Экранированный шлюз.
Информационный сервер ЭВМ ЭВМ
Фильтрующий маршрутизатор
Прикладной шлюз
Firewallна основе экранированного шлюза является более гибким решением, чем просто шлюз, однако эта гибкость достигается за счет некоторого понижения уровня безопасности. Firewallна основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, размещенный со стороны защищаемой подсети. Прикладной шлюз можно также разместить до маршрутизатора со стороны Internetбез ущерба для безопасности. Размещение прикладного шлюза на внешней стороне будет способствовать тому, что именно он будет подвергаться атакам и может служить для их исследования в качестве ложной цели.
Для прикладного шлюза необходим только один сетевой интерфейс. Полномочные службы прикладного шлюза должны обеспечивать сервис TELNET, FTPи других полномочных служб для систем защищаемой сети. Маршрутизатор фильтрует остальные протоколы, не позволяя им достигнуть прикладного шлюза и систем сети. Он запрещает (или разрешает) трафик согласно следующим правилам:
трафик из Internetк прикладному шлюзу разрешен,
весь остальной трафик из Internetзапрещен,
маршрутизатор запрещает любой трафик из сети, кроме исходящего от прикладного шлюза.
В отличие от Firewall,основанного на обычном шлюзе, для прикладного шлюза требуется только один сетевой интерфейс и не требуется отдельной подсети между прикладным шлюзом и маршрутизатором. Это позволяет сделать Firewallболее гибким, но менее безопасным, поскольку существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системам сети. Службы, не имеющие соответствующих полномочий, можно считать надежными в том смысле, что риск использования этих служб считается допустимым. Например, можно разрешить передавать через маршрутизатор к системам сети службы, подвергающиеся меньшему риску, например NTP.Если системы сети требуют доступа DNSк Internet,то его можно разрешить. В этом случае Firewallможет реализовать обе политики безопасности одновременно, в зависимости от того, какие типы служб доступны системам сети.
При использовании Firewallс экранированным шлюзом возникают две проблемы.
Во-первых, теперь имеются две системы, маршрутизатор и прикладной шлюз, которые нужно тщательно конфигурировать. Как уже отмечалось, правила, которым подчиняется фильтрующий маршрутизатор, могут быть слишком сложными для осуществления конфигурации, трудными для проверки и могут приводить к появлению ошибок и "дыр" в системе защиты. Тем не менее, поскольку маршрутизатор требует разрешения прикладного трафика только для прикладного шлюза, набор правил может быть менее сложным, чем для сети, использующей Firewallтолько с фильтрующим маршрутизатором.
Вторая проблема заключается в том, что гибкость конфигурации допускает возможность нарушения политики безопасности (как это было указано для Firewallс фильтрующим маршрутизатором). Эта проблема более серьезна, чем в случае Firewallс простым шлюзом, поскольку имеется техническая возможность осуществлять трафик в обход шлюза.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.