 |
Методы защиты: экранирование
|
|
|
|
Межсетевой экран или брандмауэр (firewall) - программная или программно-аппаратная система, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивающая защиту информационной системы посредством фильтрации информации.
Рисунок 1. Межсетевой экран
Концепцию межсетевого экранирования можно сформулировать следующим образом. Пусть имеется два множества информационных систем.
Межсетевой экран (МЭ) - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. МЭ выполняет свои функции, контролируя все информационные потоки между двумя множества систем. автоматизированный компьютерный зашита информация
В общем случае МЭ (полупроницаемую оболочку) удобно представлять в виде последовательности фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону".
Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю. Помимо своей основной функции - разграничения доступа - МЭ обычно выполняет целый ряд дополнительных функций по защите информации - выявление различного рода атак, трансляцию сетевых адресов, сокрытие внутренней структуры защищаемой сети и др. Как правило, МЭ осуществляют также протоколирование информационных обменов и действий администратора.
Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования (разграничения доступа) имеет двойственный характер.
|
|
|
С одной стороны задача формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet.
С другой стороны, может решаться задача разграничения доступа пользователей из внутренней сети к внешним сетевым ресурсам, то есть экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности. Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование.
В большинстве случаев экранирующая система должна:
Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;
Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;
Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;
Достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в "пиковых" режимах.
Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации.
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
|
|
|
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче. Межсетевые экраны классифицируются по следующим признакам:
по месту расположения в сети - на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;
по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.
Межсетевые экраны разделяют на четыре типа:- межсетевые экраны с фильтрацией пакетов;
шлюзы сеансового уровня;
шлюзы прикладного уровня;
межсетевые экраны экспертного уровня.
Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
|
|
|
Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных.
Шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Интернет при работе по низкоскоростным каналам, но существенно при работе во внутренней сети.
Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
|
|
|
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации.
Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети и по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов.
Наиболее комплексно задачу экранирования решают межсетевые экраны экспертного уровня, которые сочетают в себе элементы всех типов межсетевых экранов.
Разработчики программных средств предлагают специальные решения защиты для ПК. Это персональные брандмауэры (Personal Firewalls), которые так просты в пользовании, что их защитой может воспользоваться каждый.
Чаще всего проникновение в компьютер осуществляется через порты, за каждым из которых закреплены программы для выполнения определенных задач. Сами порты необходимы для работы всех сетевых приложений.
Сегодня одних антивирусных программ для защиты уже недостаточно, ведь пока их разработчики включат новый вирус в базу, тот может уже сделать свое черное дело. Здесь помогает такой механизм брандмауэров, как Sandbox (ящик с песком), который позволяет некоторым программам (в том числе загруженным из Интернета) выполнять только разрешенные пользователем действия.
Таблица 1
Функции персональных брандмауэров
|
|
|
| Брандмауэр | Основные функции |
| BlacklCE Agent | подробные сведения о попытках несанкционированного доступа к ПК или сети (об отдельных нападениях, данные о взломщиках, диаграмма сетевого трафика и распределения нападений во времени); блокирование поступающей информации в чрезвычайной ситуации |
| eSafe Desktop | функции фильтрации поступающей информации; блокирование вирусов (троянских коней) и портов; отслеживание действия прикладной программы |
| McAfee Internet Guard Dog | разнообразные функции обеспечения секретности и безопасности; функции фильтрации текста чатов и контента: антивирусная защита |
| McAfee.com Personal Firewall | функции обеспечения секретности и безопасности от атак хакеров |
| Norton Internet Security | блокирование троянских коней, наиболее опасных приложений, всю информацию до особого указания; фильтрации контента; антивирусная зашита |
| ZoneAlarm | блокирование передачи данных и атак; фильтрация контента; криптографическая подпись приложений |
|
|
|
