Слайд 250 Межсетевые экраны Раздел 2 – Тема 10

Слайд 251 Межсетевой экран Это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую Что такое межсетевой экран? МСЭ Сеть 1 Сеть 2

Слайд 252 NTUNIX Маршрутизатор Клиенты Назначение МСЭ Основное назначение МСЭ - воплощение политики безопасности, принятой в организации в вопросах обмена информацией с внешним миром

Слайд 253 Механизмы защиты, реализуемые МСЭ Фильтрация пакетов Шифрование (создание VPN) Трансляция адресов Аутентификация (дополнительная) Противодействие некоторым видам атак (наиболее распространенным) Управление списками доступа на маршрутизаторах (необязательно)

Слайд 254 Фильтрация сетевого трафика IP-адрес отправителя IP-адрес получателя TCP/UDP-порт отправителя TCP/UDP-порт получателя Другие критерии Правила фильтрации К внешней сети К внутренней сети Это основная функция МЭ!

Слайд 255 Фильтрация сетевого трафика Уровень приложений Уровень представления Уровень соединения Уровень транспортный Уровень сетевой Уровень канальный Уровень физический Сегмент 1 Сегмент 2

Слайд 256 Шифрование Незашифрованный трафик Зашифрованный трафик Функции шифрования позволяют защитить данные, передаваемые по общим каналам связи

Слайд 257 Виртуальные частные сети Виртуальные частные сети (VPN) предназначены для безопасного обмена данными через сети общего пользования VPN-шлюз VPN-клиент

Слайд 258 Организация виртуальных частных сетей с использованием МСЭ МСЭ + VPN модуль

Слайд 259 Трансляция адресов Это замена в IP-пакете IP-адреса отправителя или получателя другим IP-адресом при прохождении пакета через устройство, осуществляющее трансляцию Обоснование Маскировка внутренних IP-адресов от внешнего мира Решение проблемы некорректности либо нехватки IP-адресов внутренней сети Отправитель Получатель

Слайд 260 Виды трансляции адресов Статическая (двунаправленная) Это задание однозначного соответствия между внутренним адресом ресурса и его адресом во внешней сети Динамическая (трансляция адресов-портов) Это отображение адресного пространства внутренней сети на один адрес из внешней сети

Слайд 261 Статическая трансляция адресов Внутренние адреса Внешние адреса source dest source dest Позволяет иметь доступ к внутренним узлам извне Применяется в случае сложившегося распределения внутренних адресов

Слайд 262 Динамическая трансляция адресов Внутренние адреса Внешний адрес source dest source dest адреспорт 1305 х порт 2531 х адрес Не позволяет инициировать доступ к внутренним узлам извне Решает проблему нехватки адресов

Слайд 263 Увеличение вероятности неверной адресации Невозможность или трудности запуска некоторых приложений Проблемы с SNMP, DNS и т. д. Замедление работы Недостатки трансляции адресов

Слайд 264 Типы межсетевых экранов Прикладной уровень Уровень представления Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Прикладной уровень Уровень представления Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Шлюз прикладного уровня Шлюз уровня соединения Пакетный фильтр

Слайд 265 Прикладной уровень Уровень представления Сеансовый уровень Транспортный уровень Сетевой уровень Канальный уровень Физический уровень Пакетный фильтр IPTCP, UDP, ICMPДанные

Слайд 266 Преимущества Низкая стоимость Небольшая задержка прохождения пакетов Недостатки Открытость внутренней сети Трудность описания правил фильтрации Преимущества и недостатки пакетных фильтров

Слайд 267 Технология «Proxy» Proxy - это приложение - посредник, выполняющееся на МСЭ и выполняющее следующие функции: Приём и анализ запросов от клиентов Перенаправление запросов реальному серверу

Слайд 268 ТСР IP Канальный уровень Шлюз уровня соединения Сервер Клиент Шлюз уровня соединения

Слайд 269 Протокол SOCKS Транспортный уровень (TCP, UDP) Прикладной уровень Протокол SOCKS Шлюз уровня соединения -пример

Слайд 270 Сервер SOCKS Клиент SOCKSВнешний узел Шлюз уровня соединения -пример

Слайд 271 Шлюзы прикладного уровня Внутренняя сеть TELNET - сервер FTP - сервер и др. FTP TELNET Пользователь устанавливает соединение с сервисом, запущенным на межсетевом экране Правила доступа формируются на основе названия сервиса, имени пользователя, времени работы и т. д. FTP TELNET HTTP FTP TELNET HTTP

Слайд 272 Шлюзы прикладного уровня ТСР IP Канальный уровень HTTP-посредник Сервер HTTP Клиент HTTP

Слайд 273 Преимущества и недостатки технологии «PROXY» Преимущества Двухшаговая процедура для входа во внутреннюю сеть и выхода наружу Надёжная аутентификация Недостатки Закрытость внутренней сети Простые правила фильтрации Низкая производительность Высокая стоимость

Слайд 274 Технология «Stateful Inspection» IPTCPSessionApplication Inspection Module Сетевой уровень Канальный уровень Транспортный уровень Сеансовый уровень Уровень представления Прикладной уровень Пакет перехватывается на сетевом уровне Специальный модуль анализирует информацию со всех уровней Информация сохраняется и используется для анализа последующих пакетов

Слайд 275 Технология «Stateful Inspection» Хранение информации о состоянии соединения Хранение информации о состоянии приложения Модификация передаваемой информации Это анализ пакета в контексте соединения

Слайд 276 Технология «Stateful Inspection» Обработка нового соединения Клиент Сервер Первый пакет нового соединения … … … … Новое соединение Таблица соединений Проверка соответствия политике безопасности

Слайд 277 Технология «Stateful Inspection» Клиент Сервер Последующие пакеты соединения …. Соединение … … … Таблица соединений Просмотр таблицы соединений Обработка следующих пакетов

Слайд 278 Варианты расположения МСЭ Внутренняя сеть FTP WEB МСЭ, маршрутизатор Маршрутизатор является межсетевым экраном

Слайд 279 Варианты расположения МСЭ Внутренняя сеть FTP WEB Маршрутизаторы Трафик с внешнего маршрутизатора перенаправляется на МСЭ, а затем на внутренний маршрутизатор МСЭ

Слайд 280 Варианты расположения МСЭ Внутренняя сеть FTP WEB Маршрутизатор МСЭ является единственной видимой снаружи машиной МСЭ

Слайд 281 Варианты расположения МСЭ Внутренняя сеть Маршрутизатор Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены МСЭ FTPWEB Незащищённые узлы

Слайд 282 Варианты расположения МСЭ Внутренняя сеть Маршрутизатор Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены МСЭ FTPWEB Демилитаризованная зона

Слайд 283 Варианты расположения МСЭ Внутренняя сеть Маршрутизатор FTP и WEB серверы подключены к отдельному интерфейсу МСЭ, что позволяет создать для них отдельную политику МСЭ FTPWEB Демилитаризованная зона

Слайд 284 Недостатки МСЭ как средств защиты Не защищают от пользователей, прошедших авторизацию Не защищают соединения, установленные в обход МСЭ Не защищают от неправильной конфигурации Не гарантируют 100% защиты от вторжений

Слайд 285 Пакетный фильтр на базе ОС Linux

Слайд 286 Архитектура пакетного фильтра ipchains Input chain NIC1NIC2 Output chain Входящий трафик Исходящий трафик forward routing

Слайд 287 Работа отдельной цепочки фильтрации Правило 1 Правило 2 Правило 3 Пакет Default ACCEPT либо DROP Если пакет подходит под условие, то к нему применяется действие. Input

Слайд 288 Архитектура пакетного фильтра iptables NIC1 NIC2 SNAT Входящий трафик Исходящий трафик forward routing DNAT Input chain Output chain

Слайд 289 Практическая работа 5 Пакетный фильтр на базе Linux Настройка фильтрации ICMP и UDP

Слайд 290 Межсетевой экран CheckPoint FireWall-1

Слайд 291 Архитектура FireWall-1 Management Module Режим пользователя Режим ядра FireWall Module GUI клиент Management Server FireWall Daemon Security Servers Драйвер сетевого адаптера Inspection Module Уровень IP

Слайд 292 Inspection Module Реализован в виде драйвера Выполняет функции Контроль доступа Аутентификация сессии Клиентская аутентификация Трансляция адресов Аудит Драйвер сетевого адаптера Inspection Module

Слайд 293 Компоненты Inspection Module Драйвер сетевого адаптера Inspection Module Kernel Attachment Kernel Virtual Machine Kernel Address Translation

Слайд 294 Работа Inspection Module IP Protocol Inspection Module NIC

Слайд 295 Работа Inspection Module IPTCPSessionApplication FW-1 Inspection Module Сетевой уровень Канальный уровень Есть правило для пакета? Log/Alert Пропустить пакет? Есть следующее правило? Send NACK Drop the Packet Да

Слайд 296 Конфигурация FireWall-1 Management Module FireWall Module GUI клиент Management Server GUI клиент

Слайд 297 Практическая работа 6 МЭ CheckPoint Firewall-1 Управление объектами Задание правил фильтрации