Цель лабораторной работы

Лабораторная работа №7

 

 

По дисциплине: «Теория защиты информационных систем»

На тему: «Классификация брандмауэров»

Специальность: Информационные системы

Выполнила: Джуманиязова Ж.Б. Группа: МИС(п)-17-2

Принял: проф. Казиев Г.З.

_______ ________________ «____» ________________2018г.

 

Алматы 2018

Лабораторная работа № 7 Классификация брандмауэров

Цель лабораторной работы

Цель работы – познакомиться со стратегиями брандмауэров.

Задачи:

1. Какие типы межсетевых экранов существуют?

2. Какие способа настройки (архитектуры) межсетевых экранов существуют?

3. Какие методы фильтрации пакетов существуют?

4. С какой информацией из заголовка сетевого пакета работает пакетный фильтр?

5. В чѐм отличия proxy-сервера от пакетного фильтра?

6. Для чего нужны пакеты FWTK или SOCKS? Их особенности.

7. Особенности применения: а) двухканального узла б) экранированного узла

8. Что из себя представляет:

- экранированного подсеть,

- укреплѐнный компьютер,

- «беззащитный» компьютер?

1. Существует ряд технологий сетевой защиты. Различные типы брандмауэров включают:

- шлюз приложений (Application-gateway);

- пакетный фильтр (Packet-filtering);

- уровня соединения (Circuit-level);

- проверки состояния (StatefulInspection).

Каждый тип брандмауэра проверяет и обрабатывает проходящий пакет с помощью различных технологий.

2. Способ настройки компонентов межсетевого экрана называется его архитектурой. Архитектуры могут быть такие как:

- пакетный фильтр на основе компьютера или маршрутизатора

- двухканальный шлюз

- экранированный узел

- экранированная подсеть

3. Основной метод фильтрации пакетов называется фильтрация без памяти (statelesspacketfiltering), поскольку каждый пакет обрабатывается по отдельности – только на основе информации в его заголовке. При методе фильтрации пакетов, называемом фильтрация с памятью (statelfulpacketfiltering или statelfulinspection), в памяти сохраняются сведения о состоянии текущих сеансов. Если полученный пакет якобы является ответом на пакет, переданный из локальной сети, пакетный фильтр с памятью проверяет, действительно ли был сделан соответствующий запрос.

4. Пакетный фильтр работает с информацией из заголовка сетевого пакета и может выполнять фильтрацию на основе одного или нескольких из следующих параметров:

- IP-адрес отправителя или адресата;

- протокол (например, TCP, UDP или ICMP);

- порт TCP или UDP отправителя или адресата;

- тип сообщения (для сообщений ICMP).

5. В отличии от пакетных фильтров, функционирующих на сетевом уровне, proxy-серверы работают на прикладном уровне и служат для обеспечения различных сетевых служб. Рroxy-сервер способен пропускать или блокировать трафик на основе информации в области данных пакета, а не только в его заголовке.

6. Чтобы приложения функционировали через рroxy-сервер, применяются пакеты TrustedInformationSystemsFirewallToolkit (FWTK) или SOCKS.SOCKS – это библиотека, с помощью которой создаются или модифицируются клиенты с целью реализации их взаимодействия с рroxy-сервером SOCKS. Пакет TrustedInformationSystemsFirewallToolkit содержит рroxy-сервер для большинства стандартных служб, таких как Telnet. FTP и HTTP. Это набор для создания брандмауэра из множества различных инструментов, с помощью которых можно создать межсетевой экран. FWTK доступен только для UNIX, гибкость решений, достигаемая при строительстве межсетевого экрана с нуля в полном соответствии с политикой безопасности сети, оправдывает затраты на установку на границе сети компьютера с системой UNIX.

FWTK содержит:

- исходный текст программ;

- рroxy-сервер для FTP, Telnet, Rlogin, HTTP, Gopher и NNTP;

- шлюз Х11;

- сервер аутентификации;

- различные вспомогательные программы.

7.Применение двухканального узла.Двухканальный узел (dual-homedhost) работает следующим образом. К компьютеру подключаются два сетевых адаптера, и так же, как и в маршрутизаторе, один к локальной сети, а второй – к Internet (рис. 3). Функция IP forwarding (пересылка IP-пакета) должна быть отключена, если компьютер применяется в качестве межсетевого экрана. Двухканальный узел обычно функционирует в качестве рroxy-сервера, а не пакетного фильтра. Вместо базы данных с правилами передачи пакетов на двухканальном сервере, как правило, работают один или несколько рroxy-серверов.

Рис.1. Двухканальный узел

Применение экранированного узла.Межсетевой экран, выполненный в виде экранированного узла (screenedhost), использует защитные возможности и пакетного фильтра, и proxy-сервера. В этой архитектуре (рис. 4) для подключения к Internet служит пакетный фильтр, а для обеспечения различных серверов - proxy-сервер. У proxy-сервер в этой архитектуре имеется один сетевой интерфейс. Пакетный фильтр настроен так, чтобы пропускать только трафик proxy- сервера, т. е. он пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передаѐт - только отправленные proxy-сервером.

Рис. 2. Экранированный узел

8.Подключение к экранированной сети дополнительный маршрутизатора приводит к созданию экранированной подсети (рис. 5). Маршрутизатор, подключѐнный к Internet, функционирует так же, как и в случае экранированного узла. Он разрешает устанавливать соединения с внешним миром только определѐнным узлам, на которых установлены proxy-серверы. Внутренний маршрутизатор пропускает лишь трафик между внутренними клиентскими компьютерами и proxy-сервером в экранированной подсети. Для обозначения экранированной подсети, расположенной между локальной сетью и Internet, иногда употребляется термин demilitarizedzone (DMZ, демилитаризованная зона).

Для защиты proxy-серверов в демилитаризованной зоне используют укреплѐнные компьютеры. Предназначенный для этой цели хост-компьютер обозначается термином bastionhost (укреплѐнный узел). С него удаляются все ненужные приложения и службы и максимально активизируются средства защиты, предоставляемые операционной системой.

В демилитаризованную зону могут также помещаться системы другого типа, которые являются своего рода противоположными укреплѐнным узлам. Sacrificialhost (беззащитный узел) служит в качестве приманки для потенциальных нарушителей. Он позволяет им проникнуть в систему и в большинстве случаев отслеживает их действия, записывая информацию, которая впоследствии может оказаться полезной для поиска злоумышленника или усиления защиты сети. Подобные узлы также позволяют отвлечь усилия нарушителя от попыток взлома важных узлов в сети.

Рис. 3. Экранированная подсеть