Теми рефератів
> Реферати > Курсові роботи > Звіти з практики > Курсові проекти > Питання та відповіді > Ессе > Доклади > Учбові матеріали > Контрольні роботи > Методички > Лекції > Твори > Підручники > Статті Контакти
Реферати, твори, дипломи, практика » Новые рефераты » Мережеві атаки, можливості та недоліки мережевих екранів

Реферат Мережеві атаки, можливості та недоліки мережевих екранів





иці. Існують також персональні міжмережеві екрани, покликані регулювати доступ до окремих комп'ютерів і встановлювані на ці комп'ютери

Розрізняють такі типи міжмережевих екранів:

керовані комутатори (канальний рівень); мережеві фільтри (мережевий рівень); шлюзи сеансового рівня (circuit-level proxy);



Комутатори


Комутатори середнього і старшого рівня Cisco, Bay Networks (Nortel), 3Com та інших виробників дозволяють прив'язувати MAC-адреси мережевих карт комп'ютерів до певних портів комутатора. Більше того, чимало комутаторів надає можливість фільтрації інформації на основі адреси мережевої плати відправника або одержувача, створюючи при цьому віртуальні мережі (VLAN). Інші комутатори дозволяють організувати VLAN на рівні портів самого комутатора. Таким чином, комутатор може виступати в якості брандмауера канального рівня.

Слід зауважити, що більшість фахівців з безпеки інформаційних систем рідко відносять комутатори до міжмережевих екранів. Основна причина такого ставлення викликана тим, що область фільтруючого дії комутатора простягається до найближчого маршрутизатора і тому не годиться для регулювання доступу з Internet.

Крім того, підробити адресу мережевої плати звичайно не складає труднощів (багато плати Ethernet дозволяють програмно міняти або додавати адреси канального рівня), і такий підхід до захисту є до крайності ненадійним. Правда, організація віртуальних мереж на рівні портів комутатора більш надійна, але, знову ж, вона обмежена рамками локальної мережі.

Проте якщо слідувати буквальною трактуванні «Керівного документа» Гостехкомиссии, то комутатори з можливістю створення VLAN є міжмережевими екранами.


Мережеві фільтри


Мережеві фільтри працюють на мережному рівні ієрархії OSI (див. Малюнок 1). Мережевий фільтр являє собою маршрутизатор, що обробляє пакети на підставі інформації, що міститься в заголовках пакетів. Мережеві фільтри існують для мереж TCP/IP і IPX/SPX, але останні застосовують у локальних мережах, тому ми їх розглядати не будемо.

При обробці пакетів ними враховується наступна інформація:

· IP-адреса відправника;

· IP-адреса одержувача;

· протокол (TCP, UDP, ICMP);

· номер програмного порту відправника;

· номер програмного порту одержувача.

Адміністратор на основі цієї інформації задає правила, відповідно до яких пакети будуть або пропускатися через фільтр, або відкидатися ім. Наприклад, мережевий фільтр дозволяє реалізувати наступну схему обміну даними між комп'ютерами корпоративної мережі і Internet:

. всі комп'ютери корпоративної мережі мають можливість спілкуватися з зовнішніми серверами Web і ftp, але не з telnet, NNTP і т. д .;

. доступ ззовні заборонений до всіх комп'ютерів корпоративної мережі, крім доступу до сервера A по протоколу HTTP і до сервера B по протоколу ftp; крім того, зовнішнього комп'ютера Z дозволяється доступ до внутрішнього сервера C і до будь службам TCP і UDP, але не ICMP.



Малюнок 1. Мережевий фільтр аналізує пакети на мережевому рівні.


Мережеві фільтри дуже легко реалізувати, тому вони отримали повсюдне поширення і представлені програмно-апаратними та чисто програмними реалізаціями. Зокрема, маршрутизатори Cisco, Bay Networks (підрозділ Nortel) та інших виробників забезпечені функціями мережевий фільтрації, внаслідок чого такі маршрутизатори називають фільтруючими. Список програмних мережевих фільтрів ще більш значний, і більшість з них представляє безкоштовні або умовно-безкоштовні утиліти. Вони реалізовані для безлічі мережевих платформ, у тому числі для UNIX, Windows NT, NetWare, VMS, MVS.

На жаль, зворотним боком простоти реалізації та низької ціни мережевих фільтрів є складність їх адміністрування і слабка захищеність від атак.

У мережевих фільтрах в основному використовується статична фільтрація, коли адміністратору доводиться створювати свій фільтр для кожного унікального типу пакету, що вимагає обробки. Пояснимо це на прикладі. Припустимо, всім комп'ютерам за замовчуванням заборонений доступ в Internet. Однак комп'ютера Z (IP-адреса 123.45.67.89) необхідний доступ до зовнішнього сервера A (IP-адреса 211.111.111.111), предоставляющему сервіс telnet. У даному випадку адміністратор повинен задати два правила:

. пропустити пакет, якщо він передається з боку мережевого інтерфейсу внутрішньої мережі на мережевий інтерфейс зовнішньої мережі і має параметри: IP-адреса відправника 12...


Назад | сторінка 8 з 10 | Наступна сторінка





Схожі реферати:

  • Реферат на тему: Використання мережевих технологій при проектуванні дистанційної інформаційн ...
  • Реферат на тему: Протоколи NetWare: основи технології, доступ до середовища, мережевий рівен ...
  • Реферат на тему: Неправомірний доступ до комп'ютерної інформації
  • Реферат на тему: Розробка проекту локальної комп'ютерної мережі на основі технології Eth ...
  • Реферат на тему: Розробка комп'ютерної мережі за технологією ArcNet з підключенням до In ...