Брандмауэр как способ защиты информации в сети Интернет

 

Содержание

 

Введение 

3

  1. Безопасный доступ в сеть Интернет

4

  1. Брандмауэр как способ защиты информации в сети Интернет

6

Заключение 

15

Список используемой литературы

16

   
   
   

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Актуальность темы. На сегодняшний день Интернет предоставляет безграничные возможности. В социальной, политической, коммерческой и культурной среде все больше и больше людей используют Интернет для обмена информацией, идеями и ресурсами. Сегодня и работа, и отдых немыслимы без интернета, и этим активно пользуются авторы вирусов, хакеры и спамеры – часто в одном лице. Хакеры создают новые вирусы и другие вредоносные программы, чтобы незаконно проникать на наши компьютеры, подчинять их себе и затем рассылать с них спам. Угрозы информационной безопасности становятся всё более комплексными. К ним добавляются и угрозы особого вида, внутренние: утечка конфиденциальной информации, кража личности и другие.[2]

Современный Интернет требует  принципиально нового подхода к  безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.

Одним из источников угроз  информационной безопасности являются внешние нарушители. Внешние нарушители обычно осуществляют несанкционированный доступ к конфиденциальной информации, хранящейся и обрабатываемой на компьютерах пользователей, из-за пределов внутренней локальной вычислительной сети. Такие несанкционированные доступы могут проводиться в режиме активной атаки с целью найти уязвимость в настройках межсетевых экранов и соответственно пробить его и получить доступ из вне к внутренним ресурсам. Этот процесс активной атаки довольно сложен, его легко вычислить, заблокировать и в дальнейшем исключить и кроме того злоумышленнику необходимо знать структуру внутренней сети для получения доступа непосредственно к конфиденциальной информации которая его интересует.

  1. Безопасный доступ в сеть Интернет

 

Большинство организаций  подключаются к сети Интернет через  один канал связи, в результате чего возникает необходимость в обеспечении  всех (или выборочно) сотрудников  общим доступом в Интернет. Обеспечение безопасного выхода в Интернет для организации зачастую связано с целым комплексом сложных вопросов. Если к решению таких вопросов подходить без должного внимания, то могут возникнуть неприятные последствия, среди которых: отсутствие контроля доступа в Интернет, различные угрозы безопасности, чрезмерные расходы на оплату интернет-трафика.

Для уменьшения вероятности  возникновения вышеуказанных последствий  используются межсетевые экраны, так  же называемые файрволлами (анг. Firewall) или брандмауэрами (нем. Brandmauer). Сколько бы машин ни насчитывала локальная сеть, при реализации мер по обеспечению безопасности основное внимание уделяется именно межсетевому экрану. Основное назначение межсетевого экрана — защита локальной сети от вмешательств из вне. Иными словами, межсетевой экран призван оградить всё то, что расположено по одну сторону от него, от нежелательного воздействия всего того, что находится по другую сторону.[8]

Установка на межсетевом экране специализированных программ позволяет  осуществить следующий контроль доступа к сети Интернет:

1.Контроль расхода интернет-трафика

Несмотря на повсеместную распространённость Интернета и  ориентированность государства  на интернет-технологии и инновации, подключение организации, т.е. юридического лица, к сети Интернет по прежнему остаётся достаточно дорогостоящим. При подключении к сети Интернет по тому или иному тарифному плану зачастую возникает вопрос — какие условия выбрать: тарифный план с небольшой скоростью доступа и неограниченным объёмом трафика при фиксированной абонентской плате или тариф с высокоскоростным доступом, с заранее определённым количеством мегабайт в месяц при превышении которого выставляется отдельный счёт за сверхпотребление. Учитывая расходы трафика на межсетевом экране можно избежать чрезмерного потребления интернет-трафика. Достигается это за счёт включения биллинговой системы, которая автоматически блокирует доступ пользователя к Интернету при превышении заранее установленного лимита.

2.Ограничение доступа

Данная мера позволяет  наиболее рационально использовать трафик интернет-провайдера и существенно  повысить производительность труда  сотрудников организации. Это достигается  за счёт следующего: ограничение каждого  пользователя по скорости доступа к  сети Интернет; ограничение в работе «интернет-болталок» типа ICQ, Mail.Ru агент и др.; ограничение доступа к сайтам поиска работы; ограничение доступа к видеохостингам (youtube.com, rutube.ru и др.); блокировка социальных сетей и сайтов с online играми.

3.Аутентификация пользователей

Именной доступ к сети Интернет является наиболее мощным средством  контроля доступа и управления правами  пользователей. Позволяет организовать доступ в сеть Интернет с помощью  пары логин/пароль. Доступ пользователя может быть ограничен по скорости, по времени суток, по дням недели. Возможно, организовать чрезвычайно гибкую систему списков запрещённых и разрешённых сайтов. Огромное преимущество системы аутентификации — возможность руководителя просматривать отчёты, в которых отражается на каких сайтах и в какое время был сотрудник, какое количество мегабайт он потратил на тот или иной ресурс.

4.Антивирусная проверка

Огромное количество компьютеров  заражаются вирусами через общий  доступ в Интернет. Последствием заражения  могут быть: блокировка системы, нарушение  целостности данных, спам-атака других пользователей сети Интернет и т.д. Избежать этого позволяет потоковая  антивирусная фильтрация проходящего  через межсетевой экран трафика.

5.Защита от хакерских атак

Взлом системы, как правило, приносит её владельцу множество  проблем. Поскольку многие злоумышленники попросту стирают содержимое жесткого диска, взлом часто сопровождается потерей всех данных, которые не были сохранены на резервных носителях. Установка межсетевого экрана позволяет  в значительной степени снизить  вероятность проникновения хакеров  в локальную сеть организации.[4]

 

 

  1. Брандмауэр как способ защиты информации в сети Интернет

 

Брандмауэр - это средство защиты, которое можно использовать для  управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.

Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут  получить доступ к внутренним сетям  в обход брандмауэра, его эффективность  близка к нулю. Если пользователь имеет  подключение к Интернету у  какого-нибудь провайдера Интернета, и  часто соединяется с Интернетом со своей рабочей машины с помощью  модема, то он или она устанавливают  небезопасное соединение с Интернетом, в обход защиты брандмауэра.

Брандмауэры часто могут быть использованы для защиты сегментов интернета организации, но этот документ в основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""

Брандмауэры обеспечивают несколько  типов защиты:

  • Они могут блокировать нежелательный трафик
  • Они могут направлять входной трафик только к надежным внутренним системам
  • Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.
  • Они могут протоколировать трафик в и из внутренней сети
  • Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета
  • Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации: Имя/пароль -это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов [5]

Существует несколько различных  реализаций брандмауэров, которые могут  быть созданы разными путями. В  таблице 6.1 кратко характеризуются  несколько архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам.

Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил.

Шлюзы с фильтрацией имеют свои недостатки, включая следующие:

  • Адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, - единственная информация, доступная маршрутизатору при принятии решения о том, разрешать или запрещать доступ трафика во внутреннюю сеть.
  • Они не защищают от фальсификации IP- и DNS-адресов.
  • Атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ брандмауэром.
  • Усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов.
  • У них практически отсутствуют средства протоколирования доступа к сети

Прикладной  шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-сервера принимают  запросы извне, анализируют их и  передают безопасные запросы внутренним хостам, которые предоставляют соответствующие  сервисы. Прикладные шлюзы могут  обеспечивать такие функции, как  аутентификация пользователей и  протоколирование их действий.

Так как прикладной шлюз считается  самой безопасным типом брандмауэра, эта конфигурация имеет ряд преимущество с точки зрения сайта со средним  уровнем риска:

  • Брандмауэр может быть сконфигурирован как единственный хост, видимый из внешней сети, что будет требовать проходить все соединения с внешней сетью через него.
  • Использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая организацию от небезопасных или плохо сконфигурированных внутренних хостов
  • С помощью прикладных шлюзов может быть реализована усиленная аутентификация.
  • Прокси-сервера могут обеспечивать детальное протоколирование на прикладном уровне

Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим  от брандмауэра (то есть чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер еа брандмауэре.

Прикладные шлюзы требуют прокси-сервера  для каждого сервиса, такого как FTP, HTTP и т.д., поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:

  • Отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер - это предпочтительный подход, так как многие новые сервисы имеют большое число уязвимых мест.
  • Разработать свой прокси - это достаточно сложная задача и должна решаться только техническими организациями, имеющими соответствующих специалистов .
  • Пропустить сервис через брандмауэр - использование того, что обычно называется "заглушками", большинство брандмауэров с прикладными шлюзами позволяет пропускать большинство сервисов через брандмауэр с минимальной фильтрацией пакетов. Это может ограничить число уязвимых мест, но привести к компрометации систем за брандмауэров.[7]

Низкий риск. Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.

Средний-высокий. Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.

Гибридные шлюзы объединяют в себе два описанных  выше типа брандмауэра и реализуют  их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким  риском, гибридные шлюзы могут  оказаться идеальной реализацией  брандмауэра.

Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что  обеспечивает различные уровни безопасности при различных затратах на установку  и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать  соответствующую архитектуру. Следующие  разделы описывают типичные архитектуры  брандмауэра и приводят примеры  политик безопасности для них.

Хост, подключенный к двум сегментам  сети-это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.

Брандмауэр на основе хоста, подключенного  к двум сегментам сети - это брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной  сети. Например, одна сетевая плата  соединена с внешней или небезопасной сетью, а другая - с внутренней или  безопасной сетью. В этой конфигурации ключевым принципом обеспечения  безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную - брандмауэр всегда должен быть при этом промежуточным звеном.

Маршрутизация должна быть отключена  на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в  другую сеть.

Примечание переводчика. Такая  конфигурация, наверное, является одной  из самых дешевых и распространенных при коммутируемом подключении  ЛВС организации к Интернету. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw).

При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее  безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону. Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.

Архитектура экранированной сети по существу совпадает  с архитектурой экранированного  хоста, но добавляет еще одну линию  защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.

Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы  отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор. [6]

Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или  компаниях брандмауэры часто  используются для создания различных  подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.

Решение использовать брандмауэр обычно основывается на необходимости предоставлять  доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования  конфиденциальной и критической  информации.

Для всех систем организации, на которых  размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).

Брандмауэры - первая линия обороны, видимая для  атакующего. Так как брандмауэры в общем случае тяжело атаковать напрямую из-за их назначения, атакующие часто пытаются получить логин администратора на брандмауэре. Имена и пароли административных логинов должны быть серьезно защищены.

Наилучшим методом защиты от такой  формы атаки является серьезная  физическая безопасность самого брандмауэра  и администрирование брандмауэра  только с локального терминала. Но в  повседневной жизни часто требуется  некоторая форма удаленного доступа  для выполнения некоторых операций по администрированию брандмауэра. В любом случае удаленный доступ к брандмауэру по небезопасным сетям  должен осуществляться с использованием усиленной аутентификации. Кроме  того, для предотвращения перехвата  сеансов должно использоваться сквозное шифрование всего трафика удаленного соединения с брандмауэром.

Низкий риск. Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты.

Средний риск. Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.

Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с  других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как  Интернет, требует использования  сквозного шифрования всего трафика  соединения и усиленной аутентификации.

Высокий риск. Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий.

Брандмауэры никогда не должны использоваться как  сервера общего назначения. Единственными  зарегистрированными пользователями на брандмауэре могут быть только администратор брандмауэра и  администратор архивных копий. Кроме  того, только эти администраторы должны иметь привилегии для модификации  загрузочных модулей программ на нем.

Только администратор брандмауэра  и администраторы архивных копий  должны иметь логины на брандмауэре  организации. Любая модификация  системных программ на брандмауэре  должна осуществляться администратором  или администратором архивных копий  с разрешения ответственного за сетевые  сервисы (или начальника отдела автоматизации).

Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также  системных файлов конфигурации должен иметься некоторый план создания архивных копий.

Для брандмауэра должны создаваться  ежедневные, еженедельные и ежемесячные  архивные копии, чтобы в случае сбоя можно было восстановить данные и  файлы конфигурации. Архивные копии  должны храниться в безопасном месте  на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.

Другой альтернативой будет  иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в  холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен  и использован вместо него, пока основной брандмауэр восстанавливается.

Высокий риск. Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации.

Средний риск - низкий риск. Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации. Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны.

Любое соединение между брандмауэрами  по общественным глобальным сетям должно использовать механизм шифрованных  виртуальных частных сетей для  обеспечения конфиденциальности и  целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые  сервисы и находиться под его  контролем.[9]

Заключение

 

На основе изложенного  материала можно сделать следующие  выводы.

Надежные сети определяются как  сети, у которых имеется одинаковая политика безопасности или в которых  используются такие программно-аппаратные средства безопасности и организационные  меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети.

Современный Интернет требует  принципиально нового подхода к  безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.

Доступ в сеть Интернет, контроль расхода трафика, ограничение  доступа, антивирусная проверка, защита от хакерских атак — все эти  системы защиты реализуются с  помощью межсетевого экрана, который  в значительной степени позволяет  увеличить защищённость корпоративной  сети от хаоса Интернета.

В соответствии с вышесказанным  возникают риски нарушения информационной безопасности, реализуемые внешними нарушителями, через системные уязвимости операционной системы и прикладных программ, причем эти риски достаточно высоки, т.к. сеть Интернет просто кишит  зараженными сайтами.[3]

 

 

 

Список используемой литературы

  1. Безопасный доступ в интернет//www.ichip.ru/stati/internet-i-seti/ 2010/ 06/ bezopasnyi-dostup-v-internet

  1. Безопасный доступ в интернет //www.samara-tech.ru/articles/likbez/4330-intervju-georgija-belitskogo
  1. Безопасный доступ в сеть Интернет на основе терминального доступа

http://sec-it.ru/bezopasnyj-dostup-v-set-internet-na-osnove-terminalnogo-dostupa-chast-1-razvertyvanie-v-seti-terminalnogo-servera-i-ego-ispolzovanie/

  1. Безопасный выход в Internet//www.wss.ru/bezopasnyj-vyhod-v-internet
  1. Брандмауэр//www.hardline.ru/4/48/2853/

  1. Брандмауэр-эффективный способ вашей безопасности// www. windxp. com. ru/brand.htm
  1. Брандмауэр//citforum.ru/security/internet/firewall.shtml

  1. Правила безопасности работы в сети Интернет// www. ptl.ru/ home/ documentation_ for_clients/documents/safety_net.html

  1. Политика безопасности брандмауэров//emanual.ru/download/6665.html

 


Брандмауэр как способ защиты информации в сети Интернет