Автор работы: Пользователь скрыл имя, 17 Июня 2014 в 15:13, контрольная работа
Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной штаб квартиры организации или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.
1. Введение...................................................................................................................................стр.3
Архитектура брандмауэра.....................................................................................................стр.4
2 Применение брандмауэра для контроля доступа..................................................................стр.6
3. Заключение.............................................................................................................................стр.10
4. Список литературы................................................................................................................стр.11
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОМСКАЯ АКАДЕМИЯ
Кафедра управления и информационных технологий
в деятельности органов внутренних дел
КОНТРОЛЬНАЯ РАБОТА
По дисциплине «Основы информационной безопасности в ОВД»
Специальность 031001.65 Правоохранительная деятельность
Вариант 6
Тема: Архитектура брандмауэра. Применение брандмауэра для контроля доступа
Регистрационный №________
от «___» ____________ 2014г.
Омск 2014
Содержание
1. Введение......................
2 Применение брандмауэра для
контроля доступа.......................
3. Заключение....................
4. Список
литературы....................
Введение
Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной штаб квартиры организации или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.
Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия. Развитие глобальных сетей привело к многократному увеличению количества пользователей и увеличению количества атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет для злоумышленников значительно большие возможности по сравнению с традиционными информационными системами. Поэтому вопрос о проблеме защиты сетей и её компонентов становиться достаточно важным и актуальным и это время, время прогресса и компьютерных технологий.
1.1 Архитектура брандмауэра
Брандмауэр (firewall, сетевой экран) является неотъемлемой составляющей системы безопасности сети. Термин «firewall» подразумевает защиту от опасности: как противопожарная перегородка в автомобил е защищает пассажиров от двигателя, так сетевой экран защищает сеть от внешнего мира. Компьютер-брандмауэр позволяет жестко управлять взаимодействием систем вашей сети и внешнего мира.
Идея брандмауэра довольно проста. Это некая заслонка, фильтрующая весь трафик, которым обмениваются защищенная и внешняя сети. На практике, это обычно заслонка между сетью предприятия и Интернетом. Создание централизованного фильтра упрощает задачу наблюдения за трафиком и позволяет сконцентрировать усилия по обеспечению безопасности в одной точке.
На сегодняшний день даже корректно настроенная антивирусная программа с самыми свежими вирусными базами не в силах полностью защитить компьютер от угроз извне. Отчасти из-за того, что при разработке глобальной сети Интернет требованиям безопасности не уделялось достаточного внимания, а основной упор делался на удобство обмена информацией. Незащищен и стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol), который по своей природе не отвечает современным требованиям безопасности. Разумеется, профессиональные и доморощенные хакеры не упускают возможность использовать такие уязвимости. Именно для защиты от разрушительных действий и для предотвращения кражи информации с компьютеров и предназначены файрволы.1
Существуют различные варианты реализации брандмауэров. Более того, различных типов брандмауэров существует так много, что термин практически потерял свою значимость. Если кто-то говорит, что защищен брандмауэром, нельзя с уверенностью сказать, что именно этот человек имеет в виду. Рассмотрение различных типов архитектур брандмауэров требует целой книги - например «Создание защиты в Интернете» (Building Internet Firewalls) от O'Reilly & Associates. Здесь рассмотрим архитектуру экранированной подсети (вероятно, наиболее распространенную архитектуру брандмауэров) и архитектуру многосетевого узла - по сути дела, представляющую экран в себе.2
Наиболее распространенная архитектура брандмауэра включает по меньшей мере четыре аппаратных элемента: внешний маршрутизатор, защищенный сервер (известный как узел-бастион), сетевой периметр и внутренний маршрутизатор. Каждый аппаратный элемент обеспечивает определенный аспект функционирования общей схемы защиты.
Внешний маршрутизатор - единственный канал между сетью предприятия и внешним миром. Он осуществляет минимальное управление доступом. Маршрутизатор проверяет, что адреса пакетов, приходящих из внешнего мира, не принадлежат внутренней сети.
Если номер нашей сети 172.16, внешний маршрутизатор удаляет все пришедшие через внешний интерфейс пакеты, адрес которых начинается с 172.16. Пакеты с такими адресами ис точников должны приходить на маршрутизатор только через внутренний интерфейс. Специалисты по безопасности называют такой тип управления доступом фильтрацией пакетов.
Большую часть работы по управлению доступом выполняет внутренний маршрутизатор. Он фильтрует пакеты не только на основе адреса, но также на основе протокола и номеров портов, что позволяет контролировать службы, доступные как внутри сети, так и вне ее. Какие службы блокирует данный маршрутизатор, решает администратор системы. Если вы планируете использовать брандмауэр, доступ к службам должен быть регламентирован в руководящем документе по безопасности. Практически любая служба может оказаться угрозой безопасности системы. Подобные угрозы следует оценивать в свете общих требований к безопасности. Службы, предназначенные только для внутренних пользователей (NIS, NFS, X-Windows и др.), блокируются практически всегда. Службы, разрешающие запись на внутренние системы (Telnet, FTP, SMTP и т. д.), обычно блокируются. Службы, предоставляющие сведения о внутренних системах (DNS, fingerd и т. д.), обычно блокируются. Доступных служб практически не остается! И здесь в игру вступают узел-бастион и сетевой периметр.3
Узел-бастион - это защищенный сервер. Он является точкой соприкосновения сети предприятия и внешнего мира - в том, что касается служб с ограниченным доступом. Некоторые из служб, заблокированных внутренним шлюзом, могут оказаться тем, ради чего создавалась сеть. Такие жизненно необходимые службы работают безопасным образом на узле-бастионе. Одни службы узел-бастион предоставляет самостоятельно (в частности, DNS, почтовые службы SMTP, а также анонимный FTP-доступ), другие представлены посредническими службами (proxy services). Когда узел-бастион выступает в роли прокси-сервера, внутренние клиенты подключаются ко внешнему миру через узел-бастион, а внешние системы отвечают внутренним клиентам через этот же узел.
Узел-бастион, таким образом, имеет возможность контролировать проходящий в обе стороны трафик в желательной степени.
Защищенных серверов может быть (и часто бывает) несколько. Сетевой периметр объединяет такие серверы, а также связывает внешний и внутренний маршрутизаторы. Системы сетевого периметра гораздо более подвержены атакам, чем системы внутренней сети. Так оно и должно быть. В конце концов, защищенные серверы нужны, чтобы предоставлять доступ к службам как для внешних, так и для внутренних клиентов. Изоляция систем, которые должны быть доступны внешнему миру, в отдельной сети сокращает возможность того, что нарушение безопасности одной из систем этой сети приведет к нарушению безопасности системы из внутренней сети.
Архитектура многосетевого узла - это попытка сочетать все описанные функции брандмауэра на одном компьютере. Маршрутизатор IP заменяется многосетевым узлом, который не выполняет пересылку пакетов на уровне IP. Многосетевой узел, по существу, разрывает связь между внутренней и внешней сетями. Чтобы дать внутренней сети определенный уровень подключения, такой узел выполняет функции, сходные с функциями узла бастиона. Маршрутизатор передает пакеты через уровень IP. Передача для каждого пакета основывается на конечном адресе, а также маршруте к этому конечному адресу, существующем в таблице маршрутизации. Узел же не просто пересылает пакеты. Многосетевой узел способен обрабатывать пакеты на прикладном уровне, что дает ему полный контроль над тем, как именно обрабатываются пакеты.
Такое определение брандмауэра - устройство, не имеющее ничего общего с маршрутизатором IP, - не является повсеместно принятым. Некоторые склонны называть брандмауэрами маршрутизаторы с функциями экранирования, но по большому счету это все - вопрос семантики. В настоящей книге маршрутизаторы с функциональностью для обеспечения безопасности называются «защищенными маршрутизаторами» или «защищенными шлюзами». Брандмауэры, хоть и могут сочетаться с маршрутизаторами, не просто фильтруют пакеты.
2. Применение брандмауэра для контроля доступа
В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Один из подобных сценариев подразумевает цепочку расположенных друг за другом брандмауэров, что позволяет разбить ресурсы с различными требованиями к безопасности по соответствующим им сегментам сети.Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.4
Применение многоуровневых брандмауэров в полной мере обеспечивает способность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра. Некоторые из существующих программ, например Check Point Firewall-1, обеспечивают интуитивно понятный интерфейс управления нескольким брандмауэрами с одного единственного компьютера.Другие, вроде NetFilter, могут потребовать от администратора более значительных усилий для поддержки конфигурации брандмауэра в соответствии с требованиями текущей политики безопасности организации.
Внутренние брандмауэры.
Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ограниченный доступ внешнего трафика к определенным ресурсам. Такая конфигурация не так необычна, как может показаться на первый взгляд. Рассмотрим типичную архитектуру, в которой за маршрутизатором расположен один-единственный брандмауэр. В случае использования функции маршрутизатора по контролю списков доступа взамен обычной фильтрации пакетов, маршрутизатор начинает действовать подобно брандмауэру. Безусловно, данная идея вносит избыточность в схему контроля доступа, но именно такой запас прочности позволяет надеяться, что если одно из устройств не сумеет пресечь злонамеренный трафик, то это удастся сделать другому.
Возможно, такое решение покажется неоправданным, в этом случае имеет смысл изучить приведенную на рис. 10 схему.
Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету расположена подсеть, тем меньшим уровнем безопасности она обладает. В приведенном на рисунке примере веб-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на веб-сервер, а второй брандмауэр разрешает доступ к серверам с базами данных только со стороны защищенного, внутреннего веб-сервера.
Рис.10 Внутренние брандмауэры.
Одна из самых главных проблем, связанных с корпоративными многоуровневыми брандмауэрами, заключается в сложности управления ими. Администратор должен не только установить, настроить и поддерживать несколько уровней брандмауэров, но и обеспечить их совместимость друг с другом. Если, например, требуется обеспечить доступ в Интернет с системы, расположенной за двумя брандмауэрами, то необходимо внести соответствующие правила доступа в настройки обоих брандмауэров. Коммерческие программы брандмауэров, например, Check Point Firewall-1 и Cisco PIX, нередко наделены программными решениями, позволяющими управлять несколькими брандмауэрами средствами одной единственной системы. Это облегчает корректную настройку всех внутренних брандмауэров, входящих в состав многоуровневой защиты. Однако если некое устройство нуждается в прямом доступе в Интернет, то целесообразно пересмотреть проект сети с целью минимизации брандмауэров, препятствующих этому.5
Информация о работе Архитектура брандмауэра. Применение брандмауэра для контроля доступа