Kako bi se spriječio neovlašteni pristup Internetu, ME bi trebao biti smješten između zaštićene mreže organizacije, koja je interna, i potencijalno neprijateljske vanjske mreže (slika 9.1). Štoviše, sve interakcije između ovih mreža trebale bi se provoditi samo kroz ME. Organizacijski, ME je dio zaštićene mreže.
Riža. 9.1. Dijagram povezivanja između vatrozida MI
ME, koji štiti mnoge čvorove interne mreže odjednom, dizajniran je za rješavanje:
‣‣‣ zadatak ograničavanja pristupa vanjskih (u odnosu na zaštićenu mrežu) korisnika internim resursima korporativna mreža... Ti korisnici uključuju partnere, udaljene korisnike, hakere, pa čak i zaposlenike same tvrtke koji pokušavaju pristupiti poslužiteljima baze podataka koje štiti DOE;
‣‣‣ zadatak razgraničenja pristupa korisnika zaštićenoj mreži na vanjski resursi... Rješavanje ovog problema omogućuje, primjerice, reguliranje pristupa poslužiteljima koji nisu obvezni za obavljanje službenih dužnosti.
Do sada ne postoji jedinstvena općeprihvaćena klasifikacija ME. Mogu se klasificirati, na primjer, prema sljedećim glavnim karakteristikama.
Funkcioniranjem na razinama OSI modela:‣‣‣ filter paketa (zaštićeni usmjerivač -screening router); ‣‣‣ pristupnik na razini sesije (zaštitni transport);‣‣‣ pristupnik aplikacije (aplikacijski pristupnik); ‣‣‣ pristupnik na razini stručnjaka (vatrozid za inspekciju stanja).
Prema korištenoj tehnologiji:‣‣‣ praćenje statusa protokola (državna inspekcija); ‣‣‣ na temelju posredničkih modula (proxy).
Izvođenjem:‣‣‣ hardver i softver;‣‣‣ softver.
Prema dijagramu povezivanja:‣‣‣ shema objedinjene mrežne zaštite;‣‣‣ shema sa zaštićenim zatvorenim i nezaštićenim otvorenim segmentima mreže;‣‣‣ shema s odvojenom zaštitom zatvorenih i otvorenih segmenata mreže.
Namjena vatrozida Vatrozid ili vatrozid je skup hardvera odn softverski alati, koji prati i filtrira mrežne pakete koji prolaze kroz njega u skladu s navedenim pravilima. Glavni zadatak mreže… [pročitaj više].
Vatrozid
U praksi, često zatvoreni korporativni distribuirani i skupi CS-ovi povezani su s javnim mrežama kao što je Internet. Načini interakcije između korisnika zatvorenog DCS-a s javno dostupnim sustavom mogu biti različiti:
- kontaktiraju uz pomoć javno dostupnog DCS-a jedinstveni sustav zatvoreni segmenti korporativni sustav ili udaljeni pretplatnici;
- zatvoreni DCS korisnici komuniciraju s pretplatnicima javna mreža.
U prvom načinu rada, problem autentifikacije pretplatnika (procesa) koji su u interakciji riješen je mnogo učinkovitije nego u drugom načinu. To je zbog mogućnosti korištenja enkripcije pretplatnika u interakciji COP-a jedne korporativne mreže.
Ako pretplatnici javne mreže ne koriste korisničku enkripciju, tada je to gotovo nemoguće osigurati jaka autentifikacija procesi, povjerljivost informacija, zaštita od zamjene i neovlaštene izmjene poruka.
Za blokiranje prijetnji koje proizlaze iz javno dostupnog sustava koristi se poseban softver ili hardversko-softverski alat, tzv. vatrozida(Vatrozid) (slika 34). Vatrozid se u pravilu implementira na namjenskom računalu preko kojeg je zaštićeni DCS (njegov fragment) spojen na javnu mrežu.
 |
Vatrozid provodi kontrolu nad informacijama koje ulaze u zaštićeni DCS i (ili) izlaze iz zaštićenog sustava.
Vatrozid ima četiri funkcije:
- filtriranje podataka;
- korištenje zaštitnih sredstava;
- prijevod adresa;
- registracija događaja.
Glavna funkcija vatrozida je filtracija ulazni (izlazni) promet. Ovisno o stupnju sigurnosti korporativne mreže, mogu se postaviti različita pravila filtriranja. Pravila filtriranja se uspostavljaju odabirom niza filtara koji dopuštaju ili odbijaju prijenos podataka (paketa) do sljedećeg sloja filtra ili protokola.
Vatrozid obavlja filtriranje na razini kanala, mreže, transporta i aplikacije. Kako velika količina razine koje zaslon pokriva, to je savršeniji. Vatrozidovi dizajnirani za zaštitu informacija visokog stupnja važnosti trebaju osigurati:
- filtriranje prema adresama pošiljatelja i primatelja (ili prema drugim ekvivalentnim atributima);
- filtriranje paketa servisnih protokola koji se koriste za dijagnosticiranje i kontrolu rada mrežnih uređaja;
- filtriranje uzimajući u obzir ulazno i izlazno mrežno sučelje kao sredstvo provjere autentičnosti mrežnih adresa;
- filtriranje uzimajući u obzir sva značajna polja mrežnih paketa;
- filtriranje zahtjeva za uspostavljanje na razini transporta virtualne veze;
- filtriranje zahtjeva na razini aplikacije za aplikacijske usluge;
- filtriranje na temelju datuma i vremena;
- mogućnost skrivanja subjekata pristupa zaštićenim računalna mreža;
- sposobnost prevođenja adresa.
Vatrozid može koristiti zaštitna sredstva(proxy poslužitelji), koji su posrednički programi i omogućuju uspostavljanje veze između subjekta i objekta pristupa, a zatim prosljeđuju informacije, vršeći kontrolu i registraciju.
Tema 3. Osnovne tehnologije mrežne sigurnosti
Dodatna funkcija zaštitnog agenta je sakriti pravi objekt od pristupnika. Djelovanje zaštitnog sredstva transparentno je za sudionike interakcije.
Funkcija prijevodi adresa vatrozid je dizajniran da sakrije prave interne adrese od vanjskih pozivatelja. To vam omogućuje da sakrijete topologiju mreže i korištenje više adrese ako nisu dodijeljene dovoljno za zaštićenu mrežu.
Vatrozid radi registracija događaja u posebnim časopisima. Moguće je konfigurirati zaslon za prijavu s potpunošću potrebnom za određenu aplikaciju. Analiza zapisa omogućuje bilježenje pokušaja kršenja utvrđenih pravila za razmjenu informacija u mreži i identificiranje napadača.
Zaslon nije simetričan. Razlikuje pojmove: "izvana" i "iznutra". Štit štiti unutrašnjost od nekontroliranog i potencijalno neprijateljskog vanjskog okruženja. Istodobno, zaslon vam omogućuje da razgraničite pristup objektima javne mreže od subjekata zaštićene mreže. U slučaju kršenja ovlasti, rad subjekta pristupa je blokiran, i sve potrebne informacije upisuje se u dnevnik. Vatrozidovi se također mogu koristiti unutar sigurnih korporativnih mreža. Ako DCS ima fragmente mreže s različitim stupnjevima povjerljivosti informacija, tada je preporučljivo odvojiti takve fragmente vatrozidima. U ovom slučaju, zasloni se nazivaju unutarnjim.
Ovisno o stupnju povjerljivosti i važnosti informacija, uspostavlja se 5 klasa zaštite vatrozida. Svaku klasu karakterizira određeni minimalni skup zahtjeva za zaštitu informacija. Najniža klasa sigurnosti je peta, a najviša prva. Prvoklasni vatrozid instalira se prilikom obrade informacija s pečatom "posebne važnosti".
Preporučljivo je izvršiti vatrozide u obliku specijalizirani sustavi... To bi trebalo povećati performanse takvih sustava (sva se razmjena odvija preko ekrana), kao i povećati sigurnost informacija pojednostavljenjem strukture. S obzirom na važnost vatrozida u osiguravanju sigurnosti informacija u cijeloj zaštićenoj mreži, pred njih se postavljaju visoki zahtjevi u pogledu kontrole pristupa, osiguravanja integriteta informacija, nadoknadivosti, testiranja itd. Administrator osigurava rad vatrozida. Poželjno radno mjesto postavite administratora izravno na vatrozid, što pojednostavljuje identifikaciju i autentifikaciju administratora, a također pojednostavljuje provedbu administrativnih funkcija.
U mrežama s visokim tečajem, vatrozid se može implementirati na dva ili više računala, koje je preporučljivo postaviti na jednom objektu. Funkcije vatrozida i pristupnika (mosta) mogu se implementirati na jednom CS-u. U praksi često fragmenti zaštićene mreže međusobno komuniciraju putem javne mreže. Svi su fragmenti povezani na javnu mrežu putem vatrozida.
Znanstveno-tehnološki napredak danas ide velikom brzinom, jer jučer još nismo mogli sa sigurnošću reći što je računalo, a danas razgovaramo o načinima kako da ga osiguramo, a ovih načina sada ima na pretek. Međutim, koji su pouzdaniji, korisnici obično uče iz vlastitog, ponekad negativnog, iskustva. Danas ćemo govoriti o jednom od načina koji će vam pomoći u zaštiti vašeg računala - vatrozidu.
Što je vatrozid?
Prije godinu dana 90% korisnika interneta nije moglo sa sigurnošću reći što je vatrozid ili kako se na drugi način zove vatrozid. Danas je tržište internetske tehnologije prepuno raznih plaćenih i besplatne verzije ovog programa, jer je u uvjetima stalne pojave virusa rad računala bez vatrozida jednostavno nemoguć. Možda ne znaju svi, ali računalo spojeno na Internet bez instaliranog vatrozida zarazi se virusima doslovno za nekoliko sati.
Usput, jedna od besplatnih vrsta ovog programa je Zone Alarm, koja je sasvim prikladna za korisnika s kućnim računalom. Prilično je pouzdan, ali ne biste trebali biti potpuno sigurni u to, jer profesionalni hakeri pronaći sve više i više ranjivosti u postojećim operativnim sustavima.
Princip razmjene informacija
Vrijeme je da saznamo kako naša računala primaju zaražene informacije izvana. A sve se događa nakon što se računalo spoji na Internet i dobije svoju IP adresu. Ovu adresu ne bi trebao znati nitko osim vas i vašeg davatelja usluga. A onda vaše računalo šalje zahtjev drugom i daje vam njegovu adresu. Nakon toga dolazi do razmjene podataka, a ne zna se kolika je vjerojatnost da baš u ovom trenutku ne primate zaražene datoteke.
Dakle, već ste shvatili da za hakiranje vašeg računala morate znati njegovu IP adresu. Naravno, redovito razmjenjujete adrese s drugim računalima, to je neophodno za rad na internetu. Međutim, ako koristite pouzdane resurse, njihovi vlasnici neće hakirati u vaše računalo niti drugima otkriti adrese korisnika.
Iako uvijek postoje rupe za hakere: postoje posebne programe birajući upravo one mrežne adrese, na kojima su računala navedena. Ovdje dolazi vatrozid.
Potreba za vatrozidom
Općenito, vatrozid ima dvije svrhe. Sada ćemo razgovarati o njima.
1. Zaštita vašeg računala od curenja informacija.
Sada, kao što znate, razne Trojanski virusi ili, kako to zovu, "trojanci". Ako trojanac uđe u računalo, može ukrasti lozinke i ostalo važna informacija, ili nekom drugom dajte mogućnost daljinskog upravljanja vašim računalom. Vatrozid, s druge strane, omogućuje rad s mrežom samo za neke njemu poznate programe, kao npr klijent pošte, preglednik itd. Ako ne poznaje program, ili će od vas tražiti dopuštenje za pristup mreži ili će vam uskratiti pristup bez vašeg dopuštenja.
2. Zaštita od prodora u računalo izvana.
Ponekad neki OS, na primjer, isti Windows, neka nekoliko portova bude otvoreno.
Studentski dokument # 098756 iz INTUIT-a
To znači da se kroz njih mogu širiti razne mrežne infekcije. Stoga, luke treba zatvoriti i učiniti nevidljivima. I tada će vaše računalo postati nevidljivo i nitko ga neće napadati.
Međutim, iskusni hakeri i dalje mogu dobiti adresu vašeg računala, čak i ako su svi portovi nevidljivi. Stoga je još jedan zadatak mreže zaslon vatrozida- učinite portove nevidljivima i zatvorite ih, tada se smanjuje vjerojatnost hakiranja.
Datum objave: 13-01-2011, 23:53
123456Sljedeća ⇒
Zaštita i vatrozidovi
Osnovni koncepti
Prema smjernicama Državnog tehničkog povjerenstva Rusije, vatrozid (ME) je lokalno (jednokomponentno) ili funkcionalno distribuirano postrojenje (kompleks) koje prati informacije koje ulaze u NPP i/ili izlaze iz NPP-a i pruža zaštitu NPP filtriranjem informacija, odnosno njegovom analizom po skupu kriterija i donošenjem odluka o njihovoj distribuciji u (iz) AU.
Koristit ćemo koncepte firewall (FW), firewall, firewall, gateway s dodatnim instaliranim softver firewall kao ekvivalent.
Formalna postavka problema probira je sljedeća. Neka postoje dva skupa informacijskih sustava. Zaslon je sredstvo za razlikovanje pristupa klijenata iz jednog skupa poslužiteljima iz drugog skupa. Zaslon obavlja svoje funkcije kontrolirajući sve tokove informacija između dva skupa sustava (slika 1a). Kontroliranje tokova sastoji se u njihovom filtriranju, eventualno izvođenju nekih transformacija.
Slika 1a. Zaslon kao sredstvo razlikovanja pristupa.
Na sljedećoj razini detalja, zaslon (polupropusna membrana) prikladno se smatra nizom filtara. Svaki od filtara, nakon analize podataka, može ih odgoditi (ne preskočiti), a može odmah "izbaciti" sa ekrana. Osim toga, dopuštena je transformacija podataka, prijenos dijela podataka u sljedeći filter za nastavak analize ili obrada podataka u ime primatelja i vraćanje rezultata pošiljatelju (slika 1b).
sl.1b. Zaslon kao niz filtara
Osim funkcija kontrole pristupa, zasloni bilježe razmjenu informacija.
Vatrozid se nalazi između zaštićene (interne) mreže i vanjsko okruženje(vanjske mreže ili drugi segmenti korporativne mreže). U prvom slučaju govore o vanjskom ME, u drugom - o unutarnjem. Vatrozid je idealno mjesto za ugradnju sredstava aktivna revizija... ME je sposoban realizirati proizvoljno snažnu reakciju na sumnjivu aktivnost, sve do prekida komunikacije s vanjskim okruženjem.
Preporučljivo je dodijeliti identifikaciju / autentifikaciju vatrozidu vanjski korisnici treba pristup korporativni resursi(s podrškom za koncept jedinstvena prijava na mrežu).
Na temelju načela slojevitost obrane za stražu vanjske veze obično se koristi dvokomponentna zaštita (sl. 2). Provodi se primarno filtriranje (na primjer, paketi s određenim IP adresama uključenim u "crni popis") granični usmjerivač, iza kojeg se nalazi tzv demilitarizirano područje(mreža s umjerenim sigurnosnim povjerenjem, gdje je vanjska informacijske usluge organizacije - Web, e-mail, itd.) i glavni ME koji štiti interni dio korporativne mreže.
sl. 2. Dvodijelni štit s demilitariziranom zonom.
U teoriji vatrozid (osobito interni) trebao bi biti multiprotokolski Međutim, u praksi je dominacija TCP/IP obitelji protokola toliko velika da se čini da je podrška za druge protokole pretjerana i štetna za sigurnost (što je usluga složenija, to je ranjivija).
Vanjski i unutarnji vatrozid može postati usko grlo budući da je volumen mrežni promet ima tendenciju brzog rasta. Jedan od pristupa rješavanju ovog problema uključuje podjelu ME na nekoliko hardverskih dijelova i organiziranje specijaliziranih proxy poslužitelji... Glavni vatrozid može napraviti grubu klasifikaciju dolaznog prometa po vrsti i povjeriti filtriranje odgovarajućim posrednicima (na primjer, posredniku koji analizira HTTP promet). Odlaznim prometom najprije upravlja posrednički poslužitelj koji može raditi i funkcionalno korisne radnje, kao što je cachiranje stranica vanjskih web poslužitelja, što smanjuje opterećenje mreže općenito, a posebno glavnog ME.
Situacije kada korporativna mreža sadrži samo jedan vanjski kanal su iznimka, a ne pravilo. Češće nego ne, korporativna se mreža sastoji od nekoliko zemljopisno raspoređenih segmenata, od kojih je svaki povezan s internetom. U tom slučaju svaka veza mora biti zaštićena vlastitim zaslonom. Može se smatrati da je korporativni vanjski vatrozid kompozitni (distribuirani), te je potreban za rješavanje problema koordiniranog administriranja svih komponenti.
Postoje i osobni ME-ovi dizajnirani za zaštitu pojedinačnih računala... Glavna razlika između osobnog vatrozida i distribuiranog je prisutnost centralizirane kontrolne funkcije.
Vatrozid i njegove funkcije
Ako se osobni vatrozidi kontroliraju samo s računala na kojem su instalirani i idealni su za kućnu upotrebu tada se distribuiranim vatrozidima može upravljati centralno s jedne upravljačke konzole. Te su razlike omogućile nekim proizvođačima da objave svoja rješenja u dvije verzije - osobnoj (za kućne korisnike) i distribuiranoj (za korporativne korisnike).
Kako rade vatrozidi
Postoje dva glavna načina za stvaranje skupova pravila vatrozida: "uključivo" i "isključivo". Vatrozid za izuzimanje omogućuje prolazak cijelog prometa osim prometa koji odgovara skupu pravila. Vatrozid za omogućavanje radi na potpuno suprotan način. Dopušta samo promet koji odgovara pravilima i blokira sve ostalo.
Uključujući vatrozidi općenito su sigurniji od isključivih vatrozida jer uvelike smanjuju rizik od prolaska vatrozida neželjenog prometa.
Sigurnost se može dodatno poboljšati korištenjem "vatrozida s podacima o stanju". Takav vatrozid pohranjuje informacije o otvorenim vezama i dopušta samo promet otvorene veze ili otvaranje novih veza. Nedostatak vatrozida s podacima o stanju je taj što može biti ranjiv na DoS napadi(Denial of Service) ako se mnoge nove veze otvaraju vrlo brzo. Većina firewall-a dopušta kombinaciju ponašanja s prikazom stanja i stanja, što je optimalno za aplikacije u stvarnom svijetu.
Broj incidenata vezanih uz informacijsku sigurnost, prema vodećim analitičkim agencijama, neprestano raste. Stručnjaci za informacijsku sigurnost primijetili su sve veću aktivnost vanjskih napadača koji koriste najnoviju tehnologiju napada kako bi se infiltrirali u korporativne mreže kako bi izvršili svoja prljava djela.
Broj incidenata vezanih uz informacijsku sigurnost, prema vodećim analitičkim agencijama, neprestano raste. Stručnjaci za informacijsku sigurnost primijetili su sve veću aktivnost vanjskih napadača koji koriste najnoviju tehnologiju napada kako bi se infiltrirali u korporativne mreže kako bi izvršili svoja prljava djela. Oni nisu ograničeni na krađu informacija ili uništavanje mrežnih čvorova. Nije neuobičajeno da se kompromitirane mreže koriste za pokretanje novih napada. Dakle, zaštita perimetra informacijski sistem je potrebni element sustava sigurnost informacija organizacijama.
Istodobno, za određivanje sastava komponenti zaštite perimetra koje osiguravaju minimalnu (početnu) razinu informacijske sigurnosti, potrebno je analizirati najčešće prijetnje informacijskim resursima organizacije:
mrežni napadi usmjereni na nedostupnost informacijskih resursa (na primjer, web poslužitelji, usluge E-mail itd.) - DoS i DDoS napadi;
kompromitiranje informacijskih resursa i eskalacija privilegija kako od insajdera tako i od vanjskih napadača, kako s ciljem korištenja vaših resursa, tako i s ciljem nanošenja štete;
radnje zlonamjernih programski kod(virusi, mrežni crvi, trojanci, špijunski softver itd.);
curenje povjerljive informacije i krađu podataka kako putem mreže (e-mail, FTP, web, itd.), tako i putem vanjski mediji;
razne mrežne napade na aplikacije.
Kako bi se smanjile prijetnje informacijskoj sigurnosti, potrebno je ugraditi vatrozide različite razine OSI modeli kao što je prikazano u tablici.
Stol. Vatrozidovi i OSI modeli
Rad svih vatrozida temelji se na korištenju informacija iz različitih slojeva OSI modela (tablica). OSI model, koju je razvila Međunarodna organizacija za standardizaciju, definira sedam razina na kojima računalni sustavi međusobno komuniciraju – počevši od razine fizičko okruženje prijenos podataka i završava s razinom aplikativni programi koristi se za komunikaciju. V opći slučajŠto je viša razina OSI modela na kojoj vatrozid filtrira pakete, to je višu razinu zaštite koju pruža.
Može se birati slijedećim metodama kontrola prometa između lokalne i vanjske mreže:
1. Filtriranje paketa- na temelju postavljanja skupa filtara. Ovisno o tome zadovoljava li dolazni paket uvjete navedene u filterima, prosljeđuje se mreži ili se odbacuje.
2. Ovaj sat routers je prevoditelj TCP veza. Gateway prihvaća zahtjev ovlaštenog klijenta za specifične usluge i nakon potvrđivanja tražene sesije, uspostavlja vezu s odredištem (vanjski host). Gateway zatim kopira pakete u oba smjera bez filtriranja. Odredište se u pravilu postavlja unaprijed, a izvora može biti mnogo. Korištenje razne luke, možete stvoriti razne konfiguracije veze. Ovaj tip Gateway vam omogućuje stvaranje prevoditelja TCP veze za bilo koju korisnički definiranu uslugu temeljenu na TCP-u, za kontrolu pristupa ovoj usluzi i prikupljanje statistike o njenom korištenju.
3. Proxy poslužitelj- instaliran između lokalne i vanjske mreže dodatni uređaj proxy poslužitelj koji služi kao pristupnik kroz koji mora proći sav ulazni i odlazni promet. Državna inspekcija- Inspekcija dolaznog prometa jedan je od najnaprednijih načina implementacije vatrozida. Pregled ne znači analizirati cijeli paket, već samo njegov poseban ključni dio i unaprijed ga usporediti s poznate vrijednosti iz baze podataka o dopuštenim resursima. Ova metoda Pruža najviše performanse vatrozida i najniže kašnjenje.
Princip rada vatrozida temelji se na kontroli prometa koji dolazi izvana.
Vatrozid se može implementirati u hardveru ili softveru. Konkretna implementacija ovisi o razmjeru mreže, obujmu prometa i potrebne zadatke... Najčešći tip vatrozida je softverski. U ovom slučaju se implementira u obliku programa koji radi na ciljnom računalu ili kao granica mrežni uređaj na primjer ruter. U slučaju hardverskog izvođenja, vatrozid je zasebni mrežni element koji obično ima visoke performanse, ali obavlja slične zadatke.
Vatrozid vam omogućuje da konfigurirate filtre koji su odgovorni za propuštanje prometa prema sljedećim kriterijima:
1. IP adresa. Kao što znate, svaki krajnji uređaj koji koristi IP protokol mora imati jedinstvenu adresu. Određivanjem adrese ili određenog raspona možete odbiti primanje paketa od njih ili, obrnuto, dopustiti pristup samo s tih IP adresa.
2. Naziv domene. Kao što znate, web-mjesto na Internetu, odnosno njegova IP adresa, može se povezati s alfanumeričkim imenom, koje je mnogo lakše zapamtiti nego skup brojeva. Dakle, filtar se može konfigurirati da prosljeđuje promet samo na/iz jednog od resursa ili da mu uskrati pristup.
3. Luka. to je O softverski portovi, tj. pristupne točke aplikacija mrežnim uslugama. Na primjer, ftp koristi port 21, dok aplikacije za pregledavanje weba koriste port 80. To vam omogućuje da odbijete pristup neželjenim uslugama i mrežnim aplikacijama ili, obrnuto, dopustite pristup samo njima.
4. Protokol. Vatrozid se može konfigurirati tako da dopušta prolazak samo jednog protokola ili da odbije pristup pomoću njega. Tipično, tip protokola može govoriti o zadacima aplikacije koju koristi i o skupu zaštitnih parametara. Dakle, pristup se može konfigurirati samo za rad bilo koje određene aplikacije i potencijalno spriječiti opasan pristup korištenjem svih ostalih protokola.
Gore su navedeni samo glavni parametri pomoću kojih se može izvršiti prilagodba. Također, mogu se primijeniti i drugi parametri za filtere, specifični za ovaj. specifična mreža, ovisno o zadacima koji se u njemu obavljaju.
Stoga vatrozid pruža sveobuhvatan skup zadataka za sprječavanje neovlaštenog pristupa, oštećenja ili krađe podataka ili na neki drugi način. negativan utjecaj koji mogu utjecati na performanse mreže. Obično se vatrozid koristi zajedno s drugim sredstvima zaštite, na primjer, antivirusnim softverom.
Izrada politike filtriranja za vatrozide
Postoje dva glavna načina za stvaranje skupova pravila vatrozida: "uključivo" i "isključivo". Vatrozid za izuzimanje omogućuje prolazak cijelog prometa osim prometa koji odgovara skupu pravila. Vatrozid za omogućavanje radi na potpuno suprotan način. Dopušta samo promet koji odgovara pravilima i blokira sve ostalo.
Uključujući vatrozid pruža mnogo više kontrole odlazni promet... Stoga je inkluzivni vatrozid najbolji izbor za sustave koji pružaju usluge na Internetu. Također kontrolira vrstu prometa koji potječe izvana i usmjeren je na vašu privatnu mrežu. Promet koji nije uključen u pravila je blokiran, a odgovarajući unosi se unose u datoteku dnevnika. Uključujući vatrozidi općenito su sigurniji od isključivih vatrozida jer uvelike smanjuju rizik od prolaska vatrozida neželjenog prometa.
Sigurnost se može dodatno poboljšati korištenjem "vatrozida s podacima o stanju". Takav vatrozid zadržava informacije o otvorenim vezama i dopušta promet samo kroz otvorene veze ili otvaranje novih veza. Nedostatak vatrozida s uvidom u stanje je taj što može biti ranjiv na napade uskraćivanja usluge (DoS) ako se mnoge nove veze otvore vrlo brzo. Većina vatrozida dopušta kombinaciju ponašanja bez stanja i stanja kako bi se stvorila optimalna konfiguracija za svaki određeni sustav.
Kao primjer, razmislite o stvaranju pravila filtera u jednostavnom filteru paketa. Postoji nekoliko mogućih opcija za filtriranje paketa. Najjednostavnije je ciljano filtriranje; sastoji se u usporedbi adresa u paketu s adresama navedenim u pravilima. Ako se adrese podudaraju, paket se preskače. Ova usporedba se radi na sljedeći način:
1. Možete razmotriti sljedeće pravilo: svi domaćini na 10.1.x.x mreži mogu komunicirati s hostovima na 10.2.x.x mreži. Ovo pravilo je napisano kako slijedi:
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Izvor —— —— Odredište ——
Sada možete primijeniti pravilo na paket koji se šalje s hosta 10.1.1.2 na host 10.3.7.7. Primijenimo masku na obje adrese – adresu u pravilu i adresu u paketu. Zatim provjerava jesu li izvorna i odredišna adresa iste. Kao rezultat, imat ćemo:
Za izvornu adresu:
10.1.0.0 & 255.255.0.0 = 10.1.0.0 (za pravilo)
10.1.1.2 i 255.255.0.0 = 10.1.0.0 (za paket)
Nakon nanošenja maske obje adrese se podudaraju. Sada provjerimo odredišnu adresu:
10.2.0.0 & 255.255.0.0 = 10.2.0.0 (za pravilo)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (za paket)
Budući da se odredišne adrese paketa i pravila nakon primjene maske ne podudaraju, ovo pravilo ne bi trebalo primjenjivati na ovaj paket.
Ova se operacija izvodi na cijelom popisu izvornih i odredišnih adresa i maski sve dok se ne dosegne kraj popisa ili dok paket ne odgovara jednom od pravila. Popis pravila ima sljedeći format:
10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
Uz izvornu i odredišnu adresu, svaki IP paket sadrži informacije o korištenom protokolu i usluzi. Može se koristiti kao dodatni parametar filtracija.
Na primjer, usluge u TCP protokol uvijek povezan s lukom. Kao rezultat, možete uskladiti popis portova s adresama.
Uzmimo za primjer dvije dobro poznate usluge - POP3 i HTTP. POP3 koristi port 110, a HTTP port 80. Stoga možemo dodati ove portove opisu pravila. Kao rezultat, dobivamo:
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Izvor —— —— Odredište —— Protokol - Portovi -
Ovo pravilo dopušta svakom paketu koji putuje od mreže 10.1.x.x do mreže 10.2.x.x koristeći HTTP i POP3 usluge da prođe kroz vatrozid.
Prvo se uspoređuju adrese iz pravila s adresama paketa. Ako se nakon maskiranja obje adrese podudaraju, protokol i odredišni port u paketu će se usporediti s protokolom i popisom portova opisanim u pravilu. Ako se protokol podudara, a port u pravilu je isti kao i port paketa, tada takav paket odgovara pravilu. U suprotnom, pretraživanje će se nastaviti na popisu pravila.
S obzirom na ovo nove informacije skup pravila će imati sljedeći format:
10.1.1.2 & 255.255.255.255 - 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 i 255.255.255.255 - 10.1.2.1 i 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 - 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 - 10.2.0.0 & 255.255.0.0 ICMP 0 8
Osim ovih osnovnih parametara filtriranja, možete dodati još nekoliko. Jedno od njih je izvorno mrežno sučelje; koristeći naziv mrežnog sučelja kao parametar filtriranja, možete dopustiti prolazak paketa s određenim adresama samo odostraga ovo sučelje.
Svrha ovog postupka je blokiranje napada poznatog kao IP lažiranje, što u biti uključuje interna mrežašalje se paket s lažnom izvornom adresom (iz interne mreže). Koristeći naziv mrežnog sučelja kao parametar, možete jednostavno blokirati ovu vrstu napada. Na primjer, ako interna mreža komunicira s vatrozidom preko de0 sučelja, tada je potrebno samo u pravilima postaviti da se paketi s izvornom adresom iz interne mreže prihvaćaju samo ako su došli s ovog sučelja; u svim ostalim slučajevima bit će odbačeni.
U Odnoklassniki
Prilikom povezivanja korporativne mreže s globalnim mrežama potrebno je razgraničiti pristup zaštićenoj mreži od globalna mreža i iz zaštićene mreže u globalnu mrežu, kao i za zaštitu povezane mreže od neovlaštenog udaljenog pristupa iz globalne mreže. Istodobno, organizacija je zainteresirana sakriti podatke o strukturi svoje mreže i njezinim komponentama od korisnika globalne mreže. Rad s udaljenim korisnicima zahtijeva postavljanje strogih ograničenja pristupa informacijskim resursima zaštićene mreže.
Organizacija često mora imati nekoliko segmenata s različitim razinama sigurnosti kao dio korporativne mreže:
Slobodno dostupni segmenti (npr. oglašavanje VWW-cepBep);
O segment s ograničen pristup(na primjer, za pristup zaposlenicima organizacije s udaljenih mjesta);
Privatni segmenti (na primjer, financijska lokalna podmreža organizacije).
Za povezivanje se mogu koristiti vatrozidi razne sheme, koji ovise o uvjetima funkcioniranja zaštićene mreže, kao i o broju mrežnih sučelja i drugim karakteristikama korištenog ME. Sljedeće sheme povezivanja vatrozida se široko koriste:
O shemama zaštite mreže pomoću zaštitnog usmjerivača;
O jedinstvenoj shemi zaštite lokalna mreža;
O shemama sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama;
O shemama s odvojenom zaštitom zatvorenih i otvorenih podmreža.
Shema zaštite pomoću zaštitnog usmjerivača. Vatrozid za filtriranje paketa najčešći je i najjednostavniji za implementaciju. Sastoji se od zaštitnog usmjerivača koji se nalazi između zaštićene mreže i potencijalno neprijateljske otvorene vanjske mreže (slika 8.10). Zaštitni usmjerivač (filter paketa) je konfiguriran da blokira ili filtrira dolazne i odlazne pakete na temelju analize njihovih adresa i portova.
Računala u zaštićenoj mreži imaju izravan pristup internetu, dok je većina pristupa Internetu njima blokirana.
Opasne usluge kao što su X Windows, NIS i NFS često su blokirane. U principu, zaštitni usmjerivač može provesti bilo koju od prethodno opisanih sigurnosnih politika. Međutim, ako usmjerivač ne filtrira pakete prema izvornom portu i brojevima ulaznih i odlaznih portova, tada implementacija politike "zabrani sve što nije izričito dopušteno" može biti teška.
Vatrozidi za filtriranje paketa imaju iste nedostatke kao i zaštitni usmjerivači, a ti nedostaci postaju sve izraženiji kako sigurnosni zahtjevi zaštićene mreže postaju stroži. Napomenimo neke od njih:
Složenost pravila filtriranja; u nekim slučajevima kombinacija ovih pravila može postati neizvodljiva;
O nemogućnosti potpunog testiranja pravila filtriranja; to ostavlja mrežu nezaštićenom od neprovjerenih napada;
Praktično odsutne mogućnosti registracije događaja; kao rezultat toga, administratoru je teško odrediti je li usmjerivač napadnut ili kompromitiran.
Dijagrami povezivanja za višestruke vatrozide mrežna sučelja... Sheme zaštite s ME s jednim mrežnim sučeljem (slika 8.11) nisu dovoljno učinkovite kako sa stajališta sigurnosti tako i sa stajališta jednostavnosti konfiguracije. Oni fizički ne razlikuju unutarnje i vanjske mreže i, sukladno tome, ne mogu osigurati pouzdana zaštita rad na mreži... Konfiguriranje takvih vatrozida, kao i usmjerivača povezanih s njima, prilično je težak zadatak, čija cijena rješavanja premašuje cijenu zamjene ME s jednim mrežnim sučeljem s ME s dva ili tri mrežna sučelja. Stoga ćemo u nastavku detaljnije razmotriti dijagrame povezivanja vatrozida s dva i tri mrežna sučelja.
Zaštićenu lokalnu mrežu poželjno je predstaviti kao skup zatvorenih i otvorenih podmreža. Ovdje ispod otvorena podmreža se shvaća kao podmreža, pristup kojoj sa strane potencijalno neprijateljske vanjska mreža mogu biti potpuno ili djelomično otvoreni. Otvorena podmreža može uključivati, na primjer, javne WWW, FTP i SMTP poslužitelje, kao i terminalski poslužitelj s skupom modema.
Među mnogim mogućim shemama ME povezivanja, tipične su sljedeće:
O shemi jedinstvene zaštite lokalne mreže;
O shema sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama;
Shema s odvojenom zaštitom za zatvorene i otvorene podmreže.
Jedinstvena shema zaštite za lokalnu mrežu. Ova shema je najviše jednostavno rješenje(Sl. 8.12), u kojem ME u potpunosti štiti lokalnu mrežu od potencijalno neprijateljske vanjske mreže. Između usmjerivača i ME postoji samo jedan put kojim ide sav promet. Ova opcija DOE provodi sigurnosnu politiku temeljenu na principu “zabranjeno je sve što nije izričito dopušteno”; u ovom slučaju, sve usluge su nedostupne korisniku, osim onih za koje su definirane odgovarajuće dozvole. Obično je usmjerivač konfiguriran tako da je ME jedini stroj vidljiv izvana.
Otvoreni poslužitelji na lokalnoj mreži također će biti zaštićeni vatrozidom. Međutim, kombiniranje poslužitelja dostupnih iz vanjske mreže s drugim resursima zaštićene lokalne mreže značajno smanjuje sigurnost umrežavanja. Tako ovu shemu ME veze mogu se koristiti samo ako ne postoji lokalna mreža otvorenih poslužitelja ili kada su postojeći otvoreni poslužitelji dostupni samo s vanjske mreže za ograničen broj korisnika kojima možete vjerovati.
Budući da vatrozid koristi host, na njega se mogu instalirati programi za snažnu provjeru autentičnosti korisnika. Vatrozid također može zabilježiti pristup, pokušaje sondiranja i napade na sustav, što će otkriti akcije uljeza.
Za neke mreže nedostatak fleksibilnosti u shemi zaštite vatrozida s dvojnim sučeljem može biti neprihvatljiv.
Shema sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama. Ako lokalna mreža sadrži javno dostupne otvorene poslužitelje, preporučljivo je premjestiti ih kao otvorenu podmrežu na vatrozid (slika 8.13). The
Riža. 8.11
Riža. 8.12.
Riža. 8.13.
metoda ima veću sigurnost zatvorenog dijela lokalne mreže, ali pruža smanjenu sigurnost otvorenih poslužitelja koji se nalaze prije vatrozida.
Neki ME-ovi vam omogućuju da sami hostirate te poslužitelje. No, takvo rješenje nije najbolje s gledišta sigurnosti samog ME-a i pokretanja računala. Preporučljivo je koristiti shemu ME povezivanja sa zaštićenim zatvorenim i nezaštićenim otvorenim podmrežama samo s niskim sigurnosnim zahtjevima za otvorenu podmrežu.
Ako se nameću povećani zahtjevi za sigurnost otvorenih poslužitelja, tada je potrebno koristiti shemu s odvojenom zaštitom zatvorenih i otvorenih podmreža.
Sheme s odvojenom zaštitom za zatvorene i otvorene podmreže. Takva shema se može izgraditi baziran na jednom ME s tri mrežna sučelja(sl. 8.14) ili baziran na dva ME s dva mrežna sučelja(sl. 8.15). U oba slučaja pristup javnim i privatnim podmrežama lokalne mreže moguć je samo putem vatrozida. Međutim, pristup otvorenoj podmreži ne dopušta pristup zatvorenoj podmreži.
Od ove dvije sheme, shema s dva ME-a pruža veći stupanj sigurnosti za međupovezivanje, od kojih svaki čini zaseban ešalon zaštite zatvorene podmreže. Zaštićena otvorena podmreža ovdje djeluje kao zaštitna podmreža.
Obično je zaštitna podmreža konfigurirana da omogući pristup računalima na podmreži iz potencijalno neprijateljske vanjske mreže i privatne podmreže na lokalnoj mreži. Međutim, izravna razmjena informacijski paketi između vanjske mreže i zatvorene podmreže nije moguće. Prilikom napada na sustav sa zaštitnom podmrežom, potrebno je prevladati barem dvije neovisne linije obrane, što je vrlo izazovan zadatak... Alati za praćenje zdravlja vatrozida gotovo uvijek otkriju takav pokušaj, a administrator sustava može poduzeti pravovremene korake. potrebne radnje radi sprječavanja neovlaštenog pristupa.
Valja napomenuti da je rad udaljenih korisnika dial-up veze također se moraju kontrolirati u skladu sa sigurnosnom politikom organizacije. Tipično rješenje ovaj zadatak je instalirati poslužitelj za daljinski pristup (terminalni poslužitelj), koji ima potrebne funkcionalnost, na primjer, Apple terminalski poslužitelj tvrtke Wow Xe1yor1 ". Terminal Server je sustav s više asinkronih portova i jednim LAN sučeljem. Razmjena informacija između asinkronih portova i lokalne mreže provodi se tek nakon odgovarajuće autentifikacije vanjskog korisnika.
Terminalni poslužitelj mora biti spojen na način da se njegov rad obavlja isključivo kroz vatrozid. To vam omogućuje postizanje potrebne razine sigurnosti pri radu s udaljenim korisnicima s informacijski resursi organizacijama. Takva veza je moguća,
Riža. 8.14.
s tri mrežna sučelja
Riža. 8.15.
ako je terminalski poslužitelj uključen u otvorenu podmrežu kada se koriste sheme povezivanja ME s odvojenom zaštitom otvorene i zatvorene podmreže.
Softver terminalskog poslužitelja mora pružiti mogućnost administriranja i kontrole komunikacijskih sesija preko dial-up kanala. Moderni upravljački moduli terminalski poslužitelji imaju dovoljno razvijene sposobnosti da osiguraju sigurnost samog poslužitelja i diferencijaciju pristupa klijenta te obavljaju sljedeće funkcije:
O korištenju lokalna lozinka pristupiti serijski port, na daljinski pristup putem PPP protokola, kao i za pristup administrativnoj konzoli;
O korištenju zahtjeva za provjeru autentičnosti s bilo kojeg stroja na lokalnoj mreži; O korištenju vanjska sredstva ovjera;
O instalaciji popisa kontrole pristupa na portovima terminalskog poslužitelja;
O evidentiranju komunikacijskih sesija putem terminalskog poslužitelja.
analizu i filtriranje mrežnih paketa koji prolaze kroz nju. Ovisno o utvrđenim pravilima, ME dopušta ili uništava pakete, dopuštajući ili odbijajući na taj način mrežne veze... ME je klasično sredstvo zaštite perimetra računalne mreže: instalira se na granici između unutarnje (zaštićene) i vanjske (potencijalno opasne) mreže i kontrolira veze između čvorova tih mreža. Ali postoje i druge sheme povezivanja, o kojima će biti riječi u nastavku.Engleski izraz koji se koristi za ME je vatrozid. Stoga se u literaturi vatrozidi ponekad nazivaju i vatrozidom ili vatrozidom (njemački izraz, analogno vatrozidu).
Kao što je već napomenuto, filtriranje se vrši na temelju pravila. Najsigurnijim pristupom pri formuliranju pravila za DOE smatra se da je zabranjeno "sve što nije izričito dopušteno". U ovom slučaju, mrežni paket provjerava se u skladu s dopuštenim pravilima, a ako se ne pronađe, odbacuje se. No, u nekim slučajevima se primjenjuje i suprotan princip: „dopušteno je sve što nije izričito zabranjeno“. Zatim se vrši provjera poštivanja pravila zabrane, a ako se takva pravila ne pronađu, paket će biti preskočen.
Filtriranje se može izvesti na različitim razinama referentnog modela umrežavanje OSI. Na osnovu toga, ME se dijele u sljedeće klase [,]:
- zaštitni usmjerivač;
- prijenos zaštite (gateway na razini sesije);
- shielding gateway (gateway sloja aplikacije).
Zaštitni usmjerivač(ili filter paketa) radi mrežni sloj OSI model, ali također može koristiti informacije iz zaglavlja protokola transportnog sloja za obavljanje provjera. Sukladno tome, filtriranje se može izvesti prema ip adresama pošiljatelja i primatelja, te po TSR i UDP portovima. Takve ME se odlikuju visokim izvođenje a relativna jednostavnost – funkcionalnost filteri paketačak i najjednostavniji i najjeftiniji hardverski usmjerivači sada imaju. Istodobno, ne štite od mnogih napada, na primjer, onih koji se odnose na zamjenu sudionika veze.
Pristupnik sloja sesije djeluje na sloju sesije OSI modela i također može pratiti informacije o mreži i transportnom sloju. Sukladno tome, uz gore navedene mogućnosti, takav ME može kontrolirati proces uspostavljanja veze i provjeravati prolazne pakete da li pripadaju dopuštenim vezama.
Pristupnik aplikacijskog sloja može analizirati pakete na svim slojevima OSI modela od mreže do aplikacije, što pruža najviše visoka razina zaštita. Osim prethodno navedenih, postoje mogućnosti kao što su autentifikacija korisnika, analiza naredbi protokola na razini aplikacije, provjera prenesenih podataka (na prisutnost računalni virusi, usklađenost sa sigurnosnom politikom) itd.
Razmotrimo sada pitanja vezana za instalaciju ME. Na riža. 6.1 prikazani su tipični ME spojni dijagrami. U prvom slučaju ( riža. 6.1), ME se instalira nakon usmjerivača i štiti cijelu internu mrežu. Takva se shema koristi ako su zahtjevi u području zaštite od neovlaštenog pristupa vatrozidu približno isti za sve čvorove interne mreže. Na primjer, "dopusti veze s unutarnje mreže na vanjsku mrežu i suzbija pokušaje povezivanja s vanjske mreže na internu mrežu." U slučaju da su zahtjevi za različite čvorove različiti (na primjer, trebate postaviti poslužitelj pošte na koji se možete povezati "izvana"), takva shema instalacije vatrozida nije dovoljno sigurna. Ako je u našem primjeru uljez, kao rezultat implementacije mrežni napad, dobit će kontrolu nad navedenim poslužitelj pošte, preko njega može dobiti pristup drugim čvorovima interne mreže.
U takvim slučajevima ponekad se ispred ME stvara otvoreni segment poslovne mreže ( 6.1b), a ME štiti ostatak interne mreže. Nedostatak ove sheme je što ME ne kontrolira veze na čvorove otvorenog segmenta.
Poželjnije u u ovom slučaju je korištenje ME s tri mrežna sučelja ( 6.1c). U ovom slučaju, ME je konfiguriran na način da su pravila za pristup internoj mreži stroža od pravila za otvoreni segment. Istovremeno, i te i druge spojeve može kontrolirati ME. Otvoreni segment u ovom slučaju ponekad se naziva "demilitarizirana zona" - DMZ.
Razmatra se još pouzdanija shema u kojoj dva neovisno konfigurabilna ME ( 6.1d). U ovom slučaju, ME 2 implementira stroži skup pravila filtriranja u usporedbi s ME1. Čak i uspješan napad na prvi ME neće učiniti internu mrežu bespomoćnom.
V U posljednje vrijeme mogućnost instaliranja softvera ME izravno na zaštićeno računalo postala je široko rasprostranjena. Ponekad se takav ME naziva "osobnim". Ova shema vam omogućuje da se zaštitite od prijetnji ne samo od vanjske mreže, već i od unutarnje.
