На этом уровне также работают концентраторы, повторители сигнала, медиаконвертеры, трансиверы и некоторые другие устройства.

Для физического уровня информация представляет собой поток битов, которые нужно доставить без искажений и в соответствии с заданной тактовой частотой (интервалом между соседними битами).

Функции физического уровня реализуются на всех устройствах, подключенных к сети. Со стороны компьютера функции физического уровня выполняются сетевым адаптером или последовательным портом. К этому уровню относятся физические, электрические и механические интерфейсы между двумя системами. Стандартными типами сетевых интерфейсов, относящимися к этому уровню, являются: V.35, RS-232, RS-485, RJ-11, RJ-45, разъемы AUI и BNC.

Спецификации физического уровня определяют параметры сред передачи данных - это например, полоса пропускания, затухание, волновое сопротивление, активное сопротивление, задержки при распространении сигнала и так далее. Помимо физических характеристик сред эти спецификации определяют физические характеристики сигналов. К этому же уровню относятся спецификации интерфейсных разъемов кабелей. Переданные биты, затем будут обработаны и в виде неких данных «пойдут» к более высоким уровням OSI.

На этом уровне также работают концентраторы, повторители сигнала, медиаконвертеры, трансиверы и некоторые другие устройства.

Канальный уровень - обеспечивает передачу пакетов данных, поступающих от протоколов верхних уровней, узлу назначения, адрес которого также указывает протокол верхнего уровня. Протоколы канального уровня оформляют переданные им пакеты в кадры собственного формата, помещая указанный адрес назначения в одно из полей такого кадра, а также сопровождая кадр контрольной суммой. Протокол канального уровня имеет локальный смысл, он предназначен для доставки кадров данных, как правило, в пределах сетей с простой топологией связей и однотипной или близкой технологией, например в односегментных сетях Ethernet или же в многосегментных сетях Ethernet и Token Ring иерархической топологии, разделенных только мостами и коммутаторами. Во всех этих конфигурациях адрес назначения имеет локальный смысл для данной сети и не изменяется при прохождении кадра от узла-источника к узлу назначения. Возможность передавать данные между локальными сетями разных технологий связана с тем, что в этих технологиях используются адреса одинакового формата, к тому же производители сетевых адаптеров обеспечивают уникальность адресов независимо от технологии.

Канальный уровень часто обеспечивает обмен сообщениями только между двумя соседними компьютерами, соединенными индивидуальной линией связи. Примерами протоколов «точка-точка» (как часто называют такие протоколы) могут служить широко распространенные протоколы PPP и LAP-B. В таких случаях для доставки сообщений между конечными узлами через всю сеть используются средства сетевого уровня. Именно так организованы сети X.25. Иногда в глобальных сетях функции канального уровня в чистом виде выделить трудно, так как в одном и том же протоколе они объединяются с функциями сетевого уровня. Примерами такого подхода могут служить протоколы технологий ATM и frame relay.

Другой областью действия протоколов канального уровня являются связи типа «точка-точка» глобальных сетей, когда протокол канального уровня ответственен за доставку кадра непосредственному соседу. Адрес в этом случае не имеет принципиального значения, а на первый план выходит способность протокола восстанавливать искаженные и утерянные кадры, так как плохое качество территориальных каналов, особенно коммутируемых телефонных, часто требует выполнения подобных действий. Если же перечисленные выше условия не соблюдаются, например связи между сегментами Ethernet имеют петлевидную структуру, либо объединяемые сети используют различные способы адресации, как в сетях Ethernet и X.25, то протокол канального уровня не может в одиночку справиться с задачей передачи кадра между узлами и требует помощи протокола сетевого уровня.

Сетевой уровень (Network layer) - служит для образования единой транспортной системы, объединяющей несколько сетей, причем эти сети могут использовать совершенно различные принципы передачи сообщений между конечными узлами и обладать произвольной; структурой связей.

Сети соединяются между Собой специальными устройствами, называемыми маршрутизаторами. Маршрутизатор-- это устройство, которое собирает информацию о топологии межсетевых соединений и на ее основании пересылает пакеты сетевого уровня в сеть назначения. Для того чтобы передать сообщения сетевого уровня, или, как их принято называть, пакеты (packets), от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач между сетями. Таким образом, маршрут представляет собой последовательность маршрутизаторов, через которые проходит пакет. Проблема выбора наилучшего пути называется маршрутизацией, и ее решение является одной из главных задач сетевого уровня.

Сетевой уровень решает также задачи согласования разных технологий, упрощения адресации в крупных сетях и создания надежных и гибких барьеров на пути нежелательного трафика между сетями.

Примерами протоколов сетевого уровня являются протокол межсетевого взаимодействия IP стека TCP/IP и протокол межсетевого обмена пакетами IPX стека Novell.

Транспортный уровень. На пути от отправителя к получателю пакеты могут быть искажены или утеряны. Хотя некоторые приложения имеют собственные средства обработки ошибок, существуют и такие, которые предпочитают сразу иметь дело с надежным соединением. Работа транспортного уровня (Transport layer) заключается в том, чтобы обеспечить приложениям или верхним уровням стека - прикладному и сеансовому - передачу данных с той степенью надежности, которая им требуется. Модель OSI определяет пять классов услуг, предоставляемых транспортным уровнем. Эти виды услуг отличаются качеством: срочностью, возможностью восстановления прерванной связи, наличием средств мультиплексирования нескольких соединений между различными прикладными протоколами через общий транспортный протокол, а главное - способностью к обнаружению и исправлению ошибок передачи, таких как искажение, потеря и дублирование пакетов.

Как правило, все протоколы, начиная с транспортного уровня и выше, реализуются программными средствами конечных узлов сети компонентами их сетевых операционных систем. В качестве примера транспортных протоколов можно привести протоколы TCP и UDP стека TCP/IP и протокол SPX стека Novell.

Сеансовый уровень (Session layer) – обеспечивает управление диалогом для того, чтобы фиксировать, какая из сторон является активной в настоящий момент, а также предоставляет средства синхронизации. Последние позволяют вставлять контрольные точки в длинные передачи, чтобы в случае отказа можно было вернуться назад к последней контрольной точке вместо того, чтобы начинать все с начала. На практике немногие приложения используют сеансовый уровень, и он редко реализуется в виде отдельных протоколов, хотя функции этого уровня часто объединяют с функциями прикладного уровня и реализуют в одном протоколе.

Уровень представления (Presentation layer)­ имеет дело с формой представления передаваемой по сети информации, не меняя при этом ее содержания. За счет уровня представления информация, передаваемая прикладным уровнем одной системы, всегда будет понятна прикладному уровню в другой системе. С помощью средств данного уровня протоколы прикладных уровней могут преодолеть синтаксические различия в представлении данных или же различия кодов символов, например кодов ASCII и EBCDIC. На этом уровне может выполняться шифрование и дешифрирование данных, благодаря которому секретность обмена данными обеспечивается сразу для всех прикладных служб. Примером такого протокола является протокол Secure Socket Layer (SSL), который обеспечивает секретный обмен сообщениями для протоколов прикладного уровня стека TCP/IP.

Прикладной уровень (Application layer) - это в действительности простой набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к разделяемым ресурсам, таким как файлы, принтеры или гипертекстовые Web-страницы, а также организуют свою совместную работу, например с помощью протокола электронной почты. Единица данных, которой оперирует Прикладной уровень, обычно называется сообщением (message).

Существует очень большое разнообразие служб прикладного уровня. Приведем в качестве примеров протоколов прикладного уровня хотя бы несколько наиболее распространенных реализаций файловых служб: NCP в операционной системе Novell NetWare, 8MB в Microsoft Windows NT, NFS, FTP и TFTP, входящие в стек TCP/IP.

Стержнем всей архитектуры является уровень межсетевого взаимодействия, который реализует концепцию передачи пакетов в режиме без установления соединений, то есть дейтаграммным способом. Именно этот уровень обеспечивает возможность перемещения пакетов по сети, используя тот маршрут, который в данный момент является наиболее рациональным. Этот уровень также называют уровнем internet, указывая тем самым на основную его функцию - передачу данных через составную сеть.

Основным протоколом сетевого уровня (в терминах модели OSI) в стеке является протокол IP (Internet Protocol). Этот протокол изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи.

Так как протокол IP является дейтаграммным протоколом, он не гарантирует доставку пакетов до узла назначения, но старается это сделать.

К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом-источником пакета. С помощью специальных пакетов ICMP сообщает о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.

Основной уровень – на этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет образования логических соединений. Этот протокол позволяет равноранговым объектам на компьютере-отправителе и компьютере-получателе поддерживать обмен данными в дуплексном режиме. TCP позволяет без ошибок доставить сформированный на одном из компьютеров поток байт в любой другой компьютер, входящий в составную сеть. TCP делит поток байт на части - сегменты, и передает их ниже лежащему уровню межсетевого взаимодействия. После того как эти сегменты будут доставлены средствами уровня межсетевого взаимодействия в пункт назначения, протокол TCP снова соберет их в непрерывный поток байт.

1.2 Межсетевые экраны способы организации защиты

Основным элементом обеспечения информационной безопасности, блокирующей несанкционированный доступ в корпоративную сеть, является межсетевой экран. Так же межсетевой экран называют firewall и брандмауэр.

Брандмауэр (нем. Brandmauer) - является аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).

Firewall - эта встроенная в Windows программа служит преградой для различных червей, троянов и других вирусов. Файрвол (межсетевой экран, или брандмауэр) фильтрует интернет-трафик и пропускает только тот, который разрешен программой.

Межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, тоесть анализа по совокупности критериев и принятия решения об ее распространении в автоматизированной системе.

Основной задачей межсетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - фильтровать (не пропускать) пакеты, не подходящие под критерии, определённые в конфигурации.

Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они представляют собой, так называемую «первую линию обороны ИС». В настоящие время на рынке межсетевых экранов имеется достаточное количество предложений, вследствие чего встаёт проблема выбора.

Для минимизации угроз информационной безопасности необходимо внедрение многоуровневой системы защиты информации, а первым уровнем обеспечения информационной безопасности, блокирующим несанкционированный доступ в корпоративную сеть, является система защиты информационной сети.

Современный межсетевой экран представляет собой интегрированный комплекс защитных средств. Под межсетевым экраном, как элементом системы защиты понимают локальное или функционально-распределенное средство, реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из АС, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в автоматизированной системе.

Межсетевой экран это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

Современные информационные сети представляют собой сложные системы, состоящие из большого числа компонентов, среди которого можно выделить серверы и рабочие станции, системное и прикладное программное обеспечение, сетевое оборудование и соединительные (кабельные) системы.

Межсетевые экраны устанавливаются в разрыв канала связи, поэтому основными критериями выбора средств межсетевого экранирования наряду с эффективностью являются производительность, надёжность и обеспечение функционала высокой доступности. Высокая доступность, как правило, обеспечивается резервированием, путём установки нескольких дублирующих межсетевых экранов. Существует ряд архитектурных решений по обеспечению высокопроизводительной и отказоустойчивой работы системы межсетевого экранирования.

Средства межсетевого экранирования в составе корпоративной информационной системы могут работать совместно с рядом подсистем обеспечения информационной безопасности. Интеграция с подсистемами управления и мониторинга позволяет реализовать централизованный контроль функционирования межсетевых экранов, сократить трудозатраты на реализацию политик безопасности, а также на основе собранных данных мониторинга принимать своевременные меры по предотвращению и минимизации последствий инцидентов информационной безопасности.

Интеграция межсетевых экранов с такими подсистемами как подсистема организации VPN или подсистема обнаружения и предотвращения вторжений даёт возможность совместить функции безопасности в одном устройстве, и организовать единый интерфейс управления. Данный подход позволяет увеличить рентабельность использования средств защиты в малых организациях и филиалах, однако в ряде случаев такой подход не применим, поскольку может привести к появлению единой точки отказа.

1.3 Использование средств межсетевого экранирования

Для защиты информационных ресурсов и обеспечения оптимальной работы информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты. Сегмент сети- логически или физически обособленная часть сети. Разбиение сети на сегменты осуществляется с целью оптимизации сетевого трафика и/или повышения безопасности сети в целом.

Это позволяет сформулировать основные принципы архитектуры безопасности корпоративной сети:

- введение N категорий секретности и создание соответственно N выделенных сетевых сегментов пользователей. При этом каждый пользователь внутри сетевого сегмента имеет одинаковый уровень секретности (допущен к информации одного уровня секретности). Данный случай можно сравнить с секретным заводом, где все сотрудники в соответствии со своим уровнем доступа имеют доступ только к определенным этажам. Эта структура объясняется тем, что ни в коем случае нельзя смешивать потоки информации разных уровней секретности. Не менее очевидным объяснением подобного разделения всех пользователей на N, изолированных сегментов является легкость осуществления атаки внутри одного сегмента сети;

- выделение в отдельный сегмент всех внутренних серверов компании. Эта мера также позволяет изолировать потоки информации между пользователями, имеющими различные уровни доступа;

- выделение в отдельный сегмент всех серверов компании, к которым будет предоставлен доступ из интернета (создание демилитаризованной зоны для внешних ресурсов);

- создание выделенного сегмента административного управления;

- создание выделенного сегмента управления безопасностью.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него. Соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.

Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.

Эти экраны содержат модули доступа для наиболее часто используемых протоколов, таких как HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран.

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на нем, как показано на рисунке 4, а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешены ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, последний никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

Базовая функциональность межсетевых экранов обоих типов осталась прежней (что является причиной большинства «слабых мест» этих устройств).

Практически невозможно найти межсетевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.

Политика сетевой безопасности каждой организации должна включать две составляющие:

- политика доступа к сетевым сервисам;

- политика реализации межсетевых экранов.

Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимостью доступа пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Интернета, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, необходимые для того, чтобы пользователи не могли обращаться к запрещенным сервисам Интернета обходными путями.

Межсетевой экран может реализовать ряд политик доступа к сервисам. Но обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:

- запретить доступ из Интернета во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет;

- разрешить ограниченный доступ во внутреннюю сеть из интернета; обеспечивая работу только отдельных авторизованных систем; например информационных и почтовых серверов.

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

- запрещать все, что не разрешено в явной форме;

- разрешать все, что не запрещено в явной форме.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.

Функциональные требования к межсетевым экранам охватывают следующие сферы:

- фильтрация на сетевом уровне;

- фильтрация на прикладном уровне;

- настройка правил фильтрации и администрирование;

- средства сетевой аутентификации;

- внедрение журналов и учет.

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

- фильтрующие маршрутизаторы;

- шлюзы сетевого уровня;

- шлюзы прикладного уровня.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

- межсетевой экран - фильтрующий маршрутизатор;

- межсетевой экран на основе двупортового шлюза;

- межсетевой экран на основе экранированного шлюза;

- межсетевой экран - экранированная подсеть.

Для защиты информационных ресурсов и обеспечения минимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Полнофункциональная защита корпоративной сети должна обеспечить:

- безопасное взаимодействие пользователей и информационных ресурсов с внешними сетями;

- технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;

- наличие иерархической системы защиты, предоставляющей средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Характер современной обработки данных в корпоративных системах интернет требует наличия у межсетевых экранов следующих основных качеств:

- мобильность и масштабируемость относительно различных аппаратно-программных платформ;

- возможность интеграции с аппаратно-программными средствами других производителей;

- простота установки, конфигурирования и эксплуатации;

- управление в соответствии с централизованной политикой безопасности.

В зависимости от масштабов организации и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.

Увеличение потоков информации, передаваемых по интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключения корпоративных сетей к интернету.

В наше время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в стандартной конфигурации не может обеспечить полнофункциональной защиты корпоративной сети. Решение данной задачи становится возможным только при использовании технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой. Также межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.

1.4 Обеспечение безопасности с использованием средств межсетевого экранирования.

Для обеспечения безопасности информационной системы с использованием средств межсетевого экранирования, необходимо разработать комплекс мер, по защите от проникновения злоумышленника. Для решения задачи обеспечения защиты периметра информационной сети хозяйствующего субъекта, необходимо провести анализ существующих методов и средств защиты периметра информационной системы, выбрать наиболее приемлемое средство защиты, т.е. провести сравнительный анализ средств выбранной группы, выбрать наиболее подходящий.

Уровень защиты должен достигаться с учетом последующих пунктов:

- масштаба субъекта и топологии и размера его корпоративной сети;

- циркулирующей в сети информации, ее цене и ценности для субъекта;

- построенной модели нарушителя, а так же возможного ущерба; который нарушитель может нанести информационной системе;

- выделенных средств, на организацию такой системы.

Для разработки рекомендаций по организации и обеспечению защиты безопасности с использованием средств межсетевого экранирования необходимо:

- провести моделирование информационной системы;

- составить классификацию выбранных средств межсетевого экранирования;

- обосновать показатели и критерии выбора таких средств;

- провести сравнительный анализ средств;

- разработать комплекс организационно-технических мероприятий по организации безопасности организации;

- обосновать затраты на защиту организации.

 

 

2 АНАЛИЗ ВОЗМОЖНОСТЕЙ ИСПОЛЬЗОВАНИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ В КОРПОРАТИВНЫХ СЕТЯХ

2.1 Классификация межсетевых экранов

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.

Основные направления, присущие и первому, и второму типам:

- обеспечение безопасности входящего и исходящего трафика;

- значительное увеличение безопасности сети и уменьшение риска; для хостов подсети при фильтрации заведомо незащищенных служб;

- возможность контроля доступа к системам сети;

- уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);

- обеспечение недорогого, простого в реализации и управлении решения безопасности.

Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

- препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;

- регистрировать попытки доступа и предоставлять необходимую статистику об использовании интернет;

- предоставлять средства регламентирования порядка доступа к сети;

- обеспечивать централизованное управление трафиком.

Программные межсетевые экраны, кроме основных направлений, позволяют:

- контролировать запуск приложений на том хосте, где установлены;

- защищать объект от проникновения через "люки" (back doors);

– обеспечивать защиту от внутренних угроз.

Межсетевой экран не является симметричным устройством. Он различает понятия: "снаружи" и "внутри". Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

В настоящее время не существует единой и общепризнанной классификации межсетевых экранов. Выделим следующие классы межсетевых экранов:

- фильтрующие маршрутизаторы;

- шлюзы сеансового уровня;

- шлюзы уровня приложений.

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

- мостиковый межсетевой экран;

- межсетевой экран на основе двухпортового шлюза;

- межсетевой экран на основе экранированного шлюза;

- межсетевой экран с экранированной подсетью.

Существует также понятие «межсетевой экран экспертного уровня». Такие межсетевые экраны обычно используются на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуются шлюзами сеансового уровня и сетевыми фильтрами.

К межсетевым экраном экспертного класса относятся почти все имеющиеся на рынке коммерческие брандмауэры.

Простая фильтрация пакетов – возможность некоторых межсетевых экранов по блокированию (уничтожению) пакетов, попадающих на межсетевые экраны, по заданному критерию на основе данных, содержащихся в заголовках пакетов и текущих параметров окружающей среды. Дополнительной возможностью является: модификация некоторых полей в заголовках пакетов, трансляция адресов и номеров портов, протоколирование и ведение статистики, немедленное уведомление администратора о появление пакетов, которые блокируются фильтром.

Конструктивной особенностью простых фильтров пакетов является отсутствие памяти состояние соединения. Простая фильтрация пакетов действует только на сетевом уровне. В качестве данных из заголовков IP-пакетов для фильтрации могут использоваться (в порядке убывания значимости):

- цифровой адрес компьютера-источника;

- цифровой адрес компьютера-приемника;

- тип протокола транспортного уровня;

- порт источника TCP/UDP;

- порт приемника TCP/UDP;

- дополнительные параметры TCP/UDP;

- длина IP-пакета;

- дополнительные параметры IP-пакета.

Параметрами окружающей среды, которые могут использоваться для фильтрации, являются:

- интерфейс контроля;

- направление передачи пакета;

- текущее время.

Фильтрация на основе цифровых адресов источника и приемника является минимальным требованием к межсетевым экранам с возможностью простой фильтрацией пакетов.

Задание только этих данных в критериях фильтрации позволяет запретить установление связи между определенными компьютерами, что позволяет сделать достижимыми из глобальной сети только те компьютеры организации, которые предоставляют службы внешним пользователям или пользуются службами внешней сети. Следует отметит, что фильтрацию на основе цифровых адресов, указанных в заголовках IP-пакетов, могут осуществлять все маршрутизаторы.

Однако злоумышленник может подменить свой адрес(из внешней сети) адресом внутренней сети, таким образом, делая невозможной надежную фильтрацию на основе только цифровых адресов, если необходимо запретить доступ к отдельным компьютерам, разрешив к ним доступ для внутренних пользователей. Поэтому очень необходимым параметром фильтрации является направление пакета: входящий во внутреннюю сеть или исходящей из нее.

Данные об интерфейсе при фильтрации необходимы, если СВТ содержит более двух сетевых интер