Показники якості сучасних міжмережевих екранів, критерії щодо вибору продукту для мережі, що захищається. Основні виробники та продукти. (2 години).

Шлюзы сеансового уровня (экранирующий транспорт)предназначен для контроля виртуальных соединений и трансляции IP адресов при взаимодействии с внешней сетью. Он функционирует на сеансовом уровне, охватывая при этом транспорт и сетевой уровни эталонной модели.

Защитные функции шлюза сеансового уровня относят к функции посредника.

Контроль виртуальных соединений заключатся в отслеживании квитирования связи, а также контроля передачи шифров по установленным виртуальным каналам.

При контроле квитирования шлюз сеансового уровня следует за установлением виртуального соединения между рабочей станцией внутри сети и компьютеров внешней сети, определяя, является ли запрашиваемый сеанс связи допустимый. Такой контроль основывается на информации, содержащей заголовки пакетов сеансового уровня.

Чтобы определить, является ли запрос в сеансе связи допустимым, шлюз выполняет следующие действия: когда рабочая система закрывает связь с внешней сетью шлюз принимает запрос, проверяет удовлетворяет ли он базовым критериям фильтрации (например может ли сервер определить IP адрес клиента и ассоциированная с ним имя). Затем действуя от имени клиента, шлюз устанавливает соединение с компьютером внешней сети и следит за выполнением процедуры квитирования связи по пропускам ТСР. Сеанс считается допустимым, если при выполнении процедуры квитировки связи флаг SYN и ACK а также числа содержащее заголовки ТСР, были логически связаны.

 

 

Преимущества:

- благодаря NAT исключатеся прямой контроль между внутренней и внешней сетью (невозможен spoofing)

- шлюз С ур. отслеживает количество передаваемой информации и раскрывать соединение после превышения определенного предела.

- ведет протоколирование виртуальных соединений, для этого использует канальные посредники (PIPE, PROXY)

Недостатки:

1) не обеспечивается контроль и защита содержимого пакета сообщений (возможность передачи вредоносных программ)

2) возможен перехват ТСР сетей (ТСР-HIJACKING)

Решение: направленные шлюзы сеансового уровня не является самостоятельный продукт а носит вместе со шлюзом прикладного уровня.

Прикладной шлюз называют также экранирующим шлюзом, функционирующим на прикладном уровне модели OSI, охватывает также

уровень пред. и обеспечивает наиболее надежную защиту сетевых соединений.

Защитные функции прикладного шлюза. Как и шлюза сеансового уровня относятся к функциям посредничества. Однако он может еще выполнять:

-идентификация и аутентификация

- проверка подлинности информации

- разграничение доступа к ресурсам внутренней и внешней сети

- фильтрация и преобразование потока сообщений (дин. поиск вирусов, проверка информации)

- регистрация событий

- копирование данных

 

 

Отличие от шлюза сеансового уровня:

1) посредник прикладного уровня связаны с конкретным приложением

2) могут фильтровать сообщение на прикладном уровне OSI.

Как и для шлюза сеансового уровня для связи между рабочей системой и компьютером внешне й сети образовываются два соединения: от рабочей сети до firewall и от firewall до места назначения.

Настройка

При настройке прикладного шлюза и описании правил фильтрации сообщений используются такие параметры:

- название сервиса

- допустимый интервал времени его использования

-ограничение на содержимое сообщение, связанная с этим сервером

- компьютер с которым можно пользоваться сервером

- идентификация пользователя, схема аутентификации и др.

Шлюз прикладного уровня обладает следующими достоинствами:

- обеспечивает высокий уровень защиты ЛС благодаря возможности выполнять большие функции посредника

-защита на уровне приложения позволяет осуществлять большое количество допустимых проверок, уменьшая тем самым вероятность проведения успешных атак основанных на недостатках МО

- при нарушении работы прикладного шлюза блокируется сквозное прохождение пакетов между раздельными сетями

К недостаткам:

- относительно высокая стоимость

- довольно большая сложность firewall, а также процедур его установки и конфигурации

- высокие требовании я к производителю ресурсоемкости ПК

- отсутствие прозрачности для пользователя и снижение пропускной способности

Шлюз экспертного уровня

Для устранения недостатков прикладного шлюза разработали новую технологию фильтрации с контролем состояния соединений или фильтрации экспериментального уровня. Такой фильтр осуществляется на основе многоуровневого анализа состояния пакетов.

Вкратце: Гибридная технология позволяет отслеживать состояние сетевого соединения, перехватывая пакеты на сетевом уровне извлекая из них информацию прикладного уровня которая используется для контроля за соединением. Таким образом firewall экспериментального уровня позволяет контролировать:

- каждый передаваемый пакет на основе анализа табл. прав

- каждую сеть- на основе таблиц состояния

- каждое приложение на основе разработанных посредников

Достоинства:

1) прозрачность для конечного пользователя, более высокая скорость

2) они не изменяют IP адресов проходящих через них пакетов

- это дает возможность корректно работать по использованию реальных IP адресов, но это снижает уровень защиты

По этому на практике шлюз экспертного уровня используют для повышения эффекта функции комплексных фильтров.

Политики межсетевого взаимодействия.

Определяет требования безопасности информационного обмена, организаций с внешним миром. Эта политика должна отражать два аспекта:

- политику доступа к сетевым сервисам

- политику работы межсетевого экрана

ПО к сетевым ресурсам - определяет правила предоставления, а также использования всех возможных сервисов защиты КС. Указываются правила, охватывающие когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Задаются также ограничения на методы доступа, например (РРР, SLIP). Правила систем пользователя и компьютера.

Реалистичной считается такая политика где найдется баланс между защитой сети и необходимым доступам пользователей к сетевым ресурсам.

Политика работы межсетевого экрана - задает базовый принцип управления межсетевым воздействиям, положенный в основу функции firewall. Может быть выбранный один из двух принципов:

- запрещено всё, что явно не разрешено

- разрешено все, что явно не запрещено

Межсетевой экран не является симметричным.

Основные схемы подключения межсетевого экрана.

Схема защиты с использованием экранирующего маршрута пакетного файла.

 

Недостатки:

1) сложность правил фильтрации

2) невозможность полного тестирования правил фильтрации

3) практически отсутствует возможность регистрировать события

Схема подключения МЭ с несколькими сетевыми интерфейсами

 

Далее более подробно

Схема подключения firewall

- схемы единой защиты локальной сети

 

К данным применяется политика”Запрещено всё, что явно не разрешено”.

Открытые серверы будут также защищены.

Схема защищаемой закрытой и не защищаемой открытой сети.

 

Данную схему нужно использовать при невысоких требованиях по безопасности сети.

 

 

При более высоких требованиях используем схему с раздельной защитой закрытой и открытой сети.

 

Невозможен

Обмен не возможен

 

Обратить внимание

 

Персональные и распределенные firewall

Лекция 10 VPN