El muro contrafuegos

El muro contrafuegos es un sistema o la combinación de los sistemas, que permiten dividir la red en dos o más partes y realizar el juego gobernaba, las condiciones que determinan del paso de los paquetes de una parte en otra (cm de fig. 1). Como regla, esta frontera es pasada entre la red local de la empresa e INTERNET, aunque se puede pasarla y dentro de la red local de la empresa. El muro contrafuegos deja pasar así a través todo el tráfico. Para cada paquete que pasa el muro contrafuegos toma la decisión de dejarlo pasar o arrojar. Para que el muro contrafuegos pueda aceptar estas decisiones, tiene que determinar el juego gobernaba. Como estas reglas son descritas que parámetros se usan durante su descripción se tratará más abajo.

Como regla, los muros contrafuegos funcionan en cualquiera UNIX a la plataforma - más a menudo esto BSDI, SunOS, AIX, IRIX etc., es más raro - DOS, VMS, WNT, Windows NT. De las plataformas duras se encuentran INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, la familia RISC de los procesadores R4400-R5000. Además de Ethernet, muchos muros contrafuegos apoyan FDDI, Token Ring, 100Base-T, 100VG-AnyLan, los mecanismos distintos en serie. Las exigencias a la memoria operativa y el volumen del disco duro dependen de la cantidad de los coches en el segmento protegido de la red, pero más a menudo se recomienda tener no menos 32Мб el RAM y 500 Mb sobre el disco duro.

Como regla, en el sistema de operaciones, bajo que dirección trabaja el muro contrafuegos son hechos los cambios, que objetivo - el aumento de la defensa del muro contrafuegos. Estos cambios tocan el núcleo de la SO, así como los ficheros correspondientes de la configuración. Sobre el muro contrafuegos no está permitido de tener las cuentas de los usuarios (entonces los agujeros potenciales), solamente la cuenta del administrador. Algunos muros contrafuegos trabajan solamente en однопользовательском el régimen. Muchos muros contrafuegos tienen el sistema de la comprobación de la integridad de los códigos de programa. Además las sumas de control de códigos de programa están en el lugar protegido y son igualados a la salida del programa para evitar la sustitución del software.

Se puede dividir todos los muros contrafuegos en tres tipos:

  • Los filtros de paquete (packet filter)
  • Del servidor del nivel aplicado (application gateways)
  • Del servidor del nivel de la unión (circuit gateways)
Todos los tipos pueden al mismo tiempo encontrarse en un muro contrafuegos.

Los filtros de paquete

Los muros contrafuegos con los filtros de paquete toman la decisión de aquel, dejar pasar el paquete o arrojar, viendo las IP-direcciones, las banderas o los números TCP de los puertos en el encabezamiento de este paquete. La IP-dirección y el número del puerto es una información de los niveles de red y de transporte respectivamente, pero los filtros de paquete usan la información del nivel aplicado, porque todos los servicios estandartizados en TCP/IP se juntan a un cierto número del puerto.

Para la descripción de las reglas del paso de los paquetes se componen las tablas del tipo:

La acción El tipo del paquete La источн dirección. El puerto источн. La назнач dirección. El puerto назнач. Las banderas
Campo "la acción" puede aceptar los significados dejar pasar o arrojar.
El tipo del paquete - TCP, UDP o ICMP.
Las banderas - las banderas del encabezamiento el IP-pa-salmón.
Campos "el puerto de la fuente" y "el puerto del destino" tienen el sentido solamente para TCP y UDP de los paquetes.

Del servidor del nivel aplicado los Muros contrafuegos con los servidores del nivel aplicado usan el servidor de los servicios concretos - TELNET, FTP etc. (proxy server), puesto en marcha en el muro contrafuegos y que dejan pasar a través todo el tráfico que se refiere al servicio dado. Así, entre el cliente y el servidor se forman dos uniones: del cliente hasta el muro contrafuegos y del muro contrafuegos hasta el destino. El gran surtido de los servidores apoyados se diferencia para cada muro contrafuegos concreto, sin embargo más a menudo se encuentran el servidor para los servicios siguientes:

  • Los terminales (Telnet, Rlogin)
  • La transmisión de los ficheros (Ftp)
  • El correo electrónico (SMTP, POP3)
  • WWW (HTTP)
  • Gopher
  • Wais
  • X Window System (X11)
  • La impresora
  • Rsh
  • Finger
  • Las novedades (NNTP) etc.
El uso de los servidores del nivel aplicado permite decidir la tarea importante - esconder de los usuarios exteriores la estructura de la red local, incluso la información en los encabezamientos de los paquetes postales o el servicio de los nombres de alto horno (DNS). Otra cualidad positiva es la posibilidad аутентификации en el nivel de usuario (аутентификация - el proceso de la confirmación de la identidad de algo; es en este caso el proceso de la confirmación, si realmente el usuario es aquel, por quien él se da). Un poco más detalladamente sobre аутентификации será dicho más abajo. Durante la descripción de las reglas del acceso se usan tales parámetros como el nombre del servicio, el nombre del usuario, admisible la banda temporal del uso del servicio, los ordenadores, de que es posible usar el servicio, el esquema аутентификации. Del servidor de las actas del nivel aplicado permiten abastecer un más alto nivel de la defensa - la interacción con exterior los mundos se realiza a través del número pequeño de los programas aplicados por completo que controlan todo el tráfico entrante y que sale.

Del servidor del nivel de la unión el Servidor del nivel de la unión presenta транслятор TCP las uniones. El usuario forma la unión con un cierto puerto sobre el muro contrafuegos, después de que último hace la unión con el destino por otra parte del muro contrafuegos. Durante la sesión este транслятор copia байты en las dos direcciones, funcionando como el cable. Como regla, el punto del destino es dado de antemano, mientras que las fuentes puede ser mucho (la unión del tipo uno - mucho). Usando los puertos distintos, se puede crear las configuraciones distintas. Tal tipo del servidor permite crear транслятор para cualquier servicio, determinado por el usuario que se basa en TCP, realizar el control del acceso a este servicio, la recogida de la estadística por su uso.

Las características comparativas son más abajo llevadas las ventajas básicas y las faltas de los filtros de paquete y los servidores del nivel aplicado relativamente uno a otro. A las cualidades positivas de los filtros de paquete debe llevar los siguientes:

  • El coste relativamente bajo
  • La flexibilidad en la definición de las reglas de la filtración
  • La demora pequeña al paso de los paquetes
Las faltas cerca del tipo dado de los muros contrafuegos los siguientes:
  • La red local es visible (маршрутизируется) de INTERNET
  • Las reglas de la filtración de los paquetes son difíciles en la descripción, son necesarios los conocimientos muy buenos de las tecnologías TCP y UDP
  • A la infracción de la capacidad de trabajo del muro contrafuegos todos los ordenadores detrás de él se hacen por completo no protegido o inaccesible
  • аутентификацию con el uso de la IP-dirección es posible engañar por el uso Ip-spufinga (el sistema que ataca descubre por otra, usando su IP-dirección)
  • Falta аутентификация en el nivel de usuario
A las ventajas de los servidores del nivel aplicado debe llevar los siguientes:
  • La red local es invisible de INTERNET
  • A la infracción de la capacidad de trabajo del muro contrafuegos los paquetes dejan de pasar a través del muro contrafuegos, no surge de ese modo las amenazas para los coches, protegidos por ello
  • La defensa a nivel de las aplicaciones permite realizar una gran cantidad de las comprobaciones adicionales, bajando de ese modo la probabilidad de la fractura con el uso de los agujeros en el software
  • аутентификация en el nivel de usuario puede ser realizado el sistema de la prevención inmediata sobre la tentativa de la fractura.
Las faltas de este tipo son:
  • Más alto, que para los filtros de paquete el coste;
  • La imposibilidad el uso de las actas RPC y UDP;
  • La productividad más abajo, que para los filtros de paquete.

Las redes virtuales la Serie de los muros contrafuegos permite también organizar las redes virtuales corporativas (Virtual Private Network), e.d. unir algunas redes locales incluidas en INTERNET en una red virtual. VPN permiten organizar la unión transparente para los usuarios de las redes locales, conservando la confidencialidad y la integridad de la información entregada por medio de la cifración. Además con la transmisión por INTERNET son cifrados no sólo los datos del usuario, sino también la información de red - las direcciones de red, el número de los puertos etc.

Los esquemas de la conexión

Para la conexión de los muros contrafuegos se usan los esquemas distintos. El muro contrafuegos puede usarse en calidad de exterior роутера, usando los tipos apoyados de los mecanismos para la conexión a la red exterior (cm de fig. 1). Se usa A veces el esquema representado нарис 3, sin embargo usar ella debe solamente en caso extremo, ya que es necesario el ajuste muy exacto роутеров y las faltas pequeñas pueden formar los agujeros serios en la defensa.

Si el muro contrafuegos puede apoyar dos Ethernet de la interfaz (así llamado dual-homed el muro contrafuegos), más a menudo la conexión se realiza a través del enrutador exterior (cm de fig. 4).

Además entre exterior роутером y el muro contrafuegos hay solamente una vía, por que va todo el tráfico. Habitualmente роутер se dispone así que el muro contrafuegos es el único coche visto por afuera. Este esquema es más preferible desde el punto de vista de la seguridad y seguridad de la defensa. Otro esquema es presentado en fig. 5.

Además por el muro contrafuegos se defiende solamente una подсеть de alguno que salen de роутера. En la esfera, no protegida por el muro contrafuegos, disponen a menudo los servidores, que deben ser vistos por afuera (WWW, FTP etc.). Algunos muros contrafuegos invitan a son instalados por estos del servidor sobre él mismo - la decisión ni mucho menos mejor desde el punto de vista de la carga del coche y la seguridad del muro contrafuegos Hay unas decisiones (cm de fig. 6), que permiten organizar para los servidores, que deben ser vistos por afuera, la tercera red; esto permite abastecer el control del acceso a ellos, conservando al mismo tiempo el nivel necesario de la defensa de los coches en la red básica.

Además bastante atención es concedida que los usuarios de la red interior no puedan casualmente o premeditadamente abrir el agujero en la red local a través de estos del servidor. Para el aumento del nivel de la seguridad es posible usar en una red algunos muros contrafuegos, que están uno tras otro.

La administración la Ligereza de la administración es un de los aspectos claves en la creación del sistema eficaz y seguro de la defensa. Las faltas a la definición de las reglas del acceso pueden formar el agujero, a través de que puede ser forzado el sistema. Por eso en la mayoría de los muros contrafuegos son realizadas las utilidades de servicio que facilitan las introducciones, la desaparición, la presentación del juego de las reglas. La presencia de estas utilidades permite también hacer las comprobaciones a las faltas sintácticas o lógicas a la introducción o la redacción de las reglas. Como regla, estas utilidades permiten ver la información agrupada por que o criterios - por ejemplo, todo que se refiere al usuario concreto o el servicio.

Los sistemas de la recogida de la estadística y la prevención del ataque Todavía un componente importante del muro contrafuegos es el sistema de la recogida de la estadística y la prevención del ataque. La información sobre todos los acontecimientos - las renuncias que entran, las uniones que salen, el número de los bytes entregados, los servicios que se usaban, el tiempo de la unión etc. - se acumula en los ficheros de la estadística. Muchos muros contrafuegos permiten son flexibles determinar los acontecimientos, que están sujetos la protocolización, describir las acciones del muro contrafuegos a los ataques o las tentativas del acceso no autorizado es puede ser el mensaje a la consola, la misiva postal al administrador del sistema etc. la conclusión Inmediata del mensaje de la tentativa de la fractura a la pantalla de la consola o el administrador puede ayudar, si la tentativa se encontraba exitosa y que ataca ha penentrado ya en el sistema. En la composición de muchos muros contrafuegos entran los generadores de los informes, los empleados para el tratamiento de la estadística. Permiten recoger la estadística por el uso de los recursos por los usuarios concretos, por el uso de los servicios, las renuncias, las fuentes, de que eran pasadas las tentativas del acceso no autorizado etc.

Autentifikatsija Autentifikatsija es un de los componentes más importantes de los muros contrafuegos. Antes de al usuario le será concedido el derecho de aprovecharse de uno u otro servicio, es necesario persuadirse que él realmente aquel, por quien él se da (se supone que este servicio para el usuario dado es permitido: el proceso de la definición, que servicios son permitidos se llama en la autorización. La autorización es examinada habitualmente en el contexto аутентификации - tan pronto como el usuario аутентифицирован, para él están determinados los servicios, permitidos ello,). A la recepción de la interpelación por el uso del servicio en nombre de usuario cualquiera, el muro contrafuegos comprueba, que modo аутентификации es determinado para el usuario dado y transmite la dirección al servidor аутентификации. Después de la recepción de la respuesta afirmativa del servidor аутентификации el muro contrafuegos forma la unión, pedida por el usuario. Como regla, se usa el principio que ha recibido el nombre "que él sabe" - e.d. El usuario sabe alguna palabra secreta, que él manda al servidor аутентификации en respuesta a su interpelación. Un de los esquemas аутентификации es el uso estandartizado UNIX de las consignas. Este esquema es más vulnerable desde el punto de vista de la seguridad - la consigna puede ser interceptada y usada por otra persona. Más a menudo se usan los esquemas con el uso de las consignas desechables. Hasta siendo interceptado, esta consigna será inútil al registro siguiente, а recibir la consigna siguiente de anterior es extremadamente el problema arduo. Para la generación de las consignas desechables se usan de programa, así como los generadores duros - último presentan los mecanismos puestos en слот del ordenador. El conocimiento de la palabra secreta es necesario al usuario para la reducción de este mecanismo en la acción. Una serie de los muros contrafuegos apoyan Kerberos - un de los métodos más difundidos аутентификации. Algunos esquemas exigen el cambio del software de clientes - el paso, que ni mucho menos siempre es aceptable. Como regla, todos los muros contrafuegos comerciales apoyan algunos esquemas distintos, permitiendo al administrador hacer la elección más aceptable para las condiciones.



Яндекс цитирования

Subscribe Subscribe.Ru
The Family Tree of Family