Автор работы: Пользователь скрыл имя, 06 Октября 2013 в 17:52, контрольная работа
Глобальная сеть Интернет создавалась как открытая система, предназначенная для открытого обмена информацией. Прародительница Интернета — сеть Arpanet строилась как сеть, связывающая исследовательские центры, военные, научные и правительственные учреждения. В качестве платформы для решения задач, стоящих перед указанными организациями, использовалась операционная система UNIX. 25 — 30 лет назад, когда зарождались общедоступные сети, проблемы информационной безопасности не стояли так остро как сейчас и ОС UNIX удовлетворяла всех, поэтому возникшие в 80 — е годы проблемы безопасности исторически связаны в первую очередь с принципами, заложенными в ОС UNIX.
Уральский институт экономики, управления и права
Шлюзы сетевого уровня
Контрольная работа по дисциплине «Информационная безопасность»
Студент 5 курса
факультета Прикладная информатика (в экономике)
ИС-501 группы
заочной формы обучения
Научный руководитель Доцент
Ждахин И.Л.
Нижний Тагил
2013
История вопроса
Глобальная сеть Интернет создавалась как открытая система, предназначенная для открытого обмена информацией. Прародительница Интернета — сеть Arpanet строилась как сеть, связывающая исследовательские центры, военные, научные и правительственные учреждения. В качестве платформы для решения задач, стоящих перед указанными организациями, использовалась операционная система UNIX. 25 — 30 лет назад, когда зарождались общедоступные сети, проблемы информационной безопасности не стояли так остро как сейчас и ОС UNIX удовлетворяла всех, поэтому возникшие в 80 — е годы проблемы безопасности исторически связаны в первую очередь с принципами, заложенными в ОС UNIX.
Для организации взаимодействия в среде Интернет используется набор протоколов, который называется TCP/IP (Transmission Control Protocol/Internet Protocol). Один из основных принципов, заложенных в набор (стек) протоколов — обеспечение совместимости между компьютерами различных типов, поэтому стек протоколов TCP/IP стал чрезвычайно популярным и приобрел фактически статус стандарта для межсетевого взаимодействия.
На основе стека протоколов TCP/IP строится ряд служб Интернета. Наиболее распространенные службы и соответствующие протоколы Интернет:
Основываясь на тех соображениях, что:
Коммерческие организации пришли к выводу, что значительно дешевле передавать информацию по этой паутине, нежели строить свои корпоративные сети. Правда, из-за исторической неприспособленности стека протоколов TCP/IP и ОС UNIX к защите данных встала проблема защищенности передачи.
МЭ являются одним из тех средств, которые позволяют в некоторой степени обезопасить передачу информации через глобальные сети.
МЭ — средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.
Как правило, граница проводится между корпоративной (локальной) сетью организации и глобальной сетью. МЭ пропускает через себя весь трафик, принимая для каждого пакета решение — пропускать его или отбросить.
Помимо этого, МЭ используются не только для того, чтобы обезопасить себя при выходе в Интернет, но и для защиты Интранет - сегментов организации (т.е. сегментов, которые используют Интернет — технологии для взаимодействия в корпоративных сетях). МЭ в Интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться МЭ и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть МЭ для финансового отдела или бухгалтерии в организации.
МЭ позволяют обеспечить несколько типов защиты:
Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. В соответствии с принятыми компромиссами принимается политика безопасности. Политика безопасности должна включать две составляющие:
Первый тип политики обычно основывается на одном из следующих принципов:
Политика реализации МЭ должна базироваться на одном из двух принципов:
Первый принцип обеспечивает лучшую защищенность, однако доставляет значительные неудобства пользователям. Второй принцип, наоборот, предоставляет больше удобства пользователям, но обеспечивает меньшую защищенность.
Основные компоненты МЭ
МЭ состоят, как правило, из нескольких компонент, основными из которых являются следующие:
Шлюзы сетевого уровня
Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.
Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.
Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли этот клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за выполнением процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).
Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 1000. является запросом клиента на открытие сеанса. Внешний хост-компьютер, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете подтверждая, тем самым прием пакета SYN от клиента.
Далее осуществляется обратная процедура: хост-компьютер посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001. На этом процесс квитирования связи завершается.
Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.
После того как
шлюз определил, что доверенный клиент
и внешний хост-компьютер
Для копирования и перенаправления пакетов в шлюзах сетевого уровня применяются специальные приложения, которые называют канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP, проходить по этому каналу. Канальные посредники поддерживают несколько служб TCP/IP, поэтому шлюзы сетевого уровня могут использоваться для расширения возможностей шлюзов прикладного уровня, работа которых основывается на программах-посредниках конкретных приложений.
Фактически большинство шлюзов сетевого уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня. Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems, Alta Vista Firewall компании DEC и ANS Interlock компании ANS. Например, Alta Vista Firewall использует канальные посредники прикладного уровня для каждой из шести служб TCP/IP, к которым относятся, в частности, FTP, HTTP (Hyper Text Transport Protocol) и telnet. Кроме того, межсетевой экран компании DEC обеспечивает шлюз сетевого уровня, поддерживающий другие общедоступные службы TCP/IP, такие как Gopher и SMTP, для которых межсетевой экран не предоставляет посредников прикладного уровня.
Шлюз сетевого
уровня выполняет еще одну важную
функцию защиты: он используется в качестве сервера-посредника.
После установления связи шлюзы сетевого уровня фильтруют пакеты только на сеансовом уровне модели OSI, т.е. не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется "вслепую", хакер, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через такой шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу, который сам по себе не может обеспечивать функции межсетевого экрана. Иными словами, если процедура квитирования связи успешно завершена, шлюз сетевого уровня установит соединение и будет "слепо" копировать и перенаправлять все последующие пакеты независимо от их содержимого.
Характерная особенность ШСУ:
При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP — адресов в один внешний IP — адрес МЭ (средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.) и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.
Недостаток ШСУ:
После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.
Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.