Брандмауэр как способ защиты информации в сети Интернет
Содержание
Введение |
3 |
|
4 |
|
6 |
Заключение |
15 |
Список используемой литературы |
16 |
Введение
Актуальность темы. На сегодняшний день Интернет предоставляет безграничные возможности. В социальной, политической, коммерческой и культурной среде все больше и больше людей используют Интернет для обмена информацией, идеями и ресурсами. Сегодня и работа, и отдых немыслимы без интернета, и этим активно пользуются авторы вирусов, хакеры и спамеры – часто в одном лице. Хакеры создают новые вирусы и другие вредоносные программы, чтобы незаконно проникать на наши компьютеры, подчинять их себе и затем рассылать с них спам. Угрозы информационной безопасности становятся всё более комплексными. К ним добавляются и угрозы особого вида, внутренние: утечка конфиденциальной информации, кража личности и другие.[2]
Современный Интернет требует принципиально нового подхода к безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.
Одним из источников угроз информационной безопасности являются внешние нарушители. Внешние нарушители обычно осуществляют несанкционированный доступ к конфиденциальной информации, хранящейся и обрабатываемой на компьютерах пользователей, из-за пределов внутренней локальной вычислительной сети. Такие несанкционированные доступы могут проводиться в режиме активной атаки с целью найти уязвимость в настройках межсетевых экранов и соответственно пробить его и получить доступ из вне к внутренним ресурсам. Этот процесс активной атаки довольно сложен, его легко вычислить, заблокировать и в дальнейшем исключить и кроме того злоумышленнику необходимо знать структуру внутренней сети для получения доступа непосредственно к конфиденциальной информации которая его интересует.
- Безопасный доступ в сеть Интернет
Большинство организаций
подключаются к сети Интернет через
один канал связи, в результате чего
возникает необходимость в
Для уменьшения вероятности
возникновения вышеуказанных
Установка на межсетевом экране специализированных программ позволяет осуществить следующий контроль доступа к сети Интернет:
1.Контроль расхода интернет-трафика
Несмотря на повсеместную распространённость Интернета и ориентированность государства на интернет-технологии и инновации, подключение организации, т.е. юридического лица, к сети Интернет по прежнему остаётся достаточно дорогостоящим. При подключении к сети Интернет по тому или иному тарифному плану зачастую возникает вопрос — какие условия выбрать: тарифный план с небольшой скоростью доступа и неограниченным объёмом трафика при фиксированной абонентской плате или тариф с высокоскоростным доступом, с заранее определённым количеством мегабайт в месяц при превышении которого выставляется отдельный счёт за сверхпотребление. Учитывая расходы трафика на межсетевом экране можно избежать чрезмерного потребления интернет-трафика. Достигается это за счёт включения биллинговой системы, которая автоматически блокирует доступ пользователя к Интернету при превышении заранее установленного лимита.
2.Ограничение доступа
Данная мера позволяет наиболее рационально использовать трафик интернет-провайдера и существенно повысить производительность труда сотрудников организации. Это достигается за счёт следующего: ограничение каждого пользователя по скорости доступа к сети Интернет; ограничение в работе «интернет-болталок» типа ICQ, Mail.Ru агент и др.; ограничение доступа к сайтам поиска работы; ограничение доступа к видеохостингам (youtube.com, rutube.ru и др.); блокировка социальных сетей и сайтов с online играми.
3.Аутентификация пользователей
Именной доступ к сети Интернет является наиболее мощным средством контроля доступа и управления правами пользователей. Позволяет организовать доступ в сеть Интернет с помощью пары логин/пароль. Доступ пользователя может быть ограничен по скорости, по времени суток, по дням недели. Возможно, организовать чрезвычайно гибкую систему списков запрещённых и разрешённых сайтов. Огромное преимущество системы аутентификации — возможность руководителя просматривать отчёты, в которых отражается на каких сайтах и в какое время был сотрудник, какое количество мегабайт он потратил на тот или иной ресурс.
4.Антивирусная проверка
Огромное количество компьютеров заражаются вирусами через общий доступ в Интернет. Последствием заражения могут быть: блокировка системы, нарушение целостности данных, спам-атака других пользователей сети Интернет и т.д. Избежать этого позволяет потоковая антивирусная фильтрация проходящего через межсетевой экран трафика.
5.Защита от хакерских атак
Взлом системы, как правило,
приносит её владельцу множество
проблем. Поскольку многие злоумышленники
попросту стирают содержимое жесткого
диска, взлом часто сопровождается
потерей всех данных, которые не
были сохранены на резервных носителях.
Установка межсетевого экрана позволяет
в значительной степени снизить
вероятность проникновения |
- Брандмауэр как способ защиты информации в сети Интернет
Брандмауэр - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.
Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера Интернета, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он или она устанавливают небезопасное соединение с Интернетом, в обход защиты брандмауэра.
Брандмауэры часто могут быть использованы для защиты сегментов интернета организации, но этот документ в основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""
Брандмауэры обеспечивают несколько типов защиты:
- Они могут блокировать нежелательный трафик
- Они могут направлять входной трафик только к надежным внутренним системам
- Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.
- Они могут протоколировать трафик в и из внутренней сети
- Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета
- Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.
Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации: Имя/пароль -это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов [5]
Существует несколько
Брандмауэры
с фильтрацией пакетов
Шлюзы с фильтрацией имеют свои недостатки, включая следующие:
- Адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, - единственная информация, доступная маршрутизатору при принятии решения о том, разрешать или запрещать доступ трафика во внутреннюю сеть.
- Они не защищают от фальсификации IP- и DNS-адресов.
- Атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ брандмауэром.
- Усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов.
- У них практически отсутствуют средства протоколирования доступа к сети
Прикладной
шлюз использует программы (называемые
прокси-серверами), запускаемые на брандмауэре.
Эти прокси-сервера принимают
запросы извне, анализируют их и
передают безопасные запросы внутренним
хостам, которые предоставляют
Так как прикладной шлюз считается самой безопасным типом брандмауэра, эта конфигурация имеет ряд преимущество с точки зрения сайта со средним уровнем риска:
- Брандмауэр может быть сконфигурирован как единственный хост, видимый из внешней сети, что будет требовать проходить все соединения с внешней сетью через него.
- Использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая организацию от небезопасных или плохо сконфигурированных внутренних хостов
- С помощью прикладных шлюзов может быть реализована усиленная аутентификация.
- Прокси-сервера могут обеспечивать детальное протоколирование на прикладном уровне
Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра (то есть чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер еа брандмауэре.
Прикладные шлюзы требуют
- Отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер - это предпочтительный подход, так как многие новые сервисы имеют большое число уязвимых мест.
- Разработать свой прокси - это достаточно сложная задача и должна решаться только техническими организациями, имеющими соответствующих специалистов .
- Пропустить сервис через брандмауэр - использование того, что обычно называется "заглушками", большинство брандмауэров с прикладными шлюзами позволяет пропускать большинство сервисов через брандмауэр с минимальной фильтрацией пакетов. Это может ограничить число уязвимых мест, но привести к компрометации систем за брандмауэров.[7]
Низкий риск. Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.
Средний-высокий. Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.
Гибридные
шлюзы объединяют в себе два описанных
выше типа брандмауэра и реализуют
их последовательно, а не параллельно.
Если они соединены последовательно,
то общая безопасность увеличивается,
с другой стороны, если их использовать
параллельно, то общая безопасность
системы будет равна наименее
безопасному из используемых методов.
В средах со средним и высоким
риском, гибридные шлюзы могут
оказаться идеальной
Брандмауэры
могут быть сконфигурированы в виде
одной из нескольких архитектур, что
обеспечивает различные уровни безопасности
при различных затратах на установку
и поддержание
Хост, подключенный к двум сегментам сети-это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.
Брандмауэр на основе хоста, подключенного
к двум сегментам сети - это брандмауэр
с двумя сетевыми платами, каждая
из которых подключена к отдельной
сети. Например, одна сетевая плата
соединена с внешней или
Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.
Примечание переводчика. Такая
конфигурация, наверное, является одной
из самых дешевых и
При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону. Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.
Архитектура
экранированной сети по существу совпадает
с архитектурой экранированного
хоста, но добавляет еще одну линию
защиты, с помощью создания сети,
в которой находится хост-
Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор. [6]
Хотя брандмауэры обычно помещаются
между сетью и внешней
Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации.
Для всех систем организации, на которых
размещены критические
Брандмауэры - первая линия обороны, видимая для атакующего. Так как брандмауэры в общем случае тяжело атаковать напрямую из-за их назначения, атакующие часто пытаются получить логин администратора на брандмауэре. Имена и пароли административных логинов должны быть серьезно защищены.
Наилучшим методом защиты от такой
формы атаки является серьезная
физическая безопасность самого брандмауэра
и администрирование
Низкий риск. Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты.
Средний риск. Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.
Когда требуется удаленный доступ
для администрирования
Высокий риск. Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий.
Брандмауэры
никогда не должны использоваться как
сервера общего назначения. Единственными
зарегистрированными
Только администратор
Для обеспечения возможности
Для брандмауэра должны создаваться ежедневные, еженедельные и ежемесячные архивные копии, чтобы в случае сбоя можно было восстановить данные и файлы конфигурации. Архивные копии должны храниться в безопасном месте на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.
Другой альтернативой будет иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен и использован вместо него, пока основной брандмауэр восстанавливается.
Высокий риск. Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации.
Средний риск - низкий риск. Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации. Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны.
Любое соединение между брандмауэрами по общественным глобальным сетям должно использовать механизм шифрованных виртуальных частных сетей для обеспечения конфиденциальности и целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем.[9]
Заключение
На основе изложенного
материала можно сделать
Надежные сети определяются как сети, у которых имеется одинаковая политика безопасности или в которых используются такие программно-аппаратные средства безопасности и организационные меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети.
Современный Интернет требует принципиально нового подхода к безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.
Доступ в сеть Интернет, контроль расхода трафика, ограничение доступа, антивирусная проверка, защита от хакерских атак — все эти системы защиты реализуются с помощью межсетевого экрана, который в значительной степени позволяет увеличить защищённость корпоративной сети от хаоса Интернета.
В соответствии с вышесказанным
возникают риски нарушения
Список используемой литературы
Безопасный доступ в интернет//www.ichip.ru/stati
/internet-i-seti/ 2010/ 06/ bezopasnyi-dostup-v-internet
- Безопасный доступ в интернет //www.samara-tech.ru/articles/
likbez/4330-intervju-georgija- belitskogo
Безопасный доступ в сеть Интернет на основе терминального доступа
http://sec-it.ru/bezopasnyj-
- Безопасный выход в Internet//www.wss.ru/bezopasny
j-vyhod-v-internet
Брандмауэр//www.hardline.ru/4/
48/2853/
- Брандмауэр-эффективный способ вашей безопасности// www. windxp. com. ru/brand.htm
Брандмауэр//citforum.ru/
security/internet/firewall. shtml
Правила безопасности работы в сети Интернет// www. ptl.ru/ home/ documentation_ for_clients/documents/safety_
net.html
Политика безопасности брандмауэров//emanual.ru/downl
oad/6665.html

- Братство Прерафаэлитов. Эстетика и художественная практика движения
- Браузеры
- Брачная структура населения
- Брачная структура населения
- Брачная структура населения. Браки и разводы. Динамика коэффициентов брачности и разводимости
- Брачное поведение
- Брачное поведение современных россиян
- Брак по римскому праву. Его виды. Конкубинат
- Брак. Порядок заключения. Права и обязанности супругов. Алиментарные обязательства супругов
- Брак по семейному праву
- Брак. Развод
- Брак сum manu и sine manu :сравнительная характеристика
- Брак у молодых людей в возрасте 19-23 лет
- Брак-юридическая основа семьи