Экранирование в компьютерных сетях

16.1. Межсетевое экранирование.

Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.

Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.

Межсетевые экраны классифицируются по следующим признакам:

  • по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;
  • по уровню фильтрации, соответствующему эталонной модели OSI/ISO.

16.1.2. Характеристика межсетевых экранов

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты. Межсетевые экраны разделяют на четыре типа:

  • межсетевые экраны с фильтрацией пакетов;
  • шлюзы сеансового уровня;
  • шлюзы прикладного уровня;
  • межсетевые экраны экспертного уровня.

Таблица 4.5.1. Типы межсетевых экранов и уровни модели ISO OSI

Уровень модели OSI Протокол Тип межсетевого экрана

1 Прикладной Telnet, FTP, DNS, NFS, SMTP, шлюз прикладного уровня;
HTTP

79

Уровень модели OSI Протокол Тип межсетевого экрана
• межсетевой экран экспертного уровня.
2 Представления
данных
3 Сеансовый TCP, UDP • шлюз сеансового уровня.
4 Транспортный TCP, UDP
5 Сетевой IP, ICMP • межсетевой экран с фильтрацией пакетов.
6 Канальный ARP, RAP
7 Физический Ethernet

Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов. Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым . При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня. Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных. Шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Интернет при работе по низкоскоростным каналам, но существенно при работе во внутренней сети. Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на 80 уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.

Читайте также:  Что такое территориальные корпоративные компьютерные сети

Источник

Межсетевое экранирование

Межсетевое экранирование — это экранирование при помощи программного или программно-аппаратного компонента компьютерной сети, которое состоит в контроле и фильтрации идущего через него сетевого трафика согласно заданным правилам.

Введение

Межсетевой экран (брандмауэр или Firewall) — это программный или программно-аппаратный комплекс, который способен отслеживать сетевые пакеты, блокировать или разрешать их прохождение. В фильтрации трафика брандмауэр должен опираться на заданные параметры, которые наиболее часто именуют правилами межсетевого экрана.

Современные межсетевые экраны должны располагаться в периферийной части сети и ограничивать транзит трафика, установку незарегистрированных соединений и другие аналогичные операции при помощи средств фильтрации, а также аутентификации.

Межсетевое экранирование

На рисунке ниже изображен принцип действия межсетевого экрана.

Принцип действия межсетевого экрана. Автор24 — интернет-биржа студенческих работ

Рисунок 1. Принцип действия межсетевого экрана. Автор24 — интернет-биржа студенческих работ

Главной задачей межсетевого экрана является фильтрация трафика среди зон сети. Его можно использовать, для того чтобы разграничить права доступа в сеть, а также, чтобы защитить от сканирования сети организации и осуществления сетевых атак. Другими словами, межсетевым экраном является оборудование, предназначенное для обеспечения сетевой безопасности организации. Межсетевой экран служит для выполнения следующих функций:

  1. Предотвратить подмену трафика. Предположим, что организация ведет обмен информационными данными с каким-либо своим подразделением, при этом эти IP-адреса являются известными. Злоумышленники могут попробовать выполнить маскировку своего трафика под данные офиса, но отправлять его с другого IP. Брандмауэр должен обнаружить подмену и не дать ему проникнуть внутрь сети организации.
  2. Обеспечение защиты корпоративной сети от DDoS-атак, а именно, защиту от ситуаций, когда злоумышленник пытается вывести из строя ресурсы организации путем отправки им множества запросов с зараженного оборудования. Когда система способна распознать подобные атаки, то она должна формировать определенные закономерности и передавать их брандмауэру для дальнейшей фильтрации злонамеренного трафика.
  3. Обеспечение блокировки трансляции данных на неизвестные IP-адреса. Предположим, что работник компании выполнил скачивание вредоносного файла и заразил свой компьютер. Это могло привести к утечке корпоративной информации. В этом случае, когда вирус намеревается передавать информацию на неизвестный IP-адрес, брандмауэр в автоматическом режиме должен его остановить.
Читайте также:  Модель безопасного сетевого взаимодействия

Сетевой трафик, который проходит через брандмауэр, должен сопоставляться с правилами, для того чтобы решить, пропустить его или нет. Правило межсетевого экрана имеют в своем составе условия (IP-адрес, порт) и операции, которые следует применять к пакетам, удовлетворяющим заданным условиям. К операциям следует отнести команды разрешить (accept), отклонить (reject) и отбросить (drop). Эти условия должны указать межсетевому экрану, что конкретно необходимо сделать с трафиком, а именно:

  1. Команда разрешить означает выполнить пропуск трафика.
  2. Команда отклонить означает, что не следует пропускать трафик, а пользователю необходимо выдать сообщение о наличии ошибки, а именно «недоступно».
  3. Команда отбросить означает блокирование передачи без выдачи ответного сообщения.
  4. Приведем конкретный пример. Предположим, имеются следующие правила:
  5. Разрешать доступ любому IP-адресу, который принадлежит отделу маркетинга, на 80-й порт.
  6. Разрешать доступ любому IP-адресу, который принадлежит отделу системного администрирования.
  7. Выполнить отклонение доступа для всех остальных.

Когда к сети захочет выполнить подключение сотрудник отдела технической поддержки, он должен получить сообщение об ошибке соединения согласно третьему правилу. Причем, если сотрудник отдела маркетинга пожелает выполнить подключение по SSH, то он тоже должен получить сообщение об ошибке, так как применяет 22-й порт, согласно первому правилу.

Все межсетевые экраны подразделяются на следующие основные типы:

Аппаратным межсетевым экраном обычно являются специальные устройства, компоненты которых (процессоры, платы и тому подобное) были созданы специально для работы с трафиком. Они должны работать на специализированном программном обеспечении, так как это требуется, для того чтобы повысить производительность оборудования. Примерами аппаратных межсетевых экранов могут служить устройства Cisco ASA, FortiGate, Cisco FirePower, UserGate и многие другие.

Аппаратные межсетевые экраны являются более мощными средствами в сравнении с программными. Но они являются и более дорогими, часто стоимость аппаратных межсетевых экранов может быть в разы больше, чем их программных аналогов.

Читайте также:  Состав локальных вычислительных сетей предприятия их топология

Программным межсетевым экраном является программное обеспечение, которое может устанавливаться как на реальные, так и на виртуальные устройства. Через такие межсетевые экраны может перенаправляться весь трафик внутрь рабочей сети. К программным межсетевым экранам следует отнести брандмауэр в Windows и iptables в Linux.

Программные межсетевые экраны, как было сказано выше, обычно более дешевые и их можно устанавливать не только на границах сети, но и на рабочей станции пользователя. К числу главных недостатков программных межсетевых экранов следует отнести более низкую пропускную способность и сложность настройки в некоторых случаях.

Межсетевой экран, способный контролировать состояние сеансов, выполняет анализ всей активности пользователей от начала и до конца, то есть, анализирует все установленные пользовательские сессии. На базе таких данных он может определить типичное и нетипичное поведение пользователей. Когда поведение пользователя в границах сессии кажется ему нетипичным, то межсетевой экран должен блокировать трафик.

Источник

Оцените статью
Adblock
detector