Презентация "Межсетевые экраны" - скачать презентации по Информатике

Межсетевой экран

Это специализированное программное или аппаратное
обеспечение, позволяющее разделить сеть на

NT

UNIX

Маршрутизатор

Клиенты

Назначение МСЭ

Основное назначение МСЭ - воплощение политики безопасности,
принятой в организации в

Механизмы защиты, реализуемые МСЭ

Фильтрация пакетов

Шифрование (создание VPN)

Трансляция адресов

Аутентификация (дополнительная)

Противодействие некоторым видам

Фильтрация сетевого трафика

IP-адрес отправителя
IP-адрес получателя
TCP/UDP-порт отправителя
TCP/UDP-порт получателя
Другие критерии

Правила фильтрации

К внешней сети

К

Фильтрация сетевого трафика

Уровень приложений

Уровень представления

Уровень соединения

Уровень транспортный

Уровень сетевой

Уровень канальный

Уровень физический

Сегмент 1

Сегмент

Шифрование

Незашифрованный
трафик

Зашифрованный
трафик

Функции шифрования позволяют защитить данные,
передаваемые по общим каналам связи

Виртуальные частные сети

Виртуальные частные сети (VPN) предназначены
для безопасного обмена данными через
сети

Организация виртуальных частных
сетей с использованием МСЭ

МСЭ + VPN модуль

Трансляция адресов

Это замена в IP-пакете IP-адреса отправителя или получателя
другим IP-адресом

Виды трансляции адресов

Статическая
(двунаправленная)

Это задание однозначного соответствия между внутренним адресом
ресурса и его

Статическая трансляция адресов

Внутренние адреса

200.0.0.100 - 200.0.0.200

Внешние адреса

199.203.73.15 - 199.203.73.115

200.0.0.108

193.233.69.129

193.233.69.129

199.203.73.23

source

dest

source

dest

Позволяет иметь

Динамическая трансляция адресов

Внутренние адреса

200.0.0.100 - 200.0.0.200

Внешний адрес

199.203.145.35

200.0.0.104

193.233.145.35

193.233.69.129

199.203.145.35

source

dest

source

dest

адрес

порт

1305

х

порт

2531

х

адрес

Не позволяет инициировать доступ

Увеличение вероятности неверной адресации

Невозможность или трудности запуска некоторых
приложений

Проблемы с SNMP, DNS

Типы межсетевых экранов

Прикладной уровень

Уровень представления

Сеансовый уровень

Транспортный уровень

Сетевой уровень

Канальный уровень

Физический

Прикладной уровень

Уровень представления

Сеансовый уровень

Транспортный уровень

Сетевой уровень

Канальный уровень

Физический уровень

Пакетный фильтр

IP

TCP,

Преимущества

Низкая стоимость

Небольшая задержка прохождения пакетов

Недостатки

Открытость внутренней сети

Трудность описания правил фильтрации

Преимущества и

Технология «Proxy»

Proxy - это приложение - посредник, выполняющееся на МСЭ
и выполняющее

ТСР

IP

Канальный уровень

Шлюз уровня
соединения

Сервер

Клиент

Шлюз уровня соединения

Протокол SOCKS

Транспортный уровень
(TCP, UDP)

Прикладной уровень

Протокол SOCKS

Шлюз уровня соединения -пример

Сервер SOCKS

Клиент SOCKS

Внешний узел

Шлюз уровня соединения -пример

Шлюзы прикладного уровня

Внутренняя сеть

TELNET - сервер

FTP - сервер

и др.

FTP

TELNET

Пользователь устанавливает соединение

Шлюзы прикладного уровня

ТСР

IP

Канальный уровень

HTTP-посредник

Сервер
HTTP

Клиент
HTTP

Преимущества и недостатки
технологии «PROXY»

Преимущества

Двухшаговая процедура для входа во внутреннюю сеть
и выхода

Технология «Stateful Inspection»

IP

TCP

Session

Application

Inspection Module

Сетевой уровень

Канальный уровень

Транспортный уровень

Сеансовый уровень

Уровень представления

Прикладной уровень

Пакет

Технология «Stateful Inspection»
Хранение информации о состоянии соединения
Хранение информации о

Технология «Stateful Inspection»

Обработка нового соединения

Клиент

Сервер

Первый пакет нового соединения

Новое соединение

Таблица соединений

Проверка соответствия

Технология «Stateful Inspection»

Клиент

Сервер

Последующие пакеты соединения

Таблица соединений

Просмотр таблицы соединений

Обработка следующих пакетов

Варианты расположения МСЭ

Внутренняя сеть

FTP

WEB

МСЭ, маршрутизатор

Маршрутизатор является межсетевым экраном

1

Варианты расположения МСЭ

Внутренняя сеть

FTP

WEB

Маршрутизаторы

Трафик с внешнего маршрутизатора перенаправляется на МСЭ,
а затем

Варианты расположения МСЭ

Внутренняя сеть

FTP

WEB

Маршрутизатор

МСЭ является единственной видимой снаружи машиной

МСЭ

3

Варианты расположения МСЭ

Внутренняя сеть

Маршрутизатор

Защищена не вся внутренняя сеть. Узлы, которые должны
быть

Варианты расположения МСЭ

Внутренняя сеть

Маршрутизатор

Защищена не вся внутренняя сеть. Узлы, которые должны
быть

Варианты расположения МСЭ

Внутренняя сеть

Маршрутизатор

FTP и WEB серверы подключены к отдельному интерфейсу

Недостатки МСЭ как средств защиты

Не защищают от пользователей,
прошедших авторизацию

Не защищают

Пакетный фильтр
на базе ОС
Linux

Архитектура пакетного фильтра ipchains

Input chain

NIC1

NIC2

Output chain

Входящий
трафик

Исходящий
трафик

forward

routing

routing

Работа отдельной цепочки фильтрации

Правило 1

Правило 2

Правило 3

Пакет

Default

<условие> <действие>

ACCEPT либо DROP

Если пакет

Архитектура пакетного фильтра iptables

NIC1

NIC2

SNAT

Входящий
трафик

Исходящий
трафик

forward

routing

routing

DNAT

Input chain

Output chain

Практическая работа 5
Пакетный фильтр на базе Linux

Настройка фильтрации ICMP и UDP

Межсетевой экран
CheckPoint
FireWall-1

Архитектура FireWall-1

Management Module

Режим пользователя

Режим ядра

FireWall Module

GUI
клиент

Management
Server

FireWall
Daemon

Security
Servers

Драйвер сетевого адаптера

Inspection
Module

Уровень IP

Inspection Module

Реализован в виде драйвера

Выполняет функции

Контроль доступа

Аутентификация сессии

Клиентская аутентификация

Трансляция адресов

Аудит

Драйвер сетевого

Компоненты Inspection Module

Драйвер сетевого адаптера

Inspection Module

Kernel
Attachment

Kernel
Virtual
Machine

Kernel
Address
Translation

Работа Inspection Module

IP Protocol

Inspection Module

NIC

NIC

Работа Inspection Module

IP

TCP

Session

Application

FW-1
Inspection Module

Сетевой уровень

Канальный уровень

Есть
правило для
пакета?

Log/Alert

Пропустить
пакет?

Есть

Конфигурация FireWall-1

Management Module

FireWall Module

GUI клиент

Management Server

GUI клиент

GUI клиент