Современные методы и средства сетевой защиты. Межсетевые экраны

Автор работы: Пользователь скрыл имя, 19 Марта 2012 в 17:43, курсовая работа

Краткое описание

Когда речь заходит о защите атак, то первое, что приходит на ум большинству пользователей, - это межсетевые экраны (firewall). И это закономерно. Данная технология является одной из самых первых и поэтому самой известной. Итак, что же такое межсетевой экран? Говоря общими словами, - это средство, которое разграничивает доступ между двумя сетями (или, в частном случае, узлами) с различными требованиями по обеспечению безопасности. В самом распространенном случае межсетевой экран устанавливается между корпоративной сетью и Internet.

Содержание работы

Вступление…………………………………………………………………
1.Классификация межсетевых экранов…………………………………..
1.1. Коммутаторы…………………………………………………………..
1.2.Пакетные фильтры……………………………………………………..
1.3. Шлюзы сеансового уровня……………………………………………..
1.4.Посредники прикладного уровня……………………………………….
1.5.Инспекторы состояния…………………………………………………..
2.Выбор межсетевого экрана………………………………………………..
3.Возможности межсетевого экрана………………………………………..
4.Трансляция сетевых адресов………………………………………………
5. Аутентификация пользователей…………………………………………..
6. Реализация межсетевых экранов…………………………………………..
7. Ограничение функциональности сетевых сервисов………………………
8. Потенциально опасные возможности………………………………………
9. Вирусы и атаки………………………………………………………………
10. Снижение производительности……………………………………………
11. Персональные межсетевые экраны………………………………………...
12. Список использованной литературы………………………………………
Вывод…………………………………………………………………………….

Содержимое работы - 1 файл

Міністерство освіти і науки України.docx

— 227.57 Кб (Скачать файл)

Міністерство освіти і науки України

ОДЕСЬКИЙ НАЦIОНАЛЬНИЙ ПОЛІТЕХНІЧНИЙ УНІВЕРСИТЕТ

Інститут радіоелектроніки і телекомунікацій

Кафедра IБ

 

 

 

 

 

Курсова робота

з дисципліни

"Методи та засоби захисту информацii"

на тему: "Современные методы и средства сетевой защиты.

Межсетевые экраны"

 

 

 

 

 

 

 

 

 

Виконала: ст.гр.РБ-071

Чудiна А. Ф.

                                         Перевірив:

Венедiктов Ю. I.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Одеса 2010

 

                                                  Содержание

 

 

Вступление…………………………………………………………………


1.Классификация межсетевых экранов…………………………………..

1.1. Коммутаторы…………………………………………………………..

1.2.Пакетные фильтры……………………………………………………..

1.3. Шлюзы сеансового уровня……………………………………………..

1.4.Посредники прикладного уровня……………………………………….

1.5.Инспекторы состояния…………………………………………………..

2.Выбор межсетевого экрана………………………………………………..

3.Возможности межсетевого экрана………………………………………..

4.Трансляция сетевых адресов………………………………………………

5. Аутентификация пользователей…………………………………………..

6. Реализация межсетевых экранов…………………………………………..

7. Ограничение функциональности  сетевых сервисов………………………

8. Потенциально опасные возможности………………………………………

9. Вирусы и атаки………………………………………………………………

10. Снижение производительности……………………………………………

11. Персональные межсетевые экраны………………………………………...

12. Список использованной литературы………………………………………

Вывод…………………………………………………………………………….

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                          Вступление


Когда речь заходит о защите  атак, то первое, что приходит на ум большинству пользователей, - это  межсетевые экраны (firewall). И это закономерно. Данная технология является одной из самых первых и поэтому самой известной. Итак, что же такое межсетевой экран? Говоря общими словами, - это средство, которое разграничивает доступ между двумя сетями (или, в частном случае, узлами) с различными требованиями по обеспечению безопасности. В самом распространенном случае межсетевой экран устанавливается между корпоративной сетью и Internet.

 

Межсетевой экран, защищающий сразу  множество (не менее двух) узлов, призван  решить две задачи, каждая из которых  по-своему важна и в зависимости  от организации, использующей межсетевой экран, имеет более высокий приоритет  по сравнению с другой:

    - Ограничение доступа  внешних (по отношению к защищаемой  сети) пользователей к внутренним  ресурсам корпоративной сети. К  таким пользователям могут быть  отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой  компании, пытающие получить доступ  к серверам баз данных, защищаемых  межсетевым экраном. 

    - Разграничение доступа  пользователей защищаемой сети  к внешним ресурсам. Решение этой  задачи позволяет, например, регулировать  доступ к серверам, не требуемым  для выполнения служебных обязанностей.

 

Все межсетевые экраны используют в  своей работе один из двух взаимоисключающих  принципов:

    - "Разрешено все, что  не запрещено в явном виде". С одной стороны данный принцип  облегчает администрирование межсетевого  экрана, т.к. от администратора  не требуется никакой предварительной  настройки - межсетевой экран  начинает работать сразу после  включения в сеть электропитания. Любой сетевой пакет, пришедший  на МСЭ, пропускается через  него, если это не запрещено  правилами. С другой стороны,  в случае неправильной настройки  данное правило делает межсетевой  экран дырявым решетом, который  не защищает от большинства  несанкционированных действий, описанных  в предыдущих главах. Поэтому  в настоящий момент производители  межсетевых экранов практически  отказались от использования  данного принципа.

    - "Запрещено все, не  разрешено в явном виде". Этот  принцип делает межсетевой экран  практически неприступной стеной (если на время забыть на  возможность подкопа этой стены,  ее обхода и проникновения  через незащищенные бойницы). Однако, как это обычно и бывает, повышая  защищенность, мы тем самым нагружаем  администратора безопасности дополнительными  задачами по предварительной  настройке базы правил межсетевого  экрана. После включения такого  МСЭ в сеть, она становится  недоступной для любого вида  трафика. Администратор должен  на каждый тип разрешенного  взаимодействия задавать одно  и более правил.


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                          1  Классификация 


До сих пор не существует единой и общепризнанной классификации  межсетевых экранов. Каждый производитель  выбирает удобную для себя классификацию  и приводит ее в соответствие с  разработанным этим производителем межсетевым экраном. Однако, основываясь  на приведенном выше неформальном определении  МСЭ, можно выделить следующие их классы, учитывающие уровни OSI или стека TCP/IP:

    - коммутаторы, функционирующие  на канальном уровне;

    - сетевые или пакетные  фильтры, которые, как видно  из названия, функционируют на  сетевом уровне;

    - шлюзы сеансового уровня (circuit-level proxy);

    - посредники прикладного уровня (application proxy или application gateway);

    - инспекторы состояния (stateful inspection).

 

                                           1.1Коммутаторы 

 

Данные устройства, функционирующие  на канальном уровне, не принято  причислять к классу межсетевых экранов, т.к. они разграничивают доступ в  рамках локальной сети и не могут  быть применены для ограничения  трафика из Internet. Однако, основываясь на том факте, что межсетевой экран разделяет доступ между двумя сетями или узлами, такое причисление вполне закономерно. Многие производители коммутаторов, например, Cisco, Nortel, 3Com, позволяют осуществлять фильтрацию трафика на основе MAC-адресов, содержащихся во фреймах, пытающихся получить доступ к определенному порту коммутатора. Наиболее эффективно данная возможность реализована в решениях компании Cisco, в частности в семействе коммутаторов Catalyst, которые обладают механизмом Port Security. Однако надо заметить, что практически все современные сетевые карты позволяют программно изменять их MAC-адреса, что приводит к неэффективности такого метода фильтрации. Поэтому существуют и другие параметры, которые могут использоваться в качестве признака фильтрации. Например, VLAN, которые разграничивают трафик между ними - трафик одной VLAN никогда не пересекается с трафиком другой VLAN. Более "продвинутые" коммутаторы могут функционировать не только на втором, но и на третьем, четвертом (например, Catalyst) и даже седьмом уровнях модели OSI (например, TopLayer AppSwitch) . Необходимо сразу сделать небольшое замечание. Существует некоторая путаница в терминологии. Одни производители упоминают про коммутацию на пятом уровне, другие - на седьмом. И те и другие правы, но… В маркетинговых целях эффектнее выглядит заявление о коммутации на 7-ми, а не 5-ти уровнях. Хотя на самом деле в обоих случаях подразумевается одно и то же. Ведь в модели TCP/IP всего пять уровней и последний, прикладной, уровень включает в себя заключительные три уровня, существующие в модели OSI/ISO.

Достоинства:                           


 

высокая скорость работы; данная возможность  встроена в большинство коммутаторов, что не требует дополнительных финансовых затрат.     

 

 

Недостатки:

отсутствует возможность анализа  прикладного уровня; отсутствует  возможность анализа заголовков сетевого и сеансового уровней (исключая некоторые коммутаторы).Нет защиты от подмены адреса.

 

 

                                     1.2Пакетные фильтры 

 

Пакетные фильтры (packet filter) - это одни из первых и самые распространенные межсетевые экраны, которые функционируют на третьем, сетевом уровне и принимают решение о разрешении прохождения трафика в сеть на основании информации, находящейся в заголовке пакета. Многие фильтры также могут оперировать заголовками пакетов и более высоких уровней (например, TCP или UDP). Распространенность этих межсетевых экранов связана с тем, что именно эта технология используется в абсолютном большинстве маршрутизаторов (т.н. экранирующий маршрутизатор, screening router) и даже коммутаторах (например, в решениях компании Cisco). В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:

    - адреса отправителей  и получателей; 

    - тип протокола (TCP, UDP, ICMP и т.д.);

    - номера портов отправителей  и получателей (для TCP и UDP трафика);

    - другие параметры заголовка  пакета (например, флаги TCP-заголовка).


С помощью данных параметров, описанных  в специальном наборе правил, можно  задавать достаточно гибкую схему разграничения  доступа. При поступлении пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению (т.е. может ли осуществить процесс  маршрутизации). И только потом маршрутизатор  сверяется с набором правил (т.н. список контроля доступа, access control list), проверяя, должен ли он маршрутизировать этот пакет. При создании правил для пакетных фильтров можно использовать два источника информации: внутренний и внешний. Первый источник включает в себя уже названные поля заголовка сетевого пакета. Второй, реже используемый источник оперирует информацией внешней по отношению к сетевым пакетам. Например, дата и время прохождения сетевого пакета. Сетевые фильтры, обладая рядом достоинств, не лишены и ряда серьезных недостатков. Во-первых, исходя из того, что они анализируют только заголовок (такие фильтры получили название stateless packet filtering), за пределами рассмотрения остается поле данных, которое может содержать информацию, противоречащую политике безопасности. Например, в данном поле может содержаться команда на доступ к файлу паролей по протоколу FTP или HTTP, что является признаком враждебной деятельности. Другой пример. Пакетный фильтр может пропустить в защищаемую сеть TCP-пакет от узла, с которым в настоящий момент не открыто никаких активных сессий. Т.к. межсетевой экран, функционирующий на сетевом уровне, не анализирует информацию, присущую транспортному и более высокому уровню, то он пропустит такой пакет в сеть.


В целом, недостаток пакетных фильтров заключается в том, что они  не умеют анализировать трафик на прикладном уровне, на котором совершается  множество атак - проникновение вирусов, Internet-червей, отказ в обслуживании и т.д. Некоторые производители, например, Cisco, предлагают пакетные фильтры с учетом состояния (stateful packet filtering), которые сохраняют в памяти сведения о состоянии текущих сеансов, что позволяет предотвратить некоторые атаки (в частности, описанные в последнем примере). Другой недостаток пакетных фильтров - сложность настройки и администрирования. Приходится создавать как минимум два правила для каждого типа разрешенного взаимодействия (для входящего и исходящего трафика). Мало того, некоторые правила, например, реализованные в решениях компании Cisco, различаются для каждого интерфейса маршрутизатора, что только усложняет создание таблицы правил (списка контроля доступа). Неконтролируемое увеличение числа правил может приводить к появлению брешей в первой линии обороны, создаваемой пакетными фильтрами. Известны случаи, когда таблицы правил маршрутизаторов содержали тысячи правил. Только представьте, с какой головной болью столкнулись бы администраторы, пожелавшие локализовать какую-либо проблему с пропуском трафика. И не стоит забывать, что при настройке фильтра может случиться ситуация, когда одно правило противоречит другому. Увеличение числа правил несет с собой и еще одну проблему - снижение производительности межсетевого экрана. Ведь пришедший пакет проверяется на соответствие таблицы правил, начиная с ее верха, что в свою очередь требует внимательного отношения к порядку следования правил. Такая проверка осуществляется до тех пор, пока не будет найдено соответствующее правило или не будет достигнут конец таблицы. Во многих реализациях, каждое новое правило, пусть не намного, но все же уменьшает общую производительность фильтра. Одним из немногих исключений является уже неоднократно упоминавшаяся продукция компании Cisco, в которой реализованы высокоэффективные механизмы обработки сетевого трафика. Еще один недостаток пакетных фильтров - слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP (v4) позволяет без труда подменять такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола, реализуя тем самым атаку "подмена адреса" (IP Spoofing). И даже, если адрес компьютера-отправителя не изменялся, то что мешает злоумышленнику сесть за этот компьютер. Ведь сетевой фильтр не запрашивает у пакета идентификатор и пароль пользователя, т.к. эта информация принадлежит прикладному уровню. Данные МСЭ могут быть реализованы как аппаратно, например, в фильтрующих маршрутизаторах компании Cisco, так и программно, например, в ОС Windows 2000, Unix и т.д. Причем пакетный фильтр может быть установлен не только на устройстве, расположенном на границе между двумя сетями (например, на маршрутизаторе), но и на рабочей станции пользователя, повышая тем самым ее защищенность. Однако простота реализации пакетных фильтров, их высокая производительность и малая цена (зачастую такие фильтры являются свободно распространяемыми) перевешивает указанные недостатки и обуславливает их повсеместное распространение и использование как обязательного (а зачастую единственного) элемента системы сетевой безопасности. Кроме того, они являются составной частью практически всех межсетевых экранов, использующих контроль состояния и описываемых далее.

Информация о работе Современные методы и средства сетевой защиты. Межсетевые экраны