Брандмауер у системі користувача в Internet

Размещено на http://www.allbest.ru/

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

ВІННИЦЬКИЙ ДЕРЖАВНИЙ ПЕДАГОГІЧНИЙ УНІВЕРСИТЕТ ІМЕНІ МИХАЙЛА КОЦЮБИНСЬКОГО

Інститут математики, фізики і технологічної освіти

Реферат

З дисципліни «Основи роботи з ПК»

на тему: «Брандмауер у системі користувача в Internet»

Виконала: Токарчук Яни

Науковий керівник доцент Шахіна І.Ю.

Вінниця-2013

Зміст

Вступ

1. Що таке брандмауер

2. У чому полягає робота брандмауера

3. Види брандмауерів

4. Переваги використання брандмауера

5. Рівень небезпеки

6. Міжмережевий екран як від вторгнення з Internet

7. Функціональні вимоги, і компоненти міжмережевих екранів

8. Фільтруючі маршрутизатори

9. Основні схеми мережевого захисту з урахуванням межмережевих екранів

Висновок

Література

Вступ

Інтенсивне розвиток глобальних комп'ютерних мереж, поява нових технологій пошуку інформації приваблюють дедалі більше уваги до неї Internet із боку приватних осіб і різних організацій.

Багато організації вирішили про інтеграцію своїх локальних і корпоративних мереж в глобальну мережу. Використання глобальних мереж з метою, і навіть під час передачі інформації, що містить відомості конфіденційного характеру, тягне у себе необхідність побудови ефективну систему захисту.

Нині у Україні глобальні мережі застосовуються передачі комерційної інформації різного рівня конфіденційності, наприклад для через відкликання віддаленими офісами з головний штаб квартири організації, або створення Web-сторінки організації з розміщеної у ньому між рекламою й діловими пропозиціями.

Навряд чи слід перераховувати всі переваги, які одержує сучасне підприємство, маючи доступом до глобальної мережі Internet. Але, як і ще нові технології, використання Internet має негативні наслідки. Розвиток глобальних мереж призвело до багаторазовому збільшення кількості користувачів і збільшення кількості атак на комп'ютери, під'єднанні до мережі Internet.

Щорічні втрати, зумовлені недостатнім рівнем захищеності комп'ютерів, оцінюються десятками мільйонів. При підключенні до Internet локальної чи корпоративної мережі слід подбати про забезпечення інформаційну безпеку цієї мережі.

Глобальна мережу Internet створювалася як відкритої системи, призначена для вільного обміну.

З огляду на відкритості своєї власної ідеології Internet надає для зловмисників значно більші можливості проти традиційними інформаційними системами.

Тому питання проблемі захисту мереж, і її компонентів ставати досить важливим і досить актуальним і цей час, час прогресу і комп'ютерних технологій. Багато країн нарешті зрозуміли важливість цієї проблеми. Відбувається збільшення витрат й зусиль вкладених у виробництво та поліпшення різних засобів захисту. Основною метою реферату є розгляд, вивчення функціонування однієї з засобів мережевий захисту як брандмауер чи міжмережевий екран. Який нині є найнадійнішим у плані захисту.

1. Що таке брандмауер

Брандмауер (міжмережевий екран) - це «напівпроникна мембрана», що знаходиться між захищуваним внутрішнім сегментом сіті й зовнішньої мережею чи іншими сегментами мережі Internet і контролює все інформаційні потоки у внутрішній сегмент і потім із нього.

Контроль трафіку у його фільтрації, тобто у вибірковому пропущенні через екран, котрий іноді з виконанням спеціальних змін і формуванням сповіщень для відправника, якщо його даним в пропуску відмовлено. Фільтрація складає підставі набору умов, попередньо завантажених в брандмауер й відбивають концепцію інформаційну безпеку корпорації.

Брандмауери може бути виконано як апаратного, і програмного комплексу, записаного в коммутірующий пристрій чи сервер доступу (сервер-шлюз, просто сервер , хост-комп'ютер тощо.), вмонтованого до операційної систему чи являти собою що під її управлінням програму.

2. В чому полягає робота брандмауера

Робота брандмауера залежить від аналізі структури та вмісту інформаційних пакетів, надходили з зовнішньої мережі, і залежно від результатів аналізу пропуску пакетів у внутрішнє мережу (сегмент мережі) чи повному їх від фільтруванні.

Ефективність роботи міжмережевого екрана, працюючого під керівництвом Windows, зумовлена тим, що він цілком заміщає реалізований стік протоколів TCPIP, і тому порушувати його з допомогою спотворення протоколів зовнішньої мережі (що часто робиться хакерами) неможливо.

Міжмережеві екрани зазвичай виконують такі функції:

· Фізичне відділення робочих станцій та серверів внутрішнього сегмента мережі (внутрішньої підмережі) від зовнішніх каналів зв'язку; Багатоетапну ідентифікацію запитів, що у мережу (ідентифікація серверів, вузлів зв'язку інших компонентів зовнішньої мережі); Перевірку повноважень і доступу користувача до внутрішнім ресурсів мережі;

· Реєстрацію всіх запитів до компонентами внутрішньої підмережі ззовні;

· Контроль цілісності програмного забезпечення та об'єктивності даних;

· Економію адресного простору мережі (у внутрішній підмережі можна використовувати локальна система адресації серверів);

· Приховування IP адрес внутрішніх серверів з метою захисту від хакерів.

· Брандмауери можуть працювати різних рівнях протоколів моделі OSI.

На мережному рівні виконується фільтрація вступників пакетів, джерело якої в IP адреси (наприклад, зупиняти пакунки з Інтернету, створені задля ті сервери, доступом до яким зовні заборонено; зупиняти пакети з фальшивими зворотними адресами чи IP адресами, занесеними в «чорного списку», тощо.). На транспортному рівні фільтрація припустима ще й з номерам портів ТСР і прапорів, які у пакетах (наприклад, запитів встановлення сполуки). На прикладному рівні може виконуватися аналіз прикладних протоколів (FTP,HTTP,SMTP тощо.) контроль над змістом потоків даних (заборона внутрішнім абонентам отримання будь-яких типів файлів: рекламної інформації, або виконуваних програмних модулів, наприклад). Можна в брандмауері створювати й експертну систему, яка, аналізуючи трафік, діагностує події, які можуть загрожувати безпеки внутрішньої мережі, і сповіщає звідси адміністратора. Експертна система здатна й у випадку небезпеки (спам, наприклад) автоматично посилювати умови фільтрації тощо.

3. Види брандмауерів

брандмауер комп'ютерний мережевий маршрутизатор

Брандмауери бувають апаратними та програмними.

Апаратний брандмауер є пристрій, фізично підключаємо до неї. Це пристрій відстежує всіх аспектів вхідного і вихідного обміну даними, і навіть перевіряє адреси джерела та призначення кожного оброблюваного повідомлення. Це забезпечує безпеку, допомагаючи запобігти небажані проникнення мережу чи комп'ютер.

Програмний брандмауер виконує самі функції, використовуючи не зовнішнє пристрій, а встановлену за комп'ютером програму. В одному й тому самому комп'ютері можуть використовуватися як апаратні, і програмні брандмауери.

4. Переваги використання брандмауера

Брандмауер є захисну межу між комп'ютером (чи комп'ютерної мережею) і довкіллям, користувачі чи програми якої можуть намагатися отримати не санкціонованого доступу до комп'ютера. Зазвичай зломщики використовують спеціальні програми на допомогу пошуку з Інтернету незахищених підключень. Така програма відправляє на комп'ютер дуже маленька повідомлення. За відсутності брандмауера комп'ютер автоматично відповідає на повідомлення, виявляючи свою незахищеність. Встановлений брандмауер отримує такі повідомлення, але з відповідає ними; в такий спосіб, зломщики навіть мають про існування даного комп'ютера.

5. Рівень небезпеки

Є кілька шляхів звести нанівець або піддати ризику брандмауерний захист. І хоча вони всі погані, про деякі з упевненістю казати як "про найнеприємніших. Виходячи з розуміння, що метою установки більшості брандмауерів є блокування доступу, очевидно, що виявлення будь-ким лазівки, що дозволяє поринути у систему, веде до повного краху всієї захисту даної системи. Якщо ж несанкціонованому користувачеві вдалося поринути у брандмауер і переконфігурувати його, ситуація може взяти ще більше загрозливого характеру. З метою розмежування термінології приймемо, що у першому випадку маємо справу з зломом брандмауерного захисту, тоді як у другому -- які з її руйнацією. Ступінь шкоди, котрі можуть спричинити руйнацію брандмауерного захисту, визначити надзвичайно складно. Найбільш повні інформацію про надійності такого захисту може дати добро тільки інформацію про розпочатої спробі зламування, зібрана цим брандмауером. Найгірше приміром із системи захисту тоді, коли за повному руйнуванні брандмауера іншого жодних слідів, вказують те що, як це робилося. У найкращому випадку брандмауер сам виявляє спробу зламування і чемно інформує звідси адміністратора. Спроба у своїй приречена провал.

Одне з способів визначити результат спроби зламування брандмауерного захисту -- перевірити стан речей в про зонах ризику. Якщо мережу приєднана до Internet без брандмауера, об'єктом нападу стане вся мережу. Така ситуація як така передбачає, що мережа стає вразливою кожної спроби зламування. Але якщо вона приєднується до спільної небезпечної мережі, адміністратору доведеться забезпечувати безпеці кожного вузла окремо. Що стосується освіти проломи в брандмауері зона ризику розширюється й охоплює весь захищений мережу. В зломщик, який одержав доступом до входу в брандмауер, може звернутися до методу "захоплення островів" користуючись брандмауером як базою, охопити всю локальну мережу. Така ситуація все-таки дасть слабку надію, бо порушник може залишити сліди в брандмауері, і можна буде викрити. Якщо ж брандмауер повністю виведено з ладу, локальна мережу стає відкритої для нападу з зовнішньої системи, й визначення характеру цього нападу стає практично неможливим.

Загалом, цілком імовірно розглядати брандмауер як звуження зони ризику до точки ушкодження. У певному значенні це може бути не вельми вдалою ідеєю, адже такий нагадує складання яєць до однієї кошик. Проте практикою підтверджено, будь-яка досить велика мережа включає, по меншою мірою, кілька вузлів, уразливих під час спроби зламування навіть дуже досвідченим порушником, якщо вона достатнього при цьому часу. Багато великих компаній мають на озброєнні організаційну політику забезпечення безпеки вузлів, розроблену з урахуванням цих недоліків. Однак було б дуже розумним повністю покладатися виключно на правила. Саме з допомогою брандмауера можна підвищити надійність вузлів, спрямовуючи порушника у такому вузький тунель, що виникає реальний шанс виявити і вистежити його, перш ніж він наробить бід. Приблизно так, як середньовічні замки обносили кількома стінами, у разі створюється взємоблокуючий захист.

6. Межмережевий екран як від вторгнення з Internet

Ряд завдань із відображенню найімовірніших загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани, У виконанні вітчизняної літературі досі використовувалися натомість терміна інші терміни зарубіжного походження:брандмауер і firewall. Поза комп'ютерної сфери брандмауером (чи firewall) називають стіну, зроблену важкозаймистих матеріалів і перешкоджає поширенню пожежі. У сфері комп'ютерних мереж міжмережевий екран є бар'єр, який від фігурального пожежі - спроб зловмисників вторгнутися у внутрішнє мережу у тому, щоб скопіювати, змінити чи стерти інформацію або скористатися пам'яттю чи обчислювальної потужністю що працюють у цієї мережі комп'ютерів. Міжмережевий екран покликаний забезпечити безпечний доступом до зовнішньої сіті й обмежити доступ зовнішніх користувачів до внутрішньої мережі. Міжмережевий екран (МЕ) - це система міжмережевого захисту. що дозволяє розділити загальну мережу на частини або як і реалізувати набір правил, визначальних умови проходження пакетів з цими з-за кордону з частині загальної мережі до іншої. Зазвичай, цей кордон проводиться між корпоративної (локальної) мережею підприємства міста і глобальної мережею Internet, хоча яку можна провести і усередині корпоративної мережі підприємства. МЕ пропускає через себе всю трафік, приймаючи кожному за який струменіє пакета рішення - пропускати його відкинути. Щоб МЕ міг досягти цього він повинен визначити набір правил фільтрації.

Зазвичай міжмережеві екрани захищають мережу підприємства від "вторгнень" з глобальної мережі Internet, але вони можна використовувати для захисту від "нападів" з корпоративної інтрамережі , до котрої я підключена локальна мережу підприємства. Жоден міжмережевий екран неспроможна гарантувати повної захисту внутрішньої мережі попри всі можливих обставин. Проте більшості комерційних організацій установка міжмережевого екрана є необхідною передумовою забезпечення безпеки внутрішньої мережі. Головний доказ на користь застосування міжмережевого екрана у тому, що нього системи внутрішньої мережі піддаються небезпеці із боку слабко захищених служб мережі Internet, і навіть зондуванню і атакам з якихось інших хост - комп'ютерів зовнішньої мережі.

Проблеми недостатньою інформаційну безпеку є "уродженими" практично всім протоколів і служб Internet. Більшість них пов'язані з історичної залежністю Internet від ОС UNIX. Відомо, що мережа Arpanet (прабатько Internet) будувалася як мережу, котра зв'язує дослідницькі центри, наукові, військові й урядових установ, великі університети США. Ці структури використовували операційну систему UNIX як платформи для комунікацій і вирішення власних завдань. Тому особливості методології програмування серед UNIX і його архітектури наклали відбиток у протоколів обміну та політики безпеки у мережі. Через відкритості й поширеності система UNIX стала улюбленої здобиччю хакерів. Тому не дивовижно, що набір протоколів TCP/IP, що забезпечує комунікації у глобальній мережі Internet й у одержують дедалі більшої популярності інтрамережах, має "вроджені" недоліки захисту. Це ж можна згадати і ряді служб Internet.

Набір протоколів керування передаванням повідомлень в Internet (TransmissionControlProtocol/InternetProtocol -TCP/IP) використовується в організацію комунікацій в неоднорідною мережевий середовищі, забезпечуючи сумісність між комп'ютерами різних типів. Сумісність - одна з головних переваг TCP/IP, тому більшість локальних комп'ютерних мереж підтримує ці протоколи. З іншого боку, протоколи TCP/IP надають доступом до ресурсів глобальної мережі Internet. Оскільки TCP/IP підтримує маршрутизацію пакетів, він використовують у ролі міжмережевих протоколу. Завдяки свою популярність TCP/IP став стандартом де чинника для міжмережевої взаємодії.

У заголовках пакетів TCP/IP вказується інформація, яка може піддатися нападам хакерів. Зокрема, хакер може підмінити адресу відправника у "шкідливих" пакетах, після що вони виглядатимуть, як пакети, передані авторизованим клієнтом.

7. Функціональні вимоги, і компоненти міжмережевих екранів

Функціональні вимоги до міжмережевих екранів включають:

· вимоги до фільтрації на мережному рівні;

· вимоги до фільтрації на прикладному рівні;

· вимогами з їх настроюванні правил фільтрації і адмініструванню;

· вимоги до засобів мережевий аутентифікації;

· вимогами з впровадженню журналів і обліку.

Більшість компонентів міжмережевих екранів можна зарахувати до одній із трьох категорій:

· фільтруючі маршрутизатори;

· шлюзи мережного рівня;

· шлюзи прикладного рівня.

Ці категорії можна як базові компоненти реальних міжмережевих екранів. Лише поодинокі міжмережеві екрани включають тільки один з вище перерахованих категорій. Проте, ці категорії відбивають ключові можливості, що відрізняють міжмережеві екрани друг від друга.

8. Фільтруючі маршрутизатори

Фільтруючий маршрутизатор є маршрутизатор чи працюючою на сервері програмою,сконфігуріруванні в такий спосіб, щоб фільтрувати входячи та вихідні пакети. Фільтрація пакетів складає основі інформації, котра міститься в TCP- і IP- заголовках пакетів. Фільтруючі маршрутизатори зазвичай може фільтрувати IP-пакет з урахуванням групи наступних полів заголовка пакета:

· IP- адресу відправника (адресу системи, яка надіслала пакет);

· IP-адрес одержувача (адресу системи, яка пакет);

· порт відправника (порт з'єднання перетворені на системі відправника);

· порт одержувача (порт з'єднання перетворені на системі одержувача);

Порт - це програмне поняття, що використовується клієнтом чи сервером для посилки чи прийому повідомлень; порт ідентифікується 16 - бітовим числом. Нині в повному обсязі фільтруючі маршрутизатори фільтрують пакети по TCP/UDP - порт відправника, проте багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, від якого мережного інтерфейсу маршрутизатора прийшов пакет, і далі використовують цю інформацію, як додатковий критерій фільтрації.

Фільтрація може бути по-різному для блокування сполук з деякими хост - комп'ютерами чи портами. Наприклад, можна блокувати сполуки, які від конкретних адрес тих хост-комп'ютерів та мереж. які вважають ворожими чи ненадійними. Додавання фільтрації по портам TCP і UDP до фільтрації по IP-адресам забезпечує більшої гнучкості. Відомо, такі сервери, як домен TELNET, зазвичай пов'язані з конкретними портами (наприклад, порт 23 протоколу TELNET). Якщо міжмережевий екран може блокувати сполуки TCP чи UDP з деякими портами чи то з них, можна реалізувати політику безпеки, коли він деяких видів сполук встановлюються тільки з конкретними хост - комп'ютерами.

До позитивним якостям фільтруючих маршрутизаторів слід віднести:

§ порівняно невисоку вартість;

§ гнучкість у визначенні правил фільтрації;

§ невелику затримку під час проходження пакетів.

Недоліками фільтруючих маршрутизаторів є:

· внутрішня мережу видно (маршрутизуруєтся) із електромережі Internet правила фільтрації пакетів важкі описання і вимагають дуже хороших знань технологій TCP і UDP;

· разі порушення працездатності міжмережевого екрана з фільтрацією пакетів все комп'ютери його стають повністю незахищеними або недоступними;

· аутентифікацію з допомогою IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система дається взнаки за іншу, використовуючи її IP-адрес);

· відсутня аутентифікація на користувальному рівні.

9. Основні схеми мережевого захисту з урахуванням міжмережевих екранів

При підключенні корпоративної чи локальної мережі до глобальних мереж адміністратор мережевий безпеки має вирішувати такі:

ь захист корпоративної чи локальної мережі від несанкціонованого доступу із боку глобальної мережі;

ь приховання інформації про структуру сіті й її компонентів від користувачів глобальної мережі,

ь розмежування доступу в захисну мережу з глобальної мережі й з захисної мережі в глобальну мережу.

Необхідність роботи з віддаленими користувачами вимагає встановлення обмежень доступу до інформаційних ресурсів захисної мережі. У цьому часто виникає потреба у організації у складі корпораційної мережі кількох сегментів з різними рівнями захищеності:

ь вільно доступні сегменти (наприклад, рекламний WWW-сервер),

ь сегмент з обмеженою доступом (наприклад, для доступу співробітникам організації з віддалених вузлів),

ь закриті сегменти (наприклад, локальна фінансова мережу організації).

Для захисту корпоративної чи локальної мережі застосовуються такі основні схеми організації міжмережних екранів:

ь міжмережевий екран - фільтруючий маршрутизатор;

ь міжмережевий екран з урахуванням двупортового шлюзу;

ь міжмережевий екран з урахуванням екранованого шлюзу;

ь міжмережевий екран -екранізована підмернжа.

Висновок

Лише після викладеного матеріалу можна зрозуміти таке. Брандмауер (міжмережевий екран) - це «напівпроникна мембрана», що знаходиться між захищуваним внутрішнім сегментом сіті й зовнішньої мережею чи іншими сегментами мережі Internet і контролює все інформаційні потоки у внутрішній сегмент і потім із нього. Контроль трафіку у його фільтрації, тобто у вибірковому пропущенні через екран, котрий іноді з виконанням спеціальних змін і формуванням сповіщень для відправника, якщо його даним в пропуску відмовлено.

Сьогодні кращої захистом від комп'ютерних злочинців є брандмауер, правильно встановлений і підібраний кожної мережі. І але він не гарантує стовідсоткову захисту від професійних зломщиків, зате ускладнює їм доступом до мережевий інформації, стосовно любителів, то тут для них доступ тепер вважається закритим. Також у майбутньому міжмережеві екрани мали стати найкращими захисниками для банків, підприємств, урядів, та інших спецслужб. Є також надія, що Крим коли-небудь буде створено міжмережевий екран, який нікому вдасться обійти. На цьому етапі програмування можна також ознайомитися укласти, що розробки з брандмауерам нині обіцяють в недалекому майбутньому дуже непоганих результатів.

Література

1. Зашита інформацією комп'ютерних системах і мережах/ Під ред. В.Ф. Шаньгина .- М.: Радіо і зв'язок, 1999.-328 з.

2. Айков Д., Сейгер До., Фонсторх У. Комп'ютерні злочину. Посібник із боротьби з комп'ютерними злочинами: Пер. з анг. - М.: Мир,1999.- 351с., мул.

3. Секрети безпеки Internet .- До.: Діалектика , 1997.-512., мул.

4. Безпека самого персонального комп'ютера / Пер. з анг.; Худ. обл. М. В. Драко .- Мн.: ТОВ «Попурри», 1997.- 480 с.:ил.

5. http://www.matousec.com/projects/firewall-challenge/results.php

6. http://ru.wikipedia.org/wiki/Персональный_файрфол

Размещено на Allbest.ru