Ћекции.ќрг


ѕоиск:




 атегории:

јстрономи€
Ѕиологи€
√еографи€
ƒругие €зыки
»нтернет
»нформатика
»стори€
 ультура
Ћитература
Ћогика
ћатематика
ћедицина
ћеханика
ќхрана труда
ѕедагогика
ѕолитика
ѕраво
ѕсихологи€
–елиги€
–иторика
—оциологи€
—порт
—троительство
“ехнологи€
“ранспорт
‘изика
‘илософи€
‘инансы
’ими€
Ёкологи€
Ёкономика
Ёлектроника

 

 

 

 


ћежсетевые экраны




ћежсетевые экраны по-другому называютс€ брандмауэрами, или системами FireWall. ћежсетевые экраны позвол€ют предоставить контролируемый и направл€емый доступ внутрь системы или корпоративной сети и одновременно ограничить доступ во внутреннюю среду. ћежсетевые экраны устанавливаютс€ на стыке между внутренней и внешней сетью и реализуют предотвращение несанкционированного вторжени€. ћежсетевой экран представл€ет собой программно-аппаратный комплекс. ѕервое поколение межсетевых экранов Ц пакетные фильтры. ¬ них определ€лись номера портов и типы протоколов, от которых разрешалось принимать информацию. ¬ насто€щее врем€ межсетевые экраны представл€ют собой сервера-посредники. ѕри использовании межсетевых экранов производительность значительно снижаетс€, так как анализ протоколов занимает определЄнное врем€. ќднако надЄжность межсетевых экранов достаточно велика. ѕримеры межсетевых экранов: Cisco PIX Firewall, Checkpoint Firewall, Netscreen, Watch Guard. „исло функций, выполн€емых межсетевыми экранами, посто€нно расшир€етс€. ¬нешн€€ сеть всегда должна определ€тьс€ как враждебна€, поэтому все взаимодействи€ между внутренней и внешней сетью должны осуществл€тьс€ через межсетевой экран. ћежсетевой экран задаЄт набор правил, которые ограничивают доступ из внутренней сети во внешнюю. ‘ункции межсетевого экрана:

1) ‘ильтраци€ проход€щих информационных потоков.

2) ѕосредничество при реализации межсетевых взаимодействий.

¬ зависимости от типа экрана, перечисленные функции могут выполн€тьс€ с различной полнотой.  омплексный межсетевой экран имеет возможность анализа и использовани€ следующих групп данных:

1) ƒанные о соединени€х. »нформаци€ от всех семи уровней в пакете: физического, канального, сетевого, транспортного, сеансового, представительного, прикладного.

2) ƒанные о предыдущем соединении. »нформаци€, полученна€ от предыдущего соединени€ и позвол€юща€ проводить ретроспективный анализ.

3) ƒанные о состо€нии уровней приложени€. »нформаци€ о состо€нии, полученна€ от других приложений.

4) јгрегирующие данные. –езультаты расчЄтов, вычислений на основе перечисленных выше данных.

ќсновные функции межсетевых экранов дл€ рабочих станций:

1)  онтроль подключени€ в обе стороны.

2) ќрганизаци€ доступа в »нтернет без вмешательства пользовател€ (autoconfig).

3)  онфигурирование и контроль функционировани€ приложений.

4) ѕоддержка режима невидимости компьютера в »нтернете.

5) ѕредотвращение хакерских атак известных типов.

6) ¬ы€вление и блокировка активности вирусов, прежде всего Ђтро€нских конейї.

7) »звещение пользовател€ о попытках взлома системы защиты и получени€ несанкционированного доступа к данным.

8) ¬едение журналов (log-файлов) с данными о зарегистрированных подключени€х.

9) ѕредотвращение отправки в сеть данных, которые определены как конфиденциальные.

10) Ѕлокирование передачи на сервер без ведома пользовател€.

»нтерпретаци€ срабатывани€ фильтров (правил) осуществл€етс€ с использованием следующих процедур (этапов):

1) јнализ поступающих данных по заданным критери€м: адрес получател€ и отправител€, тип вложени€ и т.д.

2) ѕрин€тие решений на основе интерпретируемых правил: не пропускать данные, обрабатывать данные от имени получател€ и возвратить результат отправителю, передать данные на следующий фильтр дл€ продолжени€ анализа, пропустить данные напр€мую без использовани€ следующих фильтров.

¬ качестве объекта анализа информационного потока могут использоватьс€ следующие показатели и параметры:

1) служебные пол€ пакетов сообщений, которые содержат сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другую информацию;

2) анализ содержимого пакетов на предмет вирусов;

3) анализ внешних характеристик потока информации: временных, частотных, объЄмных и т.д.

‘ункции посредничества, которые выполн€ет межсетевой экран с помощью специальных программ, €вл€ютс€ резидентными и запрещают непосредственную передачу пакетов сообщений между внутренней и внешней сетью. ѕрограмма-посредник провер€ет допустимость запрошенного межсетевого взаимодействи€. Ёкранирующие агенты осуществл€ют функции блокировки передачи потока сообщений через межсетевые фильтры, а также выполн€ют следующие функции:

1) »дентификаци€ и аутентификаци€ пользователей.

2) –азграничение доступа к ресурсам внутренней сети.

3) ѕроверка подлинности передаваемых данных.

4) –азграничение доступа к ресурсам внешней сети.

5) ‘ильтраци€ и преобразование потока сообщений.

6) “рансл€ци€ внутренних сетевых адресов дл€ исход€щих пакетов сообщений.

7) –егистраци€ происход€щих в системе событий.

8)  эширование запрашиваемых из внешней сети данных.

ѕри разграничении доступа к ресурсам внешней сети чаще всего используетс€ следующий подход:

1) –азрешение доступа только по заданным адресам во внешней сети.

2) ‘ильтраци€ запросов на основе обновл€емых списков недопустимых адресов. ¬ данном случае блокируетс€ поиск по запрещЄнным ключевым словам.

3) –егистраци€, накопление и обновление данных по санкционированным информационным ресурсам внешней сети в дисковой пам€ти межсетевого экрана и полный запрет доступа к внешней сети.

‘ильтраци€ и преобразование потока сообщений на основе заданного набора правил выполн€ютс€ программами-посредниками двух типов:

1) Ёкранирующие агенты. ѕредназначены дл€ анализа потока сообщений дл€ определЄнных видов сервисов.

2) ”ниверсальные экранирующие агенты. ќбрабатывает весь поток сообщений, обеспечивает поиск и обезвреживание вирусов.

ѕример современного межсетевого экрана, который предоставл€ет защиту от удалЄнных атак: ELCO Firewall. —труктура комплексного межсетевого экрана включает в себ€ следующие средства:

1) —истема отражени€ атак.

2) —редства создани€ виртуальных серверов.

3) —редства пакетной фильтрации и трансл€ции адресов с контролем состо€ни€ соединени€.

4) —редства организации виртуальных портов.

5) —редства дистанционного управлени€ по защищЄнному каналу.

6) —истема внутренней безопасности и аудита.

7) —редства организации шифрованных каналов св€зи дл€ целевых сервисов серверов.

8) ѕоддержка групп в качестве сервиса.

9) ¬озможность работы на агрегированных каналах св€зи.

 

Ћогическое вторжение Ц логическое преодоление системы обеспечени€ информационной безопасности. Ћогическое вторжение €вл€етс€ наиболее результативным. Ћогическое вторжение подраздел€етс€ на внутрисистемное и удалЄнное. ¬нутрисистемное вторжение может быть реализовано следующим образом: злоумышленник уже имеет учЄтную запись в системе, но с невысокими привилеги€ми. ќн совершает атаку на систему с целью получени€ дополнительных административных привилегий. ѕод учЄтной записью понимаетс€ совокупность имени пользовател€ и парол€ с целью определени€ полномочий данного пользовател€ в автоматизированной системе. ”далЄнное вторжение Ц попытка проникновени€ в систему через сеть, например, с удалЄнной машины. ”далЄнные атаки можно классифицировать:

1) ѕо субъекту атаки Ц атаки, выполн€емые при посто€нном участии человека и атаки, выполн€емые специально разработанными программами без непосредственного участи€ человека. ¬ первом случае атаки могут выполн€тьс€ с использованием стандартного программного обеспечени€.

2) ѕо характеру источников у€звимости автоматизированных систем Ц атаки, основанные на недостатках системы обеспечени€ информационной безопасности; атаки, основанные на ошибках оперативного управлени€ различными видами автоматизированных систем (в первую очередь, ошибки системного администратора); атаки, основанные на недостатках алгоритмов защиты.

3) ѕо физической дислокации объекта атаки Ц атаки на информацию, хранившуюс€ на жЄстком магнитном диске; атаки на информацию, передаваемую по лини€м св€зи; атаки на информацию, котора€ обрабатываетс€ в оперативной пам€ти. Ќаиболее у€звимы жЄсткие диски и линии св€зи.

4) ѕо характеру воздействи€ на объект Ц атаки с пассивным воздействием (не оказывают непосредственного вли€ни€ на работу системы, но нарушает политику безопасности Ц например, прослушивание); атаки с активным воздействием (вли€ют на работу системы и нарушают политику безопасности). Ѕольшинство атак €вл€ютс€ атаки активного воздействи€. ќсобенность активной атаки Ц возможность достаточно быстрого еЄ обнаружени€.

5) ѕо цели воздействи€ Ц нарушение конфиденциальности информационных ресурсов системы; нарушение целостности; нарушение работоспособности. —уществуют две возможности доступа к информации Ц перехват и искажение. ѕерехват Ц пассивное воздействие (нарушаетс€ только конфиденциальность информации). »скажение Ц активное воздействие (нарушаетс€ целостность информации). ѕри нарушении работоспособности целью €вл€етс€ вывод из стро€ атакуемой системы и, как следствие, невозможность доступа пользователей к ресурсам информационной системы.

6) ѕо условию начала осуществлени€ воздействи€ на автоматизированные системы Ц атака по факту запроса определЄнного типа от атакуемого объекта (атака осуществл€етс€ только в том случае, когда есть факт запроса определЄнного типа); атака по наступлению определЄнного событи€; атака безусловного типа.

7) ѕо наличию обратной св€зи с атакуемым объектом Ц атака с обратной св€зью и атака без обратной св€зи (однонаправленна€ атака). јтака с обратной св€зью характеризуетс€ тем, что на некоторые запросы, передаваемые атакуемой стороне, злоумышленнику требуетс€ ответ. јтаки без обратной св€зи осуществл€ютс€ одиночной передачей запроса на удалЄнный объект.

8) ѕо расположению субъекта относительно атакуемого объекта Ц внутрисегментные атаки и межсегментные атаки. —егмент сети Ц физическое объединение хостов, подключаемых к серверу по схеме Ђобща€ шинаї. ѕри такой схеме подключени€ каждый хост имеет возможность подвергать анализу любой пакет в своЄм сегменте. ’ост представл€ет собой сетевой компьютер или маршрутизатор. ѕодсеть Ц это совокупность хостов, котора€ €вл€етс€ частью глобальной сети. ѕодсеть €вл€етс€ логическим объединением хостов. ’осты внутри одной подсети могут взаимодействовать между собой, мину€ маршрутизатор. ћежсегментную атаку осуществить значительно сложнее, чем внутрисегментную. Ќо межсегментна€ атака представл€ет значительно большую опасность, чем внутрисегментна€. —тандарт ISO7498 описывает взаимодействие открытых систем.

9) ѕо уровню модели ISO/OSI Ц атаки на физическом уровне; атаки на канальном уровне; атаки на сетевом уровне; атаки на транспортном уровне; атаки на сеансовом уровне; атаки на представительном уровне; атаки на прикладном уровне. Intrusion Detection System (IDS) Ц система обнаружени€ атак, предназначенна€ дл€ обнаружени€, идентификации и противодействи€ вторжению. Ќа практике системы обнаружени€ атак подраздел€ютс€ на следующие категории: системы обнаружени€ атак на сетевом уровне (контролируют все пакеты в сетевом окружении, их можно запускать на отдельном компьютере, который просматривает весь трафик в сети); системы контрол€ системных файлов (System Integrity Virifiers Ц след€т за изменением системных файлов); мониторы регистрационных файлов (Log-file Monitors Ц контролируют регистрационные файлы, создаваемые серверами и службами); обманные системы (работают с псевдосервисами, целью которых €вл€етс€ имитаци€ хорошо известных источников у€звимости).

 





ѕоделитьс€ с друзь€ми:


ƒата добавлени€: 2015-05-05; ћы поможем в написании ваших работ!; просмотров: 929 | Ќарушение авторских прав


ѕоиск на сайте:

Ћучшие изречени€:

—тудент всегда отча€нный романтик! ’оть может сдать на двойку романтизм. © Ёдуард ј. јсадов
==> читать все изречени€...

742 - | 563 -


© 2015-2023 lektsii.org -  онтакты - ѕоследнее добавление

√ен: 0.02 с.