Главная    Почта    Новости    Каталог    Одноклассники    Погода    Работа    Игры     Рефераты     Карты
  
по Казнету new!
по каталогу
в рефератах

Безопасность Internet

ям, а кроме  того,  их  реализация  обходится
достаточно  дорого.  При  реализации  второго   принципа
внутренняя  сеть   оказывается   менее   защищенной   от
нападений хакеров, однако, пользоваться ей будет удобнее
и потребуется меньше затрат.
      Эффективность защиты  внутренней  сети  с  помощью
межсетевых  экранов  зависит  не  только  от   выбранной
политики  доступа  к   сетевым   сервисам   и   ресурсам
внутренней  сети,  но  и  от  рациональности  выбора   и
использования основных компонентов межсетевого экрана.
      Функциональные  требования  к  межсетевым  экранам
включают:
 . требования к фильтрации на сетевом уровне;
 . требования к фильтрации на прикладном уровне;
 .  требования  по  настройке   правил   фильтрации   и
   администрированию;
 . требования к средствам сетевой аутентификации;
 . требования по внедрению журналов и учету.

       Основные компоненты    межсетевых экранов


      Большинство компонентов межсетевых  экранов  можно
отнести к одной из трех категорий:
 . фильтрующие маршрутизаторы;
 . шлюзы сетевого уровня;
 . шлюзы прикладного уровня.
     Эти  категории  можно  рассматривать  как  базовые
компоненты реальных межсетевых  экранов.  Лишь  немногие
межсетевые экраны включают только одну из  перечисленных
категорий. Тем не менее, эти категории отражают ключевые
возможности, отличающие межсетевые экраны друг от друга.

                         Фильтрующие маршрутизаторы

     Фильтрующий   маршрутизатор   представляет   собой
маршрутизатор  или  работающую  на  сервере  программу,
сконфигурированные  таким  образом,  чтобы  фильтровать
входящее  и  исходящие   пакеты.   Фильтрация   пакетов
осуществляется на основе информации, содержащейся в TCP-
 и IP- заголовках пакетов .
     Фильтрующие    маршрутизаторы      обычно    может
фильтровать IP-пакет на основе группы  следующих  полей
заголовка пакета:
 . IP- адрес отправителя (адрес системы, которая послала
   пакет);
 . IP-адрес получателя (адрес системы которая  принимает
   пакет);
 .  Порт  отправителя   (порт   соединения   в   системе
   отправителя );
 . Порт получателя (порт соединения в системе получателя
   );
      Порт   –   это   программное   понятие,    которое
используется  клиентом  или  сервером  для  посылки  или
приема сообщений; порт  идентифицируется  16  –  битовым
числом.
      В   настоящее    время    не    все    фильтрующие
маршрутизаторы  фильтруют  пакеты  по  TCP/UDP  –   порт
отправителя, однако многие производители маршрутизаторов
начали   обеспечивать   такую   возможность.   Некоторые
маршрутизаторы проверяют, с какого  сетевого  интерфейса
маршрутизатора пришел  пакет,  и  затем  используют  эту
информацию как дополнительный критерий фильтрации.
      Фильтрация  может   быть   реализована   различным
образом для  блокирования  соединений  с   определенными
хост-компьютерами   или   портами.    Например,    можно
блокировать соединения, идущие от конкретных адресов тех
хост-компьютеров и сетей. которые считаются  враждебными
или ненадежными.
      Добавление  фильтрации  по  портам  TCP  и  UDP  к
фильтрации по IP-адресам обеспечивает большую  гибкость.
Известно, что такие серверы, как  демон  TELNET,  обычно
связаны  с  конкретными  портами  (например,   порт   23
протокола   TELNET).   Если   межсетевой   экран   может
блокировать  соединения  TCP  или  UDP  с  определенными
портами  или  от  них,  то  можно  реализовать  политику
безопасности,  при  которой  некоторые  виды  соединений
устанавливаются только с конкретными хост-компьютерами.
      Например, внутренняя сеть  может  блокировать  все
входные  соединения  со   всеми   хост-компьютерами   за
исключением нескольких систем.  Для  этих  систем  могут
быть разрешены только  определенные  сервисы  (SMTP  для
одной  системы  и  TELNET  или  FTP  -для  другой).  При
фильтрации по портам TCP и UDP эта политика  может  быть
реализована  фильтрующим   маршрутизатором   или   хост-
компьютером с возможностью фильтрации пакетов.
      В    качестве    примера    работы    фильтрующего
маршрутизатора     рассмотрю     реализацию     политики
безопасности,  допускающей  определенные  соединения   с
внутренней сетью с адресом 123.4.*.*  Соединения  TELNET
разрешаются только с одним  хост-компьютером  с  адресом
123.4.5.6, который может быть прикладным  TELNET-шлюзом,
а SMTP-соединения - только с двумя  хост-компьютерами  с
адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя
шлюзами электронной почты. Обмен по NNTP  (Network  News
Transfer  Protocol)  разрешается   только   от   сервера
новостей с адресом 129.6.48.254 и только с NNTP-сервером
сети с  адресом  123.4.5.9,  а  протокол  NTP  (сетевого
времени)-для всех хост-компьютеров. Все другие серверы и
пакеты блокируются. рации
     Первое правило позволяет пропускать пакеты TCP  из
сети  Internet  от  любого  источника  с  номером  порта
большим, чем 1023, к получателю с  адресом  123.4.5.6  в
порт 23. Порт 23 связан с сервером TELNET, а все клиенты
TELNET должны иметь непривилегированные порты с номерами
не ниже 1024.
      Второе и  третье  правила  работают  аналогично  и
разрешают передачу пакетов  к  получателям  с  адресами
123.4.5.7  и 123.4.5.8 в порт 25, используемый SMTP.
      Четвертое правило пропускает пакеты к NNTP-серверу
сети, но только от отправителя с адресом 129.6.48.254 к
получателю с адресом 123.4.5.9 с портом назначения  119
(129.6.48.254 -единственный  NNTP-сервер,  от  которого
внутренняя сеть получает новости, поэтому доступ к сети
для выполнения протокола  NNTP  ограничен  только  этой
системой).
      Пятое  правило  разрешает  трафик   NTP,   который
использует протокол UDP вместо TCP. от любого источника
к любому получателю внутренней сети.
      Наконец, шестое правило  блокирует  все  остальные
пакеты. Если бы этого правила  не  было,  маршрутизатор
мог бы блокировать, а мог бы и  не  блокировать  другие
типы пакетов. Выше был рассмотрен очень простой  пример
фильтрации  пакетов.   Реально   используемые   правила
позволяют  осуществить  более  сложную   фильтрацию   и
являются более гибкими.
      Правила фильтрации пакетов формулируются сложно, и
обычно нет средств для  тестирования  их  корректности,
кроме  медленного  ручного  тестирования.  У  некоторых
фильтрующих      маршрутизаторов      нет       средств
протоколирования,  поэтому,  если  правила   фильтрации
пакетов все-таки позволят опасным пакетам пройти  через
маршрутизатор, такие пакеты не смогут быть выявлены  до
обнаружения  последствий   проникновения.   Даже   если
администратору сети удастся создать эффективные правила
фильтрации,  их  возможности  остаются   ограниченными.
Например, администратор задает правило, в  соответствии
с которым маршрутизатор будет отбраковывать все  пакеты
с неизвестным адресом отправителя. Однако  хакер  может
использовать в  качестве  адреса  отправителя  в  своем
"вредоносном"   пакете   реальный   адрес   доверенного
(авторизированного) клиента. В этом случае  фильтрующий
маршрутизатор не сумеет отличить  поддельный  пакет  от
настоящего и пропустит его.  Практика  показывает,  что
подобный вид  нападения,  называемый  подменой  адреса,
довольно широко распространен в сети Internet  и  часто
оказывается эффективным.
      Межсетевой экран с фильтрацией пакетов, работающий
только на сетевом уровне эталонной модели взаимодействия
открытых систем OSI-ISO,  обычно  проверяет  информацию,
содержащуюся только  в  IP-заголовках  пакетов.  Поэтому
обмануть его несложно: хакер создает заголовок,  который
удовлетворяет  разрешающим  правилам  фильтрации.  Кроме
заголовка пакета,  никакая  другая  содержащаяся  в  нем
информация  межсетевыми  экранами  данной  категории  не
проверяется.
      К     положительным     качествам      фильтрующих
маршрутизаторов следует отнести:
 . сравнительно невысокую стоимость;
 . гибкость в определении правил фильтрации;
 . небольшую задержку при прохождении пакетов.
              Недостатками  фильтрующих  маршрутизаторов
являются:
 . внутренняя  сеть  видна  (маршрутизируется)  из  сети
   Internet;
 .  правила  фильтрации  пакетов  трудны  в  описании  и
   требуют очень хороших знаний технологий TCP и UDP;
 . при нарушении работоспособности межсетевого экрана  с
   фильтрацией пакетов все компьютеры за ним  становятся
   полностью незащищенными либо недоступными;
 .  аутентификацию  с  использованием  IP-адреса   можно
   обмануть путем подмены IP-адреса  (атакующая  система
   выдает себя за другую, используя ее IP-адрес);
 .  отсутствует   аутентификация   на   пользовательском
   уровне.

                            Шлюзы сетевого уровня

     Шлюз  сетевого  уровня  иногда  называют  системой
трансляции сетевых адресов или шлюзом сеансового  уровня
модели OSI. Такой шлюз исключает, прямое  взаимодействие
между  авторизированным   клиентом   и   внешним   хост-
компьютером.  Шлюз  сетевого  уровня  принимает   запрос
доверенного  клиента  на  конкретные  услуги,  и   после
проверки допустимости запрошенного сеанса  устанавливает
соединение с внешним хост-компьютером. После этого  шлюз
копирует пакеты в обоих направлениях, не осуществляя  их
фильтрации.
      Шлюз  следит  за  подтверждением   (квитированием)
связи между авторизированным клиентом  и  внешним  хост-
компьютером, определяя, является ли запрашиваемый  сеанс
связи допустимым. Чтобы выявить допустимость запроса  на
сеанс связи, шлюз выполняет следующую процедуру.
      Когда    авторизированный    клиент    запрашивает
некоторый сервис, шлюз принимает этот запрос,  проверяя,
удовлетворяет   ли   этот   клиент   базовым   критериям
фильтрации (например, может ли DNS-сервер определить IP-
адрес клиента  и  ассоциированное  с  ним  имя).  Затем,
действуя от имени клиента, шлюз устанавливает соединение
с  внешним  хост-компьютером  и  след
12345След.
скачать работу

Безопасность Internet

 

Отправка СМС бесплатно

На правах рекламы


ZERO.kz
 
Модератор сайта RESURS.KZ