Презентация "Межсетевые экраны" по информатике – проект, доклад

Межсетевые экраны

Межсетевой экран

Это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую

Что такое межсетевой экран?

МСЭ Сеть 1 Сеть 2

NT UNIX Маршрутизатор Клиенты Назначение МСЭ

Основное назначение МСЭ - воплощение политики безопасности, принятой в организации в вопросах обмена информацией с внешним миром

МСЭ как система защиты периметра

Уровень 1 Уровень 3 Уровень 2

Контрольные точки

Трафик как внутрь так и наружу проходит через контрольные точки

Защищаемый периметр

Механизмы защиты, реализуемые МСЭ

Фильтрация пакетов

Шифрование (создание VPN)

Трансляция адресов

Аутентификация

Противодействие некоторым видам атак

Управление списками доступа на маршрутизаторах

IP-адрес отправителя IP-адрес получателя TCP/UDP-порт отправителя TCP/UDP-порт получателя Флаги ТСР Опции IP

Правила фильтрации

К внешней сети К внутренней сети

Шифрование

Незашифрованный трафик

Зашифрованный трафик

Функции шифрования позволяют защитить данные, передаваемые по общим каналам связи

Виртуальные частные сети

Виртуальные частные сети (VPN) предназначены для безопасного обмена данными через сети общего пользования

VPN-шлюз VPN-клиент

Организация виртуальных частных сетей с использованием МСЭ

МСЭ + VPN модуль

Это замена в IP-пакете IP-адреса отправителя или получателя другим IP-адресом при прохождении пакета через устройство, осуществляющее трансляцию

Обоснование

Маскировка внутренних IP-адресов от внешнего мира

Решение проблемы некорректности либо нехватки IP-адресов внутренней сети

193.233.70.197 193.233.69.129 193.233.70.187

Виды трансляции адресов

Статическая

Это задание однозначного соответствия между внутренним адресом ресурса и его адресом во внешней сети

Динамическая

Это отображение адресного пространства внутренней сети на один адрес из внешней сети

1 N

Статическая трансляция адресов

Внутренние адреса

200.0.0.100 - 200.0.0.200 Внешние адреса 199.203.73.15 - 199.203.73.115 200.0.0.108 199.203.73.23 source dest

Позволяет иметь доступ к внутренним узлам извне

Применяется в случае сложившегося распределения внутренних адресов

Динамическая трансляция адресов

Внешний адрес 199.203.145.35 200.0.0.104 193.233.145.35 адрес порт х 2531

Не позволяет инициировать доступ к внутренним узлам извне

Решает проблему нехватки адресов

Увеличение вероятности неверной адресации

Невозможность или трудности запуска некоторых приложений

Проблемы с SNMP, DNS и т. д.

Трудность идентификации внутреннего узла извне

Замедление работы

Недостатки трансляции адресов

Типы межсетевых экранов

Пакетный фильтр или экранирующий маршрутизатор

Шлюз уровня соединения

Шлюз прикладного уровня

FTP TCP IP NIC TELNET HTTP 2 3

Все три типа обычно реализованы в одном МСЭ

К сети 1 К сети 2

Работа МСЭ основана на использовании информации разных уровней стека TCP/IP

Экранирующие маршрутизаторы или пакетные фильтры

Фильтрация пакетов осуществляется на основе следующих данных

IP - адрес отправителя и получателя

TCP/UDP - порт отправителя и получателя

Внутренняя сеть

Преимущества Низкая стоимость

Небольшая задержка прохождения пакетов

Недостатки

Открытость внутренней сети

Трудность описания правил фильтрации

Преимущества и недостатки пакетных фильтров

Технология «Proxy»

Proxy - это приложение - посредник, выполняющееся на МСЭ и выполняющее следующие функции

Приём и анализ запросов от клиентов

Перенаправление запросов реальному серверу

Шлюзы уровня соединения

Весь ТСР - трафик просто транслируется в обоих направлениях

Шлюзы прикладного уровня

TELNET - сервер FTP - сервер и др.

Пользователь устанавливает соединение с сервисом, запущенным на межсетевом экране

Правила доступа формируются на основе названия сервиса, имени пользователя, времени работы и т. д.

Преимущества и недостатки технологии «PROXY»

Двухшаговая процедура для входа во внутреннюю сеть и выхода наружу

Надёжная аутентификация

Закрытость внутренней сети

Простые правила фильтрации

Низкая производительность

Высокая стоимость

Технология «Stateful Inspection»

МСЭ должен уметь считывать информацию со всех семи уровней сетевой модели отслеживать состояние (предысторию) соединения отслеживать состояние приложения модифицировать передаваемую информацию

Технология «Stateful Inspection» обеспечивает указанные требования к безопасности и решает проблемы пакетных фильтров и Proxy

Пакет перехватывается на сетевом уровне

Специальный модуль анализирует информацию со всех уровней

Информация сохраняется и используется для анализа последующих пакетов

Варианты расположения МСЭ

WEB

МСЭ, маршрутизатор

Маршрутизатор является межсетевым экраном

Маршрутизаторы

Трафик с внешнего маршрутизатора перенаправляется на МСЭ, а затем на внутренний маршрутизатор

МСЭ является единственной видимой снаружи машиной

Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены

4

Незащищённые узлы

Демилитаризованная зона

FTP и WEB серверы подключены к отдельному интерфейсу МСЭ, что позволяет создать для них отдельную политику

5

Недостатки МСЭ как средств защиты

Не защищают от пользователей, прошедших авторизацию

Не защищают соединения, установленные в обход МСЭ

Не защищают от неправильной конфигурации

Не гарантируют 100% защиты от вторжений

Пакетный фильтр на базе ОС Linux

Архитектура пакетного фильтра

Сетевой уровень (IP Protocol)

Input chain NIC1 NIC2 Output chain маршрутизация forward chain Входящий трафик Исходящий трафик

Схема работы пакетного фильтра

Пакет входящий ?

Требуется маршрутизация ?

Forward chain Да Нет

Передача пакета на уровень выше

DENY/REJECT DENY/ REJECT

Передача пакета в сеть

Межсетевой экран CheckPoint FireWall-1

Архитектура FireWall-1

Management Module

Режим пользователя

Режим ядра FireWall Module GUI клиент Management Server FireWall Daemon Security Servers

Драйвер сетевого адаптера

Интерфейс TDI Inspection Module Уровень IP

Реализован в виде драйвера

Выполняет функции

Контроль доступа

Аутентификация сессии

Клиентская аутентификация

Аудит

Компоненты Inspection Module

Kernel Attachment Kernel Virtual Machine Kernel Address Translation

Работа Inspection Module IP Protocol

Session Application FW-1 Inspection Module Сетевой уровень

Канальный уровень

Есть правило для пакета?

Log/Alert Пропустить пакет?

Есть следующее правило?

Send NACK Drop the Packet

Конфигурация FireWall-1