Firewall –экранированная подсеть.
Информационный сервер
ЭВМ ЭВМ
Маршрутизатор Маршрутизатор
Прикладной шлюз Сервер электронной почты
Firewall,состоящий из экранированной подсети представляет собой разновидность Firewallс экранированным хостом .Его можно использовать для размещения каждого компонента Firewallв отдельной системе, что позволит увеличить пропускную способность и гибкость, за счет некоторого усложнения архитектуры. Каждая система, входящая в этот Firewall,нужна только для выполнения конкретной задачи.
На рисунке показаны два маршрутизатора, используемые для создания внутренней, экранированной подсети. Эта подсеть содержит прикладной шлюз, однако она может также включать в себя информационные серверы и другие системы, требующие тщательно контролируемого доступа. Маршрутизатор, соединяющий сеть с Internet,должен пересылать трафик согласно следующим правилам:
трафик от прикладного шлюза к Internetразрешен,
трафик электронной почты от сервера электронной почты к Internetразрешен,
трафик от объектов Internetк прикладному шлюзу разрешен,
трафик электронной почты от Internetк серверу электронной почты разрешен,
трафик ftp, gopherи т.д. от Internetк информационному серверу разрешен, весь остальной трафик запрещен.
Внешний маршрутизатор запрещает доступ из Internetк системам экранированной подсети и блокирует весь трафики к Internet,идущий от систем, которые не должны являться инициаторами соединений (информационный сервер и др. системы). Маршрутизатор можно использовать и для блокирования любых других уязвимых протоколов, которые не должны передаваться к хостам экранированной подсети или от них.
Внутренний маршрутизатор осуществляет трафик к системам экранированной подсети и от них согласно следующим правилам:
трафик от прикладного шлюза к системам сети разрешен,
трафик электронной почты от сервера электронной почты к системам сети разрешен,
прикладной трафик от систем сети к прикладному шлюзу разрешен,
трафик электронной почты от систем сети к серверу электронной почты разрешен,
трафик ftp, gopherи т.д. от систем сети к информационному серверу разрешен, весь остальной трафик запрещен.
Таким образом, ни одна система сети не достижима непосредственно из Internetи наоборот, как и для Firewallс простым шлюзом. Главным отличием является то, что маршрутизаторы используются для направления трафика к конкретным системам, что исключает необходимость того, чтобы прикладной шлюз выполнял роль маршрутизатора. Это позволяет достигнуть большей пропускной способности. Следовательно, Firewallс экранированной подсетью наиболее подходит для сетей с большими объемами трафика или с очень высокими скоростями обмена.
Наличие двух маршрутизаторов является избыточным, поскольку для того, чтобы проникнуть непосредственно в системы сети, нарушитель должен преодолеть оба маршрутизатора. Прикладной шлюз, сервер электронной почты и информационный сервер должны быть настроены так, чтобы только они были доступны из Internet.В базе данных DNS,достижимой для внешних систем, не должны использоваться имена остальных систем. Прикладной шлюз может содержать программы усиленной аутентификации. Очевидно, он требует сложного конфигурирования, однако использование для прикладных шлюзов и фильтров отдельных систем упрощает конфигурирование и управление.
Firewallс экранированной подсетью, как и Firewallс экранированным шлюзом, можно сделать более гибким, допуская трафик между Internetи системами сети для некоторых проверенных служб. Однако такая гибкость может привести к тому, что будет необходимо сделать некоторые исключения из политики безопасности, что ослабит эффективность Firewall.Во многих случаях больше подходитFirewall с простым шлюзом, поскольку он не допускает ослабления политики безопасности (так как через него не могут проходить службы, не обладающие соответствующими полномочиями). Однако там, где пропускная способность и гибкость имеют большое значение, более предпочтителен Firewallс экранированной подсетью.
Вместо того, чтобы пересылать службы непосредственно между Internetи системами сети, можно разместить системы, требующие этих служб, прямо в экранированной подсети. Например, сеть, не допускающая трафика Х Windowsили NFSмежду Internetи системами сети, но все же требующая определенные службы, может разместить системы, требующие доступ, в экранированной подсети. Эти системы могут по-прежнему сохранять доступ к остальным системам сети, через прикладной шлюз и по необходимости реконфигурируя внутренний маршрутизатор. Такое решение могут использовать сети, требующие высокого уровня безопасности.
Firewallс экранированной подсетью обладает двумя недостатками.
Во-первых, существует принципиальная возможность доступа в обход прикладного(ых) шлюза(ов). Это верно и для случая Firewallс экранированным шлюзом, однако Firewall с экранированной подсетью допускает размещение в ней систем, требующих прямого доступа к службам Internet.
Вторым недостатком является то, что маршрутизаторы требуют большого внимания для обеспечения необходимого уровня безопасности. Как уже отмечалось, фильтрующие маршрутизаторы сложно конфигурировать, и из-за ошибок могут возникнуть лазейки в безопасности всей сети.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.