333
правки
Изменения
→Межсетевой экран
==IPSec==
'''IPSec''' - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, является безопасностью на сетевом уровне. IPSec может шифровать и проводить проверку подлинности IP-пакетов. Поэтому IPSec предоставляет возможность защищать передачу данных в сетях LAN, в открытых и закрытых WAN, а также в сети Интернет.
== Межсетевой экран ==
{{Определение
|definition=
'''Межсетевой экран''' (англ. ''firewall'', нем. ''brandmauer'') - это система аппаратных или программных компонентов, предназначенных для ограничения доступа между сетями, чаще всего между Интернетом и частной сетью. Межсетевой экран является частью системы безопаснсти, направленных на защиту информационных ресурсов организации.
}}
==== Цели====
# Предоставить людям из организации доступ к интернету так, чтобы лишние люди не могли получить доступ к внутренней информации компании.
# Воздвигнуть барьер между ненадежным программным обеспечением, общественными веб-серверами Вашей организации и конфиденциальной информацией, которая находится во внутренней сети.
====Основные идеи====
# Поместить специальное утройство-шлюз между внешним миром и внутренней сетью организации.
# Все сигналы должны сначала идти к шлюзу, где заранее определено, допустим ли подобный сигнал или нет.
Межсетевые экраны не защищают от атак, которым удалось проникнуть за "стену", от передачи внутренней информации недобросовестными сотрудниками во снешний мир и от передачи во внутреннюю сеть файлов или программ, содержащих вирусы.
===Типы межсетевых экранов===
==== Пакетные фильтры====
[[Файл:packet_filtering.gif|left|Пакетный фильтр.]]
Пакетный фильтр (англ. ''packet-filter'') исходя из ограничений, определяет может или не может данный пакет пройти сквозь "стену". Фильтр основывается на данных,содержащихся в пакетах: источнике, адресе назначения, порте, транспортном протоколе и интерфейсе. Межсетевой экран может иметь разные настройки по умолчанию: либо он пропускает все неотфильтрованные пакеты, либо пропускает только отфильтрованные. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности. В коммерческом мире, простые пакетные фильтры становятся все более редкими: все основные межсетевые экраны имеют некоторую степень мониторинга состояния.
<br clear="both" />
==== Шлюзы сеансового уровня ====
[[Файл:Stateful_packet_filtering.gif|left|Пакетный фильтр с учетом состояния.]]
Шлюз сеансового уровня (англ. ''stateful packet-filtering firewal'') - это пакетный фильтр с таблицей состояний. В самом простом варианте шлюз сеансового уровня поддерживает отслеживание состояния TCP соединения, начиная с "тройного рукопожатия" (SYN, SYN/ACK, ACK), которое происходит на старте каждой TCP транзакции и заканчивая последним пакетом сессии (FIN или RST).
Обычно, после того как шлюз сеансового уровня проверил, что данная транзакция разрешена(основываясь на источике/адресе назначения/порте), он фиксирует изначачальное рукопожатие. Если рукопожатие совершилось в разумное время, проверяются все заголовки всех TCP подпакетов для этой транзакции на соответствие с таблицей состояний. IP адрес источника, порт источника, IP адрес назначения, порт назначения и номер сообщения проверяются пока одна из сторон не закроет транзакцию, посылая FIN или RST.
Данный вид межсетегого экрана работает лучше, чем обычная пакетная фильтрация, так как без данных о состоянии соединений межсетевой экран не может знать, является ли данное сообщение частью уже установленной сессии или является первым сообщением сессии. Некоторые простые пакетные фильтры могут считать, что все сообщения с проставленным ACK флагом являются частью установленной сессии, что является потенциальной уязвимостью. Также знание о состоянии соединений защищает внутреннюю сеть от сканирования(например утилитой nmap), так как межсетевой экран сразу же обнаруживает любое несоответствие с данными в таблице и блокирует подозрительный ip адрес.
<br clear="both" />
==== Посредники прикладного уровня====
[[Файл:Application-layer_proxy.jpg|left|400px|Шлюз сеансового уровня]]
Посредники прикладного уровня (англ. ''application-layer proxying''). В отличие от предыдущих пакетных фильтров, которые проверяют, но не изменяют пакетов их (кроме некоторых случаев переадресации), данные межсетевые экраны выступают в качестве посредника во всех сеансах передачи данных.
Шлюзы сеансового уровня называют прикладными, так как они используют множество прикладных данных о сервисах, с помощью которых они обеспечивают не только улучшение производительности, но и безопасности, в отличие от обычных прокси(посредников).
Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент.
<br clear="both" />
==== Инспекторы состояния. ====
Инспектор состояния - такой межсетевой экран, который использует технологию проверки состояния (англ. ''Stateful Inspection''). Он представляет собой межсетевой экран, сочетающий фильтрацию трафика с сетевого по прикладной уровень.
<br clear="both" />
