Предварительные выводы

 

В данном разделе дипломной работы произведен обзор существующих основных видов и источников атак на информацию. Выполнена постановка задачи работы.

Таким образом разрабатываемая система должна обеспечивать:

ограничение доступа пользователей в сеть Internet;

ведение журнал доступа пользователей в сеть Internet;

одновременная работа многих пользователей по одному коммутируемому соединению;

защита от прямой видимости машин локальной сети в Internet;

удаленное администрирование.

Разработка технологии защиты банковской компьютерной сети

 

Архитектуры брандмауэра

 

Можно найти решение ряда проблем с безопасностью в Интернете, описанных в разделе 1, или сделать их менее опасными, если использовать существующие и хорошо известные технологии и меры защиты на уровне хостов. Брандмауэр может значительно повысить уровень безопасности сети организации и сохранить в то же время доступ ко всем ресурсам Интернете.

Одна из самых надежных моделей защиты используемая во многих продуктах такова:

1. Разрешать любому пользователю локальной сети доступ к любому ресурсу в Internet;

2. Разрешать каждому компьютеру в сети иметь доступ к административным утилитам системы защиты, при условии, что он предоставляет верный пароль доступа;

3. Никому из Internet не разрешать доступ в локальную сеть и к системе защиты банковской сети.

Несмотря на кажущуюся тривиальность, такая схема является наиболее надежной. Система защиты и компьютеры локальной сети защищены от неавторизованного доступа в основном третьим правилом. Это правило говорит, что любой пакет из Internet отвергается, если не выполняется следующее:

1. Пакет не должен являться попыткой инициировать соединение с системой защиты или с компьютером в локальной сети.

2. Пакет не должен иметь активизированный блок маршрутизации от источника.

3. Пакет не может быть направлен к какому-либо TCP/IP порту приложения любого компьютера в сети.

4. Пакет не может быть перенаправлен к любому компьютеру в сети до тех пор, пока не приняты все его фрагменты и все они проверены по правилам защиты.

5. Пакет всегда должен быть ответом на запрос любого текущего соединения инициированного системой защиты или компьютеров из вашей локальной сети.

Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рис.2.1). Как правило, эта граница проводится между банковской сетью и INTERNET, хотя ее можно провести и внутри локальной сети банка. Брандмауэр, таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.

Брандмауэр

Банковская сеть

Рисунок 2.1 - Деление сети на несколько частей

 

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб на жестком диске.

Как правило, в операционную систему, под управлением которой работает брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter)

сервера прикладного уровня (application gateways)

сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры.

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа (см. табл.2.1):

 

Таблица 2.1

Описания правил прохождения пакетов

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

флаги

 

Поле "действие" может принимать значения пропустить или отбросить.

Тип пакета - TCP, UDP или ICMP.

Флаги - флаги из заголовка IP-пакета.

Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

терминалы (Telnet, Rlogin)

передача файлов (Ftp)

электронная почта (SMTP, POP3)

WWW (HTTP)

Gopher

Wais

X Window System (X11)

Принтер

Rsh

Finger

новости (NNTP) и т.д.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об аутентификации будет сказано ниже.

При описании правил доступа используются такие параметры как название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.