Брандмауэры и прокси серверы

Дисциплина
«Информационная
безопасность»
тема «Брандмауэры и прокси
серверы»
Преподаватель
Гаврилова Татьяна Борисовна
Межсетевые экраны —
брандмауэры (FireWall)
Межсетевой экран (МЭ)
определяется как локальное
(однокомпонентное) или функционально распределенное программное (программноаппаратное) средство (комплекс),
реализующее контроль за информацией,
поступающей в автоматизированную
систему (АС) и /или выходящей из АС.
МЭ обеспечивает защиту АС
посредством фильтрации информации (как
минимум на сетевом уровне), т. е.
ее анализа по совокупности критериев и
принятия решения о ее распространении в
(из) АС на основе заданных правил, проводя
таким образом разграничение доступа
субъектов из одной АС к объектам другой
АС.
Интерпретация набора
правил
выполняется последовательностью
фильтров, которые разрешают или
запрещают передачу данных
(пакетов) на следующий фильтр
или уровень протокола.
Выделяются пять классов
МЭ,
где пятый — низший,
а первый — высший.
Классифицируемый экран
должен фильтровать потоки
данных, по крайней мере, на
При умеренных требованиях
по защите информации
можно ограничиться МЭ пятого
или четвертого классов,
реализованных в виде
маршрутизаторов с
включенными средствами
фильтрации (экранирующих
маршрутизаторов)
Аппаратные брандмауэры
являются
специализированными
компьютерами, как правило,
встраиваемыми в стойку с
сетевой ОС, адаптированной
под выполняемые функции
(загрузка ОС производится с
Брандмауэр FireBox
(производство
WatchGuard) имеет
смешанную архитектуру
— динамической
фильтрации пакетов и
«прозрачного» прокси
(ргоху)
В архитектуре
брандмауэра:



обеспечивается оптимальный баланс
между безопасностью и
производительностью;
динамическая фильтрация пакетов
отслеживает состояние соединения,
что позволяет «отфильтровывать»
не только пакеты, но и соединения;
наборы
правил
являются
динамическими
и
могут
быть
изменены во время работы;
В архитектуре
брандмауэра:



могут распознаваться подмены
сервисов и пакетов;
имеется
функция
регистрации
пользователей (это позволяет не
только повысить безопасность, но
и вести мониторинг сети на основе
имен пользователей, а не IРадресов и имен хостов);
обеспечивается поддержка VРN
(виртуальная частная сеть).
Маршрутизатор
является устройством,
которое выполняет
функции передачи пакетов,
вычислительные
возможности указанного
маршрутизатора таковы,
что ему можно поручить и
решение задачи сортировки
пакетов.
Брандмауэр от Bay Network
1. представляется чисто
программным средством
2. он не использует никакого
компьютера общего назначения
(рабочую станцию)
3. устанавливается в стойке и всем
остальным похож на другие
брандмауэры
Брандмауэры
обеспечивают
защиту
используют
предупреждения
многоуровневую
механизмы
сообщают сетевым менеджерам о
случаях
попытки
несанкционированного доступа к сети
Прокси
серверы
(Ргоху)
Самой защищенной является
сеть, которая вообще не
подключена к Internet.
Выход-к Internet подключить не
всю сеть, а всего один ее
компьютер, снабдить этот
компьютер защитными
средствами и только его
использовать для работы с
глобальной сетью.
Другим
выходом
из
создавшейся
ситуации
является:
наличие на данном компьютере
специальной программы, которая
позволяла бы остальным
компьютерам эмулировать выход
в Internet, оставаясь при этом
«невидимыми» со стороны
глобальной сети. Такой
компьютер и называется проксисервером (ргоху — доверенный).
Microsoft Proxy Server 2.0.
Этот продукт, являясь
кэширующим сервером (повышает
эффективность работы сети —
сокращается сетевой трафик),
выполняет функции брандмауэра и
обеспечивает безопасный доступ в
Internet. Серверный компьютер
имеет два сетевых адаптера — один
соединяет компьютер с сетью, а
Примеры систем активного аудита
Система EMERALD является старейшей
разработкой в области активного аудита.
EMERALD расшифровывается как—
мониторинг событий, допускающий
реакцию на аномалии и нарушения.
EMERALD включает в себя все компоненты
и архитектурные решения, необходимые
для систем активного аудита, оказываясь
не только старейшей, но и самой полной
разработкой как среди исследовательских,
так и среди коммерческих систем.
Программный интерфейс монитора
(корреляция внешних результатов)
Программный интерфейс монитора
(распространение результатов)
Модуль системы EMERALD и его возможные связи
Система NFR (Network
Flight Recorder)
система выявления подозрительной
сетевой активности
компонент сетевого управления
борьба с нарушениями
безопасности
политики
со сбоями и отказами оборудования и
программного обеспечения
Основные элементы
архитектуры NFR
Сбор
регистрационной
информации
Сенсор 1
Сенсор 2
Фильтрация
(анализ)
данных,
реассемблиро
вание
потоков,
реагирование
Решатель
Хранение,
обработка,
обслуживание
запросов
Поддерживаю
щий сервис 1
Поддерживаю
щий сервис 2
Хранилища
Пользовательский
интерфейс
Пользовательский
интерфейс
Пример
простого
фильтра,
выбирающего
запрашиваемые клиентом по протоколу НТТР
локаторы ресурсов.
Filter server tcp (glient, port: 80, start: "GЕТ", stop: " “) {
record ip.src, ip.dst, tcp.sport, tcp.dport,
tср.bytes to urlRecorder;
}
Этот фильтр анализирует ТСР-
соединения с серверным портом 80,
ищет в потоке данных цепочку
символов «GЕТ», записывает все от
места совпадения до пробела в поле
tср.bytes (предполагается, что это и
будет URL), после чего отправляет
поддерживающему сервису
исходные и целевые IР-адреса и
номера ТСР-портов, а также