A) достоинства и недостатки основных технологий межсетевых экранов;
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Задачи:
1) Ограничение доступа внешних пользователей к внутренним ресурсам защищаемой сети
2) Фильтрация пакетов не проходящих под заданные критерии
Классификация:
1) По функционированию на уровнях модели OSI
а) пакетный фильтр
б) шлюз сеансового уровня
в) прикладной шлюз
г) шлюз экспертного уровня
2) По используемой технологии
а) контроль состояния протокола
б) на основе модулей посредников
3) По исполнению
а) аппаратно- программный
б) программный
4) По схеме подключения
а) схема единой защиты сети
б) схема с защищаемым закрытым и не защищаемым открытым сегментами сети
в) схема раздельной защитой открытого и закрытого сегментов сети
Функции МЭ:
1) Фильтрация трафика - выборочное пропускание через экран, возможно, с выполнением некоторых преобразований над сетевым потоком. осуществляется на основе предварительно загруженных в МЭ правил, соответствующих принятой ПБ в организации.
МЭ представляет собой последовательность фильтров обрабатывающих трафик.
В качестве критериев анализа информационного потока могут использоваться следующие параметры:
а) Служебные поля пакетов сообщений (IP, ports, etc...)
б) Содержимое пакетов сообщений
в) Внешние хар-ки (временные, частотные, объем данных, итд....)
2) Выполнение функции посредничества - запрещается непосредственное взаимодействие между внутренней и внешней средой. При необходимости доставки сообщения должно быть установлено логическое соединение программой-посредником (экранирующий агент). Она проверяет допустимость запрошенного взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером.
Функции программ-посредников:
а) проверка подлинности передаваемых сообщений(ЭЦП)
б) фильтрация и преобразование данных(динамический поиск вирусов, прозрачное шифрование, итд...)
в) разграничение доступа к ресурсам внешней и внутренней среды
г) кэширование данных запрашиваемых из внешней среды
д) идентификация и аутентификация пользователей
е) трансляция внутренних сетевых адресов для исходящих пакетов сообщений
ж) регистрация событий, реагирование на задаваемые события, генерация отчета
ОСОБЕННОСТИ ФУНКЦИОНИРОВАНИЯ МЭ НА РАЗЛИЧНЫХ УРОВНЯХ OSI:
Можно выделить следующие классы МЭ в соответствии с OSI:
1) Экранирующие маршрутизаторы:
Работают на сетевом уровне.
Представляют собой маршрутизатор фильтрующий пакеты на основе информации содержащейся в заголовках(IP-получателя/отправителя, порт- получателя/отправителя)
Администратор на основе этой информации задает правила, по которым пакет будет пропущен или отброшен.
Легко реализуем => Повсеместно распространен. Реализуется как программно так и аппаратно- программно.
К положительным качествам можно отнести следующие:
· сравнительно невысокая стоимость;
· гибкость в определении правил фильтрации;
· высокая производительность.
Недостатки:
· внутренняя сеть видна (маршрутизируется) из сети Интернет;
· правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
· при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
· отсутствует аутентификация на пользовательском уровне, только по IP адресу который легко подменить
· статические правила, которые необходимо определять для каждого уникального пакета, а значит внушительный объем таблиц с правилами в которых легко запутаться, а если таблица очень большая то скорость работы уменьшается.
2) Шлюз сеансового уровня:
Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.
Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.
3) Шлюз прикладного уровня:
Позволяет контролировать информацию на прикладном уровне, при помощи программ посредников. Шлюзы прикладного уровня позволяют обеспечить надежную защиту, поскольку взаимодействие с внешним миром реализуется через небольшое число уполномоченных приложений, полностью контролирующих весь входящий и исходящий трафик.
Преимущества:
· невидимость структуры защищаемой сети из глобальной сети Интернет. Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам;
· надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хостов, и зарегистрирован более эффективно, чем с помощью стандартной регистрации;
· приемлемое соотношение цены и эффективности. Дополнительные программные или аппаратные средства аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня;
· простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем на маршрутизаторе, который самостоятельно фильтрует прикладной трафик и отправляет его большому числу внутренних систем. Маршрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной;
· возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении.
Недостатками шлюзов уровня приложений являются:
· относительно низкая производительность по сравнению с фильтрующими маршрутизаторами.
· более высокая стоимость по сравнению с фильтрующими маршрутизаторами.
4) Шлюз экспертного уровня
Проверяет содержимое принимаемых пакетов на трех уровнях: сетевом, сеансовом и приколадном. Самый большой недостаток, это тяжелая и дорогая реализация.