Брандмауэр как способ защиты информации в сети Интернет

 

Содержание

 

Введение	3
Безопасный доступ в сеть Интернет	4
Брандмауэр как способ защиты информации в сети Интернет	6
Заключение	15
Список используемой литературы	16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Актуальность темы. На сегодняшний день Интернет предоставляет безграничные возможности. В социальной, политической, коммерческой и культурной среде все больше и больше людей используют Интернет для обмена информацией, идеями и ресурсами. Сегодня и работа, и отдых немыслимы без интернета, и этим активно пользуются авторы вирусов, хакеры и спамеры – часто в одном лице. Хакеры создают новые вирусы и другие вредоносные программы, чтобы незаконно проникать на наши компьютеры, подчинять их себе и затем рассылать с них спам. Угрозы информационной безопасности становятся всё более комплексными. К ним добавляются и угрозы особого вида, внутренние: утечка конфиденциальной информации, кража личности и другие.[2]

Современный Интернет требует  принципиально нового подхода к  безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.

Одним из источников угроз  информационной безопасности являются внешние нарушители. Внешние нарушители обычно осуществляют несанкционированный доступ к конфиденциальной информации, хранящейся и обрабатываемой на компьютерах пользователей, из-за пределов внутренней локальной вычислительной сети. Такие несанкционированные доступы могут проводиться в режиме активной атаки с целью найти уязвимость в настройках межсетевых экранов и соответственно пробить его и получить доступ из вне к внутренним ресурсам. Этот процесс активной атаки довольно сложен, его легко вычислить, заблокировать и в дальнейшем исключить и кроме того злоумышленнику необходимо знать структуру внутренней сети для получения доступа непосредственно к конфиденциальной информации которая его интересует.

1. Безопасный доступ в сеть Интернет

 

Большинство организаций  подключаются к сети Интернет через  один канал связи, в результате чего возникает необходимость в обеспечении  всех (или выборочно) сотрудников  общим доступом в Интернет. Обеспечение безопасного выхода в Интернет для организации зачастую связано с целым комплексом сложных вопросов. Если к решению таких вопросов подходить без должного внимания, то могут возникнуть неприятные последствия, среди которых: отсутствие контроля доступа в Интернет, различные угрозы безопасности, чрезмерные расходы на оплату интернет-трафика.

Для уменьшения вероятности  возникновения вышеуказанных последствий  используются межсетевые экраны, так  же называемые файрволлами (анг. Firewall) или брандмауэрами (нем. Brandmauer). Сколько бы машин ни насчитывала локальная сеть, при реализации мер по обеспечению безопасности основное внимание уделяется именно межсетевому экрану. Основное назначение межсетевого экрана — защита локальной сети от вмешательств из вне. Иными словами, межсетевой экран призван оградить всё то, что расположено по одну сторону от него, от нежелательного воздействия всего того, что находится по другую сторону.[8]

Установка на межсетевом экране специализированных программ позволяет  осуществить следующий контроль доступа к сети Интернет:

1.Контроль расхода интернет-трафика

Несмотря на повсеместную распространённость Интернета и  ориентированность государства  на интернет-технологии и инновации, подключение организации, т.е. юридического лица, к сети Интернет по прежнему остаётся достаточно дорогостоящим. При подключении к сети Интернет по тому или иному тарифному плану зачастую возникает вопрос — какие условия выбрать: тарифный план с небольшой скоростью доступа и неограниченным объёмом трафика при фиксированной абонентской плате или тариф с высокоскоростным доступом, с заранее определённым количеством мегабайт в месяц при превышении которого выставляется отдельный счёт за сверхпотребление. Учитывая расходы трафика на межсетевом экране можно избежать чрезмерного потребления интернет-трафика. Достигается это за счёт включения биллинговой системы, которая автоматически блокирует доступ пользователя к Интернету при превышении заранее установленного лимита.

2.Ограничение доступа

Данная мера позволяет  наиболее рационально использовать трафик интернет-провайдера и существенно  повысить производительность труда  сотрудников организации. Это достигается  за счёт следующего: ограничение каждого  пользователя по скорости доступа к  сети Интернет; ограничение в работе «интернет-болталок» типа ICQ, Mail.Ru агент и др.; ограничение доступа к сайтам поиска работы; ограничение доступа к видеохостингам (youtube.com, rutube.ru и др.); блокировка социальных сетей и сайтов с online играми.

3.Аутентификация пользователей

Именной доступ к сети Интернет является наиболее мощным средством  контроля доступа и управления правами  пользователей. Позволяет организовать доступ в сеть Интернет с помощью  пары логин/пароль. Доступ пользователя может быть ограничен по скорости, по времени суток, по дням недели. Возможно, организовать чрезвычайно гибкую систему списков запрещённых и разрешённых сайтов. Огромное преимущество системы аутентификации — возможность руководителя просматривать отчёты, в которых отражается на каких сайтах и в какое время был сотрудник, какое количество мегабайт он потратил на тот или иной ресурс.

4.Антивирусная проверка

Огромное количество компьютеров  заражаются вирусами через общий  доступ в Интернет. Последствием заражения  могут быть: блокировка системы, нарушение  целостности данных, спам-атака других пользователей сети Интернет и т.д. Избежать этого позволяет потоковая  антивирусная фильтрация проходящего  через межсетевой экран трафика.

5.Защита от хакерских атак

Взлом системы, как правило, приносит её владельцу множество  проблем. Поскольку многие злоумышленники попросту стирают содержимое жесткого диска, взлом часто сопровождается потерей всех данных, которые не были сохранены на резервных носителях. Установка межсетевого экрана позволяет  в значительной степени снизить  вероятность проникновения хакеров  в локальную сеть организации.[4]

 

2. Брандмауэр как способ защиты информации в сети Интернет

 

Брандмауэр - это средство защиты, которое можно использовать для  управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.

Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут  получить доступ к внутренним сетям  в обход брандмауэра, его эффективность  близка к нулю. Если пользователь имеет  подключение к Интернету у  какого-нибудь провайдера Интернета, и  часто соединяется с Интернетом со своей рабочей машины с помощью  модема, то он или она устанавливают  небезопасное соединение с Интернетом, в обход защиты брандмауэра.

Брандмауэры часто могут быть использованы для защиты сегментов интернета организации, но этот документ в основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""

Брандмауэры обеспечивают несколько  типов защиты:

• Они могут блокировать нежелательный трафик
• Они могут направлять входной трафик только к надежным внутренним системам
• Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.
• Они могут протоколировать трафик в и из внутренней сети
• Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета
• Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации: Имя/пароль -это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов [5]

Существует несколько различных  реализаций брандмауэров, которые могут  быть созданы разными путями. В  таблице 6.1 кратко характеризуются  несколько архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам.

Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил.

Шлюзы с фильтрацией имеют свои недостатки, включая следующие:

• Адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, - единственная информация, доступная маршрутизатору при принятии решения о том, разрешать или запрещать доступ трафика во внутреннюю сеть.
• Они не защищают от фальсификации IP- и DNS-адресов.
• Атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ брандмауэром.
• Усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов.
• У них практически отсутствуют средства протоколирования доступа к сети

Прикладной  шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-сервера принимают  запросы извне, анализируют их и  передают безопасные запросы внутренним хостам, которые предоставляют соответствующие  сервисы. Прикладные шлюзы могут  обеспечивать такие функции, как  аутентификация пользователей и  протоколирование их действий.

Так как прикладной шлюз считается  самой безопасным типом брандмауэра, эта конфигурация имеет ряд преимущество с точки зрения сайта со средним  уровнем риска:

• Брандмауэр может быть сконфигурирован как единственный хост, видимый из внешней сети, что будет требовать проходить все соединения с внешней сетью через него.
• Использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая организацию от небезопасных или плохо сконфигурированных внутренних хостов
• С помощью прикладных шлюзов может быть реализована усиленная аутентификация.
• Прокси-сервера могут обеспечивать детальное протоколирование на прикладном уровне

Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим  от брандмауэра (то есть чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер еа брандмауэре.

Прикладные шлюзы требуют прокси-сервера  для каждого сервиса, такого как FTP, HTTP и т.д., поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:

• Отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер - это предпочтительный подход, так как многие новые сервисы имеют большое число уязвимых мест.
• Разработать свой прокси - это достаточно сложная задача и должна решаться только техническими организациями, имеющими соответствующих специалистов .
• Пропустить сервис через брандмауэр - использование того, что обычно называется "заглушками", большинство брандмауэров с прикладными шлюзами позволяет пропускать большинство сервисов через брандмауэр с минимальной фильтрацией пакетов. Это может ограничить число уязвимых мест, но привести к компрометации систем за брандмауэров.[7]