Методические указания по выполнению практических работ по дисциплине «Защита информации»
Download 0.66 Mb. Pdf ko'rish
|
Metod prak ZI 27.03.04 UTS 2017
|
Корпоративные брандмауэры
Корпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет его происхождения или соответствия иным правилам пропускания пакетов), после чего либо пропускается, либо отклоняется. Обычно брандмауэры могут выполнять роль фильтра пакетов или прокси-сервера (в последнем случае брандмауэр является посредником при выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения локальной и внешней сетей). Рассмотрим основные функции, выполняемые корпоративными брандмауэрами. Фильтрация пакетов представляет собой выборочную маршрутизацию пакетов между внешними и внутренними хостами. При этом некоторые типы пакетов пропускаются или блокируются по правилам, отражающим принятые политики безопасности корпоративной сети. Обычно функция фильтрации пакетов возлагается на маршрутизатор (так называемый фильтрующий маршрутизатор) в составе шлюза корпоративной сети. Основная информация, используемая фильтрующим маршрутизатором для принятия решения о пересылке или блокировании IP-пакета, — это его заголовок. В частности, учитываются IP-адреса и порты (в протоколах TCP и UDP) отправителя и получателя, протокол, тип сообщения (в протоколе ICMP), размер пакета. Фильтрующий маршрутизатор может также просматривать следующую за заголовком область данных, что позволяет осуществлять фильтрацию на основе более детальной информации и проверять, отформатированы ли пакеты так, как необходимо для их порта назначения. Маршрутизатор может удостовериться в правильности пакетов (например, что они имеют указанный размер и что он является допустимым) — это помогает обнаружить ряд угроз отказа в обслуживании, основанных на некорректно сформированных пакетах. Кроме характеристик пакета анализируется информация о его истории, а именно: является ли данный пакет ответом на другой пакет, сколько других пакетов было получено с того же хоста, идентичен ли пакет недавно исследованному пакету и т.д. Учитывается также информация о конкретном интерфейсе фильтрующего маршрутизатора, с которого пришел пакет. При анализе IP-пакета маршрутизатор может выполнять, в частности, следующие действия: • переслать пакет по указанному адресу; • отбросить пакет (без уведомления отправителя); • отклонить пакет (с уведомлением отправителя); • зарегистрировать информацию о пакете; • подать сигнал тревоги; • изменить пакет (например, транслировать адрес); • переслать пакет другому адресату (например, направить его на прокси-сервер или на другой сервер, чтобы сбалансировать нагрузку); • изменить правила фильтрации (например, начать отбрасывать все пакеты от хоста, который ранее прислал подозрительные пакеты). Прокси Прокси-сервисы — это специализированные приложения, или серверные программы, которые принимают запросы пользователей к различным сервисам (FTP, SMTP и т.д.) и направляют их туда. Прокси обеспечивают подмену соединений и действуют как шлюзы для сервисов. Прокси-сервисы более или менее прозрачно располагаются между пользователем и внешним сервисом, и вместо непосредственного диалога друг с другом каждая сторона обращается к прокси. Прокси-сервер создает у пользователя полную иллюзию того, что он имеет дело непосредственно с сервисом, а у реального сервера — что он соединен непосредственно с пользователем. Основная защитная функция прокси-сервиса состоит в том, что при инициировании неким хостом сессии с определенным внешним или внутренним сервисом он принимает решение разрешить или блокировать данное соединение. Главное отличие прокси от фильтрации пакетов состоит в том, что в данном случае решение принимается на прикладном уровне и на основе информации прикладного уровня. Это часто позволяет организовать фильтрацию более разумно, чем пакетный фильтр (например, существенно эффективнее удалять Java и JavaScript из HTTP-ответов). Кроме того, поскольку прокси- сервис активно участвует в соединении, возможна аутентификация и авторизация с его помощью. Поскольку прокси-сервис располагается между клиентом и внешним сервисом, он генерирует абсолютно новые пакеты для клиента. Поэтому прокси-сервис может защитить клиента от атак, связанных с некорректно сформированными IP-пакетами. Основными недостатками прокси-сервисов являются довольно низкая производительность (по сравнению с фильтрацией пакетов) и необходимость создания отдельного прокси для каждого применяемого сервиса. Download 0.66 Mb. Do'stlaringiz bilan baham: 
|