Недостатки, связанные с применением Firewall.
Кроме того, что существуют угрозы, которым Firewallне могут противостоять, их применение создает определенные трудности.
Наиболее очевидным недостатком Firewallявляется большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие какtelnet, ftp, X Windows, NFSи т.д. Однако, эти недостатки присущи не толькоFirewall, доступ к сети может быть ограничен также и на уровне хост-ЭВМ, в зависимости от методики обеспечения безопасности сети. Тщательно разработанная методика обеспечения безопасности должна приводить требования безопасности в соответствие с нуждами пользователя, что может оказать значительную помощь в сокращении проблем ограничения доступа к службам.
Некоторые объекты могут обладать топологией, не предназначенной для использования Firewall, или использовать службы типаNFSтаким образом, что его использование потребовало бы глобальной реорганизации сети. Например, объект может зависеть от использования на главных шлюзах системNFSиNIS. В этой ситуации нужно сопоставить относительную стоимость введенияFirewallи размер ущерба от возможных атак, которые существовали бы при его отсутствии.
Во-вторых, Firewallне защищают объект от проникновения через «люки». Например, если на объект, защищенный Firewall,все же разрешается неограниченный модемный доступ, нарушители могут с успехом обойтиFirewall. Скорости модемов в настоящее время достаточно велики для практической реализации протоколов SLIP (Serial Line IP)и PPP (Point-to-Point);связь через протоколы SLIPи РРР в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.
Firewall,как правило, не обеспечивают защиту от внутренних угроз. С одной стороны, Firewallможно разработать так, чтобы предотвратить получение конфиденциальных данных внешними нарушителями, однако, Firewall не запрещает внутренним пользователям копировать данные на магнитную ленту или выводить их на печатающие устройства. Таким образом, было бы ошибкой полагать, что наличие Firewallобеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использованиеFirewall.
Кроме вышеперечисленных, укажем еще некоторые вопросы и проблемы, связанные с Firewall:
WWW, gopher —Более поздние версий информационных серверов и клиентов для WWW, gopher, WAISи др., не были предназначены для использованияFirewall-методикиз-за своей новизны и обычно считаются рискованными. Существует возможность атак, при которых данные, обрабатываемые клиентами, могут содержать инструкции для выполнения. В этих инструкциях клиенту может быть рекомендовано внести изменения в файлы управления доступом и другие важные для обеспечения безопасности хоста файлы.
MBONE —Групповые сообщения IP (MBONE)для передачи изображения и звука инкапсулируются в других пакетах. Firewall,как правило, передает пакеты, не просматривая их содержимое. Передачи MBONE представляют собой потенциальную угрозу в том случае, если пакеты содержат команды изменения параметров системы контроля безопасности, что позволит нарушителю вторгнуться в сеть.
вирусы — Firewallне защищают от загрузки пользователями зараженных вирусами программ из архивовInternetили от передачи таких программ через электронную почту. Поскольку эти программы можно каким угодно способом закодировать или сжать, у Firewallнет возможности проверить их на предмет наличия сигнатур вирусов. Проблема вирусов все еще существует, но она должна решаться с помощью других методик и антивирусного контроля.
пропускная способность — Firewallпредставляют собой потенциальноузкое место, поскольку все соединения должны осуществляться только через него, а в некоторых случаях еще и подвергаться фильтрации. Однако, на сегодняшний день это, в общем случае не является проблемой, поскольку Firewallмогут передавать данные на скорости Т1 (1,5Мбит/сек), а большинство сетей Internet имеют скорости соединения не больше Т1.
возможность общего риска —В Firewallвсе средства безопасности сосредоточены в одном месте, а не распределены между системами. Компрометация Firewall ведет к нарушению безопасности для других, менее защищенных систем. Однако, этот недостаток можно устранить, полагая, что чем больше будет систем в подсети, тем скорее будут обнаружены все упущения в безопасности. Несмотря на эти недостатки NISTнастоятельно рекомендует, чтобы объекты защищали свои ресурсы с помощью Firewallи других средств и методик безопасности.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.