Разработка прототипа брандмауэр
Содержание
Введение 9
1. Межсетевой экран 11
1.1 Разновидности сетевых экранов 11
1.2 Типичные возможности 13
1.3 Проблемы, не решаемые файрволом 16
2. Брандмауэр 17
2.1 Пакетные фильтры 18
2.2 Сервера прикладного уровня 18
2.3 Схемы подключения 20
3. Пиринговые сети 24
3.1 Общие понятие 24
3.2 Одноранговая сеть 26
3.3 Пиринговая файлообменная сеть 29
4. Сети и протоколы 30
4.1 eDonkey2000 (сеть). 30
4.2 Kad Network 32
4.3 BitTorrent 32
5. Программы для работы с пиринговыми сетями 38
5.1 Perfect Dark (P2P) 38
5.2 eMule 39
6. Брандмауэр в Windows. 42
6.1 Версии 42
6.2 Решение проблем брандмауэра Windows XP SP2 44
6.3 Описание работы Брандмауэра Windows 46
7. История пиринговых сетей 53
Outpost Firewall 57
Приложение 59
8.Экономическая часть 69
9.Охрана труда 83
Заключение 88
Список используемых литературы: 89
Межсетевой экран
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Другие названия
Брандмауэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».
Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.
1.1 Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• на уровне каких сетевых протоколов происходит контроль потока данных;
• отслеживаются ли состояния активных соединений или нет.
• В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
• традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
• Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
• В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
• сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
• уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
• stateless (простая фильтрация), которые не отслеживают текущие
соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с
отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
1.2 Типичные возможности
• фильтрация доступа к заведомо незащищенным службам;
• препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
• контроль доступа к узлам сети;
• может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;
• регламентирование порядка доступа к сети;
• уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Так же следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.
Рисунок 1 окно брандмауэра
Основная задача брандмауэра состоит в проверке всех данных, поступающих на компьютер и отправляемых с него. Это средство работает как барьерный фильтр, отделяющий поступающие с компьютера данные от "внешнего мира" (а если быть точнее, Интернета). Он проверяет данные и разрешает или блокирует их отправку в зависимости от типа данных, отправителя и получателя данных или их области применения. Но для чего нужны дополнительные меры защиты, если антивирусная программа уже проводит целый ряд проверок? Ответ очень прост: распространяющиеся по Интернету угрозы не ограничиваются вирусами, червями и программами шпионами; к их числу также относятся различные попытки злоупотреблений, в том числе использование слабых мест в защите программ или применение служб, не предназначенных для совместного использования.
Различные способы фильтрации
Рисунок 2 Различные способы фильтрации
Для выполнения функции защитного барьера брандмауэр применяет несколько способов фильтрации. Первый способ называется "фильтрацией пакетов". Он заключается в анализе IP-адресов отправителей и получателей данных, типа пакета (в протоколе TCP) и номера порта, использовавшегося для передачи данных. Для реализации этого метода используется "динамическая фильтрация", которая не только выполняет различные проверки пакетов, но и отслеживает другие операции обмена данными. Для обеспечения более надежной защиты в большинстве брандмауэров дополнительно используется "фильтрация уровня приложения", управляющая передачей данных различных типов приложений.
При обнаружении попытки подключения, не отвечающей заданным правилам, брандмауэр автоматически блокирует эту попытку и предупреждает о ней пользователя. Например, если пользователь решил запретить службу FTP (так как она не нужна или подвергает компьютер слишком большому риску), брандмауэр будет блокировать все попытки подключения с использованием этой службы. Кроме того, с помощью брандмауэра можно запретить или разрешить доступ к отдельным веб-сайтам и службам, например для загрузки или взаимодействия типа "точка-точка".
Рисунок 3 Оповещение системы безопасности Windows
От чего не может защитить брандмауэр?
Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к сети Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом.
Брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр -- не панацея и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто.
Рисунок 4 окно панели управления брандмауэр Windows
1.3 Проблемы, не решаемые файрволом
Межсетевой экран сам по себе не панацея ото всех угроз для сети. В частности, он:
• не защищает узлы сети от проникновения через «люки» (англ. back doors);
• не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
• не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;
Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.
2. Брандмауэр
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании речь пойдет ниже.
Рисунок 5 Способ фильтрации
Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб на жестком диске.
Как правило, в операционную систему, под управлением которой работает брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:
• пакетные фильтры (packet filter)
• сервера прикладного уровня (application gateways)
• сервера уровня соединения (circuit gateways)
Все типы могут одновременно встретиться в одном брандмауэре.
2.1 Пакетные фильтры
Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
Для описания правил прохождения пакетов составляются таблицы типа:
Действие - тип пакета - адрес источн. - порт источн. - адрес назнач. порт назнач. – флаги
Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-па-кета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.
2.2 Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
• терминалы (Telnet, Rlogin)
• передача файлов (Ftp)
• электронная почта (SMTP, POP3)
• WWW (HTTP)
• Gopher
• Wais
• X Window System (X11)
• Принтер
• Rsh
• Finger
• новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об аутентификации будет сказано ниже.
При описании правил доступа используются такие параметры как название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много ( соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
Сравнительные характеристики
Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.
К положительным качествам пакетных фильтров следует отнести следующие:
• относительно невысокая стоимость
• гибкость в определении правил фильтрации
• небольшая задержка при прохождении пакетов
Недостатки у данного типа брандмауэров следующие :
• локальная сеть видна ( маршрутизируется ) из INTERNET
• правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
• при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
• аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
• отсутствует аутентификация на пользовательском уровне
К преимуществам серверов прикладного уровня следует отнести следующие:
• локальная сеть невидима из INTERNET
• при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
• аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа являются:
• более высокая, чем для пакетных фильтров стоимость;
• невозможность использовании протоколов RPC и UDP;
• производительность ниже, чем для пакетных фильтров.
Виртуальные сети
Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети ( Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по INTERNET шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.
2.3 Схемы подключения
Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети. Иногда используется схема, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.
Рисунок 6 подключение брандмауэра
Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор .
Рисунок 7 подключение интернета к локальной сети
При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.....
Введение 9
1. Межсетевой экран 11
1.1 Разновидности сетевых экранов 11
1.2 Типичные возможности 13
1.3 Проблемы, не решаемые файрволом 16
2. Брандмауэр 17
2.1 Пакетные фильтры 18
2.2 Сервера прикладного уровня 18
2.3 Схемы подключения 20
3. Пиринговые сети 24
3.1 Общие понятие 24
3.2 Одноранговая сеть 26
3.3 Пиринговая файлообменная сеть 29
4. Сети и протоколы 30
4.1 eDonkey2000 (сеть). 30
4.2 Kad Network 32
4.3 BitTorrent 32
5. Программы для работы с пиринговыми сетями 38
5.1 Perfect Dark (P2P) 38
5.2 eMule 39
6. Брандмауэр в Windows. 42
6.1 Версии 42
6.2 Решение проблем брандмауэра Windows XP SP2 44
6.3 Описание работы Брандмауэра Windows 46
7. История пиринговых сетей 53
Outpost Firewall 57
Приложение 59
8.Экономическая часть 69
9.Охрана труда 83
Заключение 88
Список используемых литературы: 89
Межсетевой экран
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Другие названия
Брандмауэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».
Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.
1.1 Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• на уровне каких сетевых протоколов происходит контроль потока данных;
• отслеживаются ли состояния активных соединений или нет.
• В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
• традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
• Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
• В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
• сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
• уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
• stateless (простая фильтрация), которые не отслеживают текущие
соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с
отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
1.2 Типичные возможности
• фильтрация доступа к заведомо незащищенным службам;
• препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
• контроль доступа к узлам сети;
• может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;
• регламентирование порядка доступа к сети;
• уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Так же следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.
Рисунок 1 окно брандмауэра
Основная задача брандмауэра состоит в проверке всех данных, поступающих на компьютер и отправляемых с него. Это средство работает как барьерный фильтр, отделяющий поступающие с компьютера данные от "внешнего мира" (а если быть точнее, Интернета). Он проверяет данные и разрешает или блокирует их отправку в зависимости от типа данных, отправителя и получателя данных или их области применения. Но для чего нужны дополнительные меры защиты, если антивирусная программа уже проводит целый ряд проверок? Ответ очень прост: распространяющиеся по Интернету угрозы не ограничиваются вирусами, червями и программами шпионами; к их числу также относятся различные попытки злоупотреблений, в том числе использование слабых мест в защите программ или применение служб, не предназначенных для совместного использования.
Различные способы фильтрации
Рисунок 2 Различные способы фильтрации
Для выполнения функции защитного барьера брандмауэр применяет несколько способов фильтрации. Первый способ называется "фильтрацией пакетов". Он заключается в анализе IP-адресов отправителей и получателей данных, типа пакета (в протоколе TCP) и номера порта, использовавшегося для передачи данных. Для реализации этого метода используется "динамическая фильтрация", которая не только выполняет различные проверки пакетов, но и отслеживает другие операции обмена данными. Для обеспечения более надежной защиты в большинстве брандмауэров дополнительно используется "фильтрация уровня приложения", управляющая передачей данных различных типов приложений.
При обнаружении попытки подключения, не отвечающей заданным правилам, брандмауэр автоматически блокирует эту попытку и предупреждает о ней пользователя. Например, если пользователь решил запретить службу FTP (так как она не нужна или подвергает компьютер слишком большому риску), брандмауэр будет блокировать все попытки подключения с использованием этой службы. Кроме того, с помощью брандмауэра можно запретить или разрешить доступ к отдельным веб-сайтам и службам, например для загрузки или взаимодействия типа "точка-точка".
Рисунок 3 Оповещение системы безопасности Windows
От чего не может защитить брандмауэр?
Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к сети Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом.
Брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр -- не панацея и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто.
Рисунок 4 окно панели управления брандмауэр Windows
1.3 Проблемы, не решаемые файрволом
Межсетевой экран сам по себе не панацея ото всех угроз для сети. В частности, он:
• не защищает узлы сети от проникновения через «люки» (англ. back doors);
• не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
• не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;
Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.
2. Брандмауэр
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании речь пойдет ниже.
Рисунок 5 Способ фильтрации
Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб на жестком диске.
Как правило, в операционную систему, под управлением которой работает брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:
• пакетные фильтры (packet filter)
• сервера прикладного уровня (application gateways)
• сервера уровня соединения (circuit gateways)
Все типы могут одновременно встретиться в одном брандмауэре.
2.1 Пакетные фильтры
Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
Для описания правил прохождения пакетов составляются таблицы типа:
Действие - тип пакета - адрес источн. - порт источн. - адрес назнач. порт назнач. – флаги
Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-па-кета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.
2.2 Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
• терминалы (Telnet, Rlogin)
• передача файлов (Ftp)
• электронная почта (SMTP, POP3)
• WWW (HTTP)
• Gopher
• Wais
• X Window System (X11)
• Принтер
• Rsh
• Finger
• новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об аутентификации будет сказано ниже.
При описании правил доступа используются такие параметры как название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много ( соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
Сравнительные характеристики
Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.
К положительным качествам пакетных фильтров следует отнести следующие:
• относительно невысокая стоимость
• гибкость в определении правил фильтрации
• небольшая задержка при прохождении пакетов
Недостатки у данного типа брандмауэров следующие :
• локальная сеть видна ( маршрутизируется ) из INTERNET
• правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
• при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
• аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
• отсутствует аутентификация на пользовательском уровне
К преимуществам серверов прикладного уровня следует отнести следующие:
• локальная сеть невидима из INTERNET
• при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
• аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа являются:
• более высокая, чем для пакетных фильтров стоимость;
• невозможность использовании протоколов RPC и UDP;
• производительность ниже, чем для пакетных фильтров.
Виртуальные сети
Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети ( Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по INTERNET шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.
2.3 Схемы подключения
Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети. Иногда используется схема, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.
Рисунок 6 подключение брандмауэра
Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор .
Рисунок 7 подключение интернета к локальной сети
При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.....
Толық нұсқасын 30 секундтан кейін жүктей аласыз!!!
Қарап көріңіз 👇
Пайдалы сілтемелер:
» Туған күнге 99 тілектер жинағы: өз сөзімен, қысқаша, қарапайым туған күнге тілек
» Абай Құнанбаев барлық өлеңдер жинағын жүктеу, оқу
» Дастархан батасы: дастарханға бата беру, ас қайыру
Ілмектер: скачать Разработка прототипа брандмауэр бесплатно дипломную работу, база готовых дипломных работ бесплатно, готовые Информатика дипломные работы скачать бесплатно, дипломная работа скачать бесплатно казахстан, Разработка прототипа брандмауэр