Основні вимоги до сучасних міжмережевих екранів. Базові технології міжмережевих екранів. (2 години).

Брандмауэр -это подход к безопасности. Он способствует полной безопасности.

Брандмауэр представляет собой систему или комбинацию систем, позволяющих разделить сеть на 2 или более частей и реализовать набор правил, определяющих условие прохождения ролей из одной части в другую.

Задача защитить внутренние ресурсы от внешних атак.

Основная цель Б - управление доступам к внеш. Ат.

Он вынуждает проходить все соединения с сетью сер.Б.

Схема

Откр. внеш. сеть

 

 

Функции Брандмауэр

Брандмауэр решает две основные задачи:

1) Ограничение доступа внешних (о отношению от защищ. сети)к внутреннему ресурсу сети.

2) Разграничение доступа пользователя защищенной сети к внешним ресурсам.

Классификация Брандмауэр (до сих пор не существует четкой классификации)

По функциям по уровням модели OSI:

- пакетный фильтр (экранизирующий маршр. SCRINING router)

- шлюз сеансового уровня (экранизирующий транспорт)

- прикладной шлюз(application gateway)

- шлюз экспортного уровня (state full inspection firewall)

По используемой технологии:

- контроль состояния протокола(state full inspection)

- на основе модулей посредников (proxy)

По исполнению:

- аппаратно-программный

- программный

По схеме подключения:

- схема единой защиты сети;

- схема защищаемыми закрытыми и не защищаемыми открытыми сегментами сети;

- схема с раздельной защитой открытого и закрытого сегмента сети.

Фильтрация трафика

Что такое фильтр – выборочное пропускание информационных потоков через экран, возможен, с выполнением некоторых преобразований.

Фильтрация происходит (осуществляется) на основе набора предварительно загруженных в экран правил соответствующих принятой пол. безопасности. Поэтому МЭ удобно представлять как последовательность фильтров, обработки информации.

 

Каждый из фильтров предназначен для отдельных правил фильтрации путем выполнения следующих действий:

1) Анализ информации по заданным интерпретируемых правилах критериям направлениям: (адрес получ. отправителям)

2) Принятие на основе интерпретируемых одного из следующих решений:

- не пропустить данные

- обрабатывать данные от имени получателя и возвратить результат отправителю

- передать данные на следующий фильтр для продолжения анализа

- пропустить данные, игнорируя следующие фильтры

Правила фильтр. Могут задать и дополнительные действия, которые относятся к функциям посредничествам,направленных (преобразование данных, регистр событий) соответственно правила фильтрации определяют перечень условий, по которым осуществляется:

- разрешение или запрешение дальнейшей передачи данных

- выполнение дополнительных защитных функций.

В качетсве критерием анализа информационного потока используются следующие параметры:

- служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные

- непосредственное содержимое пакетов сообщений проверяемое, например, на наличие компьютерных вирусов

- внешние характеристики потока информации, направление временные частотные характеристики, объем данных.

Итог:в общем случае чем выше уровень модель OSI на котором FIRE WALL фильтрует пакеты, тем выше и обеспечиваемый им. Уровень защиты.

Выполнение функции посредничества

Функция посредничества FIRE WALL выполняется с помощью специальных программ, называемых экранизирующими агентами или программными -посредник.

Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренне й сетью

Пример: FIRE WALL может выполнять функции фильтрации без применения программ- посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней средой.

Программы-посредники выполняют следующие функции:

- проверку подлинности передаваемых данных (ЭЦП)

-фильтрацию и преобразование потоков сообщений (шифров)

- разграничение доступа к ресурсам внутренней и внешней сети

- копирование данных

- идентификацию и аутентификацию данных

- трансляцию внутренних сетевых адресов

- регистрация событий, реагирование, анализ и генерация отчетов

Квалификация по модели OSI

- экранирующий маршрутизатор (пакетный фильтр)предназначен для фильтраций пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней. Он функционирует на сетевом уровне модели OSI, может также охватывать и транспорт. Уровень.

Решение пропустить или отбраковать данные принимается для каждого пакета независимо на основе заданного правила фильтрации. Для принятия решений анализируется заголовкам межсетевого и транспортного уровней.

Поля IP TCP /UDР заголовок которые используют

- адрес отправителя

- адрес получателя IP

- тип пакета

- флаг фрагментации

- номер порта источника TCP или UDР

- номер порта получателя

Достоинства:

1) простота реализации

2) высокая производительность

3) прозрачность для программ приложений

4) невысокая стоимость

Недостатки:

1) невысокая степень безопасности так как проверяют только заголовки пакетов (не поддерживает аутентификацию), криптограмма закрытия, а также проверку подлинности и целостности

2) уязвимо для такой атаки как подмена исходящих адресов и несанкционированная изменение содержимого пакета

3) службы RPC выбирают порт в процессе загрузки

4) сложность настройки фильтров

Вывод: низкая стоимость - слабая защита.

Лекция 9