Реферат: Безопасность Internet

                                         Межсетевой экран

                                             с усиленной

                                          аутентификацией

На рисунке показана также сеть с межсетевым экраном, использующим усиленную аутентификацию. В этом случае сеансы TELNET или FTP, устанавливаемые со стороны сети Internet с системами сети, должны проходить проверку с помощью средств усиленной аутентификации, прежде чем они будут разрешены, Системы сети могут запрашивать для разрешения доступа и статические пароли, но эти пароли, даже если они будут перехвачены злоумышленником, нельзя будет использовать , так как средства усиленной аутентификации и другие компоненты межсетевого  экрана предотвращают проникновение злоумышленника или обход ими межсетевого экрана.

Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к гло­бальным сетям администратор сетевой безопасности должен ре­шать следующие задачи:

·защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;

·скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,

·разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной  сети нескольких сегментов с разными уровнями защищенности 

·свободно доступные сегменты (например, рекламный WWW-сервер),

·сегмент с ограниченным доступом (например, для доступа со­трудникам организации с удаленных узлов),

·закрытые сегменты (например, локальная финансовая сеть организации) .

Для защиты корпоративной или локальной сети применя­ются следующие основные схемы организации межсетевых экранов:

·межсетевой экран -  фильтрующий маршрутизатор;

·межсетевой экран на основе двупортового шлюза;

·межсетевой экран на основе экранированного шлюза;

·межсетевой экран – экранированная подсеть.

Межсетевой экран – фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реали­зации. Он состоит из фильтрующего маршрутизатора, расположен­ного между защищаемой сетью и сетью Internet (рис. 8.6). Фильт­рующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть досту­па к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасно­сти, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено в явной форме" может быть затруднена.

                                                                                                    Локальная сеть

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатка, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметим не­которые из них:

·сложность правил фильтрации, в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

·невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;

в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

·каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

                  Межсетевой экран на базе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлю­за включает двудомный хост-компьютер с двумя сетевыми интер­фейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения допол­нительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рисунок). В ре­зультате между прикладным шлюзом и маршрутизатором образу­ется внутренняя экранированная подсеть. Эту подсеть можно ис­пользовать для размещения доступных извне информационных серверов .

Информационный сервер

Фильтрующий

маршрутизатор

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз полностью блокирует трафик IР между сетью internet и защищаемой сетью. Только полномочные сервера - посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, только маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной.

Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве прикладного шлюза, долж­на поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появит­ся возможность проникнуть в защищаемую сеть.

Этот межсетевой экран может требовать от пользователей применение средств усиленной аутентификации, а также регистрации доступа, попыток зондирования  и атак системы нарушителем.

Для некоторых сетей может оказаться неприемлемой не­достаточная гибкость схемы межсетевого экрана с прикладным шлюзом.

Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор  и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост – компьютере и имеет только один сетевой интерфейс(рисунок).

	Информационный сервер

             Фильтрующий

            маршрутизатор

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором. Пакетная фильтрация в фильт­рующем маршрутизаторе может быть реализована одним из сле­дующих способов:

·позволять внутренним хост – компьютерам открывать соединения с хост – компьютерами в сети Internet  для определения сервисов

·запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать полномочные серверы-посредники на прикладном шлюзе).

Эти подходы можно комбинировать для различных сервисов, разрешая некоторым сервисам соединение непосредственно через пакетную фильтрацию, в то время как другим только непря­мое соединение через полномочные серверы-посредники. Все за­висит от конкретной политики безопасности, принятой во внутрен­ней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои полномочные серверы-посредники, обеспечивал для систем защищаемой сети такие сервисы, как TELNET, FTP, SMTP.

    Межсетевой экран выполненный по данной схеме, получается более глубоким, но менее безопасным по сравнению с межсетевым экраном с прикладным шлюзом на базе двудомного хост – компьютера . Это обусловлено тем,  что в схеме межсетевого экрана с экранированным шлюзом существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системе локальной сети .

Основной недостаток схемы межсетевого экрана с экрани­рованным шлюзом заключается в том, что если атакующий нару­шитель сумеет проникнуть в хост-компьютер, то перед ним окажут­ся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если мар­шрутизатор окажется скомпрометированным, внутренняя сеть ста­нет доступна атакующему нарушителю.

По этим причинам в настоящее время все более популяр­ной становится схема межсетевого экрана с экранированной подсетью.

Межсетевой экран – экранированная подсеть

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на осно­ве экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рисунок). Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой под­сетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность  благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.

	Информационный сервер

                              Внешний                           Внутренний      

                          Маршрутизатор                        маршрутизатор

                                                                                                                                                                            Экранированная

                                                   подсеть

	Сервер электронной почты		Прикладной шлюз

Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:

·разрешается трафик от объектов internet к прикладному шлюзу;

·разрешается трафик от прикладного шлюза к internet;

·разрешается трафик электронной почты от internet к серверу электронной почты;

·разрешается трафик электронной почты от сервера электронной почты к internet;

·разрешается трафик FTP, Gopher и т.д. от internet к информационному серверу;

·запрещается остальной трафик.

       Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует весь трафик к internet, идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.

          Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:

·     разрешается трафик от прикладного шлюза к системам сети;

·     разрешается прикладной трафик от систем сети к прикладному шлюзу;

·     разрешает трафик  электронной почты от сервера электронной почты  к системам сети;

·     разрешается трафик электронной почты от систем сети к серверу электронной почты;

·     разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;

·     запрещает остальной трафик;

Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet, и наоборот. Кроме того, четкое разделение функций меж­ду маршрутизаторами и прикладным шлюзом позволяет достиг­нуть более высокой пропускной способности.

Прикладной шлюз может включать программы усиленной аутентификации.

Межсетевой экран с экранированной подсетью имеет и не­достатки;

·пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности. поскольку из-за ошибок при их конфигурировании могут возник­нуть провалы в безопасности всей сети;

·существует принципиальная возможность доступа в обход прикладного шлюза.

Применение межсетевых экранов для организации виртуальных корпоративных сетей

Некоторые межсетевые экраны позволяют организовать виртуальные корпоративные сети. Несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производиться прозрачным образом для пользователей локальных сетей. Конфиденциальность и целостность передаваемой информации  должны обеспечиваться при помощи средств шифрования, использование цифровых подписей. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.

                 Программные методы защиты

К программным методам защиты в сети Internet могут быть отнесены защищенные криптопротоколы, которые позволяют на­дежно защищать соединения. В процессе развития Internet были созданы различные защищенные сетевые протоколы, ис­пользующие как симметричную криптографию с закрытым ключом, так и асимметричную криптографию с открытым ключом. К основ­ным на сегодняшний день подходам и протоколам, обеспечивающим защиту соединений, относятся  SKIP-технология и протокол защиты соединения SSL.

SKIP (Secure Key Internet Ргоtосоl) -технологией называется стандарт защиты трафика IP-пакетов, позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных.

Возможны два способа реализации SKIP-защиты трафика IP-пакетов:

·     шифрование блока данных  IP– ракета;

·     инкапсуляция IP-пакета в SKIP-пакет.

Шифрование блока данных IP-пакета иллюстрируется . В этом случае шифруются методом симметричной криптогра­фии только данные IP-пакета, а его заголовок, содержащий поми­мо прочего адреса отправителя и получателя, остается открытым, и пакет маршрутизируется в соответствии с истинными адресами. Закрытый ключ K(i,j), разделяемый парой узлов сети i и j, вычисля­ется по схеме Диффи-Хеллмана. SKIP-пакет внешне похож на обычный IP-пакет. В поле данных SKIP-пакета полностью размещается в зашифрованном виде ис­ходный IP-пакет. В этом случае в новом заголовке вместо истин­ных адресов могут быть помещены некоторые другие адреса. Та­кая структура SKIP-пакета позволяет беспрепятственно направ­лять его любому хост-компьютеру в сети Internet, при этом межсетевая адресация осуществляется по обычному IP-заголовку в SKIP – пакете. Конечный получатель SKIP – пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP – или   UDP –пакет , который и передает соответствующему модулю (TCP или   UDP) ядра операционной системы. Универсальный протокол защиты соединения SSL (Secure Socket Layer) функционирует на сеансовом уровне эталонной мо­дели OSI. Протокол SSL, разработанный компанией Netscape, ис­пользует криптографию с открытым ключом. Этот протокол явля­ется действительно универсальным средством, позволяющим ди­намически защищать соединение при использовании любого прикладного протокола (FTP, TELNET, SMTP, DNS и т.д.). Прото­кол SSL поддерживают такие ведущие компании, как IBM, Digital Equipment Corporation, Microsoft Corporation, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. и др.

Следует отметить также функционально законченный оте­чественный криптографический комплекс "Шифратор IP потоков". разработанный     московским     отделением  Пензенского научно-исследовательского электротехнического института. Криптографи­ческий комплекс "Шифратор IP потоков" представляет собой рас­пределенную систему криптографических шифраторов, средств управления криптографическими шифраторами, средств хранения, распространения и передачи криптографической информации, а также средств оперативного мониторинга и регистрации происхо­дящих событий. Криптографический комплекс "Шифратор IP пото­ков" предназначен для выполнения следующих функций:

·     создания защищенных подсетей передачи конфиденциальной информации;

·     объединения локальных сетей в единую защищенную сеть;

·     организации единого центра управления защищенной под­сетью.

Комплекс обеспечивает:

·     контроль целостности передаваемой информации;

·     аутентификацию абонентов (узлов сети);

·     передачу контрольной информации в Центр управления ключе­вой системой защищенной IP сети;

·     поддержку протоколов маршрутизации PIP II, OSPF, BGP;

·     поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);

·     поддержку инкапсуляции IP в Х.25 и Frame Relay;

Криптографический комплекс "Шифратор IP потоков" имеет модульную структуру и состоит из распределенной сети шифрато­ров IP потоков и единого центра управления ключевой системой.

Шифратор IP протоколов (ШИП) состоит из:

·     криптографического модуля, непосредственно встроенного в ядро операционной системы

·     модуля поддержки клиентской части ключевой системы;

·     модуля проверки целостности системы при загрузки.

·     модуля записи протоколов работы криптографической системы;

ШИП содержит также плату с интерфейсом ISA, исполь­зуемую для защиты от НСД при загрузке системы и для получения от сертифицированного физического датчика случайных чисел, необходимых для реализации процедуры шифрования.

Центр управления ключевой системой (ЦУКС) состоит из:

·     автоматизированного рабочего места управления ключевой системой, работающей в среде X Windows;

·     модуля серверной части ключевой системы;

·     сервисной программы просмотра протоколов работы криптографического комплекса "Шифратор IP потоков".

Управление ключами выполняется при помощи ЦУКС и за­ключается в следующем:

·     Периодическая смена парных ключей шифрования зарегистрированных узлов защищенной сети;

·     формирование и рассылка по сети справочников соответствия, определяющих возможность абонентов работать друг с другом;

·     сбор и хранение в базе данных информации о всех критичных событиях в сети, возникающих как при аутентификации абонен­тов, так и при передаче между ними зашифрованной инфор­мации.

В случае возникновения нештатных ситуаций, создающих угрозу нарушения защиты информации, администратор ЦУКС предпринимает действия , направленные на восстановление целостности системы защиты информации.

ЦУКС

лоло

Схема организации виртуальной корпоративной сети с применением криптографического комплекса “Шифратор IP потоков” показана на рисунке. При организации виртуальной корпоративной сети небольшого размера без жёстких требований к времени оповещения абонентов о компрометации какого-либо абонента и без жёстких требований к полноте собираемых протоколов об ошибках доступа возможно использование одного ЦУКС. При организации виртуальной корпоративной сети среднего размера или с жёсткими требованиями к времени оповещения абонентов компрометации какого-либо абонента и к полноте собираемых протоколов об ошибках доступа следует использовать несколько ЦУКС. При этом желательно, чтобы ЦУКС имели независимые друг от друга каналы подключения к глобальной сети.

                          Заключение

  После всего изложенного материала можно заключить следующее.

На сегодняшний день лучшей защитой от компьютерных преступников является межсетевой экран правильно установленный и подобранный для каждой сети. И хотя он не гарантирует стопроцентную защиту от профессиональных взломщиков, но зато  усложняет им доступ к сетевой  информации, что касается любителей то для них доступ теперь считается закрытым. Также в будущем межсетевые экраны должны будут стать лучшими защитниками для банков, предприятий, правительств, и других спецслужб. Также есть надежда, что когда  нибудь будет создан межсетевой экран, который никому не удастся обойти. На данном этапе программирования можно также заключить, что разработки по межсетевым экранам на сегодняшний день сулят в недалёком будущем весьма неплохие результаты.

      Список используемой литературы

1)   Зашита информации в компьютерных системах и сетях/ Под ред. В.Ф. Шаньгина .- М.: Радио и связь, 1999.-328 с.

2)   Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. – М.: Мир,1999.- 351с., ил.

3)   Секреты безопасности Internet .- К.: Диалектика , 1997.-512., ил.

4)   Безопасность персонального компьютера / Пер. с англ.; Худ. обл. М.В. Драко .- Мн.: ООО «Попурри», 1997.- 480 с.:ил.

5)   Конфидент/  март – апрель 1997.