Содержание
-
Межсетевые экраны
-
Межсетевой экран Это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую Что такое межсетевой экран? МСЭ Сеть 1 Сеть 2
-
NT UNIX Маршрутизатор Клиенты Назначение МСЭ Основное назначение МСЭ - воплощение политики безопасности, принятой в организации в вопросах обмена информацией с внешним миром
-
МСЭ как система защиты периметра Уровень 1 Уровень 3 Уровень 2 Контрольные точки Трафик как внутрь так и наружу проходит через контрольные точки Защищаемый периметр
-
Механизмы защиты, реализуемые МСЭ Фильтрация пакетов Шифрование (создание VPN) Трансляция адресов Аутентификация Противодействие некоторым видам атак Управление списками доступа на маршрутизаторах
-
Фильтрация пакетов IP-адрес отправителя IP-адрес получателя TCP/UDP-порт отправителя TCP/UDP-порт получателя Флаги ТСР Опции IP Правила фильтрации К внешней сети К внутренней сети МСЭ
-
Шифрование Незашифрованный трафик Зашифрованный трафик Функции шифрования позволяют защитить данные, передаваемые по общим каналам связи
-
Виртуальные частные сети Виртуальные частные сети (VPN) предназначены для безопасного обмена данными через сети общего пользования VPN-шлюз VPN-шлюз VPN-клиент
-
Организация виртуальных частных сетей с использованием МСЭ МСЭ + VPN модуль
-
Трансляция адресов Это замена в IP-пакете IP-адреса отправителя или получателя другим IP-адресом при прохождении пакета через устройство, осуществляющее трансляцию Обоснование Маскировка внутренних IP-адресов от внешнего мира Решение проблемы некорректности либо нехватки IP-адресов внутренней сети 193.233.70.197 193.233.69.129 193.233.69.129 193.233.70.187
-
Виды трансляции адресов Статическая Это задание однозначного соответствия между внутренним адресом ресурса и его адресом во внешней сети Динамическая Это отображение адресного пространства внутренней сети на один адрес из внешней сети 1 1 1 N
-
Статическая трансляция адресов Внутренние адреса 200.0.0.100 - 200.0.0.200 Внешние адреса 199.203.73.15 - 199.203.73.115 200.0.0.108 193.233.69.129 193.233.69.129 199.203.73.23 source dest source dest Позволяет иметь доступ к внутренним узлам извне Применяется в случае сложившегося распределения внутренних адресов
-
Динамическая трансляция адресов Внутренние адреса 200.0.0.100 - 200.0.0.200 Внешний адрес 199.203.145.35 200.0.0.104 193.233.145.35 193.233.69.129 199.203.145.35 source dest source dest адрес порт 1305 х порт 2531 х адрес Не позволяет инициировать доступ к внутренним узлам извне Решает проблему нехватки адресов
-
Увеличение вероятности неверной адресации Невозможность или трудности запуска некоторых приложений Проблемы с SNMP, DNS и т. д. Трудность идентификации внутреннего узла извне Замедление работы Недостатки трансляции адресов
-
Типы межсетевых экранов Пакетный фильтр или экранирующий маршрутизатор Шлюз уровня соединения Шлюз прикладного уровня FTP TCP IP NIC NIC TELNET HTTP FTP TCP IP TELNET HTTP 1 2 3 Все три типа обычно реализованы в одном МСЭ 1 2 3 К сети 1 К сети 2 Работа МСЭ основана на использовании информации разных уровней стека TCP/IP
-
Экранирующие маршрутизаторы или пакетные фильтры Фильтрация пакетов осуществляется на основе следующих данных IP - адрес отправителя и получателя TCP/UDP - порт отправителя и получателя TCP IP NIC NIC TCP IP Внутренняя сеть
-
Преимущества Низкая стоимость Небольшая задержка прохождения пакетов Недостатки Открытость внутренней сети Трудность описания правил фильтрации Преимущества и недостатки пакетных фильтров
-
Технология «Proxy» Proxy - это приложение - посредник, выполняющееся на МСЭ и выполняющее следующие функции Приём и анализ запросов от клиентов Перенаправление запросов реальному серверу
-
Шлюзы уровня соединения Весь ТСР - трафик просто транслируется в обоих направлениях TCP IP NIC NIC TCP IP Внутренняя сеть
-
Шлюзы прикладного уровня Внутренняя сеть TELNET - сервер FTP - сервер и др. FTP TELNET Пользователь устанавливает соединение с сервисом, запущенным на межсетевом экране Правила доступа формируются на основе названия сервиса, имени пользователя, времени работы и т. д. FTP TELNET HTTP FTP TELNET HTTP
-
Преимущества и недостатки технологии «PROXY» Преимущества Двухшаговая процедура для входа во внутреннюю сеть и выхода наружу Надёжная аутентификация Недостатки Закрытость внутренней сети Простые правила фильтрации Низкая производительность Высокая стоимость
-
Технология «Stateful Inspection» МСЭ должен уметь считывать информацию со всех семи уровней сетевой модели отслеживать состояние (предысторию) соединения отслеживать состояние приложения модифицировать передаваемую информацию Технология «Stateful Inspection» обеспечивает указанные требования к безопасности и решает проблемы пакетных фильтров и Proxy
-
Технология «Stateful Inspection» FTP TCP IP NIC NIC TELNET HTTP FTP TCP IP TELNET HTTP Пакет перехватывается на сетевом уровне Специальный модуль анализирует информацию со всех уровней Информация сохраняется и используется для анализа последующих пакетов
-
Варианты расположения МСЭ Внутренняя сеть FTP WEB МСЭ, маршрутизатор Маршрутизатор является межсетевым экраном 1
-
Варианты расположения МСЭ Внутренняя сеть FTP WEB Маршрутизаторы Трафик с внешнего маршрутизатора перенаправляется на МСЭ, а затем на внутренний маршрутизатор МСЭ 2
-
Варианты расположения МСЭ Внутренняя сеть FTP WEB Маршрутизатор МСЭ является единственной видимой снаружи машиной МСЭ 3
-
Варианты расположения МСЭ Внутренняя сеть Маршрутизатор Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены МСЭ 4 FTP WEB Незащищённые узлы
-
Варианты расположения МСЭ Внутренняя сеть Маршрутизатор Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены МСЭ 4 FTP WEB Демилитаризованная зона
-
Варианты расположения МСЭ Внутренняя сеть Маршрутизатор FTP и WEB серверы подключены к отдельному интерфейсу МСЭ, что позволяет создать для них отдельную политику МСЭ 5 FTP WEB Демилитаризованная зона
-
Недостатки МСЭ как средств защиты Не защищают от пользователей, прошедших авторизацию Не защищают соединения, установленные в обход МСЭ Не защищают от неправильной конфигурации Не гарантируют 100% защиты от вторжений
-
Пакетный фильтр на базеОС Linux
-
Архитектура пакетного фильтра Сетевой уровень (IP Protocol) Input chain NIC1 NIC2 Output chain маршрутизация forward chain Входящий трафик Исходящий трафик
-
Схема работы пакетного фильтра Пакет входящий ? Output chain Требуется маршрутизация ? Forward chain Input chain Да Нет Нет Да Передача пакета на уровень выше DENY/REJECT DENY/ REJECT DENY/REJECT Передача пакета в сеть
-
Межсетевой экран CheckPoint FireWall-1
-
Архитектура FireWall-1 Management Module Режим пользователя Режим ядра FireWall Module GUI клиент Management Server FireWall Daemon Security Servers Драйвер сетевого адаптера Интерфейс TDI Inspection Module Уровень IP
-
Inspection Module Реализован в виде драйвера Выполняет функции Контроль доступа Аутентификация сессии Клиентская аутентификация Трансляция адресов Аудит Драйвер сетевого адаптера Интерфейс TDI Inspection Module
-
Компоненты Inspection Module Драйвер сетевого адаптера Интерфейс TDI Inspection Module Kernel Attachment Kernel Virtual Machine Kernel Address Translation
-
Работа Inspection Module IP Protocol Inspection Module NIC NIC
-
Работа Inspection Module IP TCP Session Application FW-1 Inspection Module Сетевой уровень Канальный уровень Есть правило для пакета? Log/Alert Пропустить пакет? Есть следующее правило? Send NACK Drop the Packet Да Да Да
-
Конфигурация FireWall-1 Management Module FireWall Module GUI клиент Management Server GUI клиент GUI клиент
Нет комментариев для данной презентации
Помогите другим пользователям — будьте первым, кто поделится своим мнением об этой презентации.