Р.Л. Смелянский - Компьютерные сети. Том 2. Сети в ЭВМ (1130083), страница 41
Текст из файла (страница 41)
Шлюз уровня соединения выполняет анализ заголовков сегментов : Гг';-",':: в рамках каждого транспортного соединения (например, ТСР:;ф.;,':: соединения). Если обычный пакетный фильтр анализирует и принимает решение для каждого пакета независимо, то шлюз уровня соединения принимает решение для соединения целиком. Прежде !~~': всего, такой анализ снижает вычислительную нагрузку на МСЭ, так как для установленного соединения нет необходимости проверять ;~!",:: каждый пакет на соответствие всем правилам экрана, т.е. эти про:;,""- !! . верки можно выполнить один раз при установлении соединения.
Шлюзы уровня приложений, устанавливаемые между клиентами ,~-.'.:.'::"- и серверами конкретных приложений, анализируют сессии соответ,'т,';:." Ствующих протоколов — БМр)Р, РТР, НТТР и т.д. (см. подразд ,гт;;!:.' 4.2.3 ...4.2.5). Соединение между клиентом и сервером де-факто раз- ":!~";::, .
бито на два независимых соединения: от клиента до шлюза и от Таблица 4,2 Описание правила лля межсетевого экрана шлюза до сервера, Все команды клиента серверу, ответы сервера и данные проверяются на соответствие заявленному протоколу обмена, и в случае их несоответствия обмен блокируется. Полный набор поддерживаемых сервисов различается для каждого конкретного межсетевого экрана, однако чаще всего используются шлюзы для следующих сервисов: ° виртуальные терминалы (Те!пег [73[, г!оя!и [55[); ° передача файлов (ГТР [72[); ° электронная почта (ЯМТР [74[, РОР3 [63[, 1МАР4 [34[); * %УУ% (НТТР [44[, НТТР$); ° Х %!пдотч Кузгеш (Х1! [96[); ° различные приложения сетевой печати; ° новости ([~[ХТР [56[, КБЯ [82[) и т.д. Использование шлюза уровня приложений позволяет решить следующую важную задачу: сделать.
невидимой извне структуру корпоративной сети. Другой полезной функцией шлюза уровня приложений является обеспечение возможности аутентификации пользователей корпоративной сети централизованно на шлюзе и разграничения их полномочий доступа к сетевым ресурсам предприятия в соответствии с его политикой безопасности. При описании правил доступа используются следующие параметры: название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, 1Р-адреса компьютеров, с которых можно пользоваться сервисом, и схемы аутентификации.
Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, поскольку взаимодействие с внешним миром здесь реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий график. Достоинствами пакетных фильтров являются; ° невысокая стоимость; ° высокая скорость обработки трафика (низкая вычислительная сложность); ° небольшая задержка при прохождении пакетов. Недостатки пакетных фильтров следующие: ° каждый пакет анализируется вне контекста соединения и сетевого графика; ° диапазон параметров фильтрации ограничен полями заголовков протоколов 1Р, ТСР и 1.)РР; ° аутентификацию с использованием [Р-адреса можно обмануть, используя подмену 1Р-адресов (1Р зрообпя — атакующая система, выдающая себя за другую, используя ее 1Р-адрес [90[); ° отсутствие аутентификации на пользовательском уровне.
Преимуществами шлюзов уровня приложений являются: ° отсутствие непосредственного сетевого соединения между клиентом и сервером, что позволяет скрыть внутреннюю структуру сети от внешнего мира; !74 наличие зашиты на уровне приложений позволяет осушествлять ;::,~~;: -большое число дополнительных проверок, снижая тем самым веро!-';:;:;!: ятность ее взлома с использованием уязвимостей программного обе;:,'- - спечения (ошибок в программах или в их настройке, позволяюгцих ;-.,::;:;:,:. обойти механизмы защиты, аутентификации и т.л.) Недостатки шлюзов уровня приложений следуюшие ° высокие вычислительная сложность и нагрузка на аппаратную -.": - базу, ° производительность ниже, чем для пакетных фильтров Приведем уязвимости и слабые места МСЭ 1.
Сложность защить«новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным прото- !~;-::;.::колам, таким как НТТР, Те!пег, ЯМТР, ЕТР и др. Реализуется это с помошью механизма посредников !ргоху), обеспечивающих контроль ,;;-";~"-:: трафика, передаваемого по этим протоколам. Несмотря на то что -:~;-",'::: число таких посредников достаточно велико, они все-таки существу,",'-'".:;- ют не лля всех новых протоколов и сервисов. И хотя зта проблема не :,".~~ 'столь остра (многие пользователи используют не более десятка про;„="'-'':;;.токолов и сервисов), при появлении в сети нового типа сервиса тре- :~~~'.-,"буется добавление либо нового ргоху, либо новых функций анализа '!).":,,=-:!., в межсетевой экран. 2.
Возможность обхода межсетевого экрана. Межсетевые акра;;~-„'.",', ны не могут зашитить ресурсы корпоративной сети в случае некон- !$~-';:тролируемого использования в ней модемов, мобильных телефонов '«~<~:«)и беспроводных точек доступа. Возможность доступа в сеть через С РКЯ по протоколу РРР или %!Г! в обход межсетевого экрана дела- ,'-~~-. ет ее практически незашиШенной. Достаточно распространена си':;;;.~',„.'туация, когда сотрудники какой-либо организации, находясь дома, с :.":: помощью программ удаленного доступа типа Кешоге ТЗез)ггор или по "".;..
протоколу ЫН обращаются к данным или программам, установлен:,'-'«:-:е:: ным на своем рабочем компьютере, или получают через него доступ ="«,' в Интернет 3. Незащищенность от вредоносного программного обеспечения ,М":! и компьютерных атак. Изначально межсетевые экраны не имели !.:-'.~'::з встроенных механизмов зашиты от вредоносного программного обе)т."'::з спечения (компьютерных вирусов, сетевых червей [9, 911), а также от '~!, компьютерных атак. Такая зашита долгое время создавалась специ- ализированными системами — антивирусами — и системами обна- .!.'.~, - ружения атак.
В настояшее время наблюдается тенденция к объедиНению функций межсетевых экранов, сетевых антивирусов, систем 'обнаружения атак и систем контроля сетевого трафика в единые комплексы смысловой фильтрации сетевого трафика. Поскольку любой поток данных можно представить как на некоторую синтаксическую конструкцию, необходимо проверять соответствие структуры потока заранее сформулированным правилам.
Можно рассматривать поток с содержательной точки зрения, например как поток 175 Ж~ команд исполняемого кода, как видеопоток, как телефонный разговор и т.д. В некоторых случаях по структуре потока можно определить его содержание (или, как говорят, семантику), а в некоторых нельзя, т. е, требуются специальные методы анализа. 4. 1.8. Системы обнаружения и предотвращения атак Будем считать состояние информационной системы безопасным, если отсутствуют нарушения конфиденциальности, целостности и доступности входяших в нее ресурсов. Под компьютерной атакой на систему будем понимать последовательность целенаправленных действий субъекта (злоумышленника), направленных на нарушение состояния ее информационной безопасности. Таким образом, компьютерная атака — это любая целенаправленная последовательность действий, нарушающая либо одно, либо сразу несколько свойств состояния информационной безопасности системы.
Создание информационных систем, гарантированно устойчивых к компьютерным атакам, сопряжено с существенными затратами как времени, так и материальных ресурсов. Кроме того, существует известная обратная зависимость между удобством пользования системой и ее защищенностью: чем совершеннее защита, тем сложнее пользоваться основным функционалом информационной системы. В 1980-е гг.
в рамках военных проектов США предпринимались попытки создания распределенных информационных систем специального назначения — ММБ (Мййагу Меззайе БузГеш) 162), для которых математически доказывалась выполнимость основной теоремы безопасности; в системе не существует последовательности действий, которые могут привести к потере состояния ее информационной безопасности. В этих системах использовалось специализированное программное обеспечение на всех уровнях, включая операционную систему. Однако подобные системы не получили развития, и обычно для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства М)сгозой т~х(пс1ов з, ОХО/1 1ппх, ЕгееВЯЭ и различные клоны Бузт' ОМ1Х (Бо1апз, НР-ОХ и т.д.), Сложность и высокая стоимость разработки зашишенных систем, свойства безопасности которых доказаны формально, обусловили появление и развитие направления информационной безопасности, связанного с обнаружением нарушений безопасности информационных систем [23, 38].
Данное направление получило название «обнаружение атак» (шггигйоп де1есг(оп), и за прошедшие годы в рамках акалемических разработок были созданы сотни таких систем для различных платформ: от систем класса ша(п(тате до современных опе- 176 ольшина! Весите, ка предков сетеждаюших еблений аки, как тствует в ирус [17, к (СОА): м узле и я на отФик или сенсоров пасности менения имодей- ОА полуют в них ов на за- ссорного ационных систем общего назначения, СУБД и распространенных приложений ]1б] Принято разделять методы обнаружения атак на методы '„!»;-.. жрния аномалий и методы обнаружения злоупотреблений !;::;;";;:.обнаружения аномалий используют описание нормального по ~,'::,!!".наблюдаемых объектов в сети, и любое отклонение от норм ::".
поведения считается аномальным — нарушением. Методы ,";; жения злоупотреблений используют описание запрещенных д ::,;„"обьектов в сети, например описание известных атак, и если :,~, даемое поведение некоторою объекта сети совпадает с оп ~"Ва ~.:;-".,'-.:;"'„запрешенного, то действие объекта блокируют. Методы обнаружения злоупотреблений используются в б '!'.'.,'.„"''-:стае современных коммерческих систем (С]зсо 1РЯ, 1ББ Ре ~!'-.-'МГК) ]91]. В этих системах каждая известная сетевая ага ::;-':"„„-,.'ставлена сигнатурой — шаблоном значений полей заголов .";~~~'-Вых пакетов и содержимого их полей данных, сопрово ':~,-''!;:,атаку. Основной недостаток методов обнаружения злоупотр ;~Р'";.,::,состоит в том, по они не способны обнаруживать новые ат ;.~~ и.
антивирусные системы, т.е, если описание вируса отсу ~~:!'базе данных системы, то она не будет реагировать на этот в . „.~;!' 22] Существует множество академических разработок в области об- ':,.~~';-наружения аномалий, но в промышленных системах они использу- ,:~~~:,:.'ются редко и с большой осторожностью, так как такие системы по- -'1~~!.':рождают большое количество ложных срабатываний ,Ф';:;;::-', .
Существуют два основных типа систем обнаружения ага ,! ':., узловые и сетевые. Узловая СОА располагается на отдельно .'„~!~, отслеживает признаки атак на узел. Сетевая СОА находите :д'.;:,::дельном узле сети, через который проходит весь сетевой тра ;~!ец ";-'-.-,;:.1.;:,строго определенная его часть в данном сегменте Узловые СОА Узловая СОА состоит из сенсоров и анализаторов. Задача :~~1.,',"з)аключается в регистрации событий, важных с позиции безо :;.';.,';~~:,: на защищаемом узле: вход-выход пользователя в систему, из ;!;;";, в составе программного и аппаратного обеспечения узла, вза :.;.-" ствие с другими узлами сети и т.п. Анализаторы узловой С „,';:;:;,.~ают от сенсоров данные о событиях безопасности и выявля ,!~,.;:::-,'признаки атак.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
