Главная: Рефераты

Рефераты. Безопасность Internet p> В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения. В определенном смысле это может показаться совсем не такой уж удачной идеей, ведь такой подход напоминает складывание яиц в одну корзину. Однако практикой подтверждено, что любая довольно крупная сеть включает, по меньшей мере, несколько узлов, уязвимых при попытке взлома даже не очень сведущим нарушителем, если у него достаточного для этого времени. Многие крупные компании имеют на вооружении организационную политику обеспечения безопасности узлов, разработанную с учетом этих недостатков. Однако было бы не слишком разумным целиком полагаться исключительно на правила. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Подобно тому, как средневековые замки обносили несколькими стенами, в нашем случае создается взаимоблокирующая защита.

Почему брандмауэр?

Через Internet нарушитель может:
. вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;
. незаконно скопировать важную и ценную для предприятия информацию;
. получить пароли, адреса серверов, а подчас и их содержимое;
. входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.

С помощью полученной злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов.

Существует много видов защиты в сети, но наиболее эффективный способ зашиты объекта от нападения, одновременно позволяющий пользователям иметь некоторый доступ к службам Internet, заключается в построении брандмауэра. Чтобы брандмауэр был достаточно эффективным, необходимо тщательно выбрать его конфигурацию, установить и поддерживать.

Брандмауэры представляют собой аппаратно - программный подход, который ограничивает доступ за счет принудительного прокладывания всех коммуникаций, идущих из внутренней сети в Internet, из Internet во внутреннюю сеть, через это средство защиты. Брандмауэры позволяют также защищать часть вашей внутренней сети от остальных её элементов. Аппаратные средства и программное обеспечение, образующие брандмауэр, фильтруют весь трафик и принимают решение: можно ли пропустить этот трафик – электронную почту, файлы, дистанционную регистрацию и другие операции. Организации устанавливают конфигурацию брандмауэров разными способами. На некоторых объектах брандмауэры полностью блокируют доступ в Internet и из неё, а на других ограничивают доступ таким образом, что только одна машина или пользователь может соединяться через Internet с машинами за пределами внутренней сети. Иногда реализуются более сложные правила, которые включают проверку каждого сообщения, направленного из внутренне сети во внешнюю, чтобы убедится в соответствии конкретным требованиям стратегии обеспечения безопасности на данном объекте. Несмотря на эффективность в целом, брандмауэр не обеспечивает защиту от собственного персонала или от злоумышленника, уже преодолевшего это средство сетевой защиты.

Межсетевой экран как средство от вторжения из

Internet

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны,
В отечественной литературе до последнего времени использовались вместо этого термина другие термины иностранного происхождения: брандмауэр и firewall. Вне компьютерной сферы брандмауэром (или firewall) называют стену, сделанную из негорючих материалов и препятствующую распространению пожара. В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от фигурального пожара - попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или стереть информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней сети.

Межсетевой экран (МЭ) - это система межсетевой защиты. позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации.

Обычно межсетевые экраны защищают внутреннюю сеть предприятия от "вторжений" из глобальной сети Internet, однако они могут использоваться и для защиты от
"нападений" из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах.
Однако для большинства коммерческих организаций установка межсетевого экрана является необходимым условием обеспечения безопасности внутренней сети.
Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких- либо других хост-компьютеров внешней сети.

Локальная сеть Локальная сеть. Схема установления межсетевого экрана

Проблемы недостаточной информационной безопасности являются "врожденными" практически для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Известно, что сеть Arpanet (прародитель
Internet) строилась как сеть, связывающая исследовательские центры, научные, военные и правительственные учреждения, крупные университеты США.
Эти структуры использовали операционную систему UNIX в качестве платформы для коммуникаций и решения собственных задач. Поэтому особенности методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию протоколов обмена и политики безопасности в сети. Из-за открытости и распространенности система UNIX стала любимой добычей хакеров. Поэтому совсем не удивительно, что набор протоколов TCP/IP, который обеспечивает коммуникации в глобальной сети Internet и в получающих все большую популярность интрасетях, имеет "врожденные" недостатки защиты. То же самое можно сказать и о ряде служб
Internet.

Набор протоколов управления передачей сообщений в
Internet (Transmission Control Protocol/Internet
Protocol - TCP/IP) используется для организации коммуникаций в неоднородной сетевой среде, обеспечивая совместимость между компьютерами разных типов.
Совместимость - одно из основных преимуществ TCP/IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети
Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де фактора для межсетевого взаимодействия.

В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих "вредоносных" пакетах, после чего они будут выглядеть, как пакеты, передаваемые авторизированным клиентом.

Отмечу "врожденные слабости" некоторых распространенных служб Internet.

Простой протокол передачи электронной почты
(Simple Mail Transfer Protocol - SMTP) позволяет осуществлять почтовую транспортную службу Internet. Одна из проблем безопасности, связанная с этим протоколом, заключается в том, что пользователь не может проверить адрес отправителя в заголовке сообщения электронной почты. В результате хакер может послать во внутреннюю сеть большое количество почтовых сообщений, что приведет к перегрузке и блокированию работы почтового сервера.

Популярная в Internet программа электронной почты
Sendmail использует для работы некоторую сетевую информацию - IP-адрес отправителя. Перехватывая сообщения, отправляемые с помощью Sendmail, хакер может употребить эту информацию для нападений, например для спуфинга (подмены адресов).

Протокол передачи файлов (File Transfer Protocol -
FTP) обеспечивает передачу текстовых и двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к информации. Его обычно рассматривают как один из методов работы с удаленными сетями. На FTP-серверах хранятся документы, программы, графика и другие виды информации. К данным этих файлов на FTP-серверах нельзя обратиться напрямую. Это можно сделать, только переписав их целиком с FTP-сервера на локальный сервер. Некоторые FTP-серверы ограничивают доступ пользователей к своим архивам данных с помощью пароля, другие же предоставляют свободный доступ (так называемый анонимный FTP-сервер). При использовании опции анонимного FTP для своего сервера пользователь должен быть уверен, что на нем хранятся только файлы, предназначенные для свободного распространения.

Служба сетевых имен (Domain Name System - DNS) представляет собой распределенную базу данных, которая преобразует имена пользователей и хост-компьютеров в IP- адреса, указываемые в заголовках пакетов, и наоборот.
DNS также хранит информацию о структуре сети компании, например количестве компьютеров с IP-адресами в каждом домене. Одной из проблем DNS является то, что эту базу данных очень трудно "скрыть" от неавторизированных пользователей. В результате DNS часто используется хакерами как источник информации об именах доверенных хост-компьютеров.

Служба эмуляции удаленного терминала (TELNET) употребляется для подключения к удаленным системам, присоединенным к сети, применяет базовые возможности по эмуляции терминала. При использовании этого сервиса
Internet пользователи должны регистрироваться на сервере
TELNET, вводя свои имя и пароль. После аутентификации пользователя его рабочая станция функционирует в режиме
"тупого" терминала, подключенного к внешнему хост- компьютеру. С этого терминала пользователь может вводить команды, которые обеспечивают ему доступ к файлам и запуск программ. Подключившись к серверу TELNET, хакер может сконфигурировать его программу таким образом, чтобы она записывала имена и пароли пользователей.

Всемирная паутина (World Wide Web - WWW) - это система, основанная на сетевых приложениях, которые позволяют пользователям просматривать содержимое различных серверов в Internet или интрасетях. Самым полезным свойством WWW является использование гипертекстовых документов, в которые встроены ссылки на другие документы и Web-узлы, что дает пользователям возможность легко переходить от одного узла к другому.
Однако это же свойство является и наиболее слабым местом системы WWW, поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых документах, содержат информацию о том, как осуществляется доступ к соответствующим узлам.
Используя эту информацию, хакеры могут разрушить Web- узел или получить доступ к хранящейся в нем конфиденциальной информации.

Страницы: 1, 2, 3, 4, 5, 6
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.