Автор работы: Пользователь скрыл имя, 23 Июня 2013 в 20:04, курсовая работа
Целью данной работы является рассмотрение использования межсетевых экранов в качестве средства защиты информации в локальных сетях.
В соответствии с поставленной целью необходимо решение следующих задач:
- изучение понятия межсетевого экрана;
- рассмотрение функций и политики МЭ;
- рассмотрение проблем и способов практической реализации защиты информации с использованием межсетевых экранов;
Введение……………………………………………………………………3
Понятие межсетевого экрана………………………………..4
Функции и политики межсетевых экранов………………...11
Практическая реализация защиты информации с использованием межсетевых экранов ……………………………………….…....18
3.1 Способы защиты ……………………………………………...22
3.2 Использование персональных межсетевых экранов…….…26
Заключение…………………………………………………………….….31
Список используемой литературы……………………………………..33
Содержание
Введение…………………………………………………………
3.1 Способы защиты ……………………………………………...22
3.2 Использование персональных межсетевых экранов…….…26
Заключение……………………………………………………
Список используемой литературы……………………………………..33
Введение
Современный мир предъявляет к защите локальных сетей все более жесткие требования. Зачастую стабильная работа компании, ее успешная деятельность и доходы во многом зависят от этого фактора. Если крупная корпорация имеет средства и возможность содержать целые отделы, занимающиеся безопасностью корпоративной сети, то небольшие компании не могут позволить себе включить в штат сетевого администратора. В этих условиях остро возникает необходимость в удобном и надежном инструменте защиты сети, каким является межсетевой экран. На данный момент существует огромное количество реализаций таких устройств.
На сегодняшний день лучшей защитой от компьютерных преступников является межсетевой экран, правильно установленный и подобранный для каждой сети. И хотя он не гарантирует стопроцентную защиту от профессиональных взломщиков, но зато усложняет им доступ к сетевой информации, что касается любителей то для них доступ теперь считается закрытым.
Межсетевой экран, его также называют фаервол (от англ. Firewall) или брандмауэр на шлюзе позволяет обеспечить безопасный доступ пользователей в сеть Интернет, при этом защищая удаленное подключение к внутренним ресурсам.
Целью данной работы является рассмотрение использования межсетевых экранов в качестве средства защиты информации в локальных сетях.
В соответствии с поставленной целью необходимо решение следующих задач:
- изучение понятия межсетевого экрана;
- рассмотрение функций и политики МЭ;
- рассмотрение проблем
и способов практической
Брандмауэры, или межсетевые
экраны, являются базовым средством
обеспечения сетевой
Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС[5].
Под сетями ЭВМ, распределенными автоматизированными системами (АС) понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.
Все брандмауэры можно разделить на три типа:
Все типы могут одновременно
встретиться в одном
Пакетные фильтры
Пакетные фильтры (packet filter) - это одни из первых и самые распространенные межсетевые экраны, которые функционируют на третьем, сетевом уровне и принимают решение о разрешении прохождения трафика в сеть на основании информации, находящейся в заголовке пакета (Рис.1). Многие фильтры также могут оперировать заголовками пакетов и более высоких уровней (например, TCP или UDP). Распространенность этих межсетевых экранов связана с тем, что именно эта технология используется в абсолютном большинстве маршрутизаторов (т.н. экранирующий маршрутизатор, screening router) и даже коммутаторах (например, в решениях компании Cisco). В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:
- адреса отправителей и получателей;
- тип протокола (TCP, UDP, ICMP и т.д.);
- номера портов отправителей и получателей (для TCP и UDP трафика);
- другие параметры заголовка пакета (например, флаги TCP-заголовка).
Рис.1 Пакетный фильтр.
С помощью данных
параметров, описанных в специальном
наборе правил, можно задавать
достаточно гибкую схему
Сетевые фильтры, обладая рядом достоинств, не лишены и ряда серьезных недостатков. Во-первых, исходя из того, что они анализируют только заголовок (такие фильтры получили название stateless packet filtering), за пределами рассмотрения остается поле данных, которое может содержать информацию, противоречащую политике безопасности[11].
Другой недостаток пакетных фильтров - сложность настройки и администрирования. Приходится создавать как минимум два правила для каждого типа разрешенного взаимодействия (для входящего и исходящего трафика).
Еще один недостаток пакетных фильтров - слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP (v4) позволяет без труда подменять такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола, реализуя тем самым атаку "подмена адреса" (IP Spoofing).
Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения(Рис.2).
Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
Рис.2 Посредник прикладного уровня.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).
При описании правил доступа используются такие параметры, как
Сервера прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
Сравнительные характеристики пакетных фильтров и серверов прикладного уровня
Достоинства пакетных фильтров:
Недостатки пакетных фильтров:
Достоинства серверов прикладного уровня:
Недостатки серверов прикладного уровня:
В 1997 году был принят Руководящий документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ устанавливает пять классов защищенности межсетевого экрана, каждый из которых характеризуется определенной минимальной совокупностью требований по защите информации.[5]
В 1998 году был разработан еще один документ: "Временные требования к устройствам типа межсетевой экран». Согласно данному документу установлено 5 классов защищенности межсетевого экрана, которые применяются для защиты информации в автоматизированных системах, содержащих криптографические средства.
А с 2011 года вступили в силу требования законодательства по сертификации межсетевых экранов. Таким образом, если в сети предприятия осуществляется работа с персональными данными, то требуется установить межсетевой экран, сертифицированный Федеральной службой по экспортному контролю (ФСТЭК)[4].
Стоит отметить, что обычной коммерческой организации сертифицировать свою сеть (и брандмауэр как ее составную часть) на соответствие требованиям ФСТЭК не обязательно. Другое дело, если это вычислительная сеть органа государственной власти или военного завода. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
Информация о работе Практическая реализация защиты информации с использованием межсетевых экранов