лекция№14 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-4 «Персональные компьютеры и сети»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <14>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Программные Системы Защиты Информации для Корпоративных Сетей>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: < Программные Системы Защиты Информации для Корпоративных Сетей >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Беляев А.В. Методы и средства защиты информации. Курс лекций. – СПб.: ГТУ, 2002

Учебно-материальное обеспечение:

1. Рис. 50. Вариант 1 включения брандмауэра

2 Рис. 51. Вариант 2 включения брандмауэра

3. Таблица15. Описание состояний соединений Iptables

4. Рис. 52. Схема установки соединения

5. Рис. 53. Процесс отработки закрытия соединения

6. Рис. 54. Структура VPN на основе комплекса “Континент-К”

7. Рис. 55. Работа криптошлюза для исходящих пакетов

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Брандмауэры: виды и варианты использования

- ? мин

2-й учебный вопрос Средства организации виртуальных частных сетей - ? мин

3-й учебный вопрос Средства обнаружения сетевых атак - ? мин

4-й учебный вопрос Средства защиты электронных сообщений с помощью цифровой подписи - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Как правило, брандмауэры функционируют на какой-либо UNIX платформе, а в саму операционную систему вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счетов пользователей, кроме администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

1-й учебный вопрос Брандмауэры: виды и варианты использования

- ? мин

Брандмауэр (межсетевой экран, firewall) - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Обычно эта граница проводится между локальной сетью и INTERNET, либо между различными сегментами корпоративной сети.

Для каждого проходящего пакета брандмауэр принимает решение, какое действие по отношению к нему совершить: пропустить или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.

Все брандмауэры можно разделить на три типа:

-пакетные фильтры (packet filter);

-серверы прикладного уровня (application gateways);

-серверы уровня соединения (circuit gateways).

Все эти типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Пакетные фильтры принимают решение о том, пропускать пакет или отбросить его, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно.

Для описания правил прохождения пакетов составляются таблицы типа:

-действие - тип пакета - адрес источника - порт источника - адрес назначения - порт назначения – флаги.

При этом поле "действие" может принимать значения пропустить или отбросить.

К положительным качествам пакетных фильтров следует отнести:

-относительно невысокую стоимость;

-гибкость в определении правил фильтрации;

-небольшую задержку при прохождении пакетов.

К недостаткам:

-прозрачность локальной сети из INTERNET;

-трудность в описании правил фильтрации пакетов;

-незащищенность либо недоступность при нарушении работоспособности брандмауэра всех компьютеров за ним;

-возможность обмануть аутентификацию методом IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);

-отсутствие аутентификации на пользовательском уровне.

Серверы прикладного уровня

Используют серверы конкретных сервисов - TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются серверы для следующих сервисов: терминалы (Telnet, Rlogin) , передача файлов (FTP) , электронная почта (SMTP, POP3) , WWW (HTTP) , Gopher , Wais , X Window System (X11) , Принтер.

При описании правил доступа используются параметры: название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

К преимуществам серверов прикладного уровня следует отнести следующие:

-локальная сеть невидима из INTERNET;

-при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;

-защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;

-аутентификация на пользовательском уровне;

-может быть реализована система немедленного предупреждения о попытке взлома.

Недостатками этого типа брандмауэров являются более высокая, чем для пакетных фильтров стоимость и более низкая производительность.

Серверы уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет: создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Схемы включения брандмауэров:

Наиболее часто встречающаяся и простая схема включения брандмауэра заключается его установке между внешним маршрутизатором и внутренней сетью (рис. 50).

Рис. 50. Вариант 1 включения брандмауэра

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.

Другая возможная схема представлена на рис. 51. Брандмауэр защищает только одну область сети. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.).

Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Рис. 51. Вариант 2 включения брандмауэра

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. В большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все, что относится к конкретному пользователю или сервису.

Сбор статистики и предупреждение об атаке

Еще одной важной функцией брандмауэра является сбор статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной, и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одной из самых важных функций брандмауэров. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы. При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое пользователем соединение.

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Схемы аутентификации:

-использование стандартных UNIX паролей (наиболее уязвимая с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом);

-использование одноразовых паролей (даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а для генерации одноразовых паролей используются как программные, так и аппаратные генераторы);

-поддержка сервера паролей (Kerberos...)

Как правило, все коммерческие брандмауэры поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее приемлемой для своих условий.

ПО брандмауэров семейства Cisco PIX (Private Internet Exchange)

- Основу ПО серии Cisco PIX Firewall составляет схема защиты, использующая алгоритм адаптивной безопасности (ASA adaptive security algorithm). Этот способ менее сложен и более надежен, чем фильтрация пакетов. Алгоритм адаптивной безопасности скрывает адреса пользователей от хакеров и эффективно контролирует доступ к внутренней сети, сравнивая входящие и выходящие пакеты с записями в таблице. Доступ через PIX разрешен только в том случае, если соответствующее соединение успешно прошло идентификацию. Алгоритм ASA защищает периметры системы безопасности между сетями, контролируемыми брандмауэром. Устойчивый, ориентированный на соединения алгоритм адаптивной безопасности обеспечивает безопасность для соединений, базируясь на адресах отправителя и получателя, случайной последовательности номеров пакетов TCP, номерах портов и добавочных тегах (флагах) TCP. Эта информация сохраняется в таблице, и все входящие и исходящие пакеты сравниваются с записями в этой таблице.

- Другой функциональной особенностью, повышающей производительность проведения аутентификации брандмауэром, является технология "сквозного посредника" (cut-through proxy), который сначала проверяет пользователя на уровне приложений. После окончания аутентификации пользователя и подтверждения соблюдения заданных правил брандмауэр PIX переводит контроль за потоком на более низкий уровень, что существенно повышает производительность.

- Межсетевой экран Cisco PIX также позволяет расширять и изменять конфигурацию IP-сетей, не вызывая проблему нехватки адресов IP. Технология трансляции сетевых адресов (NAT Network Address Translation) делает возможным использование как существующих адресов, так и адресов, не входящих в резервный пул адресов, выделенный организацией IANA (Internet Assigned Numbers Authority) для частных сетей (RFC 1918). PIX также можно настроить для выборочного (при необходимости) использования комбинации транслируемых и нетранслируемых адресов.

- Межсетевой экран Cisco PIX поддерживает трансляцию номеров портов (PAT - port address translation) в сочетании с так называемым "мультиплексированием по каждому порту". Этот метод также позволяет "консервировать" IP-адреса. Технология PAT автоматически преобразует внутренние, локальные адреса пользователей в один внешний локальный адрес, используя при этом различные номера портов, чтобы отличать одну трансляцию адресов от другой. Применение технологии PAT позволяет обслуживать более 64 тыс. внутренних машин при помощи единственного внешнего IP-адреса.