Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows Phone
  • Izgledi i postavke zaštitnih zidova. Nedostaci korištenja zaštitnih zidova

Izgledi i postavke zaštitnih zidova. Nedostaci korištenja zaštitnih zidova

08.04.2019 Windows Phone

Da bi se suprotstavio neovlašćenom pristupu Internetu, ME treba da bude lociran između zaštićene mreže organizacije, koja je interna, i potencijalno neprijateljske eksterne mreže (Slika 9.1). Štaviše, sve interakcije između ovih mreža treba da se obavljaju samo preko ME. Organizaciono, ME je dio zaštićene mreže.

Rice. 9.1. Dijagram povezivanja između firewall ME

ME, koji štiti mnoge čvorove interne mreže odjednom, dizajniran je za rješavanje:

‣‣‣ zadatak ograničavanja pristupa vanjskih (u odnosu na zaštićenu mrežu) korisnika internim resursima korporativna mreža... Ovi korisnici uključuju partnere, udaljene korisnike, hakere, pa čak i zaposlenike same kompanije koji pokušavaju pristupiti serverima baze podataka zaštićenim od strane DOE;

‣‣‣ zadatak razgraničenja pristupa korisnika zaštićenoj mreži na eksterni resursi... Rješavanje ovog problema omogućava, na primjer, regulaciju pristupa serverima koji nisu potrebni za obavljanje službenih dužnosti.

Do sada ne postoji jedinstvena opšteprihvaćena klasifikacija ME. Mogu se klasificirati, na primjer, prema sljedećim glavnim karakteristikama.

Funkcionisanjem na nivoima OSI modela:‣‣‣ filter paketa (zaštićeni ruter -screening router); ‣‣‣ gateway na nivou sesije (transport za zaštitu);‣‣‣ gateway aplikacije (aplikacijski gateway); ‣‣‣ kapija na nivou stručnjaka (firewall za inspekciju stanja).

Po korištenoj tehnologiji:‣‣‣ praćenje statusa protokola (državna inspekcija); ‣‣‣ na osnovu posredničkih modula (proxy).

Po izvršenju:‣‣‣ hardver i softver;‣‣‣ softver.

Prema dijagramu povezivanja:‣‣‣ šema objedinjene mrežne zaštite;‣‣‣ šema sa zaštićenim zatvorenim i nezaštićenim otvorenim segmentima mreže;‣‣‣ šema sa odvojenom zaštitom zatvorenih i otvorenih segmenata mreže.

  • - Funkcije zaštitnog zida

    Namjena zaštitnih zidova Firewall ili firewall je skup hardvera ili softverski alati, koji prati i filtrira mrežne pakete koji prolaze kroz njega u skladu sa navedenim pravilima. Glavni zadatak mreže… [pročitajte više].

    • Firewalling

    U praksi, često zatvoreni korporativni distribuirani i skupljeni CS-ovi su povezani na javne mreže kao što je Internet. Načini interakcije između korisnika zatvorenog DCS-a sa javno dostupnim sistemom mogu biti različiti:

    - kontaktiraju uz pomoć javno dostupnog DCS-a unificirani sistem zatvoreni segmenti korporativni sistem ili udaljeni pretplatnici;

    - zatvoreni DCS korisnici komuniciraju sa pretplatnicima javna mreža.

    U prvom načinu rada, problem autentifikacije pretplatnika (procesa) koji su u interakciji riješen je mnogo efikasnije nego u drugom načinu. To je zbog mogućnosti korištenja enkripcije pretplatnika u interakciji COP-a jedne korporativne mreže.

    Ako pretplatnici javne mreže ne koriste korisničku enkripciju, to je gotovo nemoguće osigurati jaka autentifikacija procesi, povjerljivost informacija, zaštita od zamjene i neovlaštene izmjene poruka.

    Za blokiranje prijetnji koje potiču iz javno dostupnog sistema koristi se poseban softver ili hardversko-softverski alat, tzv. firewall(Zaštitni zid) (sl. 34). Firewall se u pravilu implementira na namjenskom računaru preko kojeg je zaštićeni DCS (njegov fragment) povezan na javnu mrežu.

    Firewall implementira kontrolu nad informacijama koje ulaze u zaštićeni DCS i (ili) izlaze iz zaštićenog sistema.

    Firewall ima četiri funkcije:

    - filtriranje podataka;

    - upotreba zaštitnih sredstava;

    - prevod adresa;

    - registracija događaja.

    Glavna funkcija zaštitnog zida je filtracija ulazni (izlazni) saobraćaj. U zavisnosti od stepena sigurnosti korporativne mreže, mogu se postaviti različita pravila filtriranja. Pravila filtriranja se uspostavljaju odabirom niza filtera koji dozvoljavaju ili odbijaju prijenos podataka (paketa) na sljedeći sloj filtera ili protokola.

    Firewall vrši filtriranje na nivou kanala, mreže, transporta i aplikacije. Kako velika količinašto nivoi pokrivaju ekran, to je savršeniji. Vatrozidovi dizajnirani da zaštite informacije od visokog stepena važnosti treba da obezbede:

    - filtriranje prema adresama pošiljaoca i primaoca (ili prema drugim ekvivalentnim atributima);

    - filtriranje paketa servisnih protokola koji se koriste za dijagnostiku i kontrolu rada mrežnih uređaja;

    - filtriranje uzimajući u obzir ulazni i izlazni mrežni interfejs kao sredstvo provjere autentičnosti mrežnih adresa;

    - filtriranje uzimajući u obzir sva značajna polja mrežnih paketa;

    - filtriranje na nivou transporta zahtjeva za uspostavljanje virtuelne veze;

    - filtriranje na nivou aplikacije zahtjeva za aplikacijske usluge;

    - filtriranje na osnovu datuma i vremena;

    - mogućnost skrivanja subjekata pristupa zaštićenom računarsku mrežu;

    - mogućnost prevođenja adresa.

    Firewall može koristiti zaštitna sredstva(proxy serveri), koji su posrednički programi i omogućavaju uspostavljanje veze između subjekta i objekta pristupa, a zatim prosljeđuju informacije, vršeći kontrolu i registraciju.

    Tema 3. Osnovne tehnologije mrežne sigurnosti

    Dodatna funkcija agenta za zaštitu je da sakrije pravi objekat od pristupnika. Radnje zaštitnog agenta su transparentne za učesnike u interakciji.

    Funkcija prevode adresa zaštitni zid je dizajniran da sakrije prave interne adrese od vanjskih pozivatelja. Ovo vam omogućava da sakrijete topologiju mreže i upotrebu više adrese ako nisu dodijeljene dovoljno za zaštićenu mrežu.

    Firewall radi registracija događaja u posebnim časopisima. Moguće je konfigurirati ekran da se prijavi u potpunosti potrebnom za određenu aplikaciju. Analiza zapisa omogućava vam da snimite pokušaje kršenja utvrđenih pravila za razmjenu informacija u mreži i da identifikujete napadača.

    Ekran nije simetričan. On pravi razliku između pojmova: "izvana" i "iznutra". Štit štiti unutrašnjost od nekontroliranog i potencijalno neprijateljskog vanjskog okruženja. Istovremeno, ekran vam omogućava da razgraničite pristup objektima javne mreže od subjekata zaštićene mreže. U slučaju kršenja ovlaštenja, rad subjekta pristupa je blokiran i sve potrebne informacije se upisuje u dnevnik. Zaštitni zidovi se također mogu koristiti unutar sigurnih korporativnih mreža. Ako DCS ima fragmente mreže sa različitim stepenom povjerljivosti informacija, onda je preporučljivo odvojiti takve fragmente zaštitnim zidovima. U ovom slučaju, ekrani se nazivaju unutrašnjim.

    U zavisnosti od stepena poverljivosti i važnosti informacija, uspostavlja se 5 klasa zaštite firewall-a. Svaku klasu karakterizira određeni minimalni skup zahtjeva za zaštitu informacija. Najniža klasa sigurnosti je peta, a najviša prva. Prvoklasni firewall se instalira prilikom obrade informacija sa pečatom "posebnog značaja".

    Preporučljivo je izvršiti firewall u obrascu specijalizovani sistemi... Ovo bi trebalo da poveća performanse ovakvih sistema (sva razmena se vrši preko ekrana), kao i da poveća sigurnost informacija pojednostavljenjem strukture. S obzirom na značaj firewall-a u obezbjeđivanju sigurnosti informacija u cijeloj zaštićenoj mreži, pred njih se postavljaju visoki zahtjevi u pogledu kontrole pristupa, obezbjeđenja integriteta informacija, povratljivosti, testiranja itd. Administrator osigurava rad zaštitnog zida. Poželjno radno mjesto postavite administratora direktno na firewall, što pojednostavljuje identifikaciju i autentifikaciju administratora, a takođe pojednostavljuje implementaciju administrativnih funkcija.

    U mrežama sa visokim kursom, firewall se može implementirati na dva ili više računara, za koje je preporučljivo da se nalaze na jednom objektu. Funkcije firewall-a i gateway-a (mosta) mogu se implementirati na jednom CS-u. U praksi, često fragmenti zaštićene mreže međusobno komuniciraju putem javne mreže. Svi fragmenti su povezani na javnu mrežu preko firewall-a.

    Naučno-tehnološki napredak danas ide velikom brzinom, jer juče još nismo mogli sa sigurnošću da kažemo šta je računar, a danas razgovaramo o načinima da ga obezbedimo, a ovih načina sada ima na pretek. Međutim, koji su pouzdaniji, korisnici obično uče iz vlastitog, ponekad negativnog, iskustva. Danas ćemo pričati o jednom od načina koji će vam pomoći da zaštitite svoj računar - firewall-u.

    Šta je zaštitni zid?

    Prije godinu dana, 90% korisnika Interneta nije moglo sa sigurnošću reći šta je firewall ili kako se na drugi način naziva firewall. Danas je tržište internetske tehnologije prepuno raznih plaćenih i besplatne verzije ovog programa, jer je u uslovima stalne pojave virusa rad računara bez zaštitnog zida jednostavno nemoguć. Možda ne znaju svi, ali računar spojen na Internet bez instaliranog firewall-a zarazi se virusima bukvalno za nekoliko sati.

    Inače, jedan od besplatnih tipova ovog programa je Zone Alarm, koji je sasvim prikladan za korisnika sa kućnim računarom. Prilično je pouzdan, ali ne biste trebali biti potpuno sigurni u to, jer profesionalni hakeri pronaći sve više i više ranjivosti u postojećim operativnim sistemima.

    Princip razmjene informacija

    Vrijeme je da saznamo kako naši računari primaju zaražene informacije izvana. A sve se dešava nakon što se računar poveže na Internet i dobije svoju IP adresu. Ovu adresu niko ne bi trebao znati osim vama i vašem provajderu. A onda vaš računar šalje zahtjev drugom i daje vam njegovu adresu. Nakon toga dolazi do razmjene podataka, a ne zna se kolika je vjerovatnoća da baš u ovom trenutku ne dobijate zaražene fajlove.

    Dakle, već ste shvatili da da biste hakovali svoj računar, morate znati njegovu IP adresu. Naravno, redovno razmenjujete adrese sa drugim računarima, to je neophodno za rad na Internetu. Međutim, ako koristite pouzdane resurse, njihovi vlasnici neće hakovati vaš računar niti drugima otkriti adrese korisnika.

    Iako uvijek postoje rupe za hakere: postoje specijalni programi birajući upravo one mrežne adrese, na kojima su računari navedeni. Ovdje dolazi zaštitni zid.

    Potreba za zaštitnim zidom

    Općenito, zaštitni zid ima dvije svrhe. Sada ćemo razgovarati o njima.

    1. Zaštita vašeg računara od curenja informacija.

    Sada, kao što znate, razne Trojanski virusi ili, kako to zovu, "trojanci". Ako trojanac uđe u računar, može ukrasti lozinke i ostalo važna informacija, ili nekom drugom dajte mogućnost daljinske kontrole vašeg računara. Firewall, s druge strane, omogućava rad sa mrežom samo za neke njemu poznate programe, kao npr mail klijent, pretraživač itd. Ako ne poznaje program, on ili traži od vas dozvolu za pristup mreži ili odbija pristup bez vaše dozvole.

    2. Zaštita od prodora u računar spolja.

    Ponekad neke OS, na primjer, isti Windows, držite nekoliko portova otvorenim.

    Studentski dokument # 098756 iz INTUIT-a

    To znači da se kroz njih mogu širiti razne mrežne infekcije. Stoga, portove treba zatvoriti i učiniti nevidljivim. I tada će vaš računar postati nevidljiv i niko ga neće napasti.

    Međutim, iskusni hakeri i dalje mogu dobiti adresu vašeg računara, čak i ako su svi portovi nevidljivi. Dakle, još jedan zadatak mreže firewall screen- učinite portove nevidljivim i zatvorite ih, tada se smanjuje vjerovatnoća hakovanja.

    Datum objave: 13-01-2011, 23:53

  • Računarska sigurnost
  • Besplatni zaštitni zid od Comodoa
  • Zašto hakovati računar?
  • Karakteristike antivirusnih programa
  • Kako da instaliram antivirusni softver?
  • Softver
  • Kako zaštititi svoj računar od virusa?
  • Kako se zaštititi na internetu
  • Izašao je nova verzija firewall Kerio Control Firewall
  • Kako zaštititi svoj računar od hakerskih napada

    • 123456Sljedeća ⇒

    Zaštita i zaštitni zidovi

    Osnovni koncepti

    Na osnovu materijala uputstava Državne tehničke komisije Rusije, zaštitni zid (ME) je lokalni (jednokomponentni) ili funkcionalno distribuiran objekat (kompleks) koji prati informacije koje ulaze i/ili izlaze iz AS i osigurava zaštita AS filtriranjem informacija, odnosno njihovom analizom po skupu kriterijuma i donošenjem odluke o njenoj distribuciji u (iz) AU.

    Koristićemo koncepte firewall (FW), firewall, firewall, gateway sa dodatnim instaliranim softver firewall kao ekvivalent.

    Formalna postavka problema skrininga je sljedeća. Neka postoje dva skupa informacionih sistema. Ekran je sredstvo za razlikovanje pristupa klijenata iz jednog skupa serverima iz drugog skupa. Ekran obavlja svoje funkcije tako što kontroliše sve tokove informacija između dva skupa sistema (slika 1a). Kontrola tokova se sastoji u njihovom filtriranju, eventualno izvođenju nekih transformacija.


    1a. Ekran kao sredstvo razlikovanja pristupa.

    Na sljedećem nivou detalja, ekran (polupropusna membrana) se prikladno smatra nizom filtera. Svaki od filtera, nakon analize podataka, može ih odgoditi (ne preskočiti), a može odmah "izbaciti" sa ekrana. Osim toga, dozvoljena je transformacija podataka, prijenos dijela podataka na sljedeći filter za nastavak analize ili obrada podataka u ime primatelja i vraćanje rezultata pošiljaocu (slika 1b).


    Fig.1b. Ekran kao niz filtera

    Pored funkcija kontrole pristupa, ekrani bilježe razmjenu informacija.

    Firewall se nalazi između zaštićene (interne) mreže i spoljašnje okruženje(eksterne mreže ili drugi segmenti korporativne mreže). U prvom slučaju govore o spoljašnjem ME, u drugom - o unutrašnjem. Firewall je idealno mjesto za ugradnju sredstava aktivna revizija... ME je u stanju da realizuje proizvoljno snažnu reakciju na sumnjivu aktivnost, sve do prekida komunikacije sa spoljnim okruženjem.

    Preporučljivo je dodijeliti identifikaciju / autentifikaciju firewall-u eksternih korisnika potreban pristup korporativni resursi(sa podrškom za koncept jedinstvena prijava na mrežu).

    Na osnovu principa slojevitost odbrane za zaštitu eksterne veze obično se koristi dvokomponentna zaštita (sl. 2). Izvodi se primarno filtriranje (na primjer, paketi s određenim IP adresama uključenim u "crnu listu") granični ruter, iza kojeg se nalazi tzv demilitarizovana zona(mreža sa umjerenim sigurnosnim povjerenjem, gdje je eksterna informacione usluge organizacije - Web, e-mail, itd.) i glavni ME koji štiti interni dio korporativne mreže.

    Slika 2. Dvodijelni štit sa demilitariziranom zonom.

    U teoriji firewall (posebno interni) treba da bude multiprotokol Međutim, u praksi je dominacija TCP/IP porodice protokola toliko velika da se čini da je podrška za druge protokole pretjerana i štetna po sigurnost (što je usluga složenija, to je ranjivija).

    Vanjski i unutrašnji firewall mogu postati usko grlo od obima mrežni promet ima tendenciju brzog rasta. Jedan od pristupa rješavanju ovog problema uključuje podjelu ME na nekoliko hardverskih dijelova i organizovanje specijalizovanih proxy serveri... Glavni zaštitni zid može napraviti grubu klasifikaciju dolaznog saobraćaja po tipu i povjeriti filtriranje odgovarajućim posrednicima (na primjer, posredniku koji analizira HTTP promet). Odlaznim prometom prvo upravlja posrednički server koji može raditi i funkcionalno korisne radnje, kao što je keširanje stranica eksternih web servera, što smanjuje opterećenje mreže općenito, a posebno glavnog ME.

    Situacije kada korporativna mreža sadrži samo jedan eksterni kanal su prije izuzetak nego pravilo. Češće nego ne, korporativna mreža se sastoji od nekoliko geografski raspoređenih segmenata, od kojih je svaki povezan na Internet. U tom slučaju, svaka veza mora biti zaštićena vlastitim ekranom. Može se smatrati da je korporativni eksterni firewall kompozitni (distribuirani) i da je potreban za rješavanje problema koordinisane administracije svih komponenti.

    Postoje i lični ME uređaji dizajnirani za zaštitu pojedinačnih računara... Glavna razlika između osobnog firewall-a i distribuiranog je prisustvo centralizirane kontrolne funkcije.

    Vatrozid i njegove funkcije

    Ako se osobni zaštitni zidovi kontroliraju samo s računala na kojem su instalirani, i idealni su za kućnu upotrebu tada se distribuiranim zaštitnim zidovima može upravljati centralno sa jedne upravljačke konzole. Ove razlike su omogućile nekim proizvođačima da izdaju svoja rješenja u dvije verzije - osobne (za kućne korisnike) i distribuirane (za korporativne korisnike).

    Kako funkcionišu zaštitni zidovi

    Postoje dva glavna načina za kreiranje skupova pravila zaštitnog zida: "uključivo" i "isključivo". Vatrozid za izuzimanje dozvoljava prolazak cijelog prometa osim prometa koji odgovara skupu pravila. Omogućavanje zaštitnog zida radi na potpuno suprotan način. Dozvoljava samo promet koji odgovara pravilima i blokira sve ostalo.

    Inkluzivni zaštitni zidovi su općenito sigurniji od ekskluzivnih zaštitnih zidova jer uvelike smanjuju rizik od prolaska zaštitnog zida neželjenog prometa.

    Sigurnost se može dodatno poboljšati korištenjem "zaštitnog zida koji prati stanje". Takav zaštitni zid pohranjuje informacije o otvorenim vezama i dozvoljava samo promet otvorene veze ili otvaranje novih veza. Nedostatak zaštitnog zida sa stanjem je taj što može biti ranjiv na DoS napadi(Odbijanje usluge) ako se mnogo novih veza otvara vrlo brzo. Većina firewall-a dozvoljava kombinaciju ponašanja i ponašanja u kojem se nalazi stanje, što je optimalno za aplikacije u stvarnom svijetu.

    Broj incidenata vezanih za sigurnost informacija, prema vodećim analitičkim agencijama, u stalnom je porastu. Stručnjaci za sigurnost su primijetili sve veću aktivnost vanjskih napadača koji koriste najnoviju tehnologiju napada kako bi se infiltrirali u korporativne mreže kako bi izvršili svoja prljava djela.

    Broj incidenata vezanih za sigurnost informacija, prema vodećim analitičkim agencijama, u stalnom je porastu. Stručnjaci za sigurnost su primijetili sve veću aktivnost vanjskih napadača koji koriste najnoviju tehnologiju napada kako bi se infiltrirali u korporativne mreže kako bi izvršili svoja prljava djela. Oni nisu ograničeni na krađu informacija ili uništavanje mrežnih čvorova. Nije neuobičajeno da se kompromitovane mreže koriste za pokretanje novih napada. Dakle, zaštita perimetra informacioni sistem je potreban element sistemima sigurnost informacija organizacije.

    Istovremeno, da bi se utvrdio sastav komponenti zaštite perimetra koje osiguravaju minimalni (početni) nivo sigurnosti informacija, potrebno je analizirati najčešće prijetnje informacijskim resursima organizacije:
    mrežni napadi usmjereni na nedostupnost informacijskih resursa (na primjer, web serveri, servisi Email itd.) - DoS i DDoS napadi;
    kompromitovanje resursa informacija i eskalacija privilegija kako od insajdera tako i od eksternih napadača, kako u svrhu korištenja vaših resursa, tako i za nanošenje štete;
    radnje zlonamjernih programski kod(virusi, mrežni crvi, trojanci, špijunski softver, itd.);
    curenje povjerljiva informacija i krađu podataka kako putem mreže (e-mail, FTP, web, itd.), tako i putem eksterni mediji;
    razne mrežne napade na aplikacije.

    Da biste smanjili prijetnje po sigurnost informacija, potrebno je implementirati firewall različitim nivoima OSI modeli kao što je prikazano u tabeli.

    Table. Zaštitni zidovi i OSI modeli

    Rad svih zaštitnih zidova zasniva se na korištenju informacija iz različitih slojeva OSI modela (tabela). OSI model, koju je razvila Međunarodna organizacija za standardizaciju, definiše sedam nivoa na kojima kompjuterski sistemi međusobno komuniciraju - počevši od nivoa fizičko okruženje prijenos podataka i završava se nivoom aplikativni programi koristi za komunikaciju. V opšti slučajŠto je viši nivo OSI modela na kojem firewall filtrira pakete, to je viši nivo zaštite koji pruža.

    Može se birati sledećim metodama kontrola saobraćaja između lokalnih i eksternih mreža:
    1. Filtriranje paketa- na osnovu postavljanja seta filtera. U zavisnosti od toga da li dolazni paket zadovoljava uslove navedene u filterima, prosleđuje se mreži ili se odbacuje.
    2. Ova klasa routers je prevodilac TCP veza. Gateway prihvata zahtjev ovlaštenog klijenta za specifične usluge i nakon validacije tražene sesije, uspostavlja vezu sa odredištem (eksterni host). Gateway zatim kopira pakete u oba smjera bez filtriranja. U pravilu se odredište unaprijed postavlja, a izvora može biti mnogo. Koristeći razne luke, možete kreirati različite konfiguracije veze. Ovaj tip gateway vam omogućava da kreirate prevodilac TCP veze za bilo koju korisnički definisanu uslugu zasnovanu na TCP-u, da kontrolišete pristup ovoj usluzi i prikupljate statistiku o njenom korišćenju.
    3. Proxy server- instaliran između lokalne i eksterne mreže dodatni uređaj proxy server koji služi kao gateway kroz koji mora proći sav ulazni i odlazni promet. Statefulinspection- Inspekcija dolaznog saobraćaja je jedan od najnaprednijih načina za implementaciju firewall-a. Inspekcija ne znači analizirati cijeli paket, već samo njegov poseban ključni dio i unaprijed ga uporediti sa poznate vrednosti iz baze podataka dozvoljenih resursa. Ova metoda Pruža najviše performanse zaštitnog zida i najniže kašnjenje.

    Princip rada firewall-a zasniva se na kontroli saobraćaja koji dolazi spolja.

    Firewall se može implementirati u hardveru ili softveru. Konkretna implementacija zavisi od obima mreže, obima saobraćaja i neophodne zadatke... Najčešći tip zaštitnog zida je softverski. U ovom slučaju se implementira u obliku programa koji radi na ciljnom PC-u, ili kao granica mrežni uređaj na primjer ruter. U slučaju hardverskog izvršenja, zaštitni zid je poseban mrežni element koji obično ima visoke performanse, ali obavlja slične zadatke.

    Vatrozid vam omogućava da konfigurišete filtere koji su odgovorni za propuštanje saobraćaja prema sledećim kriterijumima:
    1. IP adresa. Kao što znate, svaki krajnji uređaj koji koristi IP protokol mora imati jedinstvenu adresu. Određivanjem adrese ili određenog raspona, možete odbiti primanje paketa od njih, ili, obrnuto, dozvoliti pristup samo sa ovih IP adresa.
    2. Ime domena. Kao što znate, web mjesto na Internetu, odnosno njegova IP adresa, može se povezati s alfanumeričkim imenom, koje je mnogo lakše zapamtiti nego skup brojeva. Dakle, filter se može konfigurirati tako da prosljeđuje promet samo na/iz jednog od resursa, ili odbija pristup njemu.
    3. Port. TO JE O softverski portovi, tj. pristupne tačke aplikacija mrežnim uslugama. Na primjer, ftp koristi port 21, a aplikacije za pretraživanje weba koriste port 80. Ovo vam omogućava da odbijete pristup neželjenim uslugama i mrežnim aplikacijama, ili, obrnuto, da dozvolite pristup samo njima.
    4. Protokol. Vatrozid se može konfigurisati da dozvoli prolaz samo jednom protokolu ili da odbije pristup koristeći ga. Tipično, tip protokola može govoriti o zadacima aplikacije koju koristi io skupu zaštitnih parametara. Dakle, pristup se može konfigurirati samo za rad bilo koje određene aplikacije i potencijalno spriječiti opasan pristup koristeći sve ostale protokole.

    Gore navedeni samo glavni parametri pomoću kojih se može izvršiti podešavanje. Također, mogu se primijeniti i drugi parametri za filtere, specifični za ovaj. specifične mreže, u zavisnosti od zadataka koji se u njemu obavljaju.

    Dakle, zaštitni zid pruža sveobuhvatan skup zadataka za sprječavanje neovlaštenog pristupa, oštećenja ili krađe podataka, ili na neki drugi način. negativan uticaj koji mogu uticati na performanse mreže. Obično se zaštitni zid koristi u kombinaciji s drugim sredstvima zaštite, na primjer, antivirusnim softverom.

    Kreiranje politike filtriranja za zaštitne zidove
    Postoje dva glavna načina za kreiranje skupova pravila zaštitnog zida: "uključivo" i "isključivo". Vatrozid za izuzimanje dozvoljava prolazak cijelog prometa osim prometa koji odgovara skupu pravila. Omogućavanje zaštitnog zida radi na potpuno suprotan način. Dozvoljava samo promet koji odgovara pravilima i blokira sve ostalo.

    Inkluzivni zaštitni zid pruža mnogo više kontrole odlaznog saobraćaja... Dakle, inkluzivni zaštitni zid je najbolji izbor za sisteme koji pružaju usluge na Internetu. Također kontrolira vrstu prometa koji potiče izvana i usmjeren je na vašu privatnu mrežu. Saobraćaj koji nije uključen u pravila je blokiran, a odgovarajući unosi se unose u datoteku evidencije. Inkluzivni zaštitni zidovi su općenito sigurniji od ekskluzivnih zaštitnih zidova jer uvelike smanjuju rizik od prolaska zaštitnog zida neželjenog prometa.

    Sigurnost se može dodatno poboljšati korištenjem "zaštitnog zida koji prati stanje". Takav zaštitni zid zadržava informacije o otvorenim vezama i dozvoljava promet samo preko otvorenih veza ili otvaranje novih veza. Nedostatak zaštitnog zida sa stanjem je taj što može biti ranjiv na napade uskraćivanja usluge (DoS) ako se mnogo novih veza otvori vrlo brzo. Većina zaštitnih zidova dozvoljava kombinaciju ponašanja bez stanja i stanja kako bi se stvorila optimalna konfiguracija za svaki određeni sistem.

    Kao primjer, razmislite o kreiranju pravila filtera u jednostavnom filteru paketa. Postoji nekoliko mogućih opcija za filtriranje paketa. Najjednostavnije je ciljano filtriranje; sastoji se u poređenju adresa u paketu sa adresama navedenim u pravilima. Ako se adrese poklapaju, paket se preskače. Ovo poređenje se radi na sljedeći način:

    1. Možete razmotriti sledeće pravilo: svi hostovi na 10.1.x.x mreži mogu komunicirati sa hostovima na 10.2.x.x mreži. Ovo pravilo je napisano na sljedeći način:

    10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
    ——- Izvor —— —— Odredište ——

    Sada možete primijeniti pravilo na paket koji se šalje sa hosta 10.1.1.2 na host 10.3.7.7. Primijenimo masku na obje adrese - adresu u pravilu i adresu u paketu. Zatim provjerava da li su izvorna i odredišna adresa iste. Kao rezultat, imaćemo:

    Za izvornu adresu:

    10.1.0.0 & 255.255.0.0 = 10.1.0.0 (za pravilo)
    10.1.1.2 & 255.255.0.0 = 10.1.0.0 (za paket)

    Nakon nanošenja maske, obje adrese se poklapaju. Sada provjerimo odredišnu adresu:

    10.2.0.0 & 255.255.0.0 = 10.2.0.0 (za pravilo)
    10.3.7.7 & 255.255.0.0 = 10.3.0.0 (za paket)

    Pošto se odredišne ​​adrese paketa i pravila nakon primjene maske ne poklapaju, ovo pravilo ne treba primjenjivati ​​na ovaj paket.

    Ova operacija se izvodi na cijeloj listi izvornih i odredišnih adresa i maski sve dok se ne dostigne kraj liste ili dok paket ne odgovara jednom od pravila. Lista pravila ima sljedeći format:

    10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
    10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
    10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
    10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

    Pored izvorne i odredišne ​​adrese, svaki IP paket sadrži informacije o korištenom protokolu i usluzi. Može se koristiti kao dodatni parametar filtracija.

    Na primjer, usluge u TCP protokol uvijek povezan s portom. Kao rezultat, možete upariti listu portova sa adresama.

    Uzmimo za primjer dva dobro poznata servisa - POP3 i HTTP. POP3 koristi port 110, a HTTP port 80. Stoga možemo dodati ove portove u opis pravila. Kao rezultat, dobijamo:

    10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
    —— Izvor —— —— Odredište —— Protokol - Portovi -

    Ovo pravilo dozvoljava da svaki paket koji putuje od mreže 10.1.x.x do mreže 10.2.x.x koristeći HTTP i POP3 usluge prođe kroz zaštitni zid.

    Prvo se upoređuju adrese iz pravila sa adresama paketa. Ako se nakon maskiranja obje adrese podudaraju, protokol i odredišni port u paketu će se uporediti s protokolom i listom portova opisanih u pravilu. Ako se protokol poklapa, a port u pravilu je isti kao i port paketa, onda se takav paket podudara s pravilom. U suprotnom, pretraga će se nastaviti na listi pravila.

    S obzirom na ovo nove informacije skup pravila će imati sljedeći format:

    10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
    10.3.3.2 & 255.255.255.255 - 10.1.2.1 & 255.255.255.255 TCP 80
    10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
    10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8

    Pored ovih osnovnih parametara filtriranja, možete dodati još nekoliko. Jedan od njih je izvorni mrežni interfejs; koristeći naziv mrežnog sučelja kao parametar filtriranja, možete dozvoliti prolaz paketa s određenim adresama samo odostraga ovaj interfejs.

    Svrha ove procedure je blokiranje napada poznatog kao IP lažiranje, što u suštini uključuje interna mrežašalje se paket sa lažnom izvornom adresom (sa interne mreže). Koristeći naziv mrežnog interfejsa kao parametar, možete lako blokirati ovu vrstu napada. Na primjer, ako interna mreža komunicira sa firewall-om preko de0 sučelja, tada je potrebno samo u pravilima postaviti da se paketi sa izvornom adresom iz interne mreže prihvataju samo ako dolaze iz ovog interfejsa; u svim ostalim slučajevima, oni će biti odbačeni.

    U Odnoklassniki

    Prilikom povezivanja korporativne mreže na globalne mreže, potrebno je razgraničiti pristup zaštićenoj mreži od globalna mreža i iz zaštićene mreže u globalnu mrežu, kao i za zaštitu povezane mreže od neovlaštenog udaljenog pristupa iz globalne mreže. Istovremeno, organizacija je zainteresovana da sakrije informacije o strukturi svoje mreže i njenim komponentama od korisnika globalne mreže. Rad sa udaljenim korisnicima zahtijeva postavljanje strogih ograničenja pristupa informacijskim resursima zaštićene mreže.

    Organizacija često treba da ima nekoliko segmenata sa različitim nivoima bezbednosti kao deo korporativne mreže:

    Slobodno dostupni segmenti (npr. oglašavanje VWW-cepBep-a);

    O segment sa ograničen pristup(na primjer, za pristup zaposlenicima organizacije sa udaljenih lokacija);

    Privatni segmenti (na primjer, finansijska lokalna podmreža organizacije).

    Za povezivanje se mogu koristiti zaštitni zidovi razne šeme, koji zavise od uslova funkcionisanja zaštićene mreže, kao i od broja mrežnih interfejsa i drugih karakteristika korišćenog ME. Sljedeće šeme povezivanja firewall-a se široko koriste:

    O šemama zaštite mreže pomoću zaštitnog rutera;

    O jedinstvenoj šemi zaštite lokalna mreža;

    O shemama sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama;

    O shemama sa odvojenom zaštitom zatvorenih i otvorenih podmreža.

    Šema zaštite pomoću zaštitnog rutera. Zaštitni zid za filtriranje paketa je najčešći i najjednostavniji za implementaciju. Sastoji se od zaštitnog rutera koji se nalazi između zaštićene mreže i potencijalno neprijateljske otvorene vanjske mreže (slika 8.10). Zaštitni ruter (filter paketa) je konfigurisan da blokira ili filtrira dolazne i odlazne pakete na osnovu analize njihovih adresa i portova.

    Računari na zaštićenoj mreži imaju direktan pristup Internetu, dok je većina pristupa Internetu njima blokirana.

    Opasne usluge kao što su X Windows, NIS i NFS su često blokirane. U principu, zaštitni ruter može nametnuti bilo koju od ranije opisanih sigurnosnih politika. Međutim, ako ruter ne filtrira pakete prema izvornom portu i brojevima ulaznih i odlaznih portova, onda implementacija politike "zabrani sve što nije izričito dozvoljeno" može biti teška.

    Zaštitni zidovi za filtriranje paketa pate od istih nedostataka kao i zaštitni ruteri, a ovi nedostaci postaju sve izraženiji kako sigurnosni zahtjevi zaštićene mreže postaju stroži. Navedimo neke od njih:

    Složenost pravila filtriranja; u nekim slučajevima, kombinacija ovih pravila može postati neizvodljiva;

    O nemogućnosti potpunog testiranja pravila filtriranja; ovo ostavlja mrežu nezaštićenom od neprovjerenih napada;

    Praktično odsutne mogućnosti registracije događaja; kao rezultat, administratoru je teško odrediti da li je ruter napadnut ili kompromitovan.

    Dijagrami povezivanja za višestruke firewall mrežna sučelja... Šeme zaštite sa ME sa jednim mrežnim interfejsom (slika 8.11) nisu dovoljno efikasne kako sa stanovišta bezbednosti tako i sa stanovišta lakoće konfiguracije. Oni fizički ne razlikuju interne i eksterne mreže i, shodno tome, ne mogu da obezbede pouzdana zaštita internetworking... Konfigurisanje takvih zaštitnih zidova, kao i pridruženih rutera, prilično je težak zadatak, čija cijena rješavanja premašuje cijenu zamjene ME s jednim mrežnim interfejsom sa ME sa dva ili tri mrežna interfejsa. Stoga ćemo u nastavku detaljnije razmotriti dijagrame povezivanja za firewall sa dva i tri mrežna sučelja.

    Zaštićenu lokalnu mrežu poželjno je predstaviti kao skup zatvorenih i otvorenih podmreža. Ovdje ispod otvorena podmreža se shvata kao podmreža kojoj pristup sa strane potencijalno neprijatelja eksternu mrežu mogu biti potpuno ili djelimično otvoreni. Otvorena podmreža može uključivati, na primjer, javne WWW, FTP i SMTP servere, kao i terminalski server sa skupom modema.

    Među mnogim mogućim shemama ME povezivanja, tipične su sljedeće:

    O šemi objedinjene zaštite lokalne mreže;

    O šema sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama;

    Šema sa odvojenom zaštitom za zatvorene i otvorene podmreže.

    Jedinstvena shema zaštite za lokalnu mrežu. Ova šema je najviše jednostavno rješenje(Slika 8.12), u kojoj ME u potpunosti štiti lokalnu mrežu od potencijalno neprijateljske vanjske mreže. Postoji samo jedna staza između rutera i ME, duž koje ide sav promet. Ova opcija DOE sprovodi bezbednosnu politiku zasnovanu na principu „zabranjeno je sve što nije izričito dozvoljeno“; u ovom slučaju, svi servisi su nedostupni korisniku, osim onih za koje su definirane odgovarajuće dozvole. Obično je ruter konfigurisan tako da je ME jedina mašina vidljiva spolja.

    Otvoreni serveri na lokalnoj mreži će također biti zaštićeni zaštitnim zidom. Međutim, kombinovanje servera dostupnih sa eksterne mreže sa drugim resursima zaštićene lokalne mreže značajno smanjuje sigurnost umrežavanja. Zbog toga ovu šemu ME veze se mogu koristiti samo ako ne postoji lokalna mreža otvoreni serveri ili kada su postojeći otvoreni serveri dostupni samo sa vanjske mreže za ograničen broj korisnicima kojima možete vjerovati.

    Pošto zaštitni zid koristi host, na njega se mogu instalirati programi za jaku autentifikaciju korisnika. Firewall takođe može evidentirati pristup, pokušaje sondiranja i sistemske napade, koji će otkriti akcije uljeza.

    Za neke mreže, nedostatak fleksibilnosti u šemi zaštite zaštitnog zida sa dvostrukim interfejsom može biti neprihvatljiv.

    Šema sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama. Ako lokalna mreža sadrži javno dostupne otvorene servere, preporučljivo je premjestiti ih kao otvorenu podmrežu na firewall (slika 8.13). The


    Rice. 8.11


    Rice. 8.12.


    Rice. 8.13.

    metoda ima veću sigurnost zatvorenog dijela lokalne mreže, ali pruža smanjenu sigurnost otvorenih servera koji se nalaze prije firewall-a.

    Neki ME-ovi vam omogućavaju da sami hostujete ove servere. Međutim, takvo rješenje nije najbolje sa stanovišta sigurnosti samog ME i pokretanja računara. Preporučljivo je koristiti shemu ME veze sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama samo sa niskim sigurnosnim zahtjevima za otvorenu podmrežu.

    Ako se nametnu povećani zahtjevi za sigurnost otvorenih servera, tada je potrebno koristiti šemu sa odvojenom zaštitom zatvorenih i otvorenih podmreža.

    Šeme sa odvojenom zaštitom za zatvorene i otvorene podmreže. Takva šema se može izgraditi baziran na jednom ME sa tri mrežna interfejsa(sl. 8.14) ili baziran na dva ME sa dva mrežna interfejsa(sl. 8.15). U oba slučaja, pristup javnim i privatnim podmrežama lokalne mreže moguć je samo preko firewall-a. Međutim, pristup otvorenoj podmreži ne dozvoljava pristup zatvorenoj podmreži.

    Od ove dvije sheme, shema sa dva ME pruža veći stepen sigurnosti za interkonekciju, od kojih svaka čini poseban ešalon zaštite zatvorene podmreže. Zaštićena otvorena podmreža ovdje djeluje kao zaštitna podmreža.

    Obično je zaštitna podmreža konfigurisana da omogući pristup računarima na podmreži i sa potencijalno neprijateljske eksterne mreže i iz privatne podmreže na lokalnoj mreži. Međutim, direktna razmjena informativni paketi između vanjske mreže i zatvorene podmreže nije moguće. Prilikom napada na sistem sa zaštićenom podmrežom, potrebno je savladati najmanje dvije nezavisne linije odbrane, što je vrlo izazovan zadatak... Alati za praćenje zdravlja zaštitnog zida gotovo uvijek otkriju takav pokušaj, a administrator sistema može pravovremeno preduzeti korake. neophodne radnje kako bi se spriječio neovlašteni pristup.

    Treba napomenuti da je rad udaljeni korisnici dial-up veze se takođe moraju kontrolisati u skladu sa bezbednosnom politikom organizacije. Tipično rješenje ovaj zadatak je instaliranje servera za daljinski pristup (terminal server), koji ima potrebne funkcionalnost, na primjer, Apple terminal server kompanije Wow Xe1yor1". Terminal Server je sistem sa više asinhronih portova i jednim LAN interfejsom. Razmjena informacija između asinkronih portova i lokalne mreže vrši se tek nakon odgovarajuće autentifikacije vanjskog korisnika.

    Terminalni server mora biti povezan na način da se njegov rad obavlja isključivo preko firewall-a. Ovo vam omogućava da postignete potreban nivo sigurnosti kada radite sa udaljenim korisnicima. informacionih resursa organizacije. Takva veza je moguća,


    Rice. 8.14.

    sa tri mrežna interfejsa


    Rice. 8.15.

    ako je terminalski server uključen u otvorenu podmrežu kada se koriste sheme povezivanja ME sa odvojenom zaštitom otvorene i zatvorene podmreže.

    Softver terminalskog servera mora pružiti mogućnost administriranja i kontrole komunikacijskih sesija preko dial-up kanala. Moderni upravljački moduli terminalski serveri imaju dovoljno razvijene mogućnosti da osiguraju sigurnost samog servera i diferencijaciju pristupa klijenta i obavljaju sljedeće funkcije:

    O upotrebi lokalna lozinka za pristup serijski port, on daljinski pristup putem PPP protokola, kao i za pristup administrativnoj konzoli;

    O korištenju zahtjeva za provjeru autentičnosti s bilo kojeg stroja na lokalnoj mreži; O upotrebi eksterna sredstva autentikacija;

    O instalaciji liste kontrole pristupa na portovima terminal servera;

    O evidentiranju komunikacijskih sesija preko terminalskog servera.

    analiza i filtriranje mrežnih paketa koji prolaze kroz njega. U zavisnosti od utvrđenih pravila, ME dozvoljava ili uništava pakete, dozvoljavajući ili odbijajući na ovaj način mrežne veze... ME je klasično sredstvo zaštite perimetra računarske mreže: instalira se na granici između interne (zaštićene) i eksterne (potencijalno opasne) mreže i kontroliše veze između čvorova ovih mreža. Ali postoje i druge sheme povezivanja, o kojima će biti riječi u nastavku.

    Engleski izraz koji se koristi za ME je firewall. Stoga se u literaturi zaštitni zidovi ponekad nazivaju i firewall ili firewall (njemački izraz, analogno firewall).

    Kao što je već napomenuto, filtriranje se vrši na osnovu pravila. Najsigurnijim pristupom pri formulisanju pravila za DOE smatra se da je zabranjeno "sve što nije izričito dozvoljeno". U ovom slučaju, mrežni paket provjerava se u skladu s dopuštenim pravilima, a ako se ne pronađu, odbacuje se. Ali u nekim slučajevima se primjenjuje i suprotan princip: „dozvoljeno je sve što nije izričito zabranjeno“. Zatim se vrši provjera usklađenosti sa pravilima zabrane, a ako se takva pravila ne pronađu, paket će biti preskočen.

    Filtriranje se može izvršiti na različitim nivoima referentnog modela umrežavanje OSI. Na osnovu toga, ME se dijele u sljedeće klase [,]:

    • shielding router;
    • transport za zaštitu (gateway na nivou sesije);
    • shielding gateway (gateway sloja aplikacije).

    Zaštitni ruter(ili filter paketa) radi mrežni sloj OSI model, ali također može koristiti informacije iz zaglavlja protokola transportnog sloja za obavljanje provjera. U skladu s tim, filtriranje se može izvršiti po ip adresama pošiljaoca i primaoca, te po TSR i UDP portovima. Takve ME se odlikuju visokim performanse i relativna jednostavnost - funkcionalnost filteri paketačak i najjednostavniji i najjeftiniji hardverski ruteri sada imaju. Istovremeno, ne štite od mnogih napada, na primjer, onih koji se odnose na zamjenu sudionika veze.

    Gateway sloja sesije radi na sloju sesije OSI modela i također može pratiti informacije o mreži i transportnom sloju. Shodno tome, pored gore navedenih mogućnosti, takav ME može kontrolisati proces uspostavljanja veze i provjeriti da li prolaze pakete pripadaju dozvoljenim vezama.

    Gateway sloja aplikacije može analizirati pakete na svim slojevima OSI modela od mreže do aplikacije, što pruža najviše visoki nivo zaštita. Pored prethodno navedenih, postoje mogućnosti kao što su autentifikacija korisnika, analiza naredbi protokola na nivou aplikacije, provjera prenesenih podataka (na prisutnost kompjuterski virusi, usklađenost sa sigurnosnom politikom) itd.

    Razmotrimo sada pitanja vezana za instalaciju ME. On pirinač. 6.1 prikazani su tipični ME spojni dijagrami. U prvom slučaju ( pirinač. 6.1), ME se instalira iza rutera i štiti cijelu internu mrežu. Ovakva šema se koristi ako su zahtjevi u području zaštite od neovlaštenog pristupa firewall-u približno isti za sve čvorove interne mreže. Na primjer, "dozvolite veze sa interne mreže na vanjsku mrežu i suzbijajte pokušaje povezivanja s vanjske mreže na internu mrežu." U slučaju da su zahtjevi za različite stranice različiti (na primjer, potrebno je postaviti mail server na koji se možete povezati „spolja“), takva šema instalacije firewall-a nije dovoljno sigurna. Ako je u našem primjeru uljez, kao rezultat implementacije mrežni napad, će dobiti kontrolu nad navedenim mail server, preko njega može dobiti pristup drugim čvorovima interne mreže.

    U takvim slučajevima, ponekad se ispred ME kreira otvoreni segment mreže preduzeća ( 6.1b), a ME štiti ostatak interne mreže. Nedostatak ove šeme je što ME ne kontroliše veze sa čvorovima otvorenog segmenta.

    Poželjnije u u ovom slučaju je korištenje ME sa tri mrežna sučelja ( 6.1c). U ovom slučaju, ME je konfigurisan na način da su pravila za pristup internoj mreži stroža od onih za otvoreni segment. Istovremeno, i ta i druga jedinjenja mogu se kontrolisati od strane ME. Otvoreni segment u ovom slučaju se ponekad naziva "demilitarizovana zona" - DMZ.

    Razmatra se još pouzdanija shema u kojoj dva nezavisno konfigurabilna ME ( 6.1d). U ovom slučaju, ME 2 implementira stroži skup pravila filtriranja u odnosu na ME1. Čak ni uspješan napad na prvi ME neće učiniti internu mrežu bespomoćnom.

    V novije vrijeme Opcija instaliranja softvera ME direktno na zaštićeni računar postala je široko rasprostranjena. Ponekad se takav ME naziva "ličnim". Ova shema vam omogućava da se zaštitite od prijetnji ne samo s vanjske mreže, već i iz unutrašnje.

    Top srodni članci

    Operater podružnice
    Operater poslovnice "Select Case"
    Kako se neuparene oznake razlikuju od uparenih oznaka?
    Kako se neuparene oznake razlikuju od uparenih oznaka?
    Kondenzatori Razlika potencijala između ploča kondenzatora sa kapacitivnošću
    Kondenzatori Razlika potencijala između ploča kondenzatora sa kapacitivnošću
    Kategorije:
    © 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.