Содержание

 

Введение

1.  Что такое брандмауэр?

2.  В чем заключается работа брандмауэра?

3.  Виды брандмауэров

4.  Преимущества использования брандмауэра

5.  Уровень опасности

6.  Межсетевой экран как средство от вторжения из Internet

7.  Функциональные требования и компоненты межсетевых экранов

8.  Усиленная аутентификация

9.  Основные схемы сетевой защиты на базе межсетевых экранов

10.  Что может и чего не может брандмауэр Windows

Заключение

Литература


Введение

Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной штаб квартиры организации или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.

Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия. Развитие глобальных сетей привело к многократному увеличению количества пользователей и увеличению количества атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет для злоумышленников значительно большие возможности по сравнению с традиционными информационными системами. Поэтому вопрос о проблеме защиты сетей и её компонентов становиться достаточно важным и актуальным и это время, время прогресса и компьютерных технологий. Многие страны наконец-то поняли важность этой проблемы. Происходит увеличение затрат и усилий направленных на производство и улучшение различных средств защиты. Основной целью реферата является рассмотрение, и изучение функционирования одного из таких средств сетевой защиты как брандмауэр или межсетевой экран. Который в настоящее время является наиболее надежным в плане защиты из предлагаемых средств.


1.Что такое брандмауэр?

 

Брандмауэр, или межсетевой экран,- это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети Internet и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть в выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены в виде как аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер –шлюз, просто сервер, хост-компьютер и т.д.), встроенного в операционную систему или представлять собой работающую под ее управлением программу.

 

2.В чем заключается работа брандмауэра?

Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуске пакетов во внутреннюю сеть (сегмент сети) или полном их отфильтровывании. Эффективность работы межсетевого экрана, работающего под управлением Windows, обусловлена тем, что он полностью замещает реализуемый стек протоколов TCP\IP, и поэтому нарушать его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно.

Межсетевые экраны обычно выполняют следующие функции:

o  физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;

o  многоэтапную идентификацию запросов, поступающих в сеть (идентификация серверов, узлов связи о прочих компонентов внешней сети);

o  проверку полномочий и прав доступа пользователя к внутренним ресурсам сети;

o  регистрацию всех запросов к компонентам внутренней подсети извне;

o  контроль целостности программного обеспечения и данных;

o  экономию адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);

o  сокрытие IP адресов внутренних серверов с целью защиты от хакеров.

Брандмауэры могут работать на разных уровнях протоколов модели OSI.

На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым снаружи запрещен; не пропускать пакеты с фальшивыми обратными адресами или IP адресами, занесенными в «черный список», и т.д.). На транспортном уровне фильтрация допустима еще и по номерам портов ТСР и флагов, содержащихся в пакетах (например, запросов на установление соединения). На прикладном уровне может выполняться анализ прикладных протоколов (FTP,HTTP,SMTP и т.д.) и контроль за содержанием потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например).

Можно в брандмауэре создавать и экспертную систему, которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сети, и извещает об этом администратора. Экспертная система способна также в случае опасности (спам, например) автоматически ужесточать условия фильтрации и т.д.


3.Виды брандмауэров

Брандмауэры бывают аппаратными или программными.

Аппаратный брандмауэр представляет собой устройство, физически подключаемое к сети. Это устройство отслеживает все аспекты входящего и исходящего обмена данными, а также проверяет адреса источника и назначения каждого обрабатываемого сообщения. Это обеспечивает безопасность, помогая предотвратить нежелательные проникновения в сеть или на компьютер. Программный брандмауэр выполняет те же функции, используя не внешнее устройство, а установленную на компьютере программу.

На одном и том же компьютере могут использоваться как аппаратные, так и программные брандмауэры.

 

4.Преимущества использования брандмауэра

Брандмауэр представляет собой защитную границу между компьютером (или компьютерной сетью) и внешней средой, пользователи или программы которой могут пытаться получить несанкционированный доступ к компьютеру. Обычно взломщики используют специальные программы для поиска в Интернете незащищенных подключений. Такая программа отправляет на компьютер очень маленькое сообщение. При отсутствии брандмауэра компьютер автоматически отвечает на сообщение, обнаруживая свою незащищенность. Установленный брандмауэр получает такие сообщения, но не отвечает на них; таким образом, взломщики даже не подозревают о существовании данного компьютера.

 


5.Уровень опасности

Существует несколько путей свести на нет либо подвергнуть риску брандмауэрную защиту. И хотя они все плохи, о некоторых можно с уверенностью говорить как о самых неприятных. Исходя из того, что основной целью установки большинства брандмауэров является блокирование доступа, очевидно, что обнаружение кем-либо лазейки, позволяющей проникнуть в систему, ведет к полному краху всей защиты данной системы. Если же несанкционированному пользователю удалось проникнуть в брандмауэр и переконфигурировать его, ситуация может принять еще более угрожающий характер. В целях разграничения терминологии примем, что в первом случае мы имеем дело со взломом брандмауэрной защиты, а во втором — с полным ее разрушением. Степень ущерба, который может повлечь за собой разрушение брандмауэрной защиты, определить невероятно сложно. Наиболее полные сведения о надежности такой защиты может дать только информация о предпринятой попытке взлома, собранная этим брандмауэром. Самое плохое происходит с системой защиты именно тогда, когда при полном разрушении брандмауэра не остается ни малейших следов, указывающих на то, как это происходило. В лучшем же случае брандмауэр сам выявляет попытку взлома и вежливо информирует об этом администратора. Попытка при этом обречена на провал.

Один из способов определить результат попытки взлома брандмауэрной защиты — проверить состояние вещей в так называемых зонах риска. Если сеть подсоединена к Internet без брандмауэра, объектом нападения станет вся сеть. Такая ситуация сама по себе не предполагает, что сеть становится уязвимой для каждой попытки взлома. Однако если она подсоединяется к общей небезопасной сети, администратору придется обеспечивать безопасность каждого узла отдельно. В случае образования бреши в брандмауэре зона риска расширяется и охватывает всю защищенную сеть. Взломщик, получивший доступ к входу в брандмауэр, может прибегнуть к методу "захвата островов" и, пользуясь брандмауэром как базой, охватить всю локальную сеть. Подобная ситуация все же даст слабую надежду, ибо нарушитель может оставить следы в брандмауэре, и его можно будет разоблачить. Если же брандмауэр полностью выведен из строя, локальная сеть становится открытой для нападения из любой внешней системы, и определение характера этого нападения становится практически невозможным.

В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения. В определенном смысле это может показаться совсем не такой уж удачной идеей, ведь такой подход напоминает складывание яиц в одну корзину. Однако практикой подтверждено, что любая довольно крупная сеть включает, по меньшей мере, несколько узлов, уязвимых при попытке взлома даже не очень сведущим нарушителем, если у него достаточного для этого времени. Многие крупные компании имеют на вооружении организационную политику обеспечения безопасности узлов, разработанную с учетом этих недостатков. Однако было бы не слишком разумным целиком полагаться исключительно на правила. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Подобно тому, как средневековые замки обносили несколькими стенами, в нашем случае создается взаимоблокирующая защита.

 

6.Межсетевой экран как средство от вторжения из Internet

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны, В отечественной литературе до последнего времени использовались вместо этого термина другие термины иностранного происхождения: брандмауэр и firewall. Вне компьютерной сферы брандмауэром (или firewall) называют стену, сделанную из негорючих материалов и препятствующую распространению пожара. В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от фигурального пожара - попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или стереть информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней сети.

Межсетевой экран (МЭ) - это система межсетевой защиты. позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации.

Обычно межсетевые экраны защищают внутреннюю сеть предприятия от "вторжений" из глобальной сети Internet, однако они могут использоваться и для защиты от "нападений" из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Однако для большинства коммерческих организаций установка межсетевого экрана является необходимым условием обеспечения безопасности внутренней сети. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других хост – компьютеров внешней сети.

Проблемы недостаточной информационной безопасности являются "врожденными" практически для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Известно, что сеть Arpanet (прародитель Internet) строилась как сеть, связывающая исследовательские центры, научные, военные и правительственные учреждения, крупные университеты США. Эти структуры использовали операционную систему UNIX в качестве платформы для коммуникаций и решения собственных задач. Поэтому особенности методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию протоколов обмена и политики безопасности в сети. Из-за открытости и распространенности система UNIX стала любимой добычей хакеров. Поэтому совсем не удивительно, что набор протоколов TCP/IP, который обеспечивает коммуникации в глобальной сети Internet и в получающих все большую популярность интрасетях, имеет "врожденные" недостатки защиты. То же самое можно сказать и о ряде служб Internet.

Набор протоколов управления передачей сообщений в Internet (Transmission Control Protocol/Internet Protocol - TCP/IP) используется для организации коммуникаций в неоднородной сетевой среде, обеспечивая совместимость между компьютерами разных типов. Совместимость - одно из основных преимуществ TCP/IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де фактора для межсетевого взаимодействия.

В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих "вредоносных" пакетах, после чего они будут выглядеть, как пакеты, передаваемые авторизированным клиентом.

 

7.Функциональные требования и компоненты межсетевых экранов

Функциональные требования к межсетевым экранам включают:

Ø  требования к фильтрации на сетевом уровне;

Ø  требования к фильтрации на прикладном уровне;

Ø  требования по настройке правил фильтрации и администрированию;

Ø  требования к средствам сетевой аутентификации;

Ø  требования по внедрению журналов и учету.

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

Ø  фильтрующие маршрутизаторы;

Ø  шлюзы сетевого уровня;

Ø  шлюзы прикладного уровня.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

 


Информация о работе «Брандмауэр: понятие, сущность и свойства»
Раздел: Информатика, программирование
Количество знаков с пробелами: 34495
Количество таблиц: 1
Количество изображений: 0

Похожие работы

Скачать
225314
2
0

... раза. В силу специфичности информации схемы определения количества информа­ции, связанные с ее содержательной стороной, оказы­ваются не универсальными. Универсальным оказывается алфавитный подход к измерению количества информации. В этом подходе сообщение, представленное в какой-либо знаковой системе, рассматривается как совокупность сообще­ний о том, что заданная позиция в последовательнос­ти ...

Скачать
39586
0
0

... можно доказать, что он причинен, то есть деяния, приводящие к ущербу, можно квалифицировать в терминах правовых актов как состав преступления. Поэтому при определении угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права (Уголовный кодекс РФ, 1996г.), определяющего состав преступления. В рассматриваемом случае к таким преступлениям можно ...

Скачать
515112
3
0

... СУБД; можно управлять распределением областей внешней памяти, контролировать доступ пользователей к БД и т.д. в масштабах индивидуальной системы, масштабах ограниченного предприятия или масштабах реальной корпоративной сети. В целом, набор серверных продуктов одиннадцатого выпуска компании Sybase представляет собой основательный, хорошо продуманный комплект инструментов, которые можно ...

Скачать
66148
5
0

... слабости" некоторых распространенных служб Internet. Простой протокол передачи электронной почты (Simple Mail Transfer Protocol - SMTP) позволяет осуществлять почтовую транспортную службу Internet. Одна из проблем безопасности, связанная с этим протоколом, заключается в том, что пользователь не может проверить адрес отправителя в заголовке сообщения элек­тронной почты. В результате хакер может ...

0 комментариев


Наверх