Главная    Почта    Новости    Каталог    Одноклассники    Погода    Работа    Игры     Рефераты     Карты
  
по Казнету new!
по каталогу
в рефератах

Безопасность Internet

агаемые на прикладном шлюзе, могут
предоставлять услуги и доступ пользователям.

  Данный  вариант  межсетевого   экрана   реализует
политику  безопасности,   основанную   на   принципе
"запрещено все, что не разрешено в явной форме", при
этом пользователю недоступны все службы, кроме  тех,
для которых определены  соответствующие  полномочия.
Такой   подход    обеспечивает    высокий    уровень
безопасности, только маршруты к  защищенной  подсети
известны  только  межсетевому  экрану  и  скрыты  от
внешних систем.
  Рассматриваемая  схема  организации   межсетевого
экрана  является  довольно  простой   и   достаточно
эффективной.
  Следует  отметить,  что  безопасность  двудомного
хост-компьютера,    используемого     в     качестве
прикладного шлюза, должна поддерживаться на  высоком
уровне. Любая брешь  в  его  защите  может  серьезно
ослабить безопасность  защищаемой  сети.  Если  шлюз
окажется   скомпрометированным,   у   злоумышленника
появится возможность проникнуть в защищаемую сеть.
  Этот  межсетевой   экран   может   требовать   от
пользователей    применение    средств     усиленной
аутентификации, а также регистрации доступа, попыток
зондирования  и атак системы нарушителем.
  Для некоторых сетей может оказаться  неприемлемой
недостаточная гибкость схемы  межсетевого  экрана  с
прикладным шлюзом.

              Межсетевой экран на основе экранированного шлюза
  Межсетевой экран на основе экранированного  шлюза
объединяет фильтрующий маршрутизатор   и  прикладной
шлюз,  разрешаемый  со  стороны   внутренней   сети.
Прикладной шлюз реализуется на хост –  компьютере  и
имеет только один сетевой интерфейс(рисунок).

               Фильтрующий
              маршрутизатор



  В    этой    схеме     первичная     безопасность
обеспечивается фильтрующим маршрутизатором. Пакетная
фильтрация в фильтрующем маршрутизаторе  может  быть
реализована одним из следующих способов:
 . позволять внутренним хост – компьютерам открывать
   соединения с хост – компьютерами в сети  Internet
   для определения сервисов
 . запрещать  все  соединения  от  внутренних  хост-
   компьютеров    (заставляя     их     использовать
   полномочные  серверы-посредники   на   прикладном
   шлюзе).
  Эти подходы  можно  комбинировать  для  различных
сервисов,  разрешая  некоторым  сервисам  соединение
непосредственно  через  пакетную  фильтрацию,  в  то
время как другим только  непрямое  соединение  через
полномочные  серверы-посредники.  Все   зависит   от
конкретной  политики   безопасности,   принятой   во
внутренней сети. В частности, пакетная фильтрация на
фильтрующем маршрутизаторе может  быть  организована
таким образом, чтобы прикладной шлюз, используя свои
полномочные  серверы-посредники,   обеспечивал   для
систем защищаемой сети такие  сервисы,  как  TELNET,
FTP, SMTP.
    Межсетевой экран выполненный  по  данной  схеме,
получается более глубоким, но  менее  безопасным  по
сравнению с межсетевым экраном с  прикладным  шлюзом
на  базе  двудомного  хост  –   компьютера   .   Это
обусловлено тем,  что в схеме межсетевого  экрана  с
экранированным   шлюзом   существует   потенциальная
возможность передачи  трафика  в  обход  прикладного
шлюза непосредственно к системе локальной сети .
  Основной недостаток схемы  межсетевого  экрана  с
экранированным шлюзом заключается в  том,  что  если
атакующий  нарушитель  сумеет  проникнуть  в   хост-
компьютер,  то  перед  ним   окажутся   незащищенные
системы внутренней сети. Другой недостаток связан  с
возможной   компрометацией   маршрутизатора.    Если
маршрутизатор     окажется      скомпрометированным,
внутренняя   сеть   станет    доступна    атакующему
нарушителю.
  По этим причинам  в  настоящее  время  все  более
популярной становится  схема  межсетевого  экрана  с
экранированной подсетью.

                  Межсетевой экран – экранированная подсеть
  Межсетевой  экран,  состоящий  из  экранированной
подсети,   представляет   собой    развитие    схемы
межсетевого экрана на основе экранированного  шлюза.
Для создания экранированной подсети используются два
экранирующих   маршрутизатора   (рисунок).   Внешний
маршрутизатор располагается между сетью  internet  и
экранируемой  подсетью,   а   внутренний   -   между
экранируемой подсетью и защищаемой внутренней сетью.
Экранируемая подсеть  содержит  прикладной  шлюз,  а
также может включать информационные серверы и другие
системы,  требующие  контролируемого  доступа.   Эта
схема  межсетевого   экрана   обеспечивает   хорошую
безопасность  благодаря  организации  экранированной
подсети,  которая  еще  лучше  изолирует  внутреннюю
защищаемую сеть от Internet.


                                            Внешний
Внутренний
                                      Маршрутизатор
   маршрутизатор



Экранированная
                                   подсеть



      Внешний маршрутизатор защищает от сети internet  как
экранированную подсеть, так и внутреннюю сеть.  Он  должен
пересылать трафик согласно следующим правилам:
 . разрешается трафик от объектов internet  к  прикладному
   шлюзу;
 . разрешается трафик от прикладного шлюза к internet;
 . разрешается трафик  электронной  почты  от  internet  к
   серверу электронной почты;
 .  разрешается  трафик  электронной  почты   от   сервера
   электронной почты к internet;
 . разрешается трафик FTP, Gopher и  т.д.  от  internet  к
   информационному серверу;
 . запрещается остальной трафик.
       Внешний маршрутизатор запрещает доступ из  internet
к системам внутренней  сети  и  блокирует  весь  трафик  к
internet, идущий от систем,  которые  не  должны  являться
инициаторами  соединений  (в   частности,   информационный
сервер и др.). Этот маршрутизатор может  быть  использован
также для блокирования других уязвимых протоколов, которые
не должны передаваться к хост-компьютерам внутренней  сети
или от них.
      Внутренний маршрутизатор  защищает  внутреннюю  сеть
как  от  Internet,  так  и  от   экранированной   подсети.
Внутренний  маршрутизатор   осуществляет   большую   часть
пакетной фильтрации.  Он  управляет  трафиком  к  системам
внутренней сети и от  них  в  соответствии  со  следующими
правилами:
 . разрешается трафик  от  прикладного  шлюза  к  системам
   сети;
 .  разрешается  прикладной  трафик  от  систем   сети   к
   прикладному шлюзу;
 .  разрешает  трафик   электронной   почты   от   сервера
   электронной почты  к системам сети;
 . разрешается трафик электронной почты от систем  сети  к
   серверу электронной почты;
 . разрешается трафик FTP, Gopher и т.д. от систем сети  к
   информационному серверу;
 . запрещает остальной трафик;
      Чтобы проникнуть во внутреннюю сеть при такой  схеме
межсетевого   экрана,   атакующему   нужно   пройти    два
фильтрующих маршрутизатора. Даже если  атакующий  каким-то
образом проник  в  хост-компьютер  прикладного  шлюза,  он
должен    еще    преодолеть     внутренний     фильтрующий
маршрутизатор. Таким образом, ни одна  система  внутренней
сети не достижима непосредственно из Internet, и наоборот.
Кроме    того,    четкое    разделение    функций    между
маршрутизаторами и прикладным шлюзом позволяет  достигнуть
более высокой пропускной способности.
      Прикладной шлюз может включать  программы  усиленной
аутентификации.
      Межсетевой экран с экранированной подсетью  имеет  и
недостатки;
 . пара фильтрующих маршрутизаторов  нуждается  в  большом
   внимании   для    обеспечения    необходимого    уровня
   безопасности.   поскольку   из-за   ошибок    при    их
   конфигурировании    могут    возникнуть    провалы    в
   безопасности всей сети;
 . существует принципиальная возможность доступа  в  обход
   прикладного шлюза.


                Применение межсетевых экранов для организации
                       виртуальных корпоративных сетей

      Некоторые межсетевые экраны  позволяют  организовать
виртуальные корпоративные сети. Несколько локальных сетей,
подключенных  к  глобальной  сети,  объединяются  в   одну
виртуальную  корпоративную  сеть.  Передача  данных  между
этими локальными сетями производиться  прозрачным  образом
для пользователей локальных  сетей.  Конфиденциальность  и
целостность передаваемой информации  должны обеспечиваться
при  помощи  средств  шифрования,  использование  цифровых
подписей. При передаче данных может шифроваться не  только
содержимое пакета, но и некоторые поля заголовка.



                       Программные методы защиты
      К программным методам защиты в сети  Internet  могут
быть   отнесены   защищенные   криптопротоколы,    которые
позволяют надежно защищать соединения. В процессе развития
Internet  были  созданы   различные   защищенные   сетевые
протоколы, использующие как  симметричную  криптографию  с
закрытым  ключом,  так  и  асимметричную  криптографию   с
открытым ключом. К основным на сегодняшний день подходам и
протоколам, обеспечивающим  защиту  соединений,  относятся
SKIP-технология и протокол защиты соединения SSL.
      SKIP (Secure  Key  Internet  Ргоtосоl)  -технологией
называется стандарт защиты трафика IP-пакетов, позволяющий
на  сетевом  уровне   обеспечить   защиту   соединения   и
передаваемых по нему данных.
      Возможны два способа реализации SKIP-защиты  трафика
IP-пакетов:
 . шифрование блока данных  IP– ракета;
 . инкапсуляция IP-пакета в SKIP-пакет.
   Шифрование блока данных IP-пакета  иллюстрируется  .  В
этом случае шифруются  методом  симметричной  криптографии
только  данные  IP-пакета,  а  его  заголовок,  содержащий
помимо прочего адреса отправителя и  получателя,  остается
открытым,  и  пакет  маршрутизируется  в  соответствии   с
истинными  адресами.  Закрытый  ключ  K(i,j),  разделяемый
парой узлов сети  i  и  j,  вычисляется  по  схеме  Диффи-
Хеллмана. SKIP-пакет внешне похож на 
Пред.678
скачать работу

Безопасность Internet

 

Отправка СМС бесплатно

На правах рекламы


ZERO.kz
 
Модератор сайта RESURS.KZ