Основные схемы сетевой защиты на базе межсетевых экранов

Принципы и условия подключения корпоративной или локальной сети к глобальным сетям. Формирование политики межсетевого взаимодействия. Персональные и распределенные сетевые экраны. Рисунок схемы с защищаемой закрытой и не защищаемой открытой подсетями.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык русский
Дата добавления 14.04.2014
Размер файла 76,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Основные схемы сетевой защиты на базе межсетевых экранов. Гамов В. А.

1

Министерство образования и науки Российской Федерации

ФГБОУ ВПО «Магнитогорский государственный технический университет им Г.И. Носова»

Кафедра информатики и информационной безопасности

Реферат

на тему: «Основные схемы сетевой защиты на базе межсетевых экранов»

Выполнил: студент группы ЭАЭБ-13-1 Гамов В.А.

Проверил преподаватель: Пермякова О.В.

Магнитогорск 2013

Оглавление

  • 1. Основные схемы сетевой защиты на базе межсетевых экранов
    • 1.1 Формирование политики межсетевого взаимодействия
    • 1.2 Основные схемы подключения МЭ
    • 1.3 Персональные и распределенные сетевые экраны
    • 1.4 Проблемы безопасности МЭ
  • 2. Таблица понятий
  • 3. Рисунок схемы с защищаемой закрытой и не защищаемой открытой подсетями
  • Список использованных источников

1. Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к глобальным сетям необходимы:

· защита корпоративной или локальной сети от удаленного НСД со стороны глобальной сети;

· сокрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;

· разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Для эффективной защиты межсетевого взаимодействия система МЭ должна быть правильно установлена и сконфигурирована. Данный процесс состоит:

· из формирования политики межсетевого взаимодействия;

· выбора схемы подключения и настройки параметров функционирования МЭ.

1.1 Формирование политики межсетевого взаимодействия

Политика межсетевого взаимодействия является составной частью общей политики безопасности в организации. Она определяет требования к безопасности информационного обмена организации с внешним миром и должна отражать два аспекта:

· политику доступа к сетевым сервисам;

· политику работы МЭ.

Политика доступа к сетевым сервисам определяет правила предоставления и использования всех возможных сервисов защищаемой компьютерной сети. В рамках данной политики должны быть заданы все сервисы, предоставляемые через МЭ, и допустимые адреса клиентов для каждого сервиса. Кроме того, для пользователей должны быть указаны правила, описывающие, когда, кто, каким сервисом и на каком компьютере может воспользоваться. Задаются также ограничения на методы доступа, например на использование протоколов SLIP(Serial Line Internet Protocol) и PPP (Point-to-Point Protocol). Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к «запрещенным» сервисам Internet обходными путями. Правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации должны быть определены отдельно.

Для того чтобы МЭ успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Реалистичной считается такая политика, при которой найден баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к сетевым сервисам.

Политика работы МЭ задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования МЭ. Может быть выбран один из двух принципов:

· запрещено все, что явно не разрешено;

· разрешено все, что явно не запрещено.

Фактически выбор принципа устанавливает, насколько «подозрительной» или «доверительной» должна быть система защиты. В зависимости от выбора, решение может быть принято как в пользу безопасности и в ущерб удобству использования сетевых сервисов, так и наоборот.

При выборе принципа 1 МЭ настраивается так, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Этот принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности. Такой подход позволяет адекватно реализовать принцип минимизации привилегий, поэтому с точки зрения безопасности он является лучшим. Администратор безопасности должен на каждый тип разрешенного взаимодействия задавать правила доступа (одно и более). Администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного ПО, в котором могут быть различные ошибки и некорректности. Принцип 1, в сущности, является признанием факта, что незнание может причинить вред. Следует отметить, что правила доступа, сформулированные в соответствии с этим принципом, могут доставлять пользователям определенные неудобства.

При выборе принципа 2 МЭ настраивается так, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Пользователи имеют больше возможностей обойти МЭ, например, могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. Администратор может учесть не все действия, которые запрещены пользователям. Ему приходится работать в режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети. При реализации принципа 2 внутренняя сеть оказывается менее защищенной от нападений хакеров, поэтому производители МЭ обычно отказываются от его использования.

МЭ является симметричным. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть, и наоборот. В общем случае его работа основана на динамическом выполнении двух функций:

· фильтрации проходящих через него информационных потоков;

· посредничества при реализации межсетевых взаимодействий.

В зависимости от типа экрана эти функции могут выполняться с различной полнотой. Простые МЭ ориентированы на выполнение только одной из них. Комплексные МЭ обеспечивают совместное выполнение указанных функций защиты. Собственная защищенность МЭ достигается с помощью тех же средств, что и защищенность универсальных систем.

Чтобы эффективно обеспечивать безопасность сети, комплексный МЭ обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Для принятия управляющих решений по используемым сервисам МЭ должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений -- главный фактор в принятии управляющего решения при установлении нового соединения. При принятии решения учитываются как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Полнота и правильность управления требуют, чтобы комплексный МЭ имел возможность анализа и использования следующих элементов:

· информации о соединениях -- информации от всех семи уровней в пакете;

· истории соединений -- информации, полученной от предыдущих соединений;

· состояния уровня приложения -- информации о состоянии, полученной из других приложений. Например, аутентифи-цированному до настоящего момента пользователю можно предоставить доступ через МЭ только для авторизованных видов сервиса;

· агрегирующих элементов -- вычислений разнообразных выражений, основанных на всех вышеперечисленных факторах.

1.2 Основные схемы подключения МЭ

При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от удаленного НСД со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.

Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:

· свободно доступные сегменты (например, рекламный WWW-сервер);

· сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);

· закрытые сегменты (например, финансовая локальная подсеть организации).

Для подключения МЭ могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик, используемых МЭ. Широкое распространение получили схемы:

· защиты сети с использованием экранирующего маршрутизатора;
единой защиты локальной сети;

· единой защиты локальной сети;

· с защищаемой закрытой и не защищаемой открытой подсетями;

· с раздельной защитой закрытой и открытой подсетей.

Рассмотрим подробнее схему с защищаемой закрытой и незащищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ (рисунок 1).

Этот способ обладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до МЭ.

Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

1.3 Персональные и распределенные сетевые экраны

За последние несколько лет в структуре корпоративных сетей произошли определенные изменения. Если раньше границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Еще недавно такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой МЭ сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Несомненно им также требуется защита. Но все традиционные МЭ построены так, что защищаемые пользователи и ресурсы должны находиться под их защитой с внутренней стороны корпоративной или локальной сети, что является невозможным для мобильных пользователей.

Для решения этой проблемы были предложены следующие подходы:

· применение распределенных МЭ (distributed firewall);

· использование возможностей виртуальных частных сетей VPN (virtual private network).

Распределенный межсетевой экран (distributed firewall) -- централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети.

Для индивидуальных пользователей представляет интерес технология персонального сетевого экранирования. В этом случае сетевой экран устанавливается на защищаемый персональный компьютер. Такой экран, называемый персональным экраном компьютера (personal firewall) или системой сетевого экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих системных защитных средств. При экранировании отдельного компьютера поддерживается доступность сетевых сервисов, но уменьшается нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства сконфигурированы особенно тщательно и жестко.

Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т. е. организуют защищенные каналы VPN). Именно такое решение позволило обеспечить защиту сетей с нечетко очерченными границами.

Наличие функции централизованного управления у распределенного МЭ -- его главное отличие от персонального экрана. Если персональные сетевые экраны управляются только с компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные МЭ могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Это позволило некоторым производителям выпускать МЭ в двух версиях:

· персональной (для индивидуальных пользователей);

· распределенной (для корпоративных пользователей).

В современных условиях более 50% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, поэтому классический «периметровый» подход к созданию системы защиты корпоративной сети становится недостаточно эффективным. Корпоративную сеть можно считать действительно защищенной от НСД только при наличии в ней средств защиты точек входа со стороны Internet и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Решения на основе распределенных или персональных МЭ наилучшим образом обеспечивают безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия.

1.4 Проблемы безопасности МЭ

МЭ не решает все проблемы безопасности корпоративной сети. Кроме описанных выше достоинств МЭ, существуют ограничения в их использовании и угрозы безопасности, от которых МЭ не могут защитить. Отметим наиболее существенные из этих ограничений:

1. Возможное ограничение пропускной способности. Традиционные МЭ являются потенциально узким местом сети, так как все соединения должны проходить через МЭ и в некоторых случаях изучаться МЭ;

2. Отсутствие встроенных механизмов защиты от вирусов. Традиционные МЭ не могут защитить от пользователей, загружающих зараженные вирусами программы для ПЭВМ из интернетовских архивов или при передаче таких программ в качестве приложений к письму, поскольку эти программы могут быть зашифрованы или сжаты большим числом способов;

3. Отсутствие эффективной защиты от получаемого из Internet опасного содержимого (апплеты Java, управляющие элементы ActiveX, сценарии JavaScript и т. п.). Специфика мобильного кода такова, что он может быть использован как средство для проведения атак. Мобильный код может быть реализован в виде:

3.1. вируса, который вторгается в ИС и уничтожает данные на локальных дисках, постоянно модифицируя свой код и затрудняя тем самым свое обнаружение и удаление;

3.2. агента, перехватывающего пароли, номера кредитных карт и т. п.;

3.3. программы, копирующей конфиденциальные файлы, содержащие деловую и финансовую информацию и пр.;

4. МЭ не может защитить от ошибок и некомпетентности администраторов и пользователей;

5. Традиционные МЭ являются по существу средствами, только блокирующими атаки. В большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. Более эффективным было бы не только блокирование, но и упреждение атак, т. е. устранение предпосылок реализации вторжений. Для организации упреждения атак необходимо использовать средства обнаружения атак и поиска уязвимостей, которые будут своевременно обнаруживать и рекомендовать меры по устранению «слабых мест» в системе защиты. Технологии обнаружения атак и анализа защищенности сетей мы рассмотрим в следующих статьях. Для защиты информационных ресурсов распределенных корпоративных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства МЭ и компенсировать их недостатки с помощью других средств безопасности.

2 Таблица понятий

межсетевой экран сеть защита

Таблица 1

Понятие

Определение

Маршрутизатор

Специализированный сетевой компьютер, имеющий как минимум один сетевой интерфейс и пересылающий пакеты данных между различными сегментами сети, связывающий разнородные сети различных архитектур, принимающий решения о пересылке на основании информации о топологии сети и определённых правил, заданных администратором.

Межсетевой экран

Комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами

Локальная сеть

Компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт). Также существуют локальные сети, узлы которых разнесены географически на расстояния более 12 500 км (космические станции и орбитальные центры). Несмотря на такие расстояния, подобные сети всё равно относят к локальным

3. Рисунок схемы с защищаемой закрытой и не защищаемой открытой подсетями

Рисунок 1

Список использованных источников

· http://ypn.ru/327/networking-defence-using-firewall/

· http://ru.wikipedia.org/wiki/Локальная_вычислительная_сеть

· http://ru.wikipedia.org/wiki/Межсетевой_экран

· http://ru.wikipedia.org/wiki/Маршрутизатор

Размещено на Allbest.ru


Подобные документы

  • Создание надежной системы защиты данных, проходящих в локальной вычислительной сети, от сетевых атак, целью которых является хищение конфиденциальной информации. Проектирование схемы внедрения межсетевых экранов. Политика информационной безопасности.

    курсовая работа [236,1 K], добавлен 10.05.2015

  • Проблемы информационной безопасности современных компьютерных сетей организации. Методы защиты сети, применение межсетевых экранов, теоретические вопросы их построения, архитектура, классификация, типы окружений. Уровень защищенности межсетевых экранов.

    дипломная работа [298,7 K], добавлен 04.11.2009

  • Сущность и принцип действия локальной вычислительной сети, ее виды, преимущества и недостатки. Предпосылки внедрения технологии виртуальной локальной сети в локальных сетях. Требования, предъявляемые к домовым локальным сетям при их модернизации.

    дипломная работа [2,9 M], добавлен 26.08.2009

  • Выбор топологии локальной вычислительной сети и составление схемы коммуникаций с условными обозначениями. Установление системного и прикладного программного обеспечения. Размещение пассивного и активного оборудования ЛВС. Реализация сетевой политики.

    курсовая работа [497,3 K], добавлен 18.03.2015

  • Многоуровневая структура стека TCP/IP. Уровень межсетевого взаимодействия. Основной уровень. Прикладной уровень. Уровень сетевых интерфейсов. Соответствие уровней стека TCP/IP семиуровневой модели ISO/OSI. Проектирование локальной вычислительной сети.

    курсовая работа [645,2 K], добавлен 04.03.2008

  • Разработка блок-схемы алгоритмов и комплексного программного обеспечения для контроля работоспособности антивируса и межсетевого экрана. Исследование средств защиты компьютеров от вирусов, анализ и характеристика средств защиты межсетевого взаимодействия.

    курсовая работа [2,8 M], добавлен 07.11.2021

  • Анализ и практическая реализация использования администрирования и мониторинга сети на предприятии. Процесс создания карты сети в программе LANState. Сетевые программы для сисадминов, программы мониторинга сети. Описание локальной вычислительной сети.

    курсовая работа [3,6 M], добавлен 15.02.2017

  • Типы межсетевых экранов. Значение информационных технологий для предприятий. Использование информационно-коммуникационных технологий для работы с заказчиками. Управляемые коммутаторы (канальный уровень). Сетевые фильтры сетевого уровня (stateless).

    контрольная работа [7,2 M], добавлен 20.01.2016

  • Анализ и принцип работы персональных межсетевых экранов GlassWire и ZoneAlarm. Основные возможности данных программ. Типы атрибутов безопасности информации. Описание критериев оценки защищенности МЭ. Сравнение возможностей программного обеспечения.

    курсовая работа [3,3 M], добавлен 12.06.2019

  • Выбор и обоснование архитектуры локальной вычислительной сети образовательного учреждения СОС Ubuntu Server. Описание физической схемы телекоммуникационного оборудования проектируемой сети. Настройка сервера, компьютеров и программного обеспечения сети.

    курсовая работа [2,8 M], добавлен 12.06.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.