Logo    
Деловая газета CitCity.ru CITKIT.ru - все об Open Source Форумы Все публикации Учебный центр Курилка
CitForum    CITForum на CD    Подписка на новости портала Море(!) аналитической информации! :: CITFORUM.RU
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

26.03.2017

Google
WWW CITForum.ru
С Новым годом!

Специальная публикация NIST 800-10

Джон Вэк и Лиза Карнахан
"Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры))"
Реферат

Перевод Владимира Казеннова

  1. Введение в Интернет и безопасность в нем
    1.1. Интернет
    1.2 Обзор внутреннего устройства TCP/IP
    1.3 Проблемы, связанные с безопасностью
    1.4 Насколько уязвимы сети организаци в Интернете?

  2. Введение в брандмауэры
    2.1 Понятие брандмауэра
    2.2 Почему именно брандмауэры?
    2.3 Проблемы, возникающие из-за брандмауэров
    2.4 Компоненты брандмауэра

  3. Объединение частей в единое целое - примеры брандмауэров
    3.1 Брандмауэр с фильтрацией пакетов
    3.2 Брандмауэр на основе машины, подключенной к двум сетям
    3.3 Брандмауэр с изолированным хостом
    3.4 Брандмауэр с изолированной подсетью
    3.5 Интеграция модемных пулов с брандмауэрами

  4. Следующие шаги
    4.1 Политика брандмауэра
    4.2 Приобретение брандмауэра
    4.3 Организационные вопросы с брандмауэрами

  5. Библиография

  6. Приложение. Онлайновые информационные ресурсы

Этот документ содержит обзор проблем, связанных с безопасностью в Интернете. Он также кратко описывает все компоненты брандмауэра и основные причины, приводящие к необходимости использовать брандмауэры. Описывается несколько типов политик сетевого доступа и техническая реализация этих политик. В конце документ содержит библиографию по данной теме.

Целью этого документа является помощь пользователям понять природу проблем, связанных с безопасностью в Интернете, и то, какие типы брандмауэров могут решить эти проблемы. Пользователи могут использовать этот документ как руководство при проектировании или приобретении брандмауэра.

Предисловие

Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных. Большое число организаций сейчас присоединяются к Интернету для того, чтобы воспользоваться преимуществами и ресурсами Интернета. Бизнесмены и государственные организации используют Интернет в самых различных целях - включая обмен электронной почтой, распространение информации среди заинтересованных лиц и проведение исследований. Многие организации сегодня присоединяют существующие локальные сети к Интернету , чтобы рабочие станции этих ЛВС могли получить прямой доступ к сервисам Интернета.

Присоединение к Интернету может дать огромные преимущества, хотя при этом нужно серьезно учесть вопросы, связанные с безопасностью соединения. Существуют достаточно серьезные риски безопасности, связанные с Интернетом, которые зачастую являются неочевидными для пользователей-новичков. В частности, в мире наблюдается деятельность злоумышленников, при этом имеется много уязвимых мест, которые могут ее облегчить. Действия злоумышленников трудно предсказать и порой ее бывает трудно обнаружить и прекратить. Многие организации уже потеряли много времени и понесли значительные финансовые потери из-за деятельности злоумышленников; некоторым организациям был нанесен урон их репутации, когда стало известно о проникновениях в их сети.

Эта публикация будет рассматривать вопросы, связанные с безопасностью, которые нужно учесть как организациям, собирающимся присоединиться к Интернету , так и организациям, уже присоединенным к Интернету. В частности, это документ подробно рассматривает брандмауэры для Интернета, как один из механизмов и методов, используемых для защиты внутренних сетей от угроз, связанных с Интернетом. Этот документ рекомендует организациям использовать технологию брандмауэров и другие, связанные с ними, средства, для фильтрации соединений и управления доступом в сети.

Цель

Цель этого документа - объяснить, как работают брандмауэры, и какие шаги необходимы для их реализации. Пользователи могут использовать это документ как помощь при проектировании или приобретении брандмауэра.

Для кого написана эта книга

В-основном, эта публикация для технических администраторов, то есть для тех, кто может отвечать за реализацию или поддержание соединений с Интернетом. Она также будет полезна и для другого руководящего состава, кто хочет узнать больше о безопасности соединения с Интернетом.

Предполагается знание некоторых основ в областях компьютерной безопасности и сетей передачи данных. Тем не менее, этот документ является введением; более детальная информация о бехопасности в Интернете и брандмауэрах может быть найдена в литературе, указанной в библиографии.

Структура документа

Этот документ начинается с обзора Интернета и его основных сервисов. Детально описываются проблемы безопасности, связанные с Интернетом, связанные с различными сервисами TCP/IP, а также другие факторы, которые приводят к небезопасности работы в Интернете. Глава 2 описывает брандмауэры, их преимущества и недостатки, и после этого, различные компоненты брандмауэра, включая средства усиленной аутентификации и политику сетевого доступа. Глава 3 описывает различные конфигурации брандмауэров, которые иллюстрируют, как компоненты брандмауэра соединяются друг с другом, и могут быть использованы для реализации различных политик. Глава 4 рассматривает вопросы надзора, административные вопросы и другие действия, которые должны предпринять организации для защиты своих систем, присоединенных к Интернету. Приложение А содержит список литературы и других источников инфомации о брандмауэрах и безопасности в Интернете. Приложение В содержит набор часто задаваемых вопросов о брандмауэрах, который доступен в режиме online.

Терминология

Интернетовские брандмауэры часто называются в литературе безопасными Интернетовскими шлюзами. Этот документ использует термин брандмауэр для обозначения безопасного Интернетовского шлюза.

Брандмауэр, согласно данному документу, включает ряд элементов, таких как политика, внесение изменений в структуру сети, а также технические средства и организационные меры. Этот документ будет использовать термин система брандмауэра для обозначения хостов или маршрутизаторов, реализующих брандмауэр.

Сеть, защищаемая брандмауэром, называется защищенной подсетью или защищенной ЛВС.

Некоторые люди не могут понять, следует ли рассматривать протоколы TCP/IP как протоколы или как сервисы. Можно, например, доказывать, что TELNET является протоколом, сервисом или командой. Там, где это нужно, в документе используется термин протокол, в остальных случаях используется термин сервис.

В этом документе прикладными шлюзами называются ряд систем брандмауэров в противоположность хостам-бастионам.

Насколько это возможно, этот документ избегает использования таких терминов, как хакер и кракер, и использует вместо этого менее тендециозные термины злоумышленник и атакующий.

Предыстория

Интернет стал жизненно необходимой и постоянно растущей сетью, которая изменила образ жизнедеятельности многих людей и организаций. Тем не менее, из-за Интернета возникло много серьезных проблем с безопасностью. Многие организации были атакованы или зондированы злоумышленниками( Злоумышленники часто проверяют сети организаций на возможность проникновения в них путем методического сканирования систем в них на наличие уязвимых мест. Злоумышленники часто используют средства автоматического зондирования, то есть программы, которые сканируют все хосты, присоединенные к сети организации. Эта деятельность называется иногда зондирование сети организации ) что привело к большим потерям во времени и ущербу репутации. В некоторых случаях, организации вынуждены были временно отсоединиться от Интернета, и потратить значительные средства для решения возникших проблем с конфигурацией хостов и сети. Сети организаций, которые неосведомлены или игнорируют эти проблемы, подвергают себя большому риску быть атакованными сетевыми злоумышленниками. Даже те организации, в которых безопасности уделяется внимание, могут подвергаться риску из-за появления новых уязвимых мест в сетевом программном обеспечении или упорства некоторых злоумышленников.

Данное положение дел сложилось по ряду причин. Одной из основных причин может быть то, что при разработке Интернет требования безопасности не учитывались, так как гланым требованием при реализации Интернета было требование удобства при обмене информацией при проведении научных исследований. Тем не менее, феноменальный успех Интернета в сочетании с появлением большого числа категорий пользователей , включая пользователей , у которых отсутствует понятие этики, усугубило существующие недостатки в обеспечении безопасности до такой степени, что сети, открытые для доступа со стороны Интернета, стали подвергаться риску проникновений в них и нанесения им разрушений. Другими причинами являются следуюшие:

  • уязвимость сервисов TCP/IP - ряд сервисов TCP/IP являются небезопасными и могут быть скомпрометированы умными злоумышленниками; сервисы, использующиеся в ЛВС для улучшения управления сетью, особенно уязвимы
  • легкость наблюдения за каналами и маскарада - большинство траффика Интернета незашифровано; электронная почта, пароли и передаваемые файлы могут быть перехвачены, используя легкодоступные программы, затем злоумышленники могут использовать пароли для проникновения в системы
  • отсутствие политики - многие сети могут быть сконфигурированы по незнанию таким образом, что будут позволять доступ к ним со стороны Интернета, не подозревая при этом о возможных злоупотреблениях этим; многие сети допускают использование большего числа сервисов TCP/IP, чем это требуется для деятельности их организации, и не пытаются ограничить доступ к информации об их компьютерах, которая может помочь злоумышленникам проникнуть в сеть
  • сложность конфигурирования - средства управления доступом в хостах зачастую являются сложными в настройке и контроле за ними; неправильно сконфигурированные средства часто приводят к неавторизованному доступу.

Решение

К счастью, существуют простые и надежные решения, которые могут быть использованы для улучшения безопасности сети организации. Система брандмауэра является одним из способов, который доказал свою высокую эффективность при повышении общей безопасности сети. Система брандмауэра - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом и политики доступа, определяющей правила их работы. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации вместо паролей. Кроме того, брандмауэр может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервсиы TCP/IP, или обеспечить другие меры безопасности. Хорошо сконфигурированная система брандмауэра может выполнять роль пресс-службы организации и помочь сформировать у пользователей Интернета хорошее впечатление об организации.

Самой простой политикой сетевого доступа, которая может быть реализована с помощью брандмауэра, является предоставление доступа от внутренних к внешним системам и запрет, полный или частичный, доступа от внешних к внутренним системам. Но использование брандмауэра не должно позволять администраторам забыть о необходимости обеспечения безопасности отдельных систем. Существует большое число средств для системных администраторов, позволяющих повысить безопасность систем и обеспечить улучшыенные возможности по протоколированию. Такие средства могут проверять пароли, журналы с информацией о соединениях, обнаруживать изменения системных файлов или обеспечивать другие меры безопасности, которые помогут администраторам обнаружить деятельность злоумышленников и проникновения в их системы.

Рекомендации авторов

Мы рекомендуем организациям перед присоединением к Интернету разработать политику, которая бы ясно указывала, какие сервисы Интернета будут использоваться, и как они будут использоваться. Эта политика должна быть простой, четкой и понятной, со встроенными механизмами по ее изменению. Организации должны рассмотреть возможность использования систем брандмауэров как часть плана по реализации этой политики. (Образец такой политики приведен в приложении). Также рекомендуется использовать меры усиленной аутентификации: смарткарты или другие механизмы одноразовых паролей как составную часть брандмауэров при аутентификации соединений с системами сети.

Вперед

Размещение рекламы — тел. +7 495 4119920, ICQ 232284597

Подписка на новости IT-портала CITForum.ru
(библиотека, CITKIT.ru, CitCity)

Новые публикации:

24 декабря

CITKIT.ru:

  • Новогодние поздравления
  • Сергей Кузнецов. Цикл Операционные системы: Ностальгия по будущему:

  • Алексей Федорчук. OpenSolaris 2008.11 Release

  • Сергей Голубев:

  • Евгений Чайкин aka StraNNik (Блогометки):

    17 декабря

  • С.Д.Кузнецов. Базы данных. Вводный курс

    10 декабря

    CITKIT.ru:

  • OpenSolaris 2008.11 Release

  • Альтернативные ОС: две грустные истории (С.Кузнецов)
  • Nokia N810 — доведение до ума
  • CitCity:

  • Платформа 2009: заоблачные перспективы Microsoft

    4 декабря

  • Лекция С.Д.Кузнецова Понятие модели данных. Обзор разновидностей моделей данных

    CITKIT.ru:

  • OpenSolaris 2008.11 Release. Первые впечатления

  • Linux vs FreeBSD: продолжим "Священные войны"?

  • Nokia N810 as is

  • Индульгенция для FOSS

  • Друзья СПО'2008

    26 ноября

  • Нечеткое сравнение коллекций: семантический и алгоритмический аспекты

    CitCity:

    CITKIT.ru:

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • 19 ноября

  • Проблемы экономики производства крупных программных продуктов

  • Язык модификации данных формата XML функциональными методами

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Заметки к книге:

  • FreeBSD: монтирование сменных устройств и механизм HAL
  • Текстовый редактор ee

    12 ноября

  • Правило пяти минут двадцать лет спустя, и как флэш-память изменяет правила (Гоц Грейф, перевод: Сергей Кузнецов)

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:
  • OSS в России: взгляд правоведа (В.Житомирский)

  • Новая статья из цикла С.Голубева "Железный марш":

    29 октября

  • О некоторых задачах обратной инженерии

  • Веб-сервисы и Ruby

  • Тестирование web-приложений с помощью Ruby

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

  • PuppyRus Linux - беседа с разработчиком (С.Голубев)

  • Сергей Кузнецов. Заметка не про Linux

    22 октября

  • Обзор методов описания встраиваемой аппаратуры и построения инструментария кросс-разработки

    CITKIT.ru:

  • Сергей Кузнецов. Почему я равнодушен к Linux

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • Что надо иметь
    3. Базовые познания

    CitCity:

  • Управление IT-инфраструктурой на основе продуктов Microsoft

    15 октября

  • Методы бикластеризации для анализа интернет-данных

    CitCity:

  • Разъемы на ноутбуках: что они дают и зачем их так много?
  • AMD Puma и Intel Centrino 2: кто лучше?

    CITKIT.ru:

  • Новый цикл статей С.Голубева
    Железный марш:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    8 октября

  • Автоматизация тестирования web-приложений, основанных на скриптовых языках
  • Опыт применения технологии Azov для тестирования библиотеки Qt3

    Обзоры журнала Computer:

  • SOA с гарантией качества
  • Пикоджоуль ватт бережет
  • ICT и всемирное развитие

    CitCity:

  • Пиррова победа корпорации Microsoft

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Статья из архива:

  • Я живу в FreeBSD (Вадим Колонцов)

    Новые Блогометки:

  • Перекройка шаблона Blogger или N шагов к настоящему
  • Blogger. Comment style
  • Screenie или глянцевый снимок экрана

    2 октября

    CITKIT.ru:

  • Сага о FreeBSD (А. Федорчук)

    Zenwalk: пакет недели

  • Банинг — интеллектуальное развлечение (С.Голубев)

    CitCity:

    25 сентября

  • Клермонтский отчет об исследованиях в области баз данных

    CITKIT.ru:

  • Пользователям просьба не беспокоиться... (В.Попов)

  • Снова про ZFS: диск хорошо, а два лучше
  • Командная оболочка tcsh (А.Федорчук)

    Zenwalk: пакет недели

    17 сентября

  • T2C: технология автоматизированной разработки тестов базовой функциональности программных интерфейсов
  • Технология Azov автоматизации массового создания тестов работоспособности

    CITKIT.ru:

  • FreeBSD: ZFS vs UFS, и обе-две — против всех (А.Федорчук)

    Zenwalk: пакет недели

  • Дачнет — практика без теории (С.Голубев)

    10 сентября

  • За чем следить и чем управлять при работе приложений с Oracle
  • Планировщик заданий в Oracle
    (В.Пржиялковский)

    CITKIT.ru:

  • Microsoft: ответный "боян" (С.Голубев)

  • Причуды симбиоза, или снова "сделай сам" (В.Попов)

  • Файловые системы современного Linux'а: последнее тестирование
  • Zsh. Введение и обзор возможностей
    (А.Федорчук)

    Описания пакетов Zenwalk: Zsh, Thunar, Thunar-bulk-rename, Xfce4-places-plugin, Xfce4-fsguard-plugin

    Блогометки:

  • Google Chrome
  • Лончер для ASUS Eee PC 701

    3 сентября

    CITKIT.ru:

  • Заметки о ядре (А.Федорчук):

    Добавлены описания пакетов Zenwalk: Galculator, Screenshot, Gnumeric, Pidgin

    В дискуссинном клубе:

  • И еще о Википедии и Google Knol

  • Лекция для начинающего линуксоида (С.Голубев)

    26 августа

  • Транзакционная память (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Открыт новый проект Zenwalk: пакет недели

  • Статья Текстовые процессоры и их быстродействие: конец еще одной легенды?

    21 августа

    CITKIT.ru:

  • Почему школам следует использовать только свободные программы (Ричард Столлман)
  • Беседа Сергея Голубева с учителем В.В.Михайловым

  • Википедия или Гуглезнание? Приглашение к обсуждению (Алексей Федорчук)
  • Народная энциклопедия от Google (StraNNik)

  • Обзор Mandriva 2009.0 Beta 1 Thornicrofti
  • Новичок в Линукс: Оптимизируем Mandriva 2008.1

  • Книга Zenwalk. Приобщение к Linux:

    13 августа

    CitCity:

  • Мирный Atom на службе человеку. Обзор платы Intel D945GCLF с интегрированным процессором
  • Обзор процессоров Intel Atom 230 на ядре Diamondville

  • iPhone - год спустя. Скоро и в России?

    CITKIT.ru:

  • Интермедия 3.4. GRUB: установка и настройка (из книги Zenwalk. Приобщение к Linux)

    6 августа

  • СУБД с хранением данных по столбцами и по строкам: насколько они отличаются в действительности? (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Интермедия 2.2. Что неплохо знать для начала (из книги Zenwalk. Приобщение к Linux)

  • И снова про шрифты в Иксах (А.Федорчук)

  • 20 самых быстрых и простых оконных менеджеров для Linux

  • Дело о трех миллиардах (С.Голубев)

    30 июля

  • OLTP в Зазеркалье (Пересказ: С. Кузнецов)

    CitCity:

  • Будущее BI в облаках?
  • Тиражные приложения и заказная разработка. Преимущества для заказчика
  • Дискуссия со сторонниками заказной разработки

    CITKIT.ru:

  • Новые главы книги Zenwalk. Приобщение к Linux:
  • Глава 8. Пакеты: средства установки, системы управления, системы построения
  • Глава 9. Zenwalk: репозитории, пакеты, методы установки

    23 июля

    CITKIT.ru:

  • Все против всех. 64 vs 32, Intel vs AMD, tmpfs vs ext3
  • Две головы от Intel

  • Zenwalk: обзор штатных приложений (глава из книги "Zenwalk. Приобщение к Linux")

  • Нормально, Григорий...

    16 июля

    Обзоры журнала Computer:

  • Перспективы и проблемы программной инженерии в XXI веке
  • Большие хлопоты с большими объемами данных
  • Перспективы наноэлектроники

    CITKIT.ru:

  • Интермедия о лицензиях (А.Федорчук. "Zenwalk. Приобщение к Linux")

  • Есть ли будущее у KDE?

  • Linux в школе: альтернативный вариант в задачах

  • Шифр (приключения агента Никодима)

    10 июля

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия вступительная. Linux или GNU/Linux? Как вас теперь называть?
  • Глава 5. Среда Xfce
  • Глава 6. Xfce: приложения и плагины

  • ZUR (Zenwalk User Repository) FAQ

    2 июля

  • Персистентность данных в объектно-ориентированных приложениях (С. Кузнецов)

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия 1.2. Дорога к Zenwalk'у. Период бури и натиска
  • Интермедия 3.3. Немного о Linux'е и "железе"
  • Глава 4. Настройка: инструментами и руками
  • Интермедия 4.1. Zenpanel и конфиги: поиски корреляции

  • Интервью с Жан-Филиппом Гийоменом, создателем дистрибутива Zenwalk

  • Linux в школе: первые итоги (С. Голубев)

    25 июня

    CITKIT.ru:

  • Zenwalk. Приобщение к Linux (А. Федорчук)

  • Логика и риторика (С.Голубев)

  • Технология Tru64 AdvFS

  • Ханс Райзер предлагает отвести полицейских к телу Нины

    18 июня

  • Проекты по управлению данными в Google (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • ОС и поддержка "железа": мифы и реальность (А. Федорчук)

  • Linux в школе: другие дистрибутивы

  • Пинок (С. Голубев)

    4 июня

  • Ландшафт области управления данными: аналитический обзор (С. Кузнецов)

    CITKIT.ru:

  • Linux в школе: слово заинтересованным лицам

  • SlackBuild: пакеты своими руками

  • Linux от компании Novell. Установка и обзор openSUSE Linux

    Все публикации >>>




  • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 4119920, ICQ 232284597 Пресс-релизы — pr@citcity.ru
    Послать комментарий
    Информация для авторов
    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2007 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...