Брандмауэр как способ защиты информации в сети Интернет

Автор работы: Пользователь скрыл имя, 14 Октября 2013 в 20:06, контрольная работа

Описание работы

Актуальность темы. На сегодняшний день Интернет предоставляет безграничные возможности. В социальной, политической, коммерческой и культурной среде все больше и больше людей используют Интернет для обмена информацией, идеями и ресурсами. Сегодня и работа, и отдых немыслимы без интернета, и этим активно пользуются авторы вирусов, хакеры и спамеры – часто в одном лице. Хакеры создают новые вирусы и другие вредоносные программы, чтобы незаконно проникать на наши компьютеры, подчинять их себе и затем рассылать с них спам. Угрозы информационной безопасности становятся всё более комплексными

Содержание работы

Введение
1. Безопасный доступ в сеть Интернет
2. Брандмауэр как способ защиты информации в сети Интернет
Заключение
Список используемой литературы

Скачать архив (9.81 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Безопасный доступ в интернет. Брандмауэры.docx

— 39.26 Кб (Скачать файл)

Низкий риск. Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.

Средний-высокий. Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.

Гибридные шлюзы объединяют в себе два описанных  выше типа брандмауэра и реализуют  их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким  риском, гибридные шлюзы могут  оказаться идеальной реализацией  брандмауэра.

Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что  обеспечивает различные уровни безопасности при различных затратах на установку  и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать  соответствующую архитектуру. Следующие  разделы описывают типичные архитектуры  брандмауэра и приводят примеры  политик безопасности для них.

Хост, подключенный к двум сегментам  сети-это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.

Брандмауэр на основе хоста, подключенного  к двум сегментам сети - это брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной  сети. Например, одна сетевая плата  соединена с внешней или небезопасной сетью, а другая - с внутренней или  безопасной сетью. В этой конфигурации ключевым принципом обеспечения  безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную - брандмауэр всегда должен быть при этом промежуточным звеном.

Маршрутизация должна быть отключена  на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в  другую сеть.

Примечание переводчика. Такая  конфигурация, наверное, является одной  из самых дешевых и распространенных при коммутируемом подключении  ЛВС организации к Интернету. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw).

При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее  безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону. Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.

Архитектура экранированной сети по существу совпадает  с архитектурой экранированного  хоста, но добавляет еще одну линию  защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.

Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы  отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор. [6]

Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или  компаниях брандмауэры часто  используются для создания различных  подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.

Решение использовать брандмауэр обычно основывается на необходимости предоставлять  доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования  конфиденциальной и критической  информации.

Для всех систем организации, на которых  размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).

Брандмауэры - первая линия обороны, видимая для  атакующего. Так как брандмауэры в общем случае тяжело атаковать напрямую из-за их назначения, атакующие часто пытаются получить логин администратора на брандмауэре. Имена и пароли административных логинов должны быть серьезно защищены.

Наилучшим методом защиты от такой  формы атаки является серьезная  физическая безопасность самого брандмауэра  и администрирование брандмауэра  только с локального терминала. Но в  повседневной жизни часто требуется  некоторая форма удаленного доступа  для выполнения некоторых операций по администрированию брандмауэра. В любом случае удаленный доступ к брандмауэру по небезопасным сетям  должен осуществляться с использованием усиленной аутентификации. Кроме  того, для предотвращения перехвата  сеансов должно использоваться сквозное шифрование всего трафика удаленного соединения с брандмауэром.

Низкий риск. Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты.

Средний риск. Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.

Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с  других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как  Интернет, требует использования  сквозного шифрования всего трафика  соединения и усиленной аутентификации.

Высокий риск. Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий.

Брандмауэры никогда не должны использоваться как  сервера общего назначения. Единственными  зарегистрированными пользователями на брандмауэре могут быть только администратор брандмауэра и  администратор архивных копий. Кроме  того, только эти администраторы должны иметь привилегии для модификации  загрузочных модулей программ на нем.

Только администратор брандмауэра  и администраторы архивных копий  должны иметь логины на брандмауэре  организации. Любая модификация  системных программ на брандмауэре  должна осуществляться администратором  или администратором архивных копий  с разрешения ответственного за сетевые  сервисы (или начальника отдела автоматизации).

Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также  системных файлов конфигурации должен иметься некоторый план создания архивных копий.

Для брандмауэра должны создаваться  ежедневные, еженедельные и ежемесячные  архивные копии, чтобы в случае сбоя можно было восстановить данные и  файлы конфигурации. Архивные копии  должны храниться в безопасном месте  на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.

Другой альтернативой будет  иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в  холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен  и использован вместо него, пока основной брандмауэр восстанавливается.

Высокий риск. Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации.

Средний риск - низкий риск. Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации. Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны.

Любое соединение между брандмауэрами  по общественным глобальным сетям должно использовать механизм шифрованных  виртуальных частных сетей для  обеспечения конфиденциальности и  целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые  сервисы и находиться под его  контролем.[9]

Заключение

 

На основе изложенного  материала можно сделать следующие  выводы.

Надежные сети определяются как  сети, у которых имеется одинаковая политика безопасности или в которых  используются такие программно-аппаратные средства безопасности и организационные  меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети.

Современный Интернет требует  принципиально нового подхода к  безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.

Доступ в сеть Интернет, контроль расхода трафика, ограничение  доступа, антивирусная проверка, защита от хакерских атак — все эти  системы защиты реализуются с  помощью межсетевого экрана, который  в значительной степени позволяет  увеличить защищённость корпоративной  сети от хаоса Интернета.

В соответствии с вышесказанным  возникают риски нарушения информационной безопасности, реализуемые внешними нарушителями, через системные уязвимости операционной системы и прикладных программ, причем эти риски достаточно высоки, т.к. сеть Интернет просто кишит  зараженными сайтами.[3]

 

 

 

Список используемой литературы

  1. Безопасный доступ в интернет//www.ichip.ru/stati/internet-i-seti/ 2010/ 06/ bezopasnyi-dostup-v-internet

  1. Безопасный доступ в интернет //www.samara-tech.ru/articles/likbez/4330-intervju-georgija-belitskogo

  1. Безопасный доступ в сеть Интернет на основе терминального доступа

http://sec-it.ru/bezopasnyj-dostup-v-set-internet-na-osnove-terminalnogo-dostupa-chast-1-razvertyvanie-v-seti-terminalnogo-servera-i-ego-ispolzovanie/

  1. Безопасный выход в Internet//www.wss.ru/bezopasnyj-vyhod-v-internet

  1. Брандмауэр//www.hardline.ru/4/48/2853/

  1. Брандмауэр-эффективный способ вашей безопасности// www. windxp. com. ru/brand.htm

  1. Брандмауэр//citforum.ru/security/internet/firewall.shtml

  1. Правила безопасности работы в сети Интернет// www. ptl.ru/ home/ documentation_ for_clients/documents/safety_net.html

  1. Политика безопасности брандмауэров//emanual.ru/download/6665.html

 


Информация о работе Брандмауэр как способ защиты информации в сети Интернет