Мережні екрани прикладного рівня та їх застосування. Курсова робота з Основи інформаційної безпеки. Робота № 518273

Перехід до торгівельного партнера Binance

Мережні екрани прикладного рівня та їх застосування

Інформація про навчальний заклад

ВУЗ:

Львівський державний університет безпеки життєдіяльності

Інститут:

Не вказано

Факультет:

Не вказано

Кафедра:

Не вказано

Інформація про роботу

Рік:

2010

Тип роботи:

Курсова робота

Предмет:

Основи інформаційної безпеки

Група:

ІБ-31

Завантажити

Частина тексту файла (без зображень, графіків і формул):

Міністерство України з питань надзвичайних ситуацій та у справах захисту населення від наслідків Чорнобильської катастрофи Львівський державний університет безпеки життєдіяльності Кафедра інформаційних технологій та телекомунікаційних систем КУРСОВА РОБОТА з дисципліни «Основи інформаційної безпеки» Мережні екрани прикладного рівня та їх застосування Керівник роботи: Викладач кафедри Брич Т.Б. Зміст Вступ………………………………………………………………..3ст Інформаційна безпека і її складові……………………………….4-7ст Основні способи обмеження доступу до інформації…………..7-14ст Мережні екрани прикладного рівня……………………………...14-17ст Гібридні мережні екрани………………………………………….17-19cn Висновок…………………………………………………………….19ст Література…………………………………………………………20ст Вступ Інформація в ЕОМ - в особистих або службових комп'ютерах, а також на мережевих серверах набуває все більшу цінність і її втрата або модифікація може принести значимий матеріальний збиток. Значимість інформації для людей та організацій призводить до необхідності освоєння засобів і методів надійного зберігання її в ЕОМ, а також до обмеження доступу до інформації для третіх осіб. Мета даної роботи - всебічно проаналізувати засоби розмежування та доступу до інформації. Завдання роботи - розглянути основні складові інформаційної безпеки та основні способи її захисту. Як приклад засобів обмеження доступу до інформації в роботі розглядається міжмережевий екран. Інформаційна безпека і її складові Інформаційна безпека - це захищеність життєво важливих інформаційних ресурсів та систем від зовнішніх і внутрішніх посягань і загроз для громадян, організацій та державних органів. Для громадян інформаційна безпека виражається в захищеності їхніх персональних комп'ютерів, їх особистої інформації в інформаційних системах та мережах ЕОМ, а також результатів їх інтелектуальної діяльності. У Конституції Росії закріплені права громадян на свободу слова, таємницю листування та свободу поширення інформації, а також право запиту інформації від державних і громадських організацій. Для організацій інформаційна безпека - захищеність від зовнішніх посягань службової інформації, корпоративних інформаційних систем та мережі ЕОМ, а також належної їм інтелектуальної власності. Для держави інформаційна безпека - захист від зовнішніх і внутрішніх загроз національних інформаційних ресурсів та державних інформаційних систем, а також телекомунікаційної інфраструктури, організацій та служб. Захист інформації в ЕОМ може бути створена на технічному, організаційному і правовому рівні подібно захисту матеріальних цінностей, що належать громадян і організаціям. Розглянемо найбільш поширені загрози, до яких схильні сучасні комп'ютерні системи. Знання можливих загроз, а також уразливих місць інформаційної системи, необхідно для того, щоб вибирати найбільш ефективні засоби забезпечення безпеки. Найбільш частими і найнебезпечнішими (з точки зору розміру збитку) є ненавмисні помилки користувачів, операторів, системних адміністраторів та інших осіб, які обслуговують інформаційні системи. Іноді такі помилки призводять до прямого збитку (наприклад, неправильно введені дані, помилка в програмі, яка викликала зупинку або руйнування системи). Іноді вони створюють слабкі місця, якими можуть скористатися зловмисники (такі зазвичай помилки адміністрування). Згідно з даними Національного Інституту Стандартів і Технологій США (NIST), 65% випадків порушення безпеки інформаційних систем - наслідок ненавмисних помилок. Робота в глобальній інформаційній мережі робить цей фактор досить актуальним, причому джерелом збитку можуть бути як дії користувачів організації, так і користувачів глобальної мережі, що особливо небезпечно. На другому місці за розмірами шкоди розташовуються крадіжки та підробки. У більшості розслідуваних випадків винуватцями виявлялися штатні співробітники організацій, відмінно знайомі з режимом роботи і захисними заходами. Наявність потужного інформаційного каналу зв'язку з глобальними мережами може, за відсутності належного контролю за його роботою, додатково сприяти такій діяльності. Ображені співробітники, навіть колишні, знайомі з порядками в організації і здатні шкодити вельми ефективно. Тому, необхідно стежити за тим, щоб при звільненні співробітника його права доступу до інформаційних ресурсів анулювалися. Навмисні спроби отримання несанкціонованого доступу через зовнішні комунікації займають в даний час близько 10% всіх можливих порушень. Крім того, необхідно мати на увазі динаміку розвитку ризиків цього типу: за даними Групи вивчення комп'ютерних ризиків (CERT), яка проводила дослідження різних систем, контрольованих урядом США, якщо в 1990 році зареєстровано 130 вдалих спроб несанкціоновано доступу до комп'ютерних ресурсів через Internet, то за 1994 ця цифра склала 2300. Втрати американських компаній, пов'язані з порушеннями безпеки, склали більше US $5млн. При аналізі ризиків необхідно взяти до уваги той факт, що комп'ютери в локальній мережі організації рідко бувають достатньо захищені, щоб протистояти атакам або хоча б реєструвати факти порушення інформаційної безпеки. Так, тести Агентства Захисту Інформаційних Систем (США) показали, що 88% комп'ютерів мають слабкі місця з точки зору інформаційної безпеки, які можуть активно використовуватися для отримання несанкціонованого доступу. При цьому в середньому тільки кожен дванадцятий адміністратор виявляє, що вказаний інцидент стався у керованій ним системі. Окремо слід розглянути випадок віддаленого доступу до інформаційних структур організації через телефонні лінії, за допомогою популярних протоколів SLIP / PPP. Оскільки в цьому випадку ситуація близька до ситуації взаємодії користувачів локальної та глобальної мережі, вирішення виникаючих проблем також може бути аналогічним рішенням для Internet. На технічному рівні захист інформації в ЕОМ організовується передусім обмеженням доступу третім особам. Найпростіший рішення - аутентифікація користувачів шляхом їх реєстрації та введення паролів. Для обмеження доступу і в Windows, і в Linux, і в різних мережевих інформаційних системах застосовується реєстрація користувачів з перевіркою паролів доступу до тих чи інших ресурсів ЕОМ. Наступний рівень - адміністрування доступу до файлів і папок за допомогою засобів використовуваних операційних систем - Windows або Linux. На особистих ЕОМ це повинні робити їх власники. В організаціях регламентація доступу до інформації в мережах ЕОМ доручається системним адміністраторам, від кваліфікації яких буде залежати надійність зберігання інформації і працездатність мережі ЕОМ. Основна відмінність Windows і Linux укладено саме у відмінності штатних засобів розмежування доступу до файлів, пакам і пристроїв введення-виведення - основним ресурсів ЕОМ. Система Linux - це багатокористувацька мережева операційна система, в якій апріорі не менше двох користувачів, один з яких і тільки один (його ім'я - root) має права адміністрування доступу.Система Windows у її найпростіших варіантах штатних засобів адміністрування доступу до файлів і папок не має. Засоби адміністрування є лише у мережній операційній системі Windows NT. Але Windows NT - це операційна система для мереж ЕОМ. Windows-95, Windows-9, Windows-2000 і Windows-ХР - це операційні системи для персональних комп'ютерів, призначених для особистого використання. При цьому, на жаль фірма Microsoft з 2004 року припинила тиражування та технічну підтримку найбільш надійною своєї мережевої операційної системи Windows NT. Один з виходів - використання Linux на сервері мережі як мережевої операційної системи в мережах персональних ЕОМ з Windows, що дозволяє поставити надійний захист і регламентацію доступу до всіх ресурсів. В інформаційних системах розмежування доступу проводиться за допомогою штатних засобів баз даних. За міжнародними стандартами такі кошти є у всіх реляційних базах даних. Основними загрозами для особистої інформації, що зберігається в персональних ЕОМ і отримується через Інтернет, на сьогоднішній день є комп'ютерні епідемії і непрошений спам. Спам - це масове несанкціоноване анонімна розсилка реклами мережі Інтернет. Спам забиває непотрібною інформацією особисті та службові поштові ящики і змушує оплачувати непотрібну рекламу.У національному масштабі спам завдає істотної матеріальної шкоди всім організаціям, які використовують Інтернет, а також провайдерам електронної пошти і доступу до Інтернет. Комп'ютерні епідемії - це масове розповсюдження комп'ютерних вірусів по мережі Інтернет з руйнуванням інформації на особистих і службових ЕОМ, що завдає істотної матеріальної шкоди. Основні способи обмеження доступу до інформації У настільки важливого завдання, як забезпечення безпеки інформаційної системи, немає і не може бути повністю готового рішення. Це пов'язано з тим, що структура кожної організації, функціональні зв'язки між її підрозділами і окремими співробітниками практично ніколи повністю не повторюються. Тільки керівництво організації може визначити, наскільки критично порушення безпеки для компонент інформаційної системи, хто, коли і для вирішення яких завданнях може використовувати ті чи інші інформаційні сервіси. Ключовим етапом для побудови надійної інформаційної системи є вироблення політики безпеки. Під політикою безпеки ми будемо розуміти сукупність документованих управлінських рішень, спрямованих на захист інформації та пов'язаних з нею ресурсів. З практичної точки зору політику безпеки доцільно розділити на три рівні: • Рішення, які зачіпають організацію в цілому. Вони носять дуже загальний характер і, як правило, виходять від керівництва організації. • Питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних систем, експлуатованих організацією. • Конкретні сервіси інформаційної системи. Третій рівень включає в себе два аспекти - мети (політики безпеки) і правила їх досягнення, тому його часом важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, третій повинен бути набагато детальніше. В окремих сервісів є багато властивостей, які не можна єдиним чином регламентувати в рамках всієї організації. У той же час ці свойства настільки важливі для забезпечення режиму безпеки, що рішення, які належать до них, повинні прийматися на управлінському, а НЕ технічному рівні. Можна виділити наступні основні способи захисту інформації: 1) захист на рівні браузерів, 2) захист на рівні локального сервера, 3) використання фільтруючих програм, 4) установка мережних екранів. Найбільш надійними є два останні способи захисту. Так шляхом установки програм-фільтрів в організаціях, відповідно до Конвенції про кіберзлочинність пішли всі європейські країни. Програми-фільтри для російських організацій почала поставляти британська фірма SurfControl, що пропонує як фільтрацію вірусів і спаму, так і фільтрацію сайтів з неправомірним змістом. Для кращого уявлення сутності мережевого екрану розглянемо структуру інформаційної системи підприємства (організації). У загальному випадку вона є неоднорідний набір (комплекс) з різних комп'ютерів, керованих різними операційними системами та мережевого обладнання, що здійснює взаємодію між комп'ютерами. Оскільки описана система дуже різнорідна (навіть комп'ютери одного типу і з однією операційною системою можуть, відповідно до їх призначення, мати зовсім різні конфігурації), навряд чи має сенс здійснювати захист кожного елементу окремо. У зв'язку з цим пропонується розглядати питання забезпечення інформаційної безпеки для локальної мережі в цілому. Це виявляється можливим при використанні міжмережевого екрану (firewall). Концепція міжмережевого екранування формулюється в такий спосіб. Нехай є дві безлічі інформаційних систем. Екран - це засіб розмежування доступу клієнтів з однієї безлічі до серверів з іншої множини. Екран виконує свої функції, контролюючи всі інформаційні потоки між двома множинами систем. У найпростішому випадку екран складається з двох механізмів, один з яких обмежує переміщення даних, а другий, навпаки, йому сприяє (тобто здійснює переміщення даних). У більш загальному випадку екран (напівпроникну оболонку) зручно представляти себе як послідовність фільтрів. Кожен з них може затримати (не пропустити) дані, а може і відразу «перекинути» їх «на інший бік». Крім того, допускається передача порції даних на наступний фільтр для продовження аналізу, або обробка даних від імені адресата і повернення результату відправникові. Крім функцій розмежування доступу, екрани здійснюють також протоколювання інформаційних обмінів.Зазвичай екран не є симетричним, для нього визначені поняття «всередині» і «зовні». При цьому завдання екранування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани встановлюють для захисту локальної мережі організації, що має вихід у відкриту середу, подібну Internet. Інший приклад екрану - пристрій захисту порту, контролює доступ до комунікаційного порту комп'ютера до і незалежно від усіх інших системних захисних засобів. Екранування дозволяє підтримувати доступність сервісів внутрішній області, зменшуючи або взагалі ліквідуючи навантаження, індуковану зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку сторонній зловмисник повинен подолати екран, де захисні механізми сконфігуровані особливо ретельно і жорстко. Крім того, що екранує система, на відміну від універсальної, може бути влаштована більш простим і, отже, більш безпечним чином. Екранування дає можливість контролювати також інформаційні потоки, спрямовані в зовнішню область, що сприяє підтримці режиму конфіденційності. Найчастіше екран реалізують як мережевий сервіс на третьому (мережному), четвертому (транспортному) або сьомому (прикладному) рівнях семиуровневой еталонної моделі OSI. У першому випадку ми маємо екрануючий маршрутизатор, у другому - екрануючий транспорт, в третьому - екрануючий шлюз. Кожен підхід мають свої переваги і недоліки; відомі також гібридні екрани, де робиться спроба об'єднати кращі якості згаданих підходів. Екрануючий маршрутизатор має справу з окремими пакетами даних, тому іноді його називають пакетним фільтром. Рішення про те, пропустити або затримати дані, приймаються для кожного пакета незалежно, на підставі аналізу полів заголовків мережевого і (можливо) транспортного рівнів, шляхом застосування заздалегідь заданої системи правил. Ще один важливий компонент аналізованої інформації - порт, через який пакет вступив до маршрутизатор. Сучасні маршрутизатори (такі, як продукти компаній Bay Networks або Cisco) дозволяють пов'язувати з кожним портом кілька десятків правил і фільтрувати пакети як на вході (при вступі до маршрутизатор), так і на виході. У принципі, як пакетного фільтру може використовуватися і універсальний комп'ютер, обладнаний кількома мережними картами. Основні переваги екрануючих маршрутизаторів - дешевизна (на межі мереж маршрутизатор потрібний практично завжди, справа лише в тому, щоб задіяти його екранують можливості) і прозорість для вищих рівнів моделі OSI. Основний недолік - обмеженість аналізованої інформації і, як наслідок, відносна слабкість захисту, який він. Екрануючий транспорт дозволяє контролювати процес встановлення віртуальних з'єднань і передачу інформації по них. З точки зору реалізації екрануючий транспорт являє собою досить просту, а значить, надійну програму. Приклад екрануючого транспорту - продукт TCP wrapper. У порівнянні з пакетними фільтрами, екрануючий транспорт має більшою інформацією, тому він може здійснювати більш тонкий контроль за віртуальними з'єднаннями (наприклад, він здатний відстежувати кількість передаваної інформації і розривати з'єднання після перевищення певної межі, перешкоджаючи тим самим несанкціонованому експорту інформації). Аналогічно, можливе накопичення більш змістовної реєстраційної інформації. Головний недолік - звуження області застосування, оскільки поза контролем залишаються датаграмною протоколи. Зазвичай екрануючий транспорт застосовують у поєднанні з іншими підходами, як важливий додатковий елемент. Екрануючий шлюз, що функціонує на прикладному рівні, здатний забезпечити найбільш надійний захист. Як правило, екрануючий шлюз представляє собою універсальний комп'ютер, на якому функціонують програмні агенти - по одному для кожного обслуговується прикладного протоколу. При подібному підході, крім фільтрації, реалізується ще один найважливіший аспект екранування. Суб'єкти із зовнішньої мережі бачать тільки шлюзовий комп'ютер; відповідно, їм доступна тільки та інформація про внутрішній мережі, яку шлюз вважає за потрібне експортувати. Шлюз насправді екранує, тобто заступає, внутрішню мережу від зовнішнього світу. У той же час суб'єктам внутрішньої мережі здається, що вони безпосередньо спілкуються з об'єктами зовнішнього світу. Недолік екрануючих шлюзів - відсутність повної прозорості, що вимагає спеціальних дій для підтримки кожного прикладного протоколу. Прикладом інструментарію для побудови екрануючих шлюзів є TIS Firewall Toolkit компанії Trusted Information Systems. У гібридних системах, таких як Firewall-1 компанії Sun Microsystems, дійсно вдається об'єднати кращі якості, що екранують, тобто отримати надійний захист, зберегти прозорість для додатків і утримати накладні витрати в розумних межах. Крім того, з'являються і дуже цінні нові можливості, такі як відстежування передачі інформації в рамках датаграмною протоколів. Важливим поняттям екранування є зона ризику, яка визначається як безліч систем, які стають доступними зловмисникові після подолання екрану або будь-якого з його компонентів. Як правило, для підвищення надійності захисту екран реалізують як сукупність елементів, так що «злом» одного з них ще не відкриває доступ до всієї внутрішньої мережі. Розглянемо вимоги до реальної системі, що здійснює міжмережна екранування. У більшості випадків екранує система повинна: • Забезпечувати безпеку внутрішньої (захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку; • Володіти потужними і гнучкими засобами керування для повного і, наскільки можливо, простого втілення в життя політики безпеки організації. Крім того, що екранує система повинна забезпечувати просту реконфігурацію системи при зміні структури мережі; • Працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій; • Працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у "пікових» режимах. Це необхідно для того, щоб firewall не можна було, образно кажучи, «закидати» великою кількістю викликів, які привели б до порушення роботи; • Володіти властивостями самозахисту від будь-яких несанкціонованих впливів, оскільки міжмережевий екран є ключем до конфіденційної інформації в організації; • Якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, система управління екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки; • Мати засоби авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм потрібен доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна надійно розпізнавати таких користувачів і надавати їм необхідні види доступу. Екранування дозволяє підтримувати доступність сервісів всередині інформаційної системи, зменшуючи або взагалі ліквідуючи навантаження, ініційовану зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен подолати екран, де захисні механізми сконфігуровані особливо ретельно і жорстко. Крім того, що екранує система, на відміну від універсальної, може бути влаштована більш простим і, отже, більш надійним чином. Екранування дає можливість контролювати інформаційні потоки, спрямовані в зовнішню область, забезпечуючи режим конфіденційності. Таким чином, екранування в поєднанні з іншими заходами безпеки використовує ідею багаторівневого захисту. За рахунок цього внутрішня мережа піддається ризику тільки у разі подолання декількох, по-різному організованих захисних рубежів. Наявність інструменту міжмережевого екранування дозволяє використовувати його і для контролю доступу до інформаційних ресурсів організації з комутованими каналами зв'язку. Для цього необхідно використовувати пристрій, який називається термінальним сервером. Міжмережеві екрани прикладного рівня Термінальний сервер являє собою спеціальну програмно-апаратну конфігурацію. Міжмережеві екрани прикладного рівня, або проксі-екрани, є програмні пакети, що базуються на операційних системах загального призначення (таких як Windows NT і Unix) або на апаратній платформі міжмережевих екранів. Міжмережевий екран володіє декількома інтерфейсами, по одному на кожну з мереж, до яких він підключений. Набір правил політики визначає, яким чином трафік передається з однієї мережі в іншу. Якщо в правилі відсутній явний дозвіл на пропуск трафіку, міжмережевий екран відхиляє або анулює акети. Правила політики безпеки посилюються за допомогою використання модулів доступу. У межсетевом екрані прикладного рівня кожному разрешаемому протоколу повинен відповідати свій власний модуль доступу. Кращими модулями доступу вважаються ті, які побудовані спеціально для дозволяється протоколу. Наприклад, модуль доступу FTP призначений для протоколу FTP і може визначати, чи відповідає проходить трафік до цього протоколу і дозволений цей трафік правилами політики безпеки.При використанні міжмережевого екрану прикладного рівня всі з'єднання проходять через нього (рис. 4.1.). Як показано на малюнку, з'єднання починається на системі-клієнті і надходить на внутрішній інтерфейс міжмережевого екрану. Міжмережевий екран приймає з'єднання, аналізує вміст пакету і використовуваний протокол і визначає, чи відповідає цей трафік правилам політики безпеки. Якщо це так, то міжмережевий екран ініціює нове з'єднання між своїм зовнішнім інтерфейсом і системою-сервером. Міжмережеві екрани прикладного рівня використовують модулі доступу для вхідних підключень. Модуль доступу в межсетевом екрані приймає вхідне підключення і обробляє команди перед відправкою трафіку одержувачу. Таким чином, міжмережевий екран захищає системи від атак, які виконуються за допомогою додатків. Тут мається на увазі, що модуль доступу на межсетевом екрані сам по собі невразливий для атаки. Якщо ж програмне забезпечення розроблене недостатньо ретельно, це може бути і помилковим твердженням.Додатковою перевагою архітектури даного типу є те, що при її використанні дуже складно, якщо не неможливо, "приховати" трафік усередині інших служб. Наприклад, деякі програми контролю над системою, такі як NetBus і Back Orifice, можуть бути налаштовані на використання будь-якого предпочитаемого користувачем порту. Отже, їх можна налаштувати на використання порту 80 (HTTP). При використанні правильно налаштованого міжмережного екрану прикладного рівня модуль доступу не зможе розпізнавати команди, що надходять через з'єднання, і з'єднання, швидше за все, не буде встановлено. Міжмережеві екрани прикладного рівня містять модулі доступу для найбільш часто використовуваних протоколів, таких як HTTP, SMTP, FTP і telnet. Деякі модулі доступу можуть бути відсутні. Якщо модуль доступу відсутній, то конкретний протокол не може використовуватися для з'єднання через між мережевий екран. Міжмережевий екран також приховує адреси систем, розташованих по інший бік від нього. Так як всі з'єднання ініціюються і завершуються на інтерфейсах міжмережевого екрану, внутрішні системи мережі не видно безпосередньо ззовні, що дозволяє приховати схему внутрішньої адресації мережі. Велика частина протоколів прикладного рівня забезпечує механізми маршрутизації до конкретних систем для трафіку, направленого через певні порти. Наприклад, якщо весь трафік, що поступає через порт 80, має спрямовуватися на веб-сервер, це досягається відповідною настроюванням між мережевого екрану. Міжмережеві екрани з пакетною фільтрацією можуть також бути програмними пакетами, що базуються на операційних системах загального призначення (таких як Windows NT і Unix) або на апаратних платформах міжмережевих екранів. Міжмережевий екран має декілька інтерфейсів, по одному на кожну з мереж, до яких підключений екран. Аналогічно міжмережевих екранів прикладного рівня, доставка трафіку з однієї мережі в іншу визначається набором правил політики. Якщо правило не дозволяє явним чином певний трафік, то відповідні пакети будуть відхилені або анульовані іжмережевим екраном. Правила політики посилюються за допомогою використання фільтрів пакетів. Фільтри вивчають пакети і визначають, чи є трафік дозволеним, згідно правилам політики і станом протоколу (перевірка з урахуванням стану). Якщо протокол програми функціонує через TCP, визначити стан відносно просто, так як TCP сам по собі підтримує стану. Це означає, що коли протокол знаходиться в певному стані, дозволена передача тільки певних пакетів. Розглянемо як приклад послідовність установки з'єднання. Перший очікуваний пакет - пакет SYN. Міжмережевий екран виявляє цей пакет і переводить з'єднання в стан SYN. У даному стані очікується один з двох пакетів - або SYN ACK (індикацію пакету і дозвіл з'єднання) або пакет RST (скидання з'єднання з причини відмови у з'єднанні одержувачем). Якщо в даному сполученні з'являться інші пакети, міжмережевий екран анулює або відхилить їх, так як вони не підходять для даного стану з'єднання, навіть якщо з'єднання дозволено набором правил. Якщо протоколом з'єднання є UDP, міжмережевий екран з пакетною фільтрацією не може використовувати притаманне протоколу стан, замість чого відстежує стан трафіку UDP. Як правило, міжмережевий екран приймає зовнішній пакет UDP і очікує входить пакет від одержувача, відповідний вихідного пакету за адресою та в порту, протягом певного часу. Якщо пакет приймається протягом цього відрізку часу, його передача дозволяється. В іншому випадку міжмережевий екран визначає, що трафік UDP не є відповіддю на запит, та анулює його. При використанні міжмережевого екрану з пакетною фільтрацією з'єднання не перериваються на межсетевом екрані. А спрямовуються безпосередньо до цільової системи. При надходженні пакетів міжмережевий екран з'ясовує, чи дозволений даний пакет і стан з'єднання правилами політики. Якщо це так, пакет передається за своїм маршрутом. В іншому випадку пакет відхиляється або анулюється. Міжмережеві екрани з фільтрацією пакетів не використовують модулі доступу для кожного протоколу і тому можуть використовуватися з будь-яким протоколом, що працюють через IP. Деякі протоколи вимагають розпізнавання міжмережевим екраном виконуваних ними дій. Наприклад, FTP буде використовувати одне з'єднання для початкового входу і команд, а інше - для передачі файлів. Сполуки, що використовуються для передачі файлів, встановлюються як частина з'єднання FTP, і тому міжмережевий екран повинен вміти зчитувати трафік і визначати порти, які будуть використовуватися новим з'єднанням. Якщо міжмережевий екран не підтримує цю функцію, передача файлів неможливе. Як правило, міжмережеві екрани з фільтрацією пакетів мають можливість підтримки більшого обсягу трафіку, тому що в них відсутнє навантаження, створювана додатковими процедурами налаштування та обчислення, що мають місце у програмних модулях доступу.Різні виробники міжмережевих екранів зіставляють їх продуктивність різними способами. Історично склалося так, що міжмережеві екрани з пакетною фільтрацією мають можливість обробки більшого об'єму трафіку, ніж міжмережеві екрани прикладного рівня, на платформі одного і того ж типу. Це порівняння показує різні результати залежно від типу трафіку і числа з'єднань, що мають місце в процесі тестування. Міжмережеві екрани, що працюють тільки за допомогою фільтрації пакетів, не використовують модулі доступу, і тому трафік передається від клієнта безпосередньо на сервер. Якщо сервер буде атакований через відкриту службу, дозволену правилами політики міжмережевого екрану, міжмережевий екран ніяк не відреагує на атаку. Міжмережеві екрани з пакетною фільтрацією також дозволяють бачити ззовні внутрішню структуру адресації. Внутрішні адреси приховувати не потрібно, тому що з'єднання не перериваються на межсетевом екрані. Велика частина міжмережевих екранів з фільтрацією пакетів підтримує трансляцію між мережевих адрес. Гібридні мережні екрани Як і багато інших пристроїв, міжмережеві екрани змінюються і удосконалюються з плином часу - еволюціонують. Виробники міжмережевих екранів прикладного рівня в певний момент прийшли до висновку, що необхідно розробити метод підтримки протоколів, для яких не існує певних модулів доступу. Внаслідок цього побачила світло технологія модуля доступу Generic Services Proxy (GSP). GSP розроблена для підтримки модулями доступу прикладного рівня інших протоколів, необхідних системі безпеки і під час роботи мережевих адміністраторів. У дійсності GSP забезпечує роботу міжмережевих екранів прикладного рівня як екранів з пакетною фільтрацією. Виробники міжмережевих екранів з пакетною фільтрацією також додали деякі модулі доступу в свої продукти для забезпечення більш високого рівня безпеки деяких широко поширених протоколів. На сьогоднішній день багато міжмережеві екрани з пакетною фільтрацією поставляються з модулем доступу SMTP. У той час як базова функціональність міжмережевих екранів обох типів залишилася колишньою, (що є причиною більшості "слабких місць" цих пристроїв), сьогодні на ринку присутні гібридні міжмережеві екрани. Практично неможливо знайти міжмережевий екран, функціонування якого побудована виключно на прикладному рівні або фільтрації пакетів. Ця обставина аж ніяк не є недоліком, так як воно дозволяє адміністраторам, що відповідають за безпеку, налаштовувати пристрій для роботи в конкретних умовах. Тепер давайте розглянемо деякі стандартні мережеві архітектури і з'ясуємо, яким чином слід налаштовувати мережевий екран у тій чи іншій конкретній ситуації. У цій вправі мається на увазі, що в організації присутні такі системи, і що ці системи беруть вхідні з'єднання з інтернету:веб-сервер, який працює тільки через порт 80;поштовий сервер, який працює тільки через порт 25. Він приймає всю вхідну і відправляє всю вихідну пошту. Внутрішній поштовий сервер періодично зв'язується з даною системою для отримання вхідної пошти та відправлення вихідних овідомлень. Існує внутрішня система DNS, яка запитує системи інтернету для перетворення імен в адреси, проте в організації відсутня своя власна головна зовнішня DNS. Інтернет-політика організації дозволяє внутрішнім користувачам використовувати наступні служби: HTTP; HTTPS; FTP; Telnet; SSH. На базі цієї політики можна побудувати правила політики для різних архітектур.Архітектура 1: системи за межами міжмережевого екрані, доступні з інтернетуНа показано розміщення доступних з інтернету систем між мережевим екраном і зовнішнім маршрутизатором. У наведені правила міжмережевого екрану. На маршрутизаторі може бути встановлена фільтрація, що дозволяє тільки зовнішніми даними HTTP надходити на веб-сервер і передавати на поштовий сервер тільки надходять ззовні, SMTP. Як видно з наведених правил, незалежно від того, який тип міжмережевого екрану використовується, веб-сервер і поштовий сервер не захищені міжмережевим екраном. У даному випадку міжмережевий екран лише захищає внутрішню мережу організації. Не слід обмежувати область дії міжмережевих екранів одними лише інтернет-з'єднаннями. Міжмережевий екран є пристрій, який може використовуватися в будь-якій ситуації, що вимагає контролю доступу. Зокрема, дані пристрої можна використовувати у внутрішніх мережах, які необхідно захищати від інших внутрішніх систем. Секретні внутрішні мережі можуть містити комп'ютери з особливо важливою інформацією або функціями або мережі, в яких проводяться експерименти над мережним устаткуванням. Деякі міжмережеві екрани містять обробник набору правил, перевіряючий набір на наявність правил, що перекриваються іншими правилами. Оброблювач інформує про цю ситуацію адміністратора міжмережевого екрану перед установкою правил на міжмережевий екран.Даний підхід хороший в загальному плані, проте він не вирішує проблему продуктивності міжмережевого екрану. Чим більше правил необхідно перевіряти для кожного пакета, тим більше обчислень повинен виробляти міжмережевий екран. При розробці якісного набору правил слід приймати до уваги це обставини, тому що від нього залежить рівень ефективності роботи між мережевого екрану. Для підвищення ефективності роботи екрану слід оцінити очікувану навантаження трафіку на міжмережевий екран і порядок трафік за типами. Як правило, найбільший обсяг займає трафік HTTP. Для підвищення ефективності міжмережевого екрану слід розмістити правила, пов'язані з HTTP, вгорі набору правил. Це означає, що правило, яке дозволяє внутрішніх систем використовувати HTTP для підключення до будь-якої системи в інтернеті, і правило, яке дозволяє зовнішнім користувачам здійснювати доступ до веб-сайту організації, повинні бути розташовані дуже близько до верхньої межі набору правил. Єдиними правилами, які повинні знаходитися вище двох згаданих правил, є специфічні правила відмови в доступі, пов'язані з протоколу HTTP. Висновок Підключення організації до глобальної мережі, такий як Internet, істотно збільшує ефективність роботи організації і відкриває для неї безліч нових можливостей. У той же час, організації необхідно подбає про створення системи захисту інформаційних ресурсів, від тих, хто захоче їх використовувати, модифікувати або просто знищити. Незважаючи на свою специфіку, система захисту організації при роботі в глобальних мережах повинна бути продовженням загального комплексу зусиль, спрямованих на забезпечення безпеки інформаційних ресурсів. Захист інформації, впізнання та обмеження до неї доступу - це комплекс заходів, спрямованих на забезпечення інформаційної безпеки. На практиці під цим розуміється підтримку цілісності, доступності та, якщо необхідно, конфіденційності інформації та ресурсів, що використовуються для введення, зберігання, обробки і передачі даних. Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідно поєднання законодавчих, організаційних та програмно-технічних заходів. Література 1. Галатенко В. Тріфоленков І. Введення в безпеку в Інтернет. М., 2005. 2. Каймін В.А. Інформатика. Підручник для вузів. М., ИНФРА-М, 2003. 3. Каймін В.А., Касаєв Б.С. Інформатика. Практикум на ЕОМ. ИНФРА-М, 2003. 4. Осипенко А.С. Боротьба зі злочинністю у комп'ютерних мережах. М., 2004.

Курсова робота Основи інформаційної безпеки

Kuzya92

20.12.2012 00:12-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись