Защита топологии сети. Общие сведения о мостах и маршрутизаторах

Наиб распространенными средствами защиты сетей являются МЭ. Главная функция МЭ – экранирование сетевого трафика с целью предотвращения НСД между комп сетями. В качестве МЭ м выступать маршр-ры, ПК. Эффективность МЭ обуслав-ся тем, что: все соединения проходят через МЭ (если есть альтернативный сетевой маршрут, эффективность сильно ¯); МЭ пропускают только санкц трафик; МЭ д противостоять атакам против самого себя. + МЭ: МЭ ограничивает доступ к опред службам (напр, общий доступ к веб-узлу м б разрешен, а к telnet - запрещен). МЭ – средство аудита. Они м заносить в журнал инф о любом проходящем трафике, обладают возможностями по оповещению о конкретных событиях. – МЭ: разрешают установку обычных соединений санкц приложений, но если приложение представляет собой угрозу, МЭ не сможет предотвратить ее реализацию (напр, МЭ разрешают прохождение электронной почты на почтовый сервер, но не находит вирусов в сообщении). Эффективность МЭ зависит от правил, на соблюдение кот они настроены; не предотвращают атаки, если трафик не проходит через них. Как правило, располагаются на сетевом периметре. В настоящее время исп-ся четыре технологии МЭ: 1. пакетные фильтры; 2. шлюзы приложений; 3. шлюзы уровня соединений; 4. МЭ с адаптивной проверкой пакетов.

МЭ с фильтрацией пакетов обеспеч защиту сети путем фильтрации сетевых сообщ на основе инф, содержащейся в заголовках TCP/IP каждого пакета: IP-адрес источника/отправителя; применяемый сетевой протокол (TCP, UDP, ICMP); порт источника TCP / UDP; порт назначения TCP / UDP; тип сообщения ICMP. +: производительность – фильтрация происходит на V, близкой к V передачи данных; хороший способ управления трафиком; прозрачность. - МЭ: низкий уровень масштабируемости. По мере роста наборов правил становится все труднее избегать «ненужных» соединений; возможность открытия больших диапазонов портов; подверженность атаки с подменой данных.

МЭ уровня приложений контролируют содержимое пакетов на ур приложений, обеспеч более высокий ур безопасности (по сравнению с пакетными фильтрами за счет потери прозрачности для контролируемых служб). МЭ приложения играют роль сервера для клиента и клиента для реального сервера, обрабатывая запросы реального сервера вместо польз, которых он защищает. При использовании межсетевого экрана прикладного уровня все соединения проходят через него. МЭ принимает соединение, анализирует содержимое пакета и используемый протокол, определяет, соответт ли данный трафик правилам политики безопасности.

МЭприложений м осуществлять доп проверку сообщений, которую простой фильтр пакетов не предусматривает. Они способны проверять на наличие вирусов и удалять с Web-страниц активное содержимое, например, Java-апплеры. Т.к. анализ трафика между Internet требует вычисл затрат, то д для этих целей выделен специальный комп. -: более низкая производительность по сравнению с пакетными фильтрами и более высокая стоимость; невозможность исп-ия протоколов RPC и UDP.

Шлюзы уровня соединений функционируют посредством коммутации TCP-соединений из доверенной сети в недоверенную ® прямое соединение между клиентом и сервером никогда не устанавливается. Шлюзы уровня соединения нуждаются в инф о соединении от клиентов, которым она известна и которые запрограммированы на использование шлюза. +: предоставляют службы для многих протоколов и м б адаптированы к большому кол-ву соединений. -: необх клиенты, которые м исп именно шлюзы ур соединений; шлюзы ур соед-ия не допускают контроль на прикладном ур (позволяет приложениям исп порты TCP, которые были открыты для выполнения легальных задач). В частности, областью применения шлюзов ур соед-ия м б организация виртуальных частных сетей (VPN).

МЭ с адаптивной проверкой пакетов (МЭ с запоминанием состояния пакетов) пропускают и блокируют пакеты в соответ с почти таким же набором правил, как и у пакетного фильтра. Они осуществляют контроль не только на базе IP-адресов и портов, но также и по значениям SYN (флаг синхронизации, создает сеанс TCP), ASK (флаг распознавания, подтверждает успешное принятие предыд пакета), порядковых № и др данных, содерж-ся в заголовке TCP. МЭ отслеживают состояние каждого сеанса и м динамически открывать и закрывать порты в соответ с требованиями различных сеансов, способны анализировать данные определенных типов пакетов. -: допускает прямые соединения между ненадежными и надежными хостами.

Мосты, функционирующие на канальном ур, прим-ся для разбиения ЛС на сегменты, а также объединения полученных сегментов и небольших ЛС.

В пределах сегмента ЛС реализуется метод множественного доступа: отправляемый комп пакет сообщения доставляется всем остальным комп в этом сегменте, а принимается только тем, кот адресован ® если большая ЛС состоит лишь из 1 сегмента, то из-за ↑ графика производительность сети ¯. При разделении ЛС на сегменты с помощью мостов, коммутаторов или маршрутизаторов за пределы каждого сегмента распространяются только те пакеты сообщений, которые адресованы не входящему в него комп®улучшается общая производительность сети. Мосты служат для объединения в одну сеть несколько разнородных сетей с разными протоколами обмена нижнего уровня, в частности, с разными форматами пакетов, методами кодирования, скоростью передачи и т.д. В результате их применения сложная и неоднородная сеть, содержащая в себе различные сегменты, с точки зрения пользователя выглядит самой обычной сетью. Обеспечивается прозрачность сети для протоколов высокого уровня. Все они гораздо дороже, чем концентраторы, так как от них требуется довольно сложная обработка инф. Сейчас производство мостов практически сошло на нет, так как их функции есть во всех нормальных маршрутизаторах.

Маршрутизаторы осуществляют выбор оптимального маршрута для каждого пакета с целью избежания чрезмерной нагрузки отдельных участков сети и обхода поврежденных участков. Они применяются, как правило, в сложных разветвленных сетях, имеющих несколько маршрутов между отдельными абонентами. М-ры работают на третьем уровне модели OSI, так как они анализируют не только MAC-адреса пакета, но и IP-адреса, то есть более глубоко проникают в инкапсулированный пакет.

Протокол IPSec.

IPSec - набор протоколов для обеспеч защиты данных, передаваемых по межсет пр IP. Позволяет осуществлять подтв-ие подлинности (аутент), проверку целостности и/или шифрование IP-пакетов. IPsec включает в себя пр для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соед. Его ядро составляют 3 протокола: 1) АН обеспеч целостность vpn-соед (передаваемых данных), аутент источника инф и функцию по предотвращению повторной передачи пакетов. 2) ESP обеспеч конфид-сть (шифрование) передаваемой инф, ограничение потока конфид трафика. М исполнять функции AH. При иср ESP в обязательном порядке д указываться набор услуг по обеспеч безоп-сти: каждая из его функций м включаться опционально. 3) ISAKMP - пр, используемый для первичной настройки соед, взаимной аутент конечными узлами друг друга и обмена секретными ключами. Предусматривает исп различных механизмов обмена ключами, включая задание фиксированных ключей.

IKE - протокол, связывающий все компоненты IPsec в работающее целое, обеспечивает первоначальную аутент сторон, а также их обмен общими секретными ключами, работает через порт 500 UDP. Процесс работы IKE: 1) IKE создает безопасный канал между двумя узлами. 2 узла согласуют сессионный ключ по алгоритму Диффи-Хеллмана. 2) согласует общую политику IPsec, получает общие секретные ключи для алгоритмов протоколов IPsec (AH или ESP).

В работе протоколов IPsec можно выделить пять этапов: Первый начинается с создания на каждом узле, поддерживающим стандарт IPsec, политики безопасности, определяется, какой трафик подлежит шифрованию, какие функции и алгоритмы могут быть использованы. Второй. Цель - организовать безопасный канал между сторонами для второй фазы IKE (аутент и защита идентификационной информации узлов). Третий (вторая фаза IKE) - создание IPsec-туннеля: согласуются параметры соед IPsec по защищаемому каналу, созданному в первой фазе IKE; периодически осуществляется пересмотр IPsec SA, чтобы убедиться в её безопасности. Рабочий этап. Начинается обмен инфй между узлами через IPsec-туннель, исп-ся протоколы и параметры, установленные в наборе параметров соед. Пятый. Прекращают действовать текущие IPsec SA. Это происходит при их удалении или при истечении t жизни, значение кото содержится в SAD на каждом узле. Процесс создания нового набора пара-ов соед м происходить и до завершения действия текущих, если требуется непрерывная передача данных.

IPsec м функционировать в 2 режимах: транспортном и туннельном.

В транспортном шифруются только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим исп-ся для установления соед между хостами. Он м также исп-ся между шлюзами для защиты туннелей, организованных каким-нибудь другим способом.

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета (инкапсуляция). Туннельный режим м исп-ся для подключения удалённых комп к vpn или для организации безопасной передачи данных через открытые каналы связи (напр, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPsec не являются взаимоисключающими для одного узла.