Введение в брандмауэры - реферат

План

Понятие брандмауэра

Почему конкретно брандмауэры?

Трудности, возникающие из-за брандмауэров

Составляющие брандмауэра

Можно отыскать решение ряд заморочек с безопасностью в Вебе, либо, по последней мере, сделать их наименее небезопасными, если использовать имеющиеся и отлично известные технологии и меры защиты на уровне хостов. Брандмауэр может существенно повысить уровень безопасности сети организации и Введение в брандмауэры - реферат сохранить в то же время доступ ко всем ресурсам Вебе. Эта глава дает обзор брандмауэров, который содержит в себе описание того, как они избавляют опасность уязвимых мест, обрисованных в главе 1, от чего не защищают брандмауэры и составляющие, составляющие брандмауэр. Эта глава повышенное внимание направляет на внедрение усиленной аутентификации и Введение в брандмауэры - реферат значимость политики безопасности при определении того, как брандмауэр будет реализовывать схему защиты.

Набросок 2.1 Пример брандмауэра с маршрутизатором и прикладным шлюзом

Понятие брандмауэра

Наверняка, идеальнее всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост либо группа систем, которые обеспечивают безопасность в сети Введение в брандмауэры - реферат. Быстрее, брандмауэр - это подход к безопасности; он помогает воплотить политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в определениях сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация заместо статических паролей. Основная цель системы брандмауэра - управление доступом К либо Введение в брандмауэры - реферат ИЗ защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены или отвергнуты.

Система брандмауэра может быть маршрутизатором, компьютером, хостом, либо группой хостов, сделанной специально для защиты сети либо сабсети от неверного использования протоколов и Введение в брандмауэры - реферат служб хостами, находящимися вне этой сабсети. Обычно система брандмауэра создается на базе маршрутизаторов верхнего уровня, обычно на тех, которые соединяют сеть с Вебом, хотя может быть сотворена и на других маршрутизаторах, для защиты только части хостов либо субсетей.

Препядствия, возникающие из-за брандмауэров

Кроме обрисованных выше преимуществ использования брандмауэров Введение в брандмауэры - реферат, имеет место ряд недочетов при их использовании и ряд заморочек, от которых брандмауэры не могут защитить. Брандмауэр не является панацеей от всех заморочек безопасности, связанных с Вебом.

2.3.1 Ограничение в доступе к необходимым службам

Самым естественным недочетом брандмауэра будет то, что он может перекрыть ряд служб, которые употребляют юзеры, такие как Введение в брандмауэры - реферат TELNET, FTP, X Windows, NFS и др. Все же, эти недочеты не присущи только брандмауэрам; сетевой доступ также может ограничиваться при защите на уровне хостов в согласовании с политикой безопасности. Отлично обмысленная политика безопасности, в какой найден баланс меж требованиями безопасности и потребностями юзеров, может очень посодействовать при решении заморочек Введение в брандмауэры - реферат из-за ограничений в доступе к службам.

Некие сети могут иметь топологию, которая не позволяет применить брандмауэр, либо использовать службы, такие как NFS, таким макаром, что внедрение брандмауэра востребует суровых ограничений при работе в сети. К примеру, в сети может требоваться внедрение NFS и NIS через Введение в брандмауэры - реферат главные маршрутизаторы. В таковой ситуации цена установки брандмауэра необходимо сопоставить с вредом, который понесет организация от атаки, использующей уязвимые места, защищаемые брандмауэром, другими словами провести анализ риска, а потом принять решение на основании его результатов. Возможно окажутся более уместными другие решения, такие как Керберос, но эти решения также имеют свои Введение в брандмауэры - реферат недочеты. [NIST94c] содержит дополнительную информацию о Керберос и других возможных решениях.

2.3.2 Огромное количество остающихся уязвимых мест

Во-2-х, брандмауэры не защищают от темных входов(люков) в сети. К примеру, если можно выполнить неограниченный доступ по модему в сеть, защищенную брандмауэром, атакующие могут отлично обойти брандмауэр [Iiaf91] . На данный Введение в брандмауэры - реферат момент скорости модемов достаточны для того, чтоб сделать вероятным внедрение SLIP (Serial Line IP) и PPP(Point-to-Point Protocol); SLIP либо PPP-соединение снутри защищенной сети на самом деле является еще одним соединением с сетью и возможным уязвимым местом. Для чего нужен брандмауэр, если разрешен неограниченный доступ по Введение в брандмауэры - реферат модему?

2.3.3 Нехорошая защита от атак собственных служащих

Брандмауэры обычно не обеспечивают защиты от внутренних угроз. Хотя брандмауэр может защищать от получения сторонними лицами критичных данных, он не защищает от копирования своими сотрудниками данных на ленту либо дискету и выноса ее за границы сети. Потому, было бы ошибкой мыслить Введение в брандмауэры - реферат, что наличие брандмауэра защищает от атак изнутри либо атак, для защиты от которых нужен не брандмауэр. Наверняка, не стоит вкладывать значимые ресурсы в брандмауэр, если есть другие методы украсть данные.

2.3.4 Другие задачи

С брандмауэром также связан ряд других заморочек:

Невзирая на эти недочеты NIST советует, чтоб организации защищали свои ресурсы при помощи брандмауэров и других средств безопасности.

Составляющие брандмауэра

Основными компонентами брандмауэра являются:

Последующие разделы обрисовывают более детально каждую из этих компонент.

2.4.1 Политика сетевого доступа

Имеется два вида политики сетевого доступа, которые оказывают влияние на проектирование, установку и внедрение системы брандмауэра. Политика верхнего уровня является проблемной концептуальной политикой, которая определяет, доступ к каким сервисам будет разрешен либо очевидно Введение в брандмауэры - реферат запрещен из защищаемой сети, как эти сервисы будут употребляться, и при каких критериях будет делаться исключение и политика не будет соблюдаться. Политика нижнего уровня обрисовывает, как брандмауэр должен по сути ограничивать доступ и фильтровать сервисы, которые указаны в политике верхнего уровня. Последующие разделы коротко обрисовывают эти политики.

Политика Введение в брандмауэры - реферат доступа к сервисам

Политика доступа к сервисам должна фокусироваться на дилеммах использования Веба, обрисованных выше, и, судя по всему, на всем доступе к сети снаружи( другими словами политика доступа по модемам, соединений SLIP и PPP). Эта политика должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Чтоб брандмауэр Введение в брандмауэры - реферат удачно защищал их, политика доступа к сервисам должна быть близкой к реальности и согласовываться с заинтересованными лицами перед установкой брандмауэра. Реалистическая политика - это такая политика, в какой найден баланс меж защитой сети от узнаваемых рисков, но в то же время обеспечен доступ юзеров к сетевым ресурсам. Если система Введение в брандмауэры - реферат брандмауэра воспрещает либо ограничивает внедрение неких сервисов, то в политике должна быть очевидно описана строгость, с которой это делается, чтоб предупредить изменение характеристик средств управления доступом сиюминутным образом. Только поддерживаемая управлением реалистическая политика может обеспечить это.

Брандмауэр может реализовывать ряд политик доступа к сервисам, но обычная политика может Введение в брандмауэры - реферат воспрещать доступ к сети из Веба, и разрешать только доступ к Вебу из сети. Другой обычной политикой может быть разрешение некого доступа из Веба, но только к избранным системам, таким как информационные сервера и почтовые сервера. Брандмауэры нередко реализуют политик доступа к сервисам, которые позволяют юзерам сети работать Введение в брандмауэры - реферат из Веба с некими избранными хостами, но этот доступ предоставляется, только если он смешивается с усиленной аутентификацией.

Политика проекта брандмауэра

Она специфична для определенного брандмауэра. Она определяет правила, применяемые для реализации политики доступа к сервисам. Нельзя разрабатывать эту политику, не понимая такие вопросы, как способности и ограничения брандмауэра, и Введение в брандмауэры - реферат опасности и узявимые места, связанные с TCP/IP. Обычно, реализуется одна из 2-ух базисных политик проекта:

  1. разрешить доступ для сервиса, если он очевидно не запрещен
  2. запретить доступ для сервиса, если он очевидно не разрешен

Брандмауэр, который реализует первую политику, пропускает все сервисы в сеть по дефлоту, нсли только этот сервис не Введение в брандмауэры - реферат был очевидно указан в политике управления доступом как нелегальный. Брандмауэр, который реализует вторую политику, по дефлоту воспрещает все сервисы, но пропускает те, которые указаны в перечне разрешенных сервисов. 2-ая политика следует традиционной модели доступа, применяемой во всех областях информационной безопасности.

1-ая политика наименее желательна, потому что она предоставляет больше Введение в брандмауэры - реферат методов обойти брандмауэр, к примеру, юзеры могут получить доступ к новым сервисам, не запрещаемым политикой( либо даже не обозначенных в политике), либо запустить нелегальные сервисы на необычных портах TCP/UDP, которые не запрещены политикой. Определенные сервисы, такие как X Windows , FTP, ARCHIE и RPC, трудно фильтровать [Chap92],[Ches94], и Введение в брандмауэры - реферат для их лучше подходит брандмауэр, реализующий первую политику. 2-ая политика строже и безопаснее, но ее тяжелее воплотить и она может воздействовать на работу юзеров в том отношении, что ряд сервисов, такие, как описанные выше, возможно окажутся блокированными либо внедрение их будет ограничено.

Связь меж концептуальной политикой доступа к сервисам и Введение в брандмауэры - реферат соответственной ей 2-ой частью описана выше. Эта связь существует из-за того, что реализация политики доступа к сервисам очень находится в зависимости от способностей и ограничений системы брандмауэра, также уязвимых мест, имеющихся в разрешенных инетовских сервисах. К примеру, возможно окажется нужным запретить сервисы, разрешенные политикой доступа к сервисам, если Введение в брандмауэры - реферат уязвимые места в их не могут отлично контролироваться политикой нижнего уровня и, если безопасность сети важнее всего. С другой стороны, организация, которая очень находится в зависимости от этих сервисов при решении собственных задач, может принять это более высочайший риск и разрешить доступ к этим сервисам. Эта связь приводит Введение в брандмауэры - реферат к тому, что формулирование обоих политик становится итеративным процессом.

Политика доступа к сервисам - важнейший компонент из 4, обрисованных выше. Другие три компонента употребляются для реализации политики. ( И, как отмечалось выше, политика доступа к сервисам должна отражать общую политику безопасности организации). Эффективность системы брандмауэра при защите сети находится в зависимости от типа Введение в брандмауэры - реферат применяемой реализации его, от корректности процедур работы с ним, и от политики доступа к сервисам.

2.4.2 Усиленная аутентификация

Разделы 1.3, 1.3.1 и 1.3.2 обрисовывали инциденты в Вебе, произошедшие частично из-за уязвимости обычных паролей. Уже много лет юзерам рекомендуется выбирать такие пароли, которые было бы тяжело угадать и не докладывать их никому. Все Введение в брандмауэры - реферат же, даже если юзер следует этому совету( а многие и этого не делают), то тот факт, что злоумышленники могут следить за каналами в Вебе и перехватывать передающиеся в их пароли, делает классические пароли устаревшими.

Разработан ряд мер усиленной аутентификации, таких как смарт-карты, биометрические механизмы, и программные механизмы, для Введение в брандмауэры - реферат защиты от уязвимости обыденных паролей. Хотя они и отличаются друг от друга, они все схожи в том отношении, что пароли, генерируемые устройством усиленной аутентификации, не могут быть повторно применены атакующим, который перехватывает трафф соединения. Потому что неувязка с паролями в Вебе является неизменной, брандмауэр для соединения Введение в брандмауэры - реферат с Вебом, который не имеет средств усиленной аутентификации либо не употребляет их, глуп.

Ряд более фаворитных устройств усиленной аутентификации, применяемых сейчас, именуются системами с разовыми паролями . Смарт-карта, к примеру, генерирует ответ, который хост употребляет заместо обычного пароля. Потому что смарт-карта работает вместе с программкой либо оборудованием на Введение в брандмауэры - реферат хосте, генерируемые ответы уникальны для каждого установления сеанса. Результатом является разовый пароль, который, если перехватывается, не может быть применен злоумышленником для установления сеанса с хостом под видом юзера. [NIST94a] и [NIST91a] более детально обрисовывают устройства усиленной аутентификации и средства защиты на их базе.

Набросок 2.2 Внедрение усиленной аутентификации в брандмауэре Введение в брандмауэры - реферат для подготовительной аутентификации трафика TELNET, FTP

Потому что брандмауэры могут централизовать управление доступом в сети, они являются логичным местом для установки программ либо устройств усиленной аутентификации. Хотя меры усиленной аутентификации могут употребляться на каждом хосте, более удобным является их размещение на брандмауэре. Набросок 2.2 указывает, что в сети без Введение в брандмауэры - реферат брандмауэра, использующего меры усиленной аутентификации, неаутентифицированный трафф таких приложений как TELNET либо FTP, может впрямую проходить к системам в сети. Если хосты не употребляют мер усиленной аутентификации, злодей может попробовать взломать пароли либо перехватывать сетевой трафик с целью отыскать в нем сеансы, в процессе которых передаются пароли. Набросок 2.2 также Введение в брандмауэры - реферат указывает сеть с брандмауэром, использующим усиленную аутентификацию, при которой сеансы TELNET либо FTP, устанавливаемые со стороны Веба с системами сети, должны проходить проверку при помощи усиленной аутентификации до работы. Сами системы сети могут продолжать добиваться статические пароли перед доступом к для себя, но эти пароли нельзя будет использовать Введение в брандмауэры - реферат, даже если их перехватить, потому что меры усиленной аутентификации и другие составляющие брандмауэра не позволят злодею просочиться либо обойти брандмауэр.

Части 2.4.4 и 3 содержат дополнительную информацию об использовании мер усиленной аутентификации с брандмауэрами. Смотри [NIST94b] для получения более подробной инфы об использовании мер усиленной аутентификации на хостах.

2.4.3 Фильтрация пакетов

Фильтрация IP-пакетов Введение в брандмауэры - реферат обычно производится при помощи маршрутизатора с фильтрацией пакетов, осуществляющего ее, когда пакеты передаются меж интерфейсами маршрутизатора. Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на базе группы полей из последующих полей пакета:

Не все фильтрующие маршрутизаторы на Введение в брандмауэры - реферат данный момент фильтруют по TCP/UDP-порту отправителя, но многие производители начали включать такую возможность. Некие маршрутизаторы инспектируют, с какого сетевого интерфейса маршрутизатора пришел пакет, и потом употребляют эту информацию как дополнительный аспект фильтрации. Некие версии Unix имеют возможность фильтрации пакетов, но далековато не все.

Фильтрация может быть Введение в брандмауэры - реферат применена разным образом для блокирования соединений от либо к отдельным хостам либо сетям, и для блокирования соединений к разным портам. Организации может пригодиться перекрыть соединения от специфичных адресов, таких как хосты либо сети, которые числятся агрессивными либо ненадежными. Либо же организация может возжелать перекрыть соединения от всех адресов, наружных по отношению Введение в брандмауэры - реферат к организации( с маленькими исключениями, такими как SMTP для получения почты).

Добавление фильтрации по портам TCP и UDP к фильтрации по Айпишникам дает огромную упругость. Напомним главу 1, в какой говорилось, что сервера, такие как бес TELNET, связаны обычно с определенными портами, такими как порт 23 для TELNET. Если брандмауэр Введение в брандмауэры - реферат может перекрыть соединения TCP либо UDP к либо от определенных портов, то можно воплотить политику, при которой определенные виды соединений могут быть осуществлены только с определенными хостами, но не с другими. К примеру, организация может возжелать перекрыть все входящие соединения для всех хостов, не считая нескольких систем Введение в брандмауэры - реферат, входящих в состав брандмауэра. Для этих систем могут быть разрешены только определенные сервисы, такие как SMTP для одной системы, и TELNET либо FTP для другой. При фильтрации по портам TCP и UDP эта политика может быть просто реализована маршрутизатором с фильтрацией пакетов либо хостом с возможностью фильтрации пакетов.

Набросок 2.3 Пример фильтрации пакетов Введение в брандмауэры - реферат для TELNET и SMTP

Для примера разглядим политику, в какой разрешаются только определенные соединения с сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хостом, 123.4.5.6, который может быть прикладным TELNET-шлюзом сети, а SMTP-соединения разрешаются только с 2-мя хостами, 123.4.5.7 и 123.4.5.8, которые могут быть 2-мя почтовыми шлюзами сети. NNTP Введение в брандмауэры - реферат(Network News Transfer Protocol) разрешается только от взаимодействующего с сетью сервера новостей, 129.6.48.254, и только с NNTP-сервером сети, 123.4.5.9, а протокол NTP(сетевого времени) разрешен для всех хостов. Все другие сервисы и пакеты блокируются. Пример набора правил приведен ниже:

Тип Адресок отправителя Адресок получателя Порт источника Порт получателя Действие Введение в брандмауэры - реферат
tcp * 123.4.5.6 >1023 23 разрешить
tcp * 123.4.5.7 >1023 25 разрешить
tcp * 123.4.5.8 >1023 25 разрешить
tcp 129.6.48.254 123.4.5.9 >1023 119 разрешить
udp * 123.4.*.* >1023 123 разрешить
* * * * * запретить

1-ое правило позволяет пропускать пакеты TCP из Веба от хоть какого источника, имеющие порт отправителя больше чем 1023, к адресу 123.4.5.6, если соединение устанавливается с портом 23. Порт 23 - это порт, связанный с сервером TELNETa, а все клиенты TELNETа должны использовать непривилегированные порты Введение в брандмауэры - реферат больше, чем 1024. 2-ое и третье правило работают аналогично, не считая того, что разрешаются адреса предназначения 123.4.5.7 и 123.4.5.8 и порт 25 - SMTP. 4-ое правило пропускает пакеты к NNTP-серверу сети, но только от адреса 129.6.48.254 к адресу 123.4.5.9 с портом предназначения 119( 129.6.48.254 - единственный NNTP-сервер, от которого сеть получает анонсы, потому доступ Введение в брандмауэры - реферат к сети в отношении NNTP ограничен только этой системой). 5-ое правило разрешает трафф NTP, который употребляет UDP, а не TCP, от хоть какого источника к хоть какой системе в сети. В конце концов, шестое правило перекрывает все другие пакеты - если этого правила не было бы, маршрутизатор мог перекрыть, а мог Введение в брандмауэры - реферат и не перекрыть другие тиы пакетов. Это очень обычной пример фильтрации пакетов. Истинные правила позволяют выполнить более сложную фильтрацию и являются более гибкими.

Какие протоколы фильтровать

Решение о том, какие протоколы либо группы портов фильтровать, находится в зависимости от политики сетевого доступа, другими словами от того, какие системы Введение в брандмауэры - реферат обязаны иметь доступ к Вебу и какие типы доступа разрешены. Описанные ниже сервисы потенциально уязвимы к атакам и обычно блокируются на брандмауэре при входе в сеть либо выходе из нее[Chap92],[Garf92].

Ряд других средств также обычно фильтруется либо их внедрение разрешается только для тех систем, которым они по сути необходимы. В это перечень входят:

 Хотя некие из этих служб, такие как TELNET и FTP, являются небезопасными по собственной сущности, полное блокирование доступа к другим возможно окажется неприемлемым для многих организаций Введение в брандмауэры - реферат. Все же, не все системы требуют доступа ко всем службам. К примеру, разрешение доступа по TELNET и FTP из Веба только к тем системам, которым нужен этот вид доступа, может сделать лучше безопасность, не причиняя неудобства юзерам. Такие службы, как NNTP, на 1-ый взор не представляют особенной угрозы, но Введение в брандмауэры - реферат разрешение этих служб только для тех систем, которым они необходимы, поможет сделать более упорядоченную сетевую среду и уменьшит возможность их использования атакующими из-за еще неведомых уязвимых мест.

Задачи с маршрутизаторами с фильтрацией пакетов

Маршрутизаторы с фильтрацией пакетов имеют ряд недочетов, обрисованных в [Chap92]. Правила фильтрации пакетов трудно формулируются Введение в брандмауэры - реферат и обычно нет средств для тестирования их правильности( не считая как ручное тестирование). У неких маршрутизаторов нет средств протоколирования, потому если правила фильтрации пакетов все-же позволят небезопасным пакетам пройти маршрутизатора, такие пакеты не сумеют быть выявлены до обнаружения проникания.

Нередко требуется сделать исключения из правил, чтоб разрешить определенные Введение в брандмауэры - реферат виды доступа, которые обычно блокируются. Но исключения из правил фильтрации время от времени в состоянии сделать правила фильтрации такими сложными, что они станут неконтролируемыми. К примеру, довольно легко написать правило для блокирования всех входящих соединений к порту 23( серверу TELNETa). Если же делаются исключения, другими словами если с некими системами сети Введение в брандмауэры - реферат разрешается иметь прямые соединения по TELNET, то должно быть добавлено правило для каждой таковой системы. Время от времени добавление определенных правил может усложнить всю схему фильтрации. Как было уже сказано, тестирование сложного набора правил на их правильность возможно окажется очень сложным.

Некие маршрутизаторы с фильтрацией пакетов Введение в брандмауэры - реферат не фильтруют по порту TCP/UDP отправителя, что в состоянии сделать набор правил фильтрации очень сложным и сделать "дыры" в схеме фильтрации. [Chap92] обрисовывает подобные трудности с сетями, в каких были разрешены входящие и исходящие SMTP-соединения . Согласно пт 1.2.5, TCP-соединения имеют порт отправителя и порт получателя. Если система инициирует SMTP-соединение Введение в брандмауэры - реферат с сервером, портом источника будет случаем избранный порт с номером больше 1024, а портом получателя будет будет порт с номером 25, порт, который слушает сервер SMTP. Сервер будет возвращать пакеты с номером порта отправителя 25, и номером порта получателя, равным случаем избранному клиентом номеру порта. Если в сети разрешены входящие Введение в брандмауэры - реферат и исходящие SMTP-соединения, то маршрутизатор должен разрешать соединения с портами отправителя и получателя, большенными 1023, в обоих направлениях. Если маршрутизатор может фильтровать по порту отправителя, он может перекрыть все пакеты, входящие в сеть организации, у каких порт получателя больше 1023, а порт отправителя не равен 25. Если он не может Введение в брандмауэры - реферат фильтровать пакеты по порту отправителя, маршрутизатор должен разрешить соединения, которые употребляют порты отправителя и получателя больше 1024. Юзеры время от времени могут специально запустить сервера на портах, огромных 1023, и обходить таким макаром политику фильтрации( другими словами обычно сервер telnet в системе слушает порт 23, но может быть сконфигурирован так, что будет слушать заместо этого Введение в брандмауэры - реферат порт 9876; и юзеры в Вебе сумеют организовать telnet-сеанс с этим сервером даже, если маршрутизатор перекрывает соединения с портом предназначения 23).

Другой неувязкой будет то, что ряд служб RPC очень тяжело заблокировать из-за того, что сервера для этих служб внемлют порты, случаем избираемые в процессе загрузки системы. Служба Введение в брандмауэры - реферат, популярная под заглавием portmapper показывает начальные вызовы служб RPC в назначенные им номера служб, но ее эквивалента не существует для маршрутизатора с фильтрацией пакетов. Потому что маршрутизатору нельзя сказать, с каким портом работает служба, нельзя стопроцентно заблокировать эти службы, разве что заблокировать вполне все пакеты UDP( RPC-службы в-основном Введение в брандмауэры - реферат употребляют UDP). Блокирование всех пакетов UDP приведет к блокированию ряда других нужных служб, таких как DNS. Потому блокирование RPC приводит к проблеме.

Маршрутизаторы с фильтрацией пакетов с более чем 2-мя интерфейсами время от времени не имеют способностей по фильтрации пакетов зависимо от того, с какого интерфейса приняты пакеты, и Введение в брандмауэры - реферат куда должны быть ориентированы. Фильтрация входящих и исходящих пакетов упрощает правила фильтрации пакетов и позволяет маршрутизатору просто найти, какой Айпишник реальный, а какой - липовый. Маршрутизаторы без таковой способности затрудняют реализацию стратегий фильтрации.

Не считая того, маршрутизаторы с фильтрацией пакетов могут реализовывать обе концептуальные стратегии, описанные в Введение в брандмауэры - реферат пт 2.4.1. Набор правил, который наименее гибок, другими словами не фильтрует по порту отправителя либо по типу интерфейса( входящий либо выходящий), уменьшает способности маршрутизатора по претворению в жизнь 2-ой и поболее сильной политики, при которой воспрещаются все сервисы, не считая тех, что очевидно разрешены. К примеру, проблематические службы, такие, как те, которые базируются Введение в брандмауэры - реферат на RPC, становится еще сложнее фильтровать с наименее гибким набором правил; отсутствие фильтрации по порту отправителя принуждает разрешать соединения с портами, большенными 1023. При наименее гибком наборе правил маршрутизатор имеет меньше способностей по реализации сильной политики, и потому обычно употребляют первую политику - разрешать все средства, не считая тех, что Введение в брандмауэры - реферат очевидно запрещены.

Читателям рекомендуется прочесть [Chap92], в каком дано более детально описание фильтрации пакетов и связанных с ней заморочек. Хотя фильтрация пакетов очень принципиальна, необходимо знать имеющиеся задачи и пути их решения.

2.4.4 Прикладные шлюзы

Чтоб защититься от ряд уязвимых мест, связанных с маршрутизаторами с фильтрацией пакетов, в брандмауэрах необходимо Введение в брандмауэры - реферат использовать прикладные программки для перенаправления и фильтрации соединений с такими службами, как TELNET и FTP. Такое приложение именуется прокси-службой, а хост, на котором работает прокси-служба - прикладным шлюзом. Прикладные шлюзы и маршрутизаторы с фильтрацией пакетов могут быть объединены для заслуги более высочайшей безопасности и гибкости, чем была бы Введение в брандмауэры - реферат достигнута, если б они использовались раздельно.

К примеру, разглядим сеть, в какой блокируются входящие соединения TELNET и FTP при помощи маршрутизатора с фильтрацией пакетов. Этот маршрутизатор позволяет пропускать пакеты TELNET либо FTP только к одной машине, прикладному шлюзу TELNET/FTP. Юзер, который желает объединиться снаружи с системой в Введение в брандмауэры - реферат сети, должен поначалу объединиться с прикладным шлюзом, а потом уж с необходимым хостом :

Набросок 2.4 Виртуальные соединения, реализуемые при помощи прикладного шлюза и прокси-средств

Этот пример показывает несколько преимуществ использования прокси-служб. Во-1-х, прокси- службы разрешают Введение в брандмауэры - реферат только те службы, для которых есть прокси. Другими словами, если прикладной шлюз содержит прокси для FTP и TELNET, то в защищаемой сабсети будут разрешены только FTP и TELNET, а другие службы будут вполне блокированы. Для неких организаций таковой вид безопасности важен, потому что гарантирует, что только те службы, которые числятся Введение в брандмауэры - реферат неопасными, будут пропускаться через брандмауэр. Этот подход также защищает от способности разработки новых опасных служб без извещения админов брандмауэра.

Другим преимуществом использования прокси-служб будет то, что может быть осуществлена фильтрация протоколов. К примеру, некие брандмауэры, могут фильтровать ftp-соединения и воспрещать внедрение команды FTP put, что было бы Введение в брандмауэры - реферат полезно для получения гарантий того, что юзеры не могут, к примеру, писать на анонимный FTP-сервер.

Прикладные шлюзы имеют ряд суровых преимуществ по сопоставлению с обыденным режимом, при котором прикладной трафф пропускается впрямую к внутренним хостам. Они содержат в себе:

Недочет прикладного шлюза состоит в том, что при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая процедура для вхождения вовнутрь либо выхода Введение в брандмауэры - реферат наружу. Некие прикладные шлюзы требуют измененных клиентов, что может рассматриваться или как недочет, или как преимущество, зависимо от того, делают ли измененные клиенты более легким внедрением брандмауэра. Прикладной шлюз TELNET необязательно просит измененного клиента TELNET, все же он просит другой логики действий от юзера: юзер должен установить соединение(но не сеанс Введение в брандмауэры - реферат) с брандмауэром, а не впрямую установить сеанс с хостом. Но измененный клиент TELNET делает брандмауэр прозрачным, позволяя юзеру указать конечную систему( а не брандмауэр) в команде TELNET. Брандмауэр является вроде бы дорогой к конечной системе и потому перехватывает соединение, а потом делает дополнительные шаги, такие как запрос разового пароля Введение в брандмауэры - реферат. Юзеру не надо в данном случае ничего делать, но на каждой системе должен быть установлен измененный клиент.

Кроме TELNET, обычно прикладные шлюзы употребляются для FTP и электрической почты, также X Windows и ряда других служб. Некие прикладные шлюзы FTP имеют способности блокирования команд get и put для Введение в брандмауэры - реферат неких хостов. К примеру, наружный юзер, установивший FTP-сеанс(через прикладной шлюз FTP) с внутренней системой, таковой, как анонимный FTP-сервер, может попробовать скопировать файлы на сервер. Прикладной шлюз может фильтровать FTP-протокол и перекрыть все команды put для анонимного FTP-сервера; это позволит гарантировать, что никто не сумеет Введение в брандмауэры - реферат загрузить на сервер чего-либо, и даст огромные гарантии, чем обычная уверенность в том, что права доступа к файлам на анонимном FTP-сервере установлены корректно( некие организации ввели политики, в каких воспрещаются команды get и put для определенных директорий; наличие брандмауэра, фильтрующего FTP-команды, было бы в особенности полезно в этой Введение в брандмауэры - реферат ситуации. Некие места воспретили команды get для наружных хостов, чтоб юзеры не могли считать информацию либо программки с наружных хостов. В других же сетях запрещена команда put для наружных хостов, чтоб юзеры не могли сохранить локальную информацию на наружных FTP-серверах. Но типовым является вариант. Когда воспрещаются Введение в брандмауэры - реферат входящие команды put, чтоб наружные юзеры не могли писать на FTP-сервера в сети)

Прикладной шлюз для электрической почты служит для централизованного сбора электрической почты и распространения ее по внутренним хостам и юзерам. Для наружных юзеров все внутренние юзеры будут иметь адресок вида юзер@почтовый_хост, где почтовый хост - имя Введение в брандмауэры - реферат шлюза для почты. Шлюз должен принимать почту от наружных юзеров, а потом переправлять ее на другие внутренние системы. Юзеры, посылающие электрические письма с внутренних систем, могут посылать их впрямую с внутренних систем, либо, если внутренние имена систем не известны снаружи сети, письмо должно быть послано на прикладной Введение в брандмауэры - реферат шлюз, который потом переправит его к хосту предназначения. Некие почтовые шлюзы употребляют более неопасную версию программки sendmail для приема почты.

Шлюзы транспортного уровня

[Ches94] обрисовывает другую компоненту брандмауэра, которую другие создатели время от времени включают в категорию прикладных шлюзов. Шлюз транспортного уровня пропускает через себя TCP-соединения, но не делает никакой Введение в брандмауэры - реферат фильтрации протокола. К примеру, описанный чуть повыше пример прикладного шлюза TELNET может служить примером шлюза транспортного уровня, потому что после установления соединения меж источником и предназначением брандмауэр просто передает поток данных меж этими 2-мя системами. Другим примером шлюза транспортного уровня может быть шлюз для NNTP, в каком NNTP-сервер Введение в брандмауэры - реферат соединяется с брандмауэром, а потом - с внутренней системой через брандмауэр. Тут брандмауэр просто передает поток данных.

Перечень литературы

[Avol94] Frederick Avolio and Marcus Ranum. A Network Perimeter With Secure Internet Access. In Internet Society Symposium on Network and Distributed System Security, pages 109-119. Internet Society, February 2-4 1994.

[Bel89] Steven M. Bellovin. Security Введение в брандмауэры - реферат Problems in the TCP/IP Protocol Suite. Computer Communications Review, 9(2):32-48, April 1989.

[Cerf93] Vinton Cerf. A National Information Infrastructure. Connexions, June 1993.

[CERT94] Computer Emergency Response Team/Coordination Center. CA-94:01, Ongoing Network Monitoring Attacks. Available from FIRST.ORG, pub/alerts/cert9401.txt, February 1994.

[Chap92] D. Brent Chapman. Network (In Введение в брандмауэры - реферат)Security Through IP Packet Filtering. In USENIX Security Symposium III Proceedings, pages 63-76. USENIX Association, September 14-16 1992.

[Ches94] William R. Cheswick and Steven M. Bellovin. Firewalls and Internet Security. Addison-Wesley, Reading, MA, 1994.

[CIAC94a] Computer Incident Advisory Capability. Number e-07, unix sendmail vulnerabilities update. Available from FIRST.ORG, file pub/alerts/e-07.txt Введение в брандмауэры - реферат, January 1994.

[CIAC94b] Computer Incident Advisory Capability. Number e-09, network monitoring attacks. Available from FIRST.ORG, pub/alerts/e-09.txt, February 1994.

[CIAC94c] Computer Incident Advisory Capability. Number e-14, wuarchive ftpd trojan horse. Available from FIRST.ORG, pub/alerts/e-14.txt, February 1994.

[Com91a] Douglas E. Comer. Internetworking Введение в брандмауэры - реферат with TCP/IP: Principles, Protocols, and Architecture. Prentice-Hall, Englewood Cliffs, NJ, 1991.


vvodnij-kurs-posobie-po-tehnike-chteniya-predislovie.html
vvodnij-protivopozharnij-instruktazh.html
vvodno-korrektivnij-foneticheskij-kurs.html