Сравнительный анализ межсетевых экранов

Автор работы: Пользователь скрыл имя, 10 Ноября 2013 в 20:45, реферат

Краткое описание

С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов. В реферате на основе анализа российского рынка рассмотрены особенности и возможности использования наиболее эффективного в настоящее время и динамично развивающегося средства сетевой защиты — межсетевых экранов.

Содержание

Введение…………………………………………………………………………. 3
Классификация межсетевых экранов……………………………………….. 4
• Фильтрующие маршрутизаторы………………………………………… 4
• Шлюзы сеансового уровня………………………………………………. 5
• Шлюзы уровня приложений…………………………………………….. 6
Основные способы развертывания межсетевых экранов в
корпоративных сетях………………………………………………………….. 7
• Межсетевой экран, представленный как фильтрующий
маршрутизатор……………………………………………………………. 7
• Межсетевой экран на основе двухпортового шлюза……………….. 8
• Межсетевой экран на основе экранированного шлюза…………….. 8
• Межсетевой экран с экранированной подсетью…………………….. 9
Недостатки применения межсетевых экранов…………………………….. 10
Особенности современных межсетевых экранов…………………………. 11
Сравнительные характеристики современных межсетевых экранов….. 12
Организация комплексной защиты корпоративной сети………………… 14
• Защита корпоративной сети от несанкционированного доступа
из Интернет……………………………………………………………..... 15
• Организация внутренней политики безопасности
корпоративной сети……………………………………………………… 16
Реализации межсетевых экранов……………………………………………. 18

Скачать полностью (41.92 Кб) Сколько стоит заказать работу?
Прикрепленные файлы: 1 файл

«Сравнительный анализ межсетевых экранов».doc

— 224.50 Кб (Скачать документ)

Недостатками шлюзов уровня приложений являются:

    • относительно низкая производительность по сравнению с фильтрующими маршрутизаторами. В частности, при использовании клиент-серверных протоколов, таких как Telnet, требуется двухшаговая процедура для входных и выходных соединений;
    • более высокая стоимость по сравнению с фильтрующими маршрутизаторами.

Одним из важных элементов концепции  межсетевых экранов является аутентификация (проверка подлинности пользователя), то есть пользователь получает право  воспользоваться тем или иным сервисом только после того, как  будет установлено, что он действительно тот, за кого себя выдает. При этом считается, что сервис для данного пользователя разрешен (процесс определения, какие сервисы разрешены конкретному пользователю, называется авторизацией).

При получении запроса на использование сервиса от имени какого-либо пользователя межсетевой экран проверяет, какой способ аутентификации определен для данного субъекта, и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран осуществляет запрашиваемое пользователем соединение. Как правило, большинство коммерческих межсетевых экранов поддерживает несколько различных схем аутентификации, предоставляя администратору сетевой безопасности возможность сделать выбор наиболее приемлемой в сложившихся условиях схемы.

Основные способы развертывания  межсетевых экранов в корпоративных  сетях

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

    • защита корпоративной или локальной сети от несанкционированного удаленного доступа со стороны глобальной сети;
    • скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
    • разграничение доступа в защищаемую сеть из глобальной и из защищаемой сети в глобальную.

Необходимость работы с удаленными пользователями требует установления жестких ограничений доступа  к информационным ресурсам защищаемой сети. При этом в организации часто  возникает потребность иметь  в составе корпоративной сети несколько сегментов с разными уровнями защищенности:

    • свободно доступные сегменты;
    • сегменты с ограниченным доступом;
    • закрытые сегменты.

Для защиты корпоративной или локальной  сети применяются следующие основные схемы организации межсетевых экранов:

    1. Межсетевой экран, представленный как фильтрующий маршрутизатор.
    2. Межсетевой экран на основе двухпортового шлюза.
    3. Межсетевой экран на основе экранированного шлюза.
    4. Межсетевой экран с экранированной подсетью.

Межсетевой экран, представленный как фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации, представляя собой фильтрующий  маршрутизатор, расположенный между  защищаемой сетью и Интернетом.

Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в Интернет, в то время как большая часть  доступа к ним из Интернета  блокируется. В принципе, фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено» в явной форме может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и фильтрующие маршрутизаторы.

Межсетевой экран на основе двухпортового  шлюза

Межсетевой экран на базе двухпортового  прикладного шлюза представляет собой хост с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и Интернетом размещают фильтрующий маршрутизатор. В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Ее можно использовать для размещения доступного извне информационного сервера. Размещение информационного сервера увеличивает безопасность сети, поскольку даже при проникновении на него злоумышленник не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.

В отличие от схемы межсетевого  экрана с фильтрующим маршрутизатором, прикладной шлюз полностью блокирует  трафик IP между Интернетом и защищаемой сетью. Только уполномоченные приложения, расположенные на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого  экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме»; при этом пользователю доступны только те службы, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны лишь межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации  межсетевого экрана относительно проста и достаточно эффективна. Поскольку  межсетевой экран использует хост, то на нем могут быть установлены  программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволяет выявить действия злоумышленников.

Межсетевой экран на основе экранированного  шлюза

Межсетевой экран на основе экранированного  шлюза обладает большей гибкостью  по сравнению с межсетевым экраном, построенным на основе шлюза с двумя интерфейсами, однако эта гибкость достигается ценой некоторого уменьшения безопасности. Межсетевой экран состоит из фильтрующего маршрутизатора и прикладного шлюза, размещаемого со стороны внутренней сети. Прикладной шлюз реализуется на хосте и имеет только один сетевой интерфейс.

В данной схеме первичная безопасность обеспечивается фильтрующим маршрутизатором, который фильтрует или блокирует  потенциально опасные протоколы, чтобы  они не достигли прикладного шлюза и внутренних систем. Пакетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих способов:

    • внутренним хостам позволяется открывать соединения с хостами в сети Интернет для определенных сервисов (доступ к ним разрешается среде пакетной фильтрации);
    • запрещаются все соединения от внутренних хостов (им надлежит использовать уполномоченные приложения на прикладном шлюзе).

В подобной конфигурации межсетевой экран может использовать комбинацию двух политик, соотношение между которыми зависит от конкретной политики безопасности, принятой во внутренней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои уполномоченные приложения, обеспечивал для систем защищаемой сети сервисы типа Telnet, FTP, SMTP.

Основной недостаток схемы межсетевого  экрана с экранированным шлюзом заключается  в том, что если атакующий нарушитель сумеет проникнуть в хост, перед  ним окажутся незащищенными системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.

Межсетевой экран с экранированной подсетью

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между Интернетом и экранируемой подсетью, а внутренний — между экранируемой подсетью и защищаемой внутренней сетью. В экранируемую подсеть входит прикладной шлюз, а также могут включаться информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает высокий уровень безопасности благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Интернета.

Внешний маршрутизатор защищает от вторжений из Интернета как экранированную подсеть, так и внутреннюю сеть. Внешний маршрутизатор запрещает доступ из Глобальной сети к системам внутренней сети и блокирует весь трафик к Интернету, идущий от систем, которые не должны являться инициаторами соединений.

Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.

Внутренний маршрутизатор защищает внутреннюю сеть от несанкционированного доступа как из Интернета, так  и внутри экранированной подсети. Кроме того, он осуществляет большую часть пакетной фильтрации, а также управляет трафиком к системам внутренней сети и от них.

Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с большими объемами трафика  или с высокими скоростями обмена.

К его недостаткам можно отнести  то, что пара фильтрующих маршрутизаторов  нуждается в большом внимании для обеспечения необходимого уровня безопасности, поскольку из-за ошибок в их конфигурировании могут возникнуть провалы в системе безопасности всей сети. Кроме того, существует принципиальная возможность доступа в обход прикладного шлюза.

 

Недостатки  применения межсетевых экранов

Межсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в одну защищенную виртуальную частную сеть. Передача данных между этими локальными сетями является невидимой для пользователей, а конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.

Межсетевой экран не в состоянии  решить все проблемы безопасности корпоративной  сети. Помимо описанных выше достоинств межсетевых экранов имеется ряд ограничений в их использовании, а также существуют угрозы безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов:

    • большое количество остающихся уязвимых мест. Межсетевые экраны не защищают от черных входов (люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную межсетевым экраном, атакующие могут эффективно обойти межсетевой экран;
    • неудовлетворительная защита от атак сотрудников компании. Межсетевые экраны обычно не обеспечивают защиты от внутренних угроз;
    • ограничение в доступе к нужным сервисам. Самый очевидный недостаток межсетевого экрана заключается в том, что он может блокировать ряд сервисов, которые применяют пользователи, — Telnet, FTP и др. Для решения подобных проблем требуется проведение хорошо продуманной политики безопасности, в которой будет соблюдаться баланс между требованиями безопасности и потребностями пользователей;
    • концентрация средств обеспечения безопасности в одном месте. Это позволяет легко осуществлять администрирование работы межсетевого экрана;
    • ограничение пропускной способности.

 

Особенности современных межсетевых экранов

Таблица 1. Особенности межсетевых экранов

Тип межсетевого экрана

Принцип работы

Достоинства

Недостатки

Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов)

Фильтрация пакетов  осуществляется в соответствии с IP- заголовком пакета по критерию: то, что  явно не запрещено, является разрешенным. Анализируемой информацией является:

- адрес отправителя; 
- адрес получателя; 
- информация о приложении или протоколе; 
- номер порта источника; 
- номер порта получателя.

· Низкая стоимость 
· Минимальное влияние на производительность сети 
· Простота конфигурации и установки 
· Прозрачность для программного обеспечения

· Уязвимость механизма  защиты для различных видов сетевых  атак, таких как подделка исходных адресов пакетов, несанкционированное  изменение содержимого пакетов 
· Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита

Экранирующий шлюз (ЭШ)

Информационный обмен  происходит через хост-бастион, установленный  между внутренней и внешней сетями, который принимает решения о  возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня

· Отсутствие сквозного  прохождения пакетов в случае сбоев 
· Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные 
· Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети

· Использование только мощных хостов-бастионов из-за большого объема вычислений 
· Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации

Экранирующие подсети (ЭП)

Создается изолированная  подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным

· Возможность скрытия  адреса внутренней сети 
· Увеличение надежности защиты 
· Возможность создания большого трафика между внутренней и открытой сетями при использовании нескольких  хостов-бастионов в ЭП 
· “прозрачность” работы для любых сетевых служб и любой структуры внутренней сети

· Использование только мощных хостов-бастионов из-за большого объема вычислений 
· Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами

Информация о работе Сравнительный анализ межсетевых экранов