446.50K
Категория: ИнтернетИнтернет

Межсетевые экраны

1.

Межсетевые экраны

2.

Что такое межсетевой экран?
Межсетевой экран
Это специализированное программное или аппаратное
обеспечение, позволяющее разделить сеть на две или
более частей и реализовать набор правил, определяющих
условия прохождения сетевых пакетов из одной части в другую
Сеть 1
МСЭ
Сеть 2

3.

Назначение МСЭ
UNIX
NT
Маршрутизатор
Клиенты
Основное назначение МСЭ - воплощение политики безопасности,
принятой в организации в вопросах обмена информацией
с внешним миром

4.

Механизмы защиты, реализуемые МСЭ
Фильтрация пакетов
Шифрование (создание VPN)
Трансляция адресов
Аутентификация
Противодействие некоторым видам атак
Управление списками доступа на
маршрутизаторах

5.

Фильтрация пакетов
Правила фильтрации
IP-адрес отправителя
IP-адрес получателя
TCP/UDP-порт отправителя
TCP/UDP-порт получателя
Флаги ТСР
Опции IP
МСЭ
К внешней сети
К внутренней сети

6.

Шифрование
Незашифрованный
трафик
Зашифрованный
трафик
Функции шифрования позволяют защитить данные,
передаваемые по общим каналам связи

7.

Виртуальные частные сети
Виртуальные частные сети (VPN) предназначены
для безопасного обмена данными через
сети общего пользования
VPN-шлюз
VPN-шлюз
VPN-клиент

8.

Организация виртуальных частных
сетей с использованием МСЭ
МСЭ + VPN модуль

9.

Трансляция адресов
Это замена в IP-пакете IP-адреса отправителя или получателя
другим IP-адресом при прохождении пакета через устройство,
осуществляющее трансляцию
193.233.70.197
193.233.69.129
193.233.70.187
193.233.69.129
Обоснование
Маскировка внутренних IP-адресов от внешнего мира
Решение проблемы некорректности либо нехватки IP-адресов
внутренней сети

10.

Виды трансляции адресов
Статическая
Это задание однозначного соответствия между внутренним адресом
ресурса и его адресом во внешней сети
Динамическая
Это отображение адресного пространства внутренней сети
на один адрес из внешней сети

11.

Статическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
source 200.0.0.108
dest 193.233.69.129
Внешние адреса
199.203.73.15 - 199.203.73.115
source 199.203.73.23
dest 193.233.69.129
Позволяет иметь доступ к внутренним узлам извне
Применяется в случае сложившегося распределения
внутренних адресов

12.

Динамическая трансляция адресов
Внутренние адреса
200.0.0.100 - 200.0.0.200
адрес
порт
source 200.0.0.104 1305
dest 193.233.145.35 х
Внешний адрес
199.203.145.35
адрес
порт
source 199.203.145.35 2531
dest 193.233.69.129 х
Не позволяет инициировать доступ к внутренним узлам извне
Решает проблему нехватки адресов

13.

Недостатки трансляции адресов
Увеличение вероятности неверной адресации
Невозможность или трудности запуска некоторых
приложений
Проблемы с SNMP, DNS и т. д.
Трудность идентификации внутреннего узла извне
Замедление работы

14.

Типы межсетевых экранов
Пакетный фильтр или экранирующий маршрутизатор
Шлюз уровня соединения
Шлюз прикладного уровня
Работа МСЭ основана на
использовании информации
разных уровней стека TCP/IP
HTTP
FTP
TELNET
HTTP
FTP
TELNET
3
TCP
TCP
2
IP
IP
1
Все три типа обычно
реализованы в одном МСЭ
NIC
К сети 1
NIC
К сети 2

15.

Экранирующие маршрутизаторы
или пакетные фильтры
TCP
TCP
IP
IP
NIC
Внутренняя сеть
NIC
Фильтрация пакетов осуществляется на основе следующих данных
IP - адрес отправителя и получателя
TCP/UDP - порт отправителя и получателя

16.

Преимущества и недостатки
пакетных фильтров
Преимущества
Низкая стоимость
Небольшая задержка прохождения пакетов
Недостатки
Открытость внутренней сети
Трудность описания правил фильтрации

17.

Технология «Proxy»
Proxy - это приложение - посредник, выполняющееся на МСЭ
и выполняющее следующие функции
Приём и анализ запросов от клиентов
Перенаправление запросов реальному серверу

18.

Шлюзы уровня соединения
TCP
TCP
IP
IP
NIC
Внутренняя сеть
NIC
Весь ТСР - трафик просто транслируется в обоих направлениях

19.

Шлюзы прикладного уровня
TELNET - сервер
FTP - сервер
и др.
HTTP
FTP
TELNET
HTTP
FTP
TELNET
FTP
TELNET
Внутренняя сеть
Пользователь устанавливает соединение с сервисом,
запущенным на межсетевом экране
Правила доступа формируются на основе названия сервиса,
имени пользователя, времени работы и т. д.

20.

Преимущества и недостатки
технологии «PROXY»
Преимущества
Закрытость внутренней сети
Надёжная аутентификация
Простые правила фильтрации
Недостатки
Двухшаговая процедура для входа во внутреннюю сеть
и выхода наружу
Низкая производительность
Высокая стоимость

21.

Технология «Stateful Inspection»
МСЭ должен уметь
•считывать информацию со всех семи уровней сетевой модели
•отслеживать состояние (предысторию) соединения
•отслеживать состояние приложения
•модифицировать передаваемую информацию
Технология «Stateful Inspection» обеспечивает указанные требования
к безопасности и решает проблемы пакетных фильтров и Proxy

22.

Технология «Stateful Inspection»
Пакет перехватывается на
сетевом уровне
Специальный модуль
анализирует информацию
со всех уровней
Информация сохраняется
и используется для
анализа последующих
пакетов
HTTP
FTP
TELNET
HTTP
FTP
TELNET
TCP
TCP
IP
IP
NIC
NIC

23.

Варианты расположения МСЭ
FTP
WEB
МСЭ, маршрутизатор
Внутренняя сеть
Маршрутизатор является межсетевым экраном

24.

Варианты расположения МСЭ
FTP
WEB
МСЭ
Маршрутизаторы
Внутренняя сеть
Трафик с внешнего маршрутизатора перенаправляется на МСЭ,
а затем на внутренний маршрутизатор

25.

Варианты расположения МСЭ
FTP
WEB
МСЭ
Маршрутизатор
Внутренняя сеть
МСЭ является единственной видимой снаружи машиной

26.

Варианты расположения МСЭ
МСЭ
Маршрутизатор
FTP
WEB
Внутренняя сеть
Незащищённые узлы
Защищена не вся внутренняя сеть. Узлы, которые должны
быть видимы снаружи, не защищены

27.

Варианты расположения МСЭ
МСЭ
Внутренняя сеть
Маршрутизатор
FTP
WEB
Демилитаризованная зона
Защищена не вся внутренняя сеть. Узлы, которые должны
быть видимы снаружи, не защищены

28.

Варианты расположения МСЭ
МСЭ
Маршрутизатор
FTP
WEB
Внутренняя сеть
Демилитаризованная зона
FTP и WEB серверы подключены к отдельному интерфейсу МСЭ,
что позволяет создать для них отдельную политику

29.

Недостатки МСЭ как средств защиты
Не защищают от пользователей,
прошедших авторизацию
Не защищают соединения, установленные
в обход МСЭ
Не защищают от неправильной конфигурации
Не гарантируют 100% защиты от вторжений

30.

Пакетный фильтр
на базе ОС
Linux

31.

Архитектура пакетного фильтра
Сетевой уровень
(IP Protocol)
forward chain
маршрутизация
Output chain
Input chain
Входящий
трафик
NIC1
NIC2
Исходящий
трафик

32.

Схема работы пакетного фильтра
Нет
DENY/
REJECT
Output chain
Пакет
входящий
?
Да
Input chain
Передача пакета
в сеть
Требуется
маршрутизация
?
DENY/REJECT
Нет
Передача пакета
на уровень выше
Да
Forward chain
DENY/REJECT

33.

Межсетевой экран
CheckPoint
FireWall-1

34.

Архитектура FireWall-1
Management Module
GUI
клиент
Management
Server
Режим пользователя
Режим ядра
FireWall Module
FireWall
Daemon
Security
Servers
Уровень IP
Интерфейс TDI
Inspection
Module
Драйвер сетевого адаптера

35.

Inspection Module
Реализован в виде драйвера
Выполняет функции
Клиентская аутентификация
Аутентификация сессии
Трансляция адресов
Контроль доступа
Аудит
Интерфейс TDI
Inspection
Module
Драйвер сетевого адаптера

36.

Компоненты Inspection Module
Интерфейс TDI
Inspection Module
Kernel
Attachment
Kernel
Virtual
Machine
Kernel
Address
Translation
Драйвер сетевого адаптера

37.

Работа Inspection Module
IP Protocol
Inspection Module
NIC
NIC

38.

Работа Inspection Module
IP
Сетевой уровень
FW-1
Inspection Module
TCP
Log/Alert
Да
Пропустить
пакет?
Session
Да
Application
Есть
правило для
пакета?
Есть
следующее
правило?
Канальный уровень
Drop the Packet
Send NACK
Да

39.

Конфигурация FireWall-1
GUI клиент
GUI клиент
FireWall Module
Management Module
Management Server
GUI клиент
English     Русский Правила