CC BY
46УДК 004.056
Коломойцева А.И.
Студентка 3- го курса кафедры «Вычислительные системы и информационная безопасность» Донской Государственный Технический Университет г. Ростов-на-Дону, РФ
Газизов А.В.
канд. пед. наук., доцент кафедры «Вычислительные системы и информационная безопасность» Донской Государственный Технический Университет г. Ростов-на-Дону, РФ
О ТЕХНОЛОГИИ ПРИМЕНЕНИЕ МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЕ ПРИ ЗАЩИТЕ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ
Аннотация: настоящая работа посвящена анализу функций и методов работы межсетевого экрана, позволяющего увеличить безопасность объектов локальной внутренней сети, применению правил фильтрации на сетевом, прикладном уровне для обеспечения ИБ, классификации межсетевых экранов, а также достоинствам и недостаткам применения данного способа защиты данных.
Ключевые слова: информационная безопасность, межсетевой экран, сетевая модель OSI.
На сегодняшний день локальные вычислительные сети используют интернет в качестве основы. При этом нужно, учитывать какой ущерб может принести незаконное вторжение в сеть предприятие через интернет. Поэтому нужно использовать методы защиты. Один из методов защиты это межсетевые экраны.
Межсетевой экран (MC,firewall) - это устройство контроля доступа в ЛВС, предназначенное для блокировки всего трафика, за исключением разрешенных данных.
Под локальной вычислительной сетью (ЛВС) понимают систему, которая включает в себя объединение различных компьютеров удаленных на расстояние.
Историю МЭ начинается с конца 80-х прошлого века, когда глобальная сеть ещё не стала настолько популярной. Их функцию раньше выполняли маршрутизаторы, осуществлявшие анализ и обработку трафика на основе данных из протокола сетевого уровня. Маршрутизатор представлял собой первую в мире реализацию программно-аппаратного МЭ, при функцию МЭ выполняли антивирусные программы, однако с конца 90-х вирусы усовершенствовались ,стали более сложны, и появление МЭ стало необходимым.
Функции экранирования выполняет межсетевой экран, под которым понимают программно-аппаратную систему, которая следит за ЛВ С посредствам контроля за поступающих и (или) входящих информационных потоков, и обеспечивает защиту ЛВС путем использования фильтрации информации.
МЭ разделяют по следующим признакам:
а) по месту расположения в сети - на внутренние и внешние,
б) по уровню фильтрации, соответствующему идеальной модели OSI/ISO.
В основе МЭ лежит работа по использованию информации разных уровней модели OSI. Чем выше уровень модели OSI, на котором фильтруются пакеты МЭ, тем выше уровень защиты.
Сетевая модель OSI (базовая эталонная модель взаимодействия открытых систем)— абстрактная сетевая модель для коммуникаций и разработки сетевых_протоколов. Представляет уровневый подход к сети. Каждый уровень обслуживает свою часть процесса взаимодействия.
1) Шлюз прикладного уровня запрещает напрямую связываться ЛВС с внешней сетью. Он следит за всеми входящими и исходящими информационными пакетами. Данный шлюз значительно уменьшает производительность системы из-за повторной обработки . Это незаметно при работе в глобальной сети, но существенно затрудняет производительность при работе во внутренней сети.
2) Фильтрующий маршрутизатор представляет собой маршрутизатор, который настроены так , чтобы фильтровать все входящее и исходящие пакеты и следить за ними. Основной и очень важный недостаток представляет собой уязвимость при подмене адресов IP.
3)Межсетевые экраны экспертного уровня сочетают в себе компоненты всех трех уровней. Как и шлюз прикладного уровня, он может быть настроен для отбраковки и анализа пакетов, содержащих определенные команды. Так же как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели. МЭ выполняет еще функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу.
Фильтрация реализуется на основе заранее загруженного списка в МЭ правил, которые утверждены политикою безопасности предприятия.
4)Шлюзы сеансового уровня следят за контролем допустимости сеанса связи, определяя, является ли данный сеанс связи допустимым. Данный шлюз при своем функционировании охватывает как транспортный, так же и сетевой уровень модели. Не достаток таких МЭ является отсутствие контроля содержимого пакетов. Чтобы исключить данный недостаток применяются шлюзы прикладного уровня.
Достоинства:
— гибкость в использовании правил фильтрации;
— маленькая задержка для пакетов;
Недостатки:
— ЛВС маршрутизируется из INTERNET;
— нужны хорошие знания для написания правил фильтрации;
— аутентификации с реализацией IP-адреса можно обмануть спуфингом;
— при нарушении работы брандмауэра, все устройства за ним становятся незащищенными ;
МЭ не может решать все проблемы и погрешности в ЛВС.В МЭ присутствуют так же и угрозы безопасности.
Наиболее существенные угрозы:
— отсутствие защиты от вирусов, МЭ не могут защитить от файлов, которые зараженные уже зараженными из интернета ;
— возможное ограничение пропускной скорости, МЭ являются потенциально узким узлом в сети, так как все пакеты передаваемые из внешней сети во внутреннюю должны проходить через МЭ можно исправить данную проблему с помощью установление несколько МЭ в разных местах, что увеличит пропускную скорость передачи;
— в основном МЭ являются средствами, только блокирующими атаки;
— МЭ не может защитить от некомпетентности пользователей и администраторов;
— большое количество остающихся уязвимых мест, МЭ не защищают от черных входов в сети;
— неудовлетворительная защита от атак сотрудников компании ,МЭ обычно не обеспечивают защиты от внутренних угроз;.
Простейший способ защиты ЛВС — установка между сетью и Интернетом межсетевого экрана. Но даже у этого метода есть свои недостатки . Когда ЛВС защищены одним-единственным МЭ, все правила контроля оказываются сосредоточенными в одном месте. Таким образом, МЭ становится узким местом и по мере нарастания нагрузки значительно теряет в производительности.
МЭ защищает множество узлов ЛВС и должен обеспечивать :
— разграничить доступ сотрудников защищаемой ЛВС к внешней ;
— ограничить доступ внешних пользователей к внутренним ресурсам ЛВС;
МЭ способен выполнять большое количество разных функций по обеспечению информационной безопасности. В основном, его функционал зависит от поставленных перед ним администратором сети задач.
Помимо основной задачи МЭ выполняет:
1)Аутентификация и идентификация сотрудников иногда реализуется при вводе обычного параметра пароля и имени. Но эта схема уязвима потому, что с точки принципа безопасности данные могут быть захвачены и воспользоваться злоумышленником. Данные нужно отправлять через общедоступные схемы соединений в зашифрованном виде. Это разрешит проблему от несанкционированного доступа путем захвата сетевых пакетов.
Надежно и удобно применять цифровые сертификаты, которые выдаются доверенными органами (центр распределения ключей). Большинство программ-посредников создаются таким образом, чтобы сотрудник прошел аутентификацию только в начале сеанса работы с МЭ.
проходить к внутренним системам в ЛВС.
2)Трансляция сетевых адресов, для создания многих атак злодею необходимо знать адрес жертвы. Для скрытия адреса и топологию всей сети, МЭ реализуют важную функцию - передача внутренних сетевых.
Передача внутренних сетевых адресов осуществляется двумя путями - статически и динамически. В первом варианте адрес объекта всегда привязывается к одному адресу МЭ, из которого передаются все исходящие пакеты. Во втором варианте IP-адрес МЭ и есть один единственный активный IP-адресом, который будет попадает во внешнюю сеть. В результате все исходящие из локальной сети данные оказываются отправленными МЭ, что исключает прямую связь между авторизованной ЛВС и являющейся потенциально опасной внешней сетью.
3) Администрирования является одним из важных аспектов в создании эффективной и надежной защиты. Ошибки при определении правил доступа могут образовать дыру, что образует уязвимость ЛВС. Поэтому в большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, просмотр ,набор , удаление правил.
Межсетевое экранирование увеличивает безопасность объектов внутренней ЛВС, так как игнорируют неавторизованные запросы из внешней среды. Это уменьшает уязвимость внутренних объектов, так как сторонний нарушитель должен преодолеть некоторый защитный барьер, в котором механизмы обеспечения безопасности сконфигурированы особо тщательно.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ:
1. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие. — М.: ИД «ФОРУМ»: ИНФРА-
М, 2011.
2. Медведовский И. Д., Семьянов П. В., Леонов Д. Г., Лукацкий А. В. Атака из Internet. - М.: Солон-Р, 2002.
3. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. - М.: Издательство Молгачева С. В., 2001.
4. Организационные и Технические Алгоритмы Защиты Информации В Телекоммуникационных Сетях Ганжур М.А., Кобылко
А.Э. Проблемы современного педагогического образования. 2017.
5. А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский, А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков, М.Ю. Щербаков Защита
информации в компьютерных сетях под ред. Н. И. Синадского. Екатеринбург : УГТУ-УПИ,2008.
