Professional Documents
Culture Documents
СИТАК ЛК 9 1711 06 v1 Ukr
СИТАК ЛК 9 1711 06 v1 Ukr
Тема лекції:
УПРАВЛІННЯ ПОТОКАМИ ІНФОРМАЦІЇ
План лекції
1. ЗАГАЛЬНІ РИСИ БРАНДМАУЕРІВ
2. ТИПИ МЕРЕЖЕВОГО БРАНДМАУЕРА
3. ПРИКЛАДИ РЕАЛІЗАЦІЇ БРАНДМАУЕРІВ
Література
1. CSX Cybersecurity Fundamentals Study Guide, 2nd Edition**eBook**
(повна назва джерела із зазначенням розділів та сторінок))
2. ________________________________________________________
__________________________________________________________
3. ________________________________________________________
__________________________________________________________
Зміст лекції
1.
Наочні посібники
1_________________________________________________________
_________________________________________________________
2. ________________________________________________________
__________________________________________________________
Посада, науковий ступінь, вчене звання,
підпис
__________________
(ініціали, прізвище)
ТЕМА 4 УПРАВЛІННЯ ПОТОКАМИ ІНФОРМАЦІЇ
Відкритість Інтернету робить кожну корпоративну мережу, підключеній до неї,
уразливою для атаки. Хакери в Інтернеті можуть потрапити у корпоративну мережу і завдати
шкоди рядом способів – шляхом викрадення або пошкодження важливих даних,
пошкодження окремих комп'ютерів або всієї мережі, за рахунок використання ресурсів
корпоративного комп'ютера або використання корпоративної мережі та ресурсів для
вдавання себе за корпоративного співробітника. Міжмережеві екрани створені в якості
одного з засобів захисту периметра мереж.
Брандмауер визначається як система або комбінація систем, що забезпечує дотримання
кордону між двома або більше мережами, як правило, утворюючи бар'єр між безпечним і
відкритим середовищами, такий як Інтернет. Він застосовує правила, що регулюють тип
мережевого трафіку, який входить і виходить. Більшість комерційних брандмауерів
побудовані для обробки часто використовуваних інтернет - протоколів.
Ефективні брандмауери повинні дозволяти особам корпоративної мережі отримувати
доступ до Інтернету та одночасно запобігати доступу інших користувачів Інтернету до
корпоративної мережі для заподіяння шкоди. Більшість організацій слідувати філософії
«заперечувати все», що означає, що доступ до даного ресурсу буде відсутній, якщо
користувач не може надати конкретну бізнес-причину або необхідність доступу до
інформаційного ресурсу. Зворотна сторона цієї філософії доступу – яка не є широко
прийнятої - це філософія все доступності, згідно якої кожен має дозвіл на доступ, якщо хтось
не може надати арументи для заборони доступу.
БРАНДМАУЕР ДОДАТКІВ
Маршрутизатори пакетної фільтрації дозволяють здійснювати прямий потік пакетів
між внутрішніми та зовнішніми системами. Первинний ризик надання можливості пакетного
обміну між внутрішніми та зовнішніми системами полягає в тому, що хост-додатки, що
знаходяться в системах захищеної мережі, повинні бути захищені від будь-якої загрози, яку
створюють дозволені пакети.
На відміну від маршрутизаторів фільтрування пакетів, шлюзи на рівні програми та
шлюзів дозволяють передавати інформацію між системами, але не дозволяють здійснювати
прямий обмін пакетами. Тому брандмауер системи додатків забезпечує більші можливості
захисту, ніж маршрутизатори фільтрування пакетів.
Два типи систем брандмауера жорстко приєднані до (тобто щільно захищені)
операційних систем, таких як Windows® та UNIX®. Вони працюють на рівні додатків моделі
OSI.
Два типи систем брандмауера додатків:
• Шлюзи прикладного рівня. Шлюзи прикладного рівня - це системи, які аналізують
пакети через набір проксі-серверів - по одному для кожної послуги (наприклад, проксі-
сервер для протоколу передачі гіпертексту [HTTP] для веб-трафіку, проксі-сервер FTP).
Реалізація декількох проксі - серверів, проте, впливає на продуктивність мережі. Коли
проблема роботи мережі є проблемою, Шлюзи сеансового рівня можуть бути кращим
вибором.
• Шлюзи сеансового рівня - Комерційно, шлюзи сеансового рівня досить рідкісні.
Оскільки вони використовують один проксі - сервер для всіх служб, вони є більш
ефективними. Там сеанси TCP та UDP перевіряються, як правило, через єдиний проксі-
сервер загального користування, перш ніж відкривати з'єднання. Такий підхід відрізняється
від Шлюзів прикладного рівня, для яких потрібен спеціальний проксі-сервер для кожної
служби на рівні додатків.
Обидві системи брандмауера додатків використовує концепцію бастіону хостингу в
тому, що вони обробляють всі вхідні запити з Інтернету до корпоративної мережі, такі як
FTP або веб-запити. Бастіон-хости сильно укріплені від нападу. Коли тільки один хост
обробляє вхідні запити, простіше підтримувати безпеку та відслідковувати атаки. У разі
вторгнення, буде скомпрометовано тільки брандмауер, а не всю мережу.
Таким чином, жоден з комп'ютерів в корпоративній мережі не можна з’єднати
безпосередньо для запитів з Інтернету, забезпечуючи ефективний рівень безпеки.
Окрім того, брандмауер додатків налаштовується як проксі-сервер для роботи від імені
когось у приватній мережі організації. Замість того, щоб покладатися на загальний
інструмент фільтрації пакетів для управління потоком Інтернет - послуг через міжмережевий
екран, код спеціального призначення називається проксі - сервер включений в систему
брандмауера. Наприклад, коли хтось - то всередині корпоративної мережі хоче отримати
доступ до сервера в Інтернеті, запит від комп'ютера передається на проксі - сервер. Проксі-
сервер звертається до Інтернет-сервера, а проксі-сервер потім надсилає інформацію з
Інтернет-сервера на комп'ютер усередині корпоративної мережі. Діючи як проміжний,
проксі-сервери можуть підтримувати безпеку, вивчаючи програмний код даної послуги
(наприклад, FTP, Telnet). Потім він змінює і забезпечує його усунути відомі уразливості.
Проксі-сервер також може записувати весь трафік між Інтернетом та мережею.
Однією з функцій, доступних для обох типів систем брандмауера, є можливість
передачі мережевої адреси (NAT). Ця можливість бере приватні внутрішні мережеві адреси,
які непридатні в Інтернеті, і відображає їх в таблицю публічних IP - адрес, призначених для
організації, які можуть бути використані в мережі Інтернет.
Брандмауери додатків мають переваги та недоліки, як показано на малюнку 3.11.
питання брандмауера
Проблеми, з якими стикаються організації, які реалізували брандмауери, включають
наступне:
• Помилка конфігурації - Невірно сконфігуровані брандмауери можуть дозволити
невідомі і небезпечні послуги, щоб пройти через вільно.
• вимоги моніторингу - Необхідно застосовувати і параметри журналу огляду
належним чином, але діяльність по моніторингу не завжди може відбуватися на регулярній
основі.
• Політика обслуговування - Firewall політика не може регулярно підтримуватися.
• Вразливість до APPLICATION- і введення-атак - Більшість брандмауерів
працюють на мережному рівні; отже, вони не припиняють будь-які атаки на основі додатків
або на основі вхідних даних, наприклад, атаки SQL injection та buffer-overflow. Брандмауери
нового покоління здатні перевіряти трафік на рівні додатків та припинити деякі з цих атак.
платформи брандмауера
Брандмауэри можуть бути реалізовані за допомогою апаратного, програмного чи
віртуального платформ. Впровадження устаткування забезпечить продуктивність з
мінімальними накладними витратами системи. Хоча апаратні брандмауерні платформи
швидше, вони не настільки гнучкі та масштабовані, як програмні межсетеві екрани.
Брандмауерами на базі програмного забезпечення, як правило, повільніше, при значних
системних накладних витратах. Однак вони гнучкі з додатковими послугами; наприклад,
вони можуть включати в себе зміст і вірусну перевірку, перш ніж трафікпередається
користувачам.
Як правило, для брандмауера краще використовувати прилади, а не звичайні сервери.
Пристрій являє собою пристрій з усіма програмами і конфігураціями попередньою
установкою на фізичному сервері, який підключений між двома мережами. Техніка, як
правило, встановлюються з загартованими операційними системами. Коли
використовуються серверні брандмауери, операційні системи на серверах часто вразливі до
атак. Коли атаки на операційних системах успіху, брандмауер може бути поставлена під
загрозу. Загалом, брандмауери типу пристрою значно швидше настроюються та
відновлюються.
брандмауери наступного покоління
NGFW - це брандмауери, націлені на вирішення двох основних обмежень попередніх
варіантів: 1) неможливість перевірки корисної інформації про пакет і 2) неможливість
відрізнити типи веб-трафіку.NGFW - це адаптована мережева система безпеки, здатна
виявляти та блокувати складні атаки. NGFWs зазвичай виконує традиційні функції, такі як
фільтрація пакетів, перевірка з урахуванням стану і трансляція мережевих адрес (NAT), але
ввести розуміння додатків, включає в себе технологію глибокої інспекції пакетів (DPI) і
пропонують різні ступені інтегрованої захисту від загроз, таких як запобігання втрати даних
(DLP), система запобігання вторгненню (IPS), перевірка рівня безпечного сокетів
(SSL)/захищена оболонка (SSH) та веб-фільтрація.
Розуміння застосування є «здатність системи підтримувати інформацію про
підключених додатках для оптимізації їх роботи, і що ні підсистем, якими вони управляють
або управління.» 41 Це важливо, оскільки відмінності між законним і зловмисним трафіком
стає все важче в умовах підйому веб-послуги. Можливість NGFW диференціювати типи веб-
трафіку, наприклад, авторизовану ділову веб-програму та веб-сайт потокового мультимедіа,
допомагає забезпечувати корпоративну політику незалежно від порту чи протоколу, а також
аналізу діяльності та поведінки користувачів.
ДПІ дозволяє проводити допиту під навантаженням від підписів для відомих
експлойтів, шкідливих програм тощо. ДПІ надає велику інформацію про ваш трафік, що
допомагає визначити нормальне трафікне виявлення аномалій більш ефективно, особливо в
більш складних мережах.
В залежності від вашої організації, ви можете попросити переглянути, рекомендувати
або вказати рішення постачальника. Майте на увазі, що в той час як багато рішень
наступного покоління рекламувати подібні функції, як вони роблять це часто вирішується
шляхом їх інтерпретації понять і впровадження власної технології. Як витончені, як NGFWs
може бути сьогодні, це не повинно бути вашим єдиним лінією захисту.
брандмауерів веб - додатків
Брандмауер веб - додатків (WAF) являє собою сервер плагін, пристрій або додатковий
фільтр, який може бути використаний для застосування правил до окремих веб - додатки ( як
правило, в якості HTTP - розмови). Він працює на більш високих рівнях моделі OSI, в цілому
7 рівня, в той час як мережеві брандмауери працюють на рівні 3 і/або рівень 4. Він може бути
налаштований, щоб ідентифікувати і блокувати багато типів атак, такі як міжсайтовий
сценарії (XSS) та ін'єкція SQL (Structured Query Language). Налаштування правил ВАФ
вимагає великої роботи та зусиль. При внесенні змін до додатка зроблені, правила WAF
повинні бути змінені, а також.