника. Цей сервер-посередник виконує процедуру трансляції адрес, при якій відбувається перетворення внутрішніх IP-адрес в один "надійний" IP-адресу. Ця адреса асоціюється з міжмережевим екраном, з якого передаються всі вихідні пакети. У результаті в мережі зі шлюзом мережевого рівня всі вихідні пакети виявляються відправленими з цього шлюзу, що виключає прямий контакт між внутрішньою (авторизованої) мережею і потенційно небезпечної зовнішньої мережі. IP-адреса шлюзу мережевого рівня стає єдино активним IP-адресою, який потрапляє в зовнішню мережу. Таким чином, шлюз мережевого рівня та інші сервери-посередники захищають внутрішні мережі від нападів типу підміни адрес.

10. Шлюзи прикладного рівня

Для усунення ряду недоліків, властивих фільтруючим маршрутизаторам, міжмережеві екрани повинні використовувати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні засоби називаються повноважними серверами (серверами-посередниками), а хост-комп'ютер, на якому вони виконуються, - шлюзом прикладного рівня.

Шлюз прикладного рівня виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хост - комп'ютером. Шлюз фільтрує всі вхідні і вихідні пакети на прикладному рівні. Пов'язані з додатком сервери - посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами.

Для досягнення більш високого рівня безпеки та гнучкості шлюзи прикладного рівня і фільтруючі маршрутизатори можуть бути об'єднані в одному межсетевом екрані. Як приклад розгляну мережу, в якій за допомогою фільтруючого маршрутизатора блокуються вхідні з'єднання TELNET і FTP. Цей маршрутизатор допускає проходження пакетів TELNET або FTP тільки до одного хост - комп'ютера - шлюзу прикладного рівня TELNET / FTP. Зовнішній користувач, який хоче з'єднатися з деякою системою в мережі, повинен спочатку з'єднатися зі шлюзом прикладного рівня, а потім вже з потрібним внутрішнім хост-комп'ютером.

На додаток до фільтрації пакетів багато шлюзи прикладного рівня реєструють всі виконувані сервером дії і, що особливо важливо, попереджають мережевого адміністратора про можливі порушення захисту. Наприклад, при спробах проникнення в мережу ззовні BorderWare Firewall Server компанії Secure Computing дозволяє фіксувати адреси відправника і одержувача пакетів, час, в який ці спроби були зроблені, і використовуваний протокол. Міжмережевий екран Black Hole компанії Milkyway Networks реєструє всі дії сервера і попереджає адміністратора про можливі порушення, посилаючи йому повідомлення по електронній пошті або на пейджер. Аналогічні функції виконують і ряд інших шлюзів прикладного рівня.

Шлюзи прикладного рівня дозволяють забезпечити найбільш високий рівень захисту, оскільки взаємодія із зовнішнім світом реалізується через мало прикладних повноважних програм-посередників, повністю контролюють весь вхідний і вихідний трафік.

Шлюзи прикладного рівня мають ряд переваг у порівнянні зі звичайним режимом, при якому прикладної трафік пропускається безпосередньо до внутрішніх хост - комп'ютерів. Перерахую ці переваги.

• Невидимість структури мережі, що захищається з глобальної мережі Internet. Імена внутрішніх систем можна не повідомляти зовнішнім системам через DNS, оскільки шлюз прикладного рівня може бути єдиним хост - комп'ютером, ім'я якого повинно бути відомо зовнішнім системам.

• Надійна аутентифікація та реєстрація. Прикладної трафік може бути аутентифікований, перш ніж він досягне внутрішніх хост-комп'ютерів, і може бути зареєстрований більш ефективно, ніж за допомогою стандартної реєстрації.

• Оптимальне співвідношення між ціною і ефективністю. Додаткові або апаратні засоби для аутентифікації або реєстрації потрібно встановлювати тільки на шлюзі прикладного рівня.

• Прості правила фільтрації. Правила на фільтруючому маршрутизаторі виявляються менш складними, ніж вони були б, якщо б маршрутизатор сам фільтрував прикладної трафік і відправляв його великому числу внутрішніх систем. Маршрутизатор повинен пропускати прикладної трафік, призначений тільки для шлюзу прикладного рівня, і блокувати весь інший трафік.

• Можливість організації великого числа перевірок. Захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, що знижує ймовірність злому з використанням "дірок" у програмному забезпеченні.

До недоліків шлюзів прикладного рівня відносяться:

• більш низька продуктивність у порівнянні з фільтруючими маршрутизаторами; зокрема, при використанні клієнт-серверних протоколів, таких як TELNET, потрібно двокрокова процедура для вхідних та вихідних з'єднань;

• більш висока вартість у порівнянні з фільтруючим маршрутизатором.

Крім TELNET і FTP шлюзи прикладного рівня зазвичай використовуються для електронної пошти, Windows і деяких інших служб.

11.Усіленная аутентифікація

Одним з важливих компонентів концепції міжмережевих екранів є автентифікація (перевірка дійсності користувача). Перш ніж користувачеві буде надано право скористатися тим чи іншим сервісом, необхідно переконатися, що він дійсно той, за кого себе видає.

Одним із способів аутентифікації є використання стандартних UNIX-паролів. Однак ця схема найбільш вразливе з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Багато інциденти в мережі Internet відбулися почасти через уразливість традиційних паролів. Зловмисники можуть спостерігати за каналами в мережі Internet і перехоплювати що передаються в них відкритим текстом паролі, тому схему аутентифікації з традиційними паролями слід визнати застарілою.

Для подолання цього недоліку розроблено ряд засобів посиленою аутентифікації: смарт-карти, персональні жетони, біометричні механізми і т.п. Хоча в них задіяні різні механізми аутентифікації, загальним для них є те, що паролі, які генеруються цими пристроями, не можуть бути повторно використані порушником, що спостерігає за встановленням зв'язку. Оскільки проблема з паролями в мережі Internet є постійною, міжмережевий екран для з'єднання з Internet, не має в своєму розпорядженні засобами посиленою аутентифікації або не використовує їх, втрачає всякий сенс.

Ряд найбільш популярних засобів посиленою аутентифікації, що застосовуються в даний час, називаються системами з одноразовими паролями. Наприклад, смарт-карти або жетони аутентифікації генерують інформацію, яку хост-комп'ютер використовує замість традиційного пароля. Результатом є одноразовий пароль, який, навіть якщо він буде перехоплений, не може бути використаний зловмисником під виглядом користувача для встановлення сеансу з хост - комп'ютером.

Так як міжмережеві екрани можуть централізувати управління доступом в мережі, вони є підходящим місцем для установки програм або пристроїв посиленою аутентифікації. Хоча кошти посиленою аутентифікації можуть використовуватися на кожному хост - комп'ютері, більш практично їх розміщення на межсетевом екрані. На рис. показано, що в мережі без міжмережевого екрану, що використовує заходи посиленої аутентифікації, нерозпізнаних трафік таких додатків, як TELNET або FTP, може безпосередньо проходити до систем в мережі. Якщо хост - комп'ютери не застосовують заходів посиленої аутентифікації, зловмисник може спробувати зламати паролі або перехопити мережевий трафік з метою знайти в ньому сеанси, в ​​ході яких передаються паролі.

У цьому випадку сеанси TELNET або FTP, що встановлюються з боку мережі Internet з системами мережі, повинні проходити перевірку за допомогою засобів посиленою аутентифікації, перш ніж вони будуть дозволені, Системи мережі можуть запитувати для дозволу доступу і статичні паролі, але ці паролі, навіть якщо вони будуть перехоплені зловмисником, не можна буде використовувати, тому що кошти посиленою аутентифікації та інші компоненти міжмережевого екрану запобігають проникнення зловмисника або обхід ними міжмережевого екрану.

12.Основние схеми мережевого захисту на базі міжмережевих екранів

При підключенні корпоративної або локальної мережі до глобальних мереж адміністратор мережевої безпеки має вирішувати такі завдання:

• захист корпоративної або локальної мережі від несанкціонованого доступу з боку глобальної мережі;

• приховування інформації про структуру мережі та її компонентів від користувачів глобальної мережі,

• розмежування доступу в мережу, що захищається з глобальної мережі і з мережі, що захищається в глобальну мережу.

Необхідність роботи з віддаленими користувачами вимагає встановлення жорстких обмежень доступу до інформаційних ресурсів мережі, що захищається. При цьому часто виникає потреба в організації у складі корпораціонний мережі декількох сегментів з різними рівнями безпеки:

• вільно доступні сегменти (наприклад, рекламний WWW-сервер),

• сегмент з обмеженим доступом (наприклад, для доступу співробітникам організації з віддалених вузлів),

• закриті сегменти (наприклад, локальна фінансова мережа організації).

Для захисту корпоративної або локальної мережі застосовуються такі основні схеми організації міжмережевих екранів:

• міжмережевий екран - фільтруючий маршрутизатор;

• міжмережевий екран на основі двупортового шлюзу;

• міжмережевий екран на основі екранованого шлюзу;

• міжмережевий екран - екранована підмережа.

13. Міжмережевий екран - фільтруючий маршрутизатор

Міжмережевий екран, заснований на фільтрації пакетів, є поширеним і найбільш простим в реалізації. Він складається з фільтруючого маршрутизатора, розташованого між що захищається мережею і мережею Internet. Фільтруючий маршрутизатор налаштований для блокування або фільтрації вхідних і вихідних пакетів на основі аналізу їх адрес і портів. Комп'ютери, що знаходяться в мережі, що захищається, мають прямий доступ в мережу Internet, в той час як більша частина доступу до них з Internet блокується. Часто блокуються такі небезпечні служби, як Х Windows, NIS і NFS.

14. Міжмережевий екран на базі двупортового шлюзу

Міжмережевий екран на базі двупортового прикладного шлюзу включає дводомний хост-комп'ютер з двома мережевими інтерфейсами. При передачі інформації між цими інтерфейсами і здійснюється основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом та мережею Internet зазвичай розміщують фільтруючий маршрутизатор. У результаті між прикладним шлюзом та маршрутизатором утворюється внутрішня екранована підмережа. Цю підмережа можна використовувати для розміщення доступних ззовні інформаційних серверів.

15. Міжмережевий екран на основі екранованого шлюзу

Міжмережевий екран на основі екранованого шлюзу об'єднує фільтруючий маршрутизатор і прикладної шлюз, дозволяються з боку внутрішньої мережі. Прикладної шлюз реалізується на хост - комп'ютері і має тільки один мережевий інтерфейс.

16. Міжмережевий екран - екранована підмережа

Міжмережевий екран, що складається з екранованої підмережі, являє собою розвиток схеми міжмережевого екрану на основі екранованого шлюзу. Для створення екранованої підмережі використовуються два екрануючих маршрутизатора. Зовнішній маршрутизатор розташовується між мережею I nternet і екраніруемой підмережею, а внутрішній - між екраніруемой підмережею і захищається внутрішньою мережею. Екраніруемая підмережа містить прикладної шлюз, а також може включати інформаційні сервери та інші системи, що вимагають контрольованого доступу. Ця схема міжмережевого екрану забезпечує хорошу безпеку завдяки організації екранованої підмережі, яка ще краще ізолює внутрішню мережу, що захищається від Internet.

17.Что може і чого не може брандмауер Windows

Висновок

Після всього викладеного матеріалу можна зробити висновок наступне.

На сьогоднішній день кращим захистом від комп'ютерних злочинців є брандмауер, правильно встановлений і підібраний для кожної мережі. І хоча він не гарантує стовідсотковий захист від професійних зломщиків, але зате ускладнює їм доступ до мережевої інформації, що стосується любителів, то для них доступ тепер вважається закритим. Також у майбутньому міжмережеві екрани повинні будуть стати кращими захисниками для банків, підприємств, урядів, і інших спецслужб. Також є надія, що коли-небудь буде створено міжмережевий екран, який нікому не вдасться обійти. На даному етапі програмування можна також зробити висновок, що розробки по брандмауерів на сьогоднішній день обіцяють в недалекому майбутньому дуже непогані результати.

Література

1. Балдін Костянтин, Уткін Володимир «Інформатика», Москва, 2003р.

2.Дьяконов Володимир, Абраменкова Ірина, Пеньков Олександр «Нові інформаційні технології», Москва, 2006р.

3.Фрідланд А. «Основні ресурси інформатики», Москва, 2007р.