Вопрос № 16. Межсетевые экраны и пакетные фильтры.
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Мост – сетевое устройство, которое определяется на уровне передачи данных: прозрачные или обучающиеся; инкапсулирующие; транслирующие; с маршрутизацией от источника; с транслированием маршрутизации от источника. Информация о том, какие пакеты передаются в какой сетевой сегмент, заносятся в мост в процессе обучения и хранятся в таблице переадресации. Она содержит список известных адресов канального уровня и соответствуют этим адресам сегментов сети. Чтобы определить наилучший метод передачи пакетов на заданный канальный уровень переадресации пакетов, мосты обмениваются данными, используя для этого протокол STP. Он позволяет мостам строить безкольцевую топологию адресации пакетов – гарантирование, что пакет проходит по одному сегменту только один раз.
Прозрачный мост способен обрабатывать соединения только с одинаковыми протоколами канального уровня.
Инкапсулирующие и транслирующие мосты обладают дополнительными функциями, позволяющие взаимодействовать с различными протоколами канального уровня. Инкапсулирующие мосты вкладывают кадр канального уровня одного типа в кадр канального уровня другого. Транслирующий мост выполняет функции прозрачного моста между двумя различными типами протоколов канального уровня.
Коммутатор — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента. Работает на канальном уровне передачи данных и выполняет те же функции, что и мост. Инкапсуляция кадров.
Маршрутизатор – устройство, распределяющее пакеты по сети с помощью информационного сетевого уровня IP, IPX, Apple Talk. Мосты и коммутаторы соединяют несколько сетей в одну логическую сеть, а маршрутизатор соединяет логические сети и маршрутизирует пакеты данных между ними. Основное преимущество: физические и логические сети разделяет сеть на несколько управляющих сегментов.
Сервер доступа – сервер, позволяющий подключится к сети асинхронным устройствам. Чаще всего используются для подключения к сети internet-компьютеры, оборудованные модемами.
Пакетный фильтр является главным модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.
Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.
Персональные межсетевые экраны.
Персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения.
Практическое использование межсетевого экрана. Подключение отдельных подразделений.
Существует два основных способа создания наборов правил межсетевого экрана: »включающий» и »исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.
Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.
Безопасность может быть дополнительно повышена с использованием »межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что оптимально для реальных применений.
Межсетевые экраны: назначение, основные функции, классификация, примеры
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Поддерживаемый уровень сетевой модели OSI является основной характеристикой при классификации межсетевых экранов. Различают следующие типы межсетевых экранов:
· Управляемые коммутаторы (канальный уровень);
· Сетевые фильтры сетевого уровня (stateless). Фильтрация статическая, осуществляется путем анализа IP-адреса источника и приемника, протокола, портов отправителя и получателя;
· Шлюзы сеансового уровня (circuit-level proxy). В сетевой модели TCP/IP нет уровня, однозначно соответствующего сеансовому уровню OSI, поэтому к шлюзам сеансового уровня относят фильтры, которые невозможно отождествить ни с сетевым, ни с транспортным, ни с прикладным уровнем:
· Шлюзы, транслирующие адреса (NAT, PAT) или сетевые протоколы (транслирующий мост);
· Фильтры контроля состояния канала. К фильтрам контроля состояния канала связи нередко относят сетевые фильтры сетевого уровня с расширенными возможностями (stateful), которые дополнительно анализируют заголовоки пакетов и умеют фильтровать фрагментированные пакеты);
· Шлюзы сеансового уровня. Наиболее известным и популярным шлюзом сеансового уровня является посредник SOCKS;
· Шлюз прикладного уровня (application-level proxy), часто называемые прокси-серверами. Делятся на прозрачные (transparent) и непрозрачные;
· Брандмауэр SPI (Stateful Packet Inspection, SPI), или иначе брандмауэры с динамической фильтрацией пакетов (Dynamic Packet Filtering), являются по сути шлюзами сеансового уровня с расширенными возможностями. Инспекторы состояния оперируют на сеансовом уровне, но «понимают» протоколы прикладного и сетевого уровней. В отличие от шлюза прикладного уровня, открывающего два виртуальных канала TCP (один — для клиента, другой — для сервера) для каждого соединения, инспектор состояния не препятствует организации прямого соединения между клиентом и сервером.
· фильтрация доступа к заведомо незащищенным службам;
· препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
· контроль доступа к узлам сети;
· может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
· регламентирование порядка доступа к сети;
· уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Межсетевой экран
Говоря о программно-аппаратной составляющей системы информационной безопасности, следует признать, что наиболее эффективный способ защиты объектов локальной сети (сегмента сети) от воздействий из открытых сетей (например, Интернета), предполагает размещение некоего элемента, осуществляющего контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Такой элемент получил название межсетевой экран (сетевой экран) или файрволл, брандмауэр.
Файрволл, файрвол, файервол, фаервол – образовано транслитерацией английского термина firewall.
Брандмауэр (нем. Brandmauer) – заимствованный из немецкого языка термин, являющийся аналогом английского «firewall» в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).
Сетевой/межсетевой экран (МСЭ) – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по различным протоколам в соответствии с заданными правилами.
Основной задачей межсетевого экрана является защита компьютерных сетей и/или отдельных узлов от несанкционированного доступа. Иногда межсетевые экраны называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Для того чтобы эффективно обеспечивать безопасность сети, межсетевой экран отслеживает и управляет всем потоком данных, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений) межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.
Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана пакеты данных, связанные с конкретными протоколами и адресами, зависит от принятой в защищаемой сети политики безопасности. По сути, межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности. Политика сетевой безопасности каждой организации должна включать (кроме всего прочего) две составляющие: политика доступа к сетевым сервисам и политика реализации межсетевых экранов.
Однако недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений – главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).
Таким образом, управляющие решения требуют, чтобы межсетевой экран имел доступ, возможность анализа и использования следующих факторов:
- информации о соединениях – информация от всех семи уровней (модели OSI) в пакете;
- истории соединений – информация, полученная от предыдущих соединений;
- состоянии уровня приложения – информация о состоянии соединения, полученная из других приложений;
- манипулировании информацией – вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.