Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

"МОСКОВСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ"

МИРЭА

ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Кафедра ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

ПРАКТИЧЕСКАЯ РАБОТА

ПО ДИСЦИПЛИНЕ “МИРОВЫЕ ИНФОРМАЦИОННЫЕ РЕСУРСЫ”

Брандмауэр (FireWall) как средство реализации политики сетевой безопасности

2016 год

Без политики безопасности работоспособность сети может оказаться под угрозой. В качестве средства защиты сети от нежелательного трафика используется межсетевой экран.

Первые устройства, выполняющие функцию фильтрации сетевого трафика, появились в конце 1980-х, когда Интернет был новшеством и не использовался в глобальных масштабах. Этими устройствами были маршрутизаторы, инспектирующие трафик на основании данных, содержащихся в заголовках протоколов сетевого уровня. Впоследствии, с развитием сетевых технологий, данные устройства получили возможность выполнять фильтрацию трафика, используя данные протоколов более высокого, транспортного уровня.

Маршрутизаторы можно считать первой программно-аппаратной реализацией межсетевого экрана. Затем, несколько позже появились программные межсетевые экраны, например, проект Netfilter/iptables.

Определение и функции межсетевого экрана.

Межсетевой экран(firewall, брандмауэр) представляет собой программную или программно-аппаратную систему, которая устанавливается на границе охраняемой вычислительной сети и осуществляет фильтрацию сетевого трафика в обе стороны, разрешая или запрещая прохождение определенных пакетов внутрь локальной сети (в периметр безопасности) или из нее в зависимости от выбранной политики безопасности. Однако только фильтрацией пакетов задачи современных МСЭ не ограничиваются, они выполняют также множество дополнительных действий:

· кэширование информации, когда часть полученной из внешней сети информации временно сохраняется на локальных запоминающих устройствах, что позволяет экономить время и потребляемый трафик при повторном обращении к той же информации;

· трансляция адресов, позволяющая использовать для внешних коммуникаций компьютеров локальной сети только один IP-адрес - адрес самого брандмауэра, внутренние адреса локальной сети могут быть любыми;

· переадресация, позволяющая отправлять пакеты, приходящие на некоторый IP-адрес, на компьютер с другим адресом. Это позволяет, например, распределить нагрузку на Web-сервер.

Виды брандмауэров.

До сих пор не существует единой и общепризнанной классификации межсетевых экранов. Однако в большинстве случаев поддерживаемый уровень сетевой модели OSI является основной характеристикой при их классификации. Учитывая данную модель, различают следующие типы межсетевых экранов:

1. Управляемые коммутаторы.

2. Пакетные фильтры.

3. Шлюзы сеансового уровня.

4. Посредники прикладного уровня.

5. Инспекторы состояния.

Рисунок 2. Виды фаерволов в соответствии с сетевой моделью OSI.

Управляемые коммутаторы иногда причисляют к классу межсетевых экранов, так как они осуществляют фильтрацию трафика между сетями или узлами сети. Однако они работают на канальном уровне и разделяют трафик в рамках локальной сети, а значит не могут быть использованы для обработки трафика из внешних сетей (например, из Интернета).

Пакетные фильтры функционируют на сетевом уровне и контролируют прохождение трафика на основе информации, содержащейся в заголовке пакетов. Многие межсетевые экраны данного типа могут оперировать заголовками протоколов и более высокого, транспортного, уровня (например, TCP или UDP). Пакетные фильтры одними из первых появились на рынке межсетевых экранов и по сей день остаются самым распространённым их типом.

Межсетевой экран сеансового уровня исключает прямое взаимодействие внешних хостов с узлом, расположенным в локальной сети, выступая в качестве посредника(англ. proxy), который реагирует на все входящие пакеты и проверяет их допустимость на основании текущей фазы соединения. Шлюз сеансового уровня гарантирует, что ни один сетевой пакет не будет пропущен, если он не принадлежит ранее установленному соединению.

Межсетевые экраны прикладного уровня, также, как и шлюзы сеансового уровня, исключают прямое взаимодействие двух узлов. Однако, функционируя на прикладном уровне, они способны «понимать» контекст передаваемого трафика. Межсетевые экраны, реализующие эту технологию, содержат несколько приложений-посредников (англ. application proxy), каждое из которых обслуживает свой прикладной протокол.

Инспекторы состояния это межсетевые экраны, осуществляющие фильтрацию трафика с сетевого по прикладной уровень.

Технологии работы межсетевых экранов.

Все фаерволы выполняют функцию анализа сетевого трафика и направляют его на основе набора правил, однако, методы, которые они используют для этого, могут различаться.

Существуют три фундаментальные технологии, на основе которых работают фаерволы: брандмауэр сетевой пакетный фильтрация

· Статическая пакетная фильтрация (packet filtering) - пакеты фильтруются на основе статической информации в заголовке сетевых пакетов

· Прокси-фаервол (proxy firewall) - устройство находится между клиентом и внешней сетью и все запросы и соединения клиента с внешними хостами осуществляются от имени прокси сервера

· Пакетная фильтрация с запоминанием состояния (stateful packet filtering) - сочетает в себе лучшее первых двух. Далее, для удобства, будем называть ее просто - динамической фильтрацией, чтобы противопоставить обычной статической пакетной фильтрации.

Статическая пакетная фильтрация (packet filtering).

Это наиболее древняя и широко применяемая технология. Статическая пакетная фильтрация используется для фильтрации пакетов, входящих в сеть, а также пакетов, проходящих между разными сегментами сети. Пакетный фаервол инспектирует входящий трафик, анализируя информацию сетевого и транспортного уровней модели OSI. Рисунок ниже отображает, каким образом трафик проходит через пакетный фаервол от источника к назначению применительно к модели OSI

Рисунок 3. Схема работы пакетного фильтра.

Фаервол анализирует IP пакет и сравнивает его с заданным набором правил, аксес листом (ACL - Access Control List). ACLs задаются администратором вручную. Анализируются только следующие элементы:

· Порт источника

· Адрес назначения

· Порт назначения

· Протокол

· Некоторые фаерволы также могут анализировать информацию из заголовка пакета, проверяя, является ли пакет частью нового либо установленного соединения.

Если пакет, не удовлетворяет правилам заданным в ACL , по которым он может быть пропущен в защищенную сеть, пакет отбрасывается. Преимущество статической пакетной фильтрации в ее быстродействии.

У статической пакетной фильтрации есть следующие недостатки:

· Пакеты, которые должны быть отфильтрованы, могут попасть в сеть, если они фрагментированы

· В процессе задания правил ACL могут формироваться очень большие списки, которыми сложно управлять

· Ряд сервисов не может контролироваться пакетной фильтрацией. Это, например, приложения мультимедиа, где соединения динамически устанавливаются на произвольных портах, номера которых будут известны только после установки соединения

Статическая пакетная фильтрация часто используется на маршрутизаторах. Устройства защиты Cisco также могут использовать такую фильтрацию.

Прокси-фаервол (proxy-firewall)

Прокси-фаервол, называемый также прокси-сервером - это обычно прикладная программа, устанавливаемая на сервер, имеющий доступ в защищенную и внешнюю сеть.

Все соединения хостов защищенной сети с хостами внешней сети осуществляются от имени прокси-фаервола, как если бы прокси-фаервол сам устанавливал эти соединения. Хосты защищенной сети никогда сами не устанавливают соединений с внешним миром. Для установки связи, хосты внутренней сети посылают запросы прокси-фаерволу, запросы сравниваются с базой правил. Если запрос соответствует правилу в базе и разрешен, прокси-фаервол посылает запрос внешнему хосту и затем посылает ответ внутреннему хосту.

Прокси-фаерволы работают на верхних уровнях модели OSI. Соединения устанавливаются между сетевым и транспортным уровнем, однако прокси-фаервол анализирует запрос вплоть до седьмого уровня на предмет соответствия набору правил, если все правильно, он устанавливает соединение.

Анализ пакетов до седьмого уровня является большим преимуществом прокси-фаерволов. Но имеются и следующие недостатки:

· Прокси-сервер - это программа работающая под управлением определенной операционной системы, поэтому прокси-сервер будет настолько безопасным, насколько безопасна сама эта система

· Значительная процессорная нагрузка для осуществления прокси сервисов, что сказывается на производительности, при увеличении числа запросов на соединение. Это самая медленная технология

Рисунок 4. Схема работы прокси-фаервола.

Динамическая пакетная фильтрация (stateful packet filtering)

Данная технология обеспечивает лучшую комбинацию безопасности и производительности. Используется не только ACL, но также анализируется состояние сессии, записываемое в базу, которую называют таблицей состояния (state table). Эту технологию Cisco преимущественно использует в своих устройствах защиты.

После того как соединение установлено, все данные сессии сравниваются с таблицей состояния. Если данные сессии не соответствуют информации в таблице состояния для этой сессии, соединение сбрасывается.

В этой технологии сохраняется состояние каждой открытой сессии. Каждый раз, когда устанавливается разрешенное внешнее либо внутреннее TCP или UDP соединение, информация об этом соединении запоминается в таблице состояния сессий. В таблицу заносится адрес источника и назначения, номера портов, порядковые номера TCP сессии (sequence numbers), также дополнительные флаги.

Зачем это необходимо? Для анализа возвращаемых пакетов в каждой конкретной сессии на предмет их легитимности (те же порты, правильные порядковые номера сессии, флаги и тд). То есть теперь все входящие и исходящие пакеты сравниваются с информацией в таблице состояния.

Рисунок 5. Схема фаервола с динамической пакетной фильтрацией (анализом состояний).

То есть в общем смысл работы динамической фильтрации заключается в следующем - если соединение, запрашиваемое хостом, разрешено фаерволом, то он запоминает это и помещает информацию о соединении в таблицу состояний (state table) и при возвращении трафика, то есть при ответе другого хоста на запрос, пакеты разрешаются, если они соответствуют тому, что ожидает устройство защиты, то есть соответствуют информации, хранящейся в state table.

Этот метод эффективен по трем причинам:

· Он работает и с пакетами и с соединениями

· Производительность выше, чем у прокси-фаерволов

· Сохраняется информация каждого соединения, что позволяет определить является ли пакет частью этого соединения.

Реализация.

Существует два варианта исполнения межсетевых экранов -- программный и программно-аппаратный. В свою очередь программно-аппаратный вариант имеет две разновидности -- в виде отдельного модуля в коммутаторе или маршрутизаторе и в виде специализированного устройства.

Программно-аппаратные.

Примеры программно аппаратных межсетевых экранов.

Cisco ASA предлагают, в общем виде, следующие возможности:

· Межсетевое экранирование с учётом состояния соединений;

· Глубокий анализ протоколов прикладного уровня;

· Трансляция сетевых адресов;

· Подключение к сети через веб-интерфейс;

· Протоколы динамической маршрутизации (RIP, EIGRP, OSPF) и др.

Check point предлагает всеобъемлющую систему безопасности сетей для защиты от новейших угроз. С ее помощью частные лица, компании и государственные организации могут работать в интернете безопасно и без лишних ограничений. Мы также предлагаем защиту для виртуальных облачных сред -- публичных, частных и гибридных.

Преимущества программно-аппаратных брандмауэров.

· Относительная простота развертывания и использования. Подключение, задание параметров через веб-интерфейс и все.

· Размеры и энергопотребление. Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление, чем если под эту задачу отдать отдельный ПК.

· Производительность. Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией -- фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами.

· Надежность. Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы). Конечно, можно выделить отдельный компьютер, поставить на него какую-либо надежную ОС и настроить на ней фаервол, но такая задача требует повышенной квалификации администратора, именно поэтому ранее было отмечено, что аппаратные решения более просты в использовании.

Программные.

Примеры программных межсетевых экранов.

VipNet Office Firewall - программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментами локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.

Особенность StoneGate Firewall/VPN - собственная интегрированная защищенная операционная система, предоставляющая пользователю возможность не выполнять отдельные операции по настройке.

TrustAccess -- распределенный межсетевой экран высокого класса защиты c централизованным управлением, предназначенный для защиты серверов и рабочих станций локальной сети от несанкционированного доступа, а также разграничения сетевого доступа к информационным системам предприятия.

К преимуществам программных решений относятся:

· Стоимость. Цена программного межсетевого экрана обычно ниже. За цену среднего аппаратного решения можно защитить всю сеть программным брандмауэром.

· Возможность защиты сети изнутри. Не всегда угрозы исходят извне. Внутри локальной сети есть множество угроз. Атаки могут исходить с внутренних компьютеров. Инициировать атаку может любой пользователь LAN, например, недовольный компанией. Можно, конечно, использовать отдельный аппаратный маршрутизатор для защиты каждого отдельного узла, но на практике такие решения обычно не встречаются.

· Возможность разграничения сегментов локальной сети без выделения подсетей. В большинстве случаев к локальной сети подключаются компьютеры разных отделов, например, бухгалтерии, финансового отдела, IT-отдела и т.д. Не всегда эти компьютеры должны взаимодействовать между собой. Как выполнить разграничение ИСПДн(Информационная система персональных данных)? Первое решение заключается в создании нескольких подсетей и настройке надлежащим образом маршрутизации между этими подсетями. Нельзя сказать, что решение очень сложное, но все же сложнее, чем использование программного файрвола. Второе решение заключается в использовании межсетевого экрана, предназначенного именно для защиты ИСПДн. В этом случае даже в самой большой сети разграничение ИСПДн выполняется за считанные минуты, и возиться с настройкой маршрутизации не приходится.

· Возможность развертывания на существующих серверах. Достаточно на одном из серверов развернуть межсетевой экран и настроить его. Обычно это выполняется посредством графического интерфейса межсетевого экрана и реализуются посредством нескольких щелчков мышью в нужных местах.

· Расширенный функционал. Как правило, функционал программных межсетевых экранов шире, чем у их аппаратных собратьев, и при необходимости можно подобрать фаервол, соответствующий нуждам конкретной сети. У программно-аппаратных брандмауэров тоже есть расширенные функции, однако стоит это гораздо дороже.

Заключение

В заключение можно сделать вывод, что межсетевые экраны выполняют достаточно важные функции по контролю трафика, проходящего сквозь них и так же защищают сети от различных компьютерных угроз, которые могут угрожать при соединении с Интернетом. Правильно настроенные брандмауэры могут оказаться очень полезными и даже незаменимыми при реализации политики сетевой безопасности.

Размещено на Allbest.ru