міжмережеві екрани

Міжмережевий екран або брандмауер (по-ньому. Brandmauer. По-англ. Firewall. По-рус. Межа вогню) - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу (див. рис.1). Найчастіше ця межа проводиться між локальною мережею підприємства і INTERNET. хоча її можна провести і всередині локальної мережі підприємства. Брандмауер, таким чином, пропускає через себе весь трафік. Для кожного пакету, що брандмауер приймає рішення пропускати його або відкинути. Для того щоб брандмауер міг приймати ці рішення, йому необхідно визначити набір правил. Про те, як ці правила описуються і які параметри використовуються при їх описі, мова піде трохи пізніше.
рис.1

Як правило, брандмауери функціонують на будь-якої UNIX платформі - найчастіше це BSDI, SunOS, AIX, IRIX і т.д. рідше - DOS, VMS, WNT, Windows NT. З апаратних платформ зустрічаються INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, сімейство RISC процесорів R4400-R5000. Крім Ethernet, багато брандмауерів підтримують FDDI, Token Ring, 100Base-T, 100VG-AnyLan, різні серійні пристрої. Вимоги до оперативної пам'яті і обсягом жорсткого диска залежать від кількості машин в захищуваному сегменті мережі.

Зазвичай в операційну систему, під керуванням якої працює брандмауер, вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ​​ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволено мати рахунки користувачів (а значить і потенційних дірок), тільки рахунок адміністратора. Деякі брандмауери працюють тільки в режимі одного. Багато брандмауерів мають систему перевірки цілісності програмних кодів. При цьому контрольні суми програмних кодів зберігаються в захищеному місці і порівнюються при старті програми щоб уникнути підміни програмного забезпечення.

Всі типи можуть одночасно зустрітися в одному брандмауері.

пакетні фільтри

Для опису правил проходження пакетів складаються таблиці типу:

Поле "дія" може приймати значення пропустити або відкинути.
Тип пакета - TCP, UDP або ICMP.
Прапори - прапори із заголовка IP-пакета.
Поля "порт джерела" і "порт призначення" мають сенс тільки для TCP і UDP пакетів.

Сервера прикладного рівня

Брандмауери з серверами прикладного рівня використовують сервера конкретних сервісів (proxy server) - TELNET, FTP і т.д. запускаються на брандмауері і пропускають через себе весь трафік, що відноситься до даного сервісу. Таким чином, між клієнтом і сервером утворюються два з'єднання: від клієнта до брандмауера і від брандмауера до місця призначення.

Використання серверів прикладного рівня дозволяє вирішити важливе завдання - приховати від зовнішніх користувачів структуру локальної мережі, включаючи інформацію в заголовках поштових пакетів або служби доменних імен (DNS). Іншим позитивним якістю є можливість аутентифікації на призначеному для користувача рівні (нагадую, що аутентифікація - процес підтвердження ідентичності чого-небудь; в даному випадку це процес підтвердження, чи дійсно користувач є тим, за кого він себе видає).

При описі правил доступу використовуються такі параметри, як
• назва сервісу,
• Ім'я користувача,
• допустимий часовий діапазон використання сервісу,
• комп'ютери, з яких можна користуватися сервісом,
• схеми аутентифікації.

Сервера прикладного рівня дозволяють забезпечити найбільш високий рівень захисту, тому що взаємодія з зовнішнім світом реалізується через невелике число прикладних програм, повністю контролюючих весь вхідний і вихідний трафік.

Сервера рівня з'єднання

Сервер рівня з'єднання являє собою транслятор TCP з'єднання. Користувач утворює з'єднання з певним портом на брандмауері, після чого останній виробляє з'єднання з місцем призначення по іншу сторону від брандмауера. Під час сеансу цей транслятор копіює байти в обох напрямках, діючи як дріт.

Як правило, пункт призначення задається заздалегідь, в той час як джерел може бути багато (з'єднання типу один - багато). Використовуючи різні порти, можна створювати різні конфігурації.

Такий тип сервера дозволяє створювати транслятор для будь-якого певного користувачем сервісу, що базується на TCP, здійснювати контроль доступу до цього сервісу, збір статистики щодо його використання.

Порівняльні характеристики пакетних фільтрів і серверів прикладного рівня

Нижче наведені основні переваги і недоліки пакетних фільтрів і серверів прикладного рівня відносно один одного.

Переваги пакетних фільтрів:
• відносно невисока вартість;
• гнучкість у визначенні правил фільтрації;
• невелика затримка при проходженні пакетів.

Переваги серверів прикладного рівня:
• локальна мережа невидима з INTERNET;
• при порушенні працездатності брандмауера пакети перестають проходити через брандмауер, тим самим не виникає загрози для захищаються їм машин;
• захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, знижуючи тим самим ймовірність злому з використанням дірок в програмному забезпеченні;
• аутентифікація на призначеному для користувача рівні може бути реалізована система негайного попередження про спробу злому.

Недоліки серверів прикладного рівня:
• більш висока, ніж для пакетних фільтрів вартість;
• неможливість використання протоколів RPC і UDP;
• продуктивність нижче, ніж для пакетних фільтрів.

Віртуальні мережі

Схеми підключення брандмауерів

Для підключення брандмауерів використовуються різні схеми. Брандмауер може використовуватися в якості зовнішнього роутера, використовуючи підтримувані типи пристроїв для підключення до зовнішньої мережі (див. Рис.1). Іноді використовується схема, зображена на рис.2, проте користуватися нею слід тільки в крайньому випадку, оскільки потрібно дуже акуратна настройка роутерів і невеликі помилки можуть утворити серйозні діри в захисті.
рис.2

Найчастіше підключення здійснюється через зовнішній маршрутизатор, який підтримує два Ethernet інтерфейсу (так званий dual-homed брандмауер) (дві мережеві картки в одному компьютра) (див. Рис.3).
рис.3

При цьому між зовнішнім роутером і брандмауером є тільки один шлях, яким іде весь трафік. Зазвичай роутер налаштовується таким чином, що брандмауер є єдиною видимою зовні машиною. Ця схема є найбільш кращою з точки зору безпеки і надійності захисту.

Інша схема представлена ​​на рис.4.
рис.4

При цьому брандмауером захищається тільки одна підмережа з декількох виходять з роутера. У незащіщаемой брандмауером області часто мають у своєму розпорядженні сервери, які повинні бути видимі зовні (WWW, FTP і т.д.). Більшість брандмауерів дозволяє розмістити ці сервера на ньому самому - рішення, далеко не найкращий з точки зору завантаження машини і безпеки самого брандмауера.

Існують рішення (див. Рис.5), які дозволяють організувати для серверів, які повинні бути видимі зовні, третю мережу; це дозволяє забезпечити контроль за доступом до них, зберігаючи в той же час необхідний рівень захисту машин в основній мережі.
рис.5

При цьому досить багато уваги приділяється тому, щоб користувачі внутрішньої мережі не могли випадково чи навмисне відкрити діру в локальну мережу через ці сервера. Для підвищення рівня захищеності можливо використовувати в одній мережі кілька брандмауерів, що стоять один за одним.

адміністрування

Системи збору статистики і попередження про атаку

Ще одним важливим компонентом брандмауера є система збору статистики і попередження про атаку. Інформацію про всі події - відмови, що входять, виходять з'єднаннях, кількість переданих байт, що використовувалися сервісах, часу з'єднання і т.д. - накопичується в файлах статистики. Багато брандмауерів дозволяють гнучко визначати підлягають протоколювання події, описати дії брандмауера при атаках або спробах несанкціонованого доступу - це може бути повідомлення на консоль, поштове послання адміністратору системи і т.д. Негайне виведення повідомлення про спробу злому на екран консолі або адміністратора може допомогти, якщо спроба виявилася успішною і атакуючий вже проник в систему. До складу багатьох брандмауерів входять генератори звітів, службовці для обробки статистики. Вони дозволяють зібрати статистику по використанню ресурсів конкретними користувачами, по використанню сервісів, відмовам, джерелам, з яких проводилися спроби несанкціонованого доступу і т.д.

аутентифікація

Аутентифікація є одним з найважливіших компонентів брандмауерів. Перш ніж користувачеві буде надано право скористатися тим чи іншим сервісом, необхідно переконатися, що він дійсно той, за кого він себе видає.

Як правило, використовується принцип, який отримав назву "що він знає" - тобто користувач знає деяке секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит.

Однією зі схем аутентифікації є використання стандартних UNIX паролів. Ця схема є найбільш вразливою з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою.

Класи захищеності брандмауерів

Стосовно до обробки конфіденційної інформації автоматизовані системи (АС) поділяються на три групи:

1. Розраховані на багато користувачів АС, які опрацьовують інформацію різних рівнів конфіденційності.
2. Розраховані на багато користувачів АС, в яких всі користувачі мають рівний доступ до всієї оброблюваної інформації, розташованої на носіях різного рівня конфіденційності.
3. Однопользовательские АС, в яких пользователль має піднято доступ до всієї оброблюваної інформації, розташованої на носіях різного рівня конфіденційності.

У першій групі виділяють 5 класів захищеності АС: 1А, 1Б, 1В, 1Г, 1Д, у другій і третій групах - по 2 класу захищеності: 2А, 2Б і 3А, 3Б сооответственно. Клас А відповідає максимальній, клас Д - мінімальний захищеності АС.

Брандмауери дозволяють підтримувати безпеку об'єктів внутрішньої області, ігноруючи несанкціоновані запити з зовнішньої області, тобто здійснюють екранування. В результаті зменшується вразливість внутрішніх об'єктів, оскільки спочатку сторонній порушник повинен подолати брандмауер, де захисні механізми сконфігуровані особливо ретельно і жорстко. Крім того, екранує система на відміну від універсальної влаштована більш простим, а отже, більш безпечним чином. На ній присутні тільки ті компоненти, які необхідні для виконання функцій екранування. Екранування дає також можливість контролювати інформаційні потоки, спрямовані в зовнішнє область, що сприяє підтримці у внутрішній області режиму конфіденційності. Крім функцій розмежування доступу, брандмауери здійснюють реєстрацію інформаційних потоків.

За рівнем захищеності брандмауери діляться на 5 класів. Найнижчий клас захищеності - п'ятий. Він застосовується для безпечної взаємодії АС класу 1Д з зовнішнім середовищем, четвертий - для 1Г, третій - для 1В, другий - для 1Б, найвищий - перший - для 1А.

Для АС класу 2Б, 3Б застосовуються брандмауери не нижче п'ятого класу.

Для АС класу 2А, 3А в залежності від важливості оброблюваної інформації застосовуються брандмауери наступних класів:

• при обробки інформації з грифом "секретно" - не нижче третього класу;
• при обробки інформації з грифом "цілком таємно" - не нижче другого класу;
• при обробки інформації з грифом "особливої ​​важливості" - тільки першого класу.

Показники захищеності зведені в табл.1.

- немає вимог до даного класу;

Конструкторська (проектна) документація

Керівництво для купують брандмауер

Передбачається, що підприємство, заповнивши цю форму та надіслати її виробнику, дозволить останньому сформувати найбільш якісна пропозиція для покупця. Заповнення даної форми, втім, і без відправки її кому-небудь, дозволить організації краще зрозуміти, яке рішення їй необхідно.

Схожі статті

• Екран в windows

• Встановити блокування екрану в xubuntu, убунтовод про ubuntu

• Установка розсувного пластикового екрану під ванною, все своє!