Главная » Просмотр файлов » МИСЗКИ книга

МИСЗКИ книга (1085503), страница 36

Файл №1085503 МИСЗКИ книга (МИСЗКИ книга) 36 страницаМИСЗКИ книга (1085503) страница 362018-01-12СтудИзба
Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 36)

В противном случае, рано или поздно, можно столкнуться с проблемой состыковки продуктов различных производителей. С ство второе — Межсетевой экран (брандмауэр, Йгечгай). редств О межсетевых экранах (МСЭ) организация обычно задумывается в двух случаях: — прн появлении постоянного прямого выхода в Интернет, имеющего соединение с локальной сетью; — при организации взаимодействия со своими удаленны ми филвэлами ф $илаьш в ~л.жиме оп-1ше с использованием сети широкого доступа (выделенных илн коммутируемых телефонных линий, беспроводного или спугникового канала и т.п.).

КлассиЯщщщия МСЭ. Для того чтобы определить, какой МСЭ необходим, нужно знать принципы работы конкретных моделей, на которые можно ориентироваться. Существуют различные классы МСЭ. Выдс лим три наиболее часто встречающиеся в настоящее время. — пакетный фильтр; — с контролем соединения; — посредник приложения. 1. Пакетный иль скег 61гег зсгеешп ййег . Пакетный филътр в чистом виде — это устройство, кото рое фильтрует (пропускает илн отклоняет) сетевые пакеты о; основе предопределенных данных о сетевых (1Р) адресах исто« ника или получателя. Однако в виде независимых программг« аппаркгных комплексов МСЭ этого типа уже давно не встреч: ются в основном по причине недостаточной функциональное~ (например, легкости подмены адресов — спуффннга — для ш токолов без установления соединений: 1Р, (ЛЭР).

В настоящ время пакетным фильтром можно назвать маршрутизатор функциями МСЭ этого уровня (англ. ВгеюаИ орбоп раск, бгевлп Гсашге зе1). При этом, возможно, сам маршрутизатор выполнг« 214 более слою, ф~ « оо1 'оьзлнэ 1шкс1пв на трзпспор1поь уровне с учсп|м и<>ргов ~яйхпцсиий, сокрытие внутренних адресов сети, на гранино ьогорой оп находится, сокрытие поргов об ращений, формп~» канис групп доступа по сетевым адресам с лее сложным разграничением доступа (отдельных адресов к отдельным службам), расширенные возможности аутентификации, разделение сетевых интерфейсов на «опасные» и «безопасные» и т. п.

Иногда в подобный модуль встраиваются дополнительные «узконаправленные» анализаторы для предотвращения , отдельных классов атак, например, на отказ в обслуживании ( (р(пй-оГ-деай, ЯУХ4)оод и т. д.). Перечисленные возможности являются базовыми для современных МСЭ и встречаются в двух других классах МСЭ. Однако для данного уровня (пакетный фильтр) функциональ- ! ность анализа графика ограничивается транспортным уровнем. Фильтр обрабатывает каждый очередной пакет совершенно независимо: он не знает, какие пакеты проходили по каналу до него.

Вся информация, на основе которой принимается решение разрешения/отказа, извлекается только из исследуемого в данный момент пакета: из его сетевого и транспортного заголовков. Это позволяет свести задействованные МСЭ ресурсы оперативной паьопн и процессора к минимуму, но не позволяет излагать в правилах фильтрации законы и логику более высокого уровня. Нельзя однозначно отметать данный тип МСЭ как недос"тато пю функциональный. Во-первых, необходимо проаналмзировать, для каких задач используегся выход в Интернет, возможно, учитывая более низкую стоимость таких МСЭ, его б ет вполне достаточно для работы организации.

Во-вторых, его , его удет можно исполъзовать в качестве первой линии обороны, которая удет предотврапшть наиболее грубые атаки. А уже между ним и локальной сетью устанавливать другой МСЭ, либо принципиной иной класс защитных устройств, которые возьмуг на себя анализ пакетов на более высоких уровнях сетевого стека.

В ислнтелъные ресурсы анализаторов более высокого уровня и ожег защищать нх от атак на отказ в обслуживании. 215 2. МСЭ с ко лем сое ения чпша1 спсн11 соп1го1 . МСЭ данной категории производят более тонкий анализ ходящего трафика, а именно, рассматривают каждый пакет в принадлежности его к конкретному соединению, в том числе с учетом того, кем, когда и как было ииицинро вано соединение и какая активность в рамках данного соединения была перед по- лучением данного пакета.

Причем, учитывая, что ряд протоко- лов работают без установки соединения (например, БОР), МСЭ ного» соединения — потока (англ, Г1оМ и в этом случае рас- сматривая такие пакеты в едином контексте. При этом возможно ь ванне информации не только о текущем соединении, но испол ьзо и предыдущих сосоедннениях. Наименование современн " логии. нсполь зующей этот механизм, — контроль состояния (англ, згаге1п1 1пзресг1оп). Обычно, для усиления контроля более высоких уровней сетевого стека в в МСЭ данного типа используется дополиитель й анализатор содержимого пакетов, исследующий активность данного соединения до уровня приложения.

Таким разо, вачеиным оказывается практически весь стек протоколов от се тевого до прикладного, иклаян, что позволяет предположить высеку~ вероятность щждотвр пре отвращения любой известной на момент пров~ тирования МСЭ атаки. 3. МСЭ вЂ” пес к уложения а йсайоп гох а ой сайоп 1а ег геюа Технология посредника приложения заклю в что компьютеры во внутренней сети и компьютеры во внешн. сети устанавливают соединения между собой не напрямую,, иртут та о о <посредник໠— отдельный сервис нли д~ мон в МСЭ, который общается с клиентом от имени сервера, з се вером от имени клиента.

Таким образом, МСЭ выступает».» соединения и, соответственно, может анализировать ~« происходящие при соединении события, наруэюшая, числе и возможные атаки. Изначально прокоп-службы разрабатывались искл ю тельно для нескольких наиболее популярных протоколов щ» кладного уровня (НТТР, РТР и некоторых др.). В современн. 216 1 изацихх МСЭ данно оса есть возможн посредников для собственных приложений, отличных численных. Общемировым стандарто об ерсальличных от и м под ного «универсального> прокси-сервиса стал протокол БОСКБ.

К ме ол . Кроме того, в ннх присутствуют все возможности пакетного фильтра. Спо ы о том какая о, какая из двух последних технологий ше, продолжаются, П ив ен , По ерж нцы обеих технологий говорят о дослучше, тоинствах своей и не ста до тках противоположной Считается что оба принципа вом МСЭ ко о защиты достаточно надежны. Несовершен ста нтр ля соединения считается возможность ряд атак на уровне приложений. Недостатком и жность прохода ложений — замедление ом посредника прн— замедление прохождения трафика за счет установления двойного соединения к посреднику. Д" зьнеишее совершенствование микроэлектроники по лает оснащать МСЭ л ктроникн позвоть различными дополнительными функциями значительного елич увеличения стоимости н размеров устройства. лее п Из дополнительных функций МСЭ расс отр ассмотрим две н олезных, с точки зрения безопасности: — создание демилитаризованной зоны; — трансляцию сетевых адресов.

1. о . Со ание еми нзованной зоны. Сов -енное ние ес ыог рем развитие бизнеса предполагает что внутрен- Р р урс рганизации не должны быть полность яд компьютеров, таких как веб-сервер, РТР в лностью закрыты. сервер, должны -сервер, почтовый врыть в той или иной степени доступны внешних цользовател ей, в том числе для тех, о ком нет никакой предварительной ин нжормацин. Где следует размещать таки компь ы? югер .

Волн во внешнеи сети (перед межсетевым э такие ном) это значит, что их жсетевым экразащищенность будет зависеть только от схемы безопасности оп ерационной системы и приложения, что, как показывает опыт, недостаточно. Ес лн разместить их во внутреинеи сети, за межсетевым экраном, то тог а кать внешних пользователей во в д придется пропуснебезопасно, аже нутреннюю сеть, а это всегда не логично шивается н езопасно, даже при точной настройке правил досту . В па. полнапрашивается вывод — создать для подобных ре- 217 сурсов отдельную подсеть, свободную от элементов внутреннеи технология получила название демнлни внешней сети.

Данная л таризованной зоны (ДМЗ) (англ. с)епй(1сапхес1 холе — 0Мг., илн зсгеепшк зевес). обычно межсетевые экраны имеют по два сете- Поскольку и о ин во внешнюю), вых интерфейса (один во внутреннюю сеть и один во в то для ДМЗ необходим третий сетевои интерф " . нла, прописанные на межсетевом экране для доступа в ДМЗ, позволят, с одной стороны, обеспечить защиту фср активов широкою д, а оступа, с другой стороны, не предоставят дополнительного доступа в локальную сеть. 2. Т сля сетевых есов англ.

пеолаг(с адс)гезз папз1ай.п ХАт. а,тесов выполняет две полезные Транслятор сетевых а„-„е о функции: — сокрытие схемы всг —.„е сг —.„енней адресации локальной сети н обеспечение частичной анонимности отправителя пакета; пре разо сб азоваине внутренних, т. н. «немаршрутнзируемыхл приватных 1Р-адресов (англ. Рпчасе песчгог)с 1Р-асЫгезз) в р азрешенный внешний интернет-адрес или адреса. Т гия заключается в том, что на МСЭ, которыи в ехнол огня ю сеть данном случае игр ает роль шлюза, при выходе во внепшю в еннего адсетевых пакетах производится подмена внутре е во всех сетевых п ес. П и этом шлюз ведес реса на предопределенный внешний адрес. Ри таб соответствия отправленных пакетов таким образом, что лицу спотк нтся об атнкя для входюшсх дишсх пакетов из внешнен сети производ р замена внепснего адреса на внутренний.

Различают статический ХАТ, когда за одним адресом внутренней сети жестко закреплен одни " ало внешний алвес, н боле« часто используемын дн намическнй ХАТ, когда за множеством внутренних адресов закреплен некоторый, обычно иебольшол, диапазон внешних а«Тесов а, а«Тесов (а, возможно, и всего один 1р-адрес). Пйавссл» досггс~а листы досттпа Эффективность работы МСЭ определяется правилами доступа (англ. ассеях ш1е . Именно оин евно оин определяют поведение при сюлучснии пакета. Обычно правило включает в себя: — направление входа для данного пакета звание сетевого инте ета номер или навого интерфейса, с которою поступил пакет); — направление выхода из шлюза (номер или название сетевого интерфейса, на который направляется пакет); — адрес нли группу принадлежности (группу адресов), куда отнесен источник, породивший пакет; — адрес или группу принадлежности (группу адресов), да отнесен получатель пакета; ~ ку— протокол или порт службы, от которой пришел пакет; — набо е — протокол или порт службы, которой адресо ван пакет; р действий, которые необходимо предпринять данного пакета (про спеть, отв икать для бе пропуспггь, отвергнуть, переслать другой служ, проанализировать дополнительно).

Характеристики

Тип файла
PDF-файл
Размер
10,25 Mb
Материал
Тип материала
Высшее учебное заведение

Список файлов книги

Свежие статьи
Популярно сейчас
А знаете ли Вы, что из года в год задания практически не меняются? Математика, преподаваемая в учебных заведениях, никак не менялась минимум 30 лет. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
6418
Авторов
на СтудИзбе
307
Средний доход
с одного платного файла
Обучение Подробнее