Межсетевые экраны

ОГЛАВЛЕНИЕ
TOC \o "1-3" \h \z \u ВВЕДЕНИЕ31.ОБЩИЕ СВЕДЕНИЯ О МЕЖСЕТЕВЫХ ЭКРАНАХ41.1 Понятие межсетевого экрана41.2 Разновидности межсетевых экранов81.3 Возможности межсетевых экранов91.4 Принцип работы межсетевых экранов101.5 Типы МСЭ112.КЛАССИФИКАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ133.СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕЖСЕТЕВЫХ ЭКРАНОВ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННО-УПРАВЛЯЮЩИХ СИСТЕМАХ20ЗАКЛЮЧЕНИЕ24
СПИСОК ЛИТЕРАТУРЫ25

ВВЕДЕНИЕТакие устройства, как межсетевые экраны, предназначенные для обеспечения безопасности сети, осуществляющее мониторинг входящего и исходящего сетевого трафика и на основании установленного объёма правил безопасности формирует решение: разрешить или запретить конкретный трафик.
Межсетевые экраны осуществляются в качестве первой линии защиты сетей на протяжении уже более 20 лет. Они образуют барьер между защищенными, контролируемыми внутренними сетями, у которых есть доверие, и ненадежными внешними сетями, такими как Интернет.
Межсетевые экраны бывают аппаратными, программными или смешанного типа.
Актуальность работы обусловлена важностью значения межсетевых экранов для защиты сети от манипуляций, несанкционированного доступа и шпионажа. Благодаря возможности распределять права доступа, межсетевой экран защищает от несанкционированного доступа как изнутри сети, так и извне.
Целью работы является изучение межсетевых экранов. Для выполнения поставленной цели поставим следующие задачи:
Ознакомиться с общими сведениями о межсетевых экранах
Рассмотреть классификацию межсетевых экранов
Провести сравнительный анализ межсетевых экранов в распределенных информационно-управляющих системах

ОБЩИЕ СВЕДЕНИЯ О МЕЖСЕТЕВЫХ ЭКРАНАХ
1.1 Понятие межсетевого экрана
Межсетевой экран либо же сетевой экран — промышленность аппаратных или программных средств, организующая надзор и фильтрацию проходящих через неё сетевых пакетов на разных уровнях модели OSI сообразно с назначенными принципами.

Рисунок 1.1 Место нахождения сетевого экрана в сети
Головной целью сетевого экрана приходится оборона компьютерных сетей либо же отдельных узлов от несанкционированного доступа. В свою очередь сетевые экраны нередко именуют фильтрами, поскольку их главная цель — не пропускать (фильтровать) пакеты, отклоняющиеся от критериев, назначенных в конфигурации (рис.1.2).
Межсетевой экран называется несколькими терминами. Познакомимся с ними.
Брандмауэр (нем. Brandmauer) — извлеченный из немецкого языка термин, приходящий альтернативой английского firewall в его оригинальном понятии (ограждение, разделяющее смежные конструкции при пожаре). Занимательно, что в сфере компьютерных технологий в немецком языке употребляется слово «firewall».
Файрвол, файервол, фаервол — образовано транслитерацией английского термина firewall, равноценного понятию межсетевого экрана, на сегодняшний день не является официальным заимствованным словом в русском языке.

Рисунок 1.2 Типовое размещение МЭ в корпоративной сети
Существует пара выразительно различимых типов межсетевых экранов, и по сей день используемых в нынешнем интернете. Первый тип законнее называть маршрутизатор с фильтрацией пакетов. Данный тип межсетевого экрана работает на машине, подключенной к нескольким сетям и задействует к каждому пакету сумму правил, назначающую переправлять этот пакет либо блокировать. Следующий тип, значимый как прокси сервер, формирован в виде демонов, осуществляющих аутентификацию и пересылку пакетов, достижимо на машине с серией сетевых подключений, в которых пересылка пакетов в ядре отключена.
Порой такая пара типов межсетевых экранов работает вместе, так что только конкретной машине (известной как защитный хост (bastion host)) разрешено отправлять пакеты через фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы выполняют работу на защитном хосте, что обыденно безопаснее, чем простые механизмы аутентификации.
Межсетевые экраны пользуются различным видом и размером, и временами это просто комплект некоторых различных компьютеров. Тут межсетевой экран означает компьютер или компьютеры между доверенными сетями (например, внутренними) и недоверенными (например, Интернетом), проверяющие полностью проходящий между ними трафик. Результативные межсетевые экраны владеют следующими характеристиками:
Каждые соединения обязаны проходить через межсетевой экран. Его эффективность намного упадёт, если существует противоположный сетевой маршрут, — несанкционированный трафик станет передаваться в обход межсетевого экрана.
Межсетевой экран пропускает лишь авторизованный трафик. Если он не имеет возможности четко дифференцировать авторизованный и неавторизованный трафик, либо он запрограммирован на пропуск угрожающих или ненужных соединений, то выгода его значительно падает. При нарушении или перегрузке межсетевой экран обязан постоянно переходить в статус «отказ» или закрытое состояние. Разумнее прекратить соединения, нежели покинуть системы незащищенными.
Межсетевой экран должен бороться с атаками на самого себя, потому что для его защиты не монтируются дополнительные устройства.
Межсетевой экран можно сравнить с замком на входной двери. Он может быть самым убедительным во вселенной, но, если дверь не затворена, мошенники имеют возможность легко проникнуть внутрь. Межсетевой экран охраняет сеть от несанкционированного доступа, как замок — проникновение в помещение. Смогли бы вы оставить дорогие вещи дома, зная, что замок на входной двери является ненадежным?
Межсетевой экран - это всего лишь часть головной архитектуры безопасности. При этом он имеет высокую значимость в структуре сети и, как любое другое устройство, несёт свои преимущества и недостатки.
Преимущества межсетевого экрана:
Межсетевые экраны - отличный приём реализации корпоративных политик безопасности. Его нужно конфигурировать на ограничение соединений едино мнению руководства по этому вопросу.
Межсетевые экраны лимитируют доступ к конкретным службам. Например, совместный доступ к веб-серверу может быть разрешен, а к telnet и прочим непубличным службам - заблокирован. Множество межсетевых экранов обеспечивает селективный доступ с помощью аутентификации.
Цель применения межсетевых экранов достаточно определена, значит, нет необходимости находить компромисс между безопасностью и удобством использования.
Межсетевые экраны - прекрасное средство аудита. При удовлетворительном объеме памяти на жестких дисках или при поддержке удаленного ведения журнала они имеют возможность занесения в журналы информации о всех проходящих трафиках.
Межсетевые экраны достаточно превосходными умениями по оповещению персонала об определенных событиях.
Недостатки межсетевых экранов:
Межсетевые экраны не осуществляют блокировку того, что было авторизовано. Они не запрещают установку простых соединений, санкционированных приложений, но, если приложения несут угрозу, межсетевой экран не способен остановить атаку, вменяя это соединение как авторизованное. Например, межсетевые экраны осуществляют прохождение электронной почты на почтовый сервер, но не могут обнаружить вирусы в сообщениях.
Эффективность межсетевых экранов обуславливается правилам, на следование которых они настроены. Правила не должны быть слишком лояльны.
Межсетевые экраны не могут прекратить атаки социального инжиниринга или атаки авторизованного пользователя, который специально и злонамеренно пользуется своим адресом.
Межсетевые экраны не противодействуют низкокачественным подходам к администрированию или неучтиво разработанным политикам безопасности.
Межсетевые не могут прекратить атаки, если трафик не проходит через них. [1]
Какие-то люди предвещали концовку эры межсетевых экранов, которые с тяжестью дифференцируют санкционированный и несанкционированный трафик приложений. Множество приложений, к примеру, средства мгновенного обмена сообщениями, обретают всё большую мобильность, и становятся совместимыми с деятельностью через различные порты. Получается, они могут работать в обход межсетевого экрана через порт, открытый для иной авторизованной службы. Кроме всего этого, все больше приложений предусматривают передачу трафика через другие авторизованные порты, доступные с наибольшей долей вероятности. К примеру, подведём такие популярные приложения как HTTP-Tunnel (www.http-tunnel.com) и SocksCap (www.socks.permeo.com). Кроме того, драгируются приложения, непосредственно предназначенные для обхода межсетевых экранов, например, приложение удаленного контроля над компьютерами GoToMyPC (www.gotomypc.com).
При этом межсетевые экраны тоже не опускают руки. Текущие релизы ПО от известнейших производителей заключают модернизированные средства по предотвращению вторжений и способности экранирования прикладного уровня. Данные межсетевые экраны обнаруживают и фильтруют несанкционированный трафик, к примеру, приложений по мгновенному обмену сообщениями, старающийся проскочить через порты, открытые для прочих санкционированных служб. Кроме того, нынче межсетевые экраны сопоставляют результаты функционирования с опубликованными стандартами протоколов и приметами разновидной активности (сопоставительно антивирусному ПО) для нахождения и осаждения атак, находящихся в передаваемых пакетах. Итак, они оказываются главным источником защиты сетей. При этом вдруг защиты приложений, обеспечиваемой межсетевым экраном, не хватает, либо она неспособна к правильному разграничению авторизованного и неавторизованного трафика, стоит рассматривать альтернативные компенсирующие методы безопасности. [2]
Межсетевым экраном может стать маршрутизатор, персональный компьютер, специально сконструированная машина либо же сумма узлов, специально сконфигурированная на оборону частной сети от протоколов и служб, которые имеют привычку умышленно злоупотреблять вне доверенной сети.
Метод защиты обусловлен именно от межсетевого экрана, также и от настроенных на нём политик и правил. По сей день эксплуатируются четыре технологии межсетевых экранов:
-Пакетные фильтры.
-Прикладные шлюзы.
-Шлюзы контурного уровня.
-Устройства адаптивной проверки пакетов. [3]
Перед тем как исследовать роли межсетевых экранов, изучим пакет протоколов контроля передачи и Интернета (TCP/IP).
TCP/IP организует метод передачи данных между компьютерами через сеть. Задача межсетевого экрана - ревизия передачи пакетов TCP/IP между узлами и сетями.
TCP/IP — это совокупность протоколов и приложений, осуществляющих индивидуальные функции относительно конкретных уровней модели взаимодействия открытых систем (OSI). TCP/IP организует самостоятельную передачу блоков данных через сеть в форме пакетов, и каждый уровень модели TCP/IP добавляет в пакет заголовок. В зависимости от работающей технологии межсетевой экран обрабатывает информацию, находящуюся в таких заголовках, в целях контроля доступа. Благо он сопровождает разграничение приложений как шлюзы приложений, тогда контроль доступа тоже будет происходить по самим данным, находящимся в теле пакета.
Контроль информационных потоков заключается в их фильтрации и преобразовании эквивалентно заданной суммой правил. Так как в современных МЭ фильтрация иногда осуществляется на неодинаковых уровнях эталонной модели взаимодействия открытых систем (OSI), МЭ комфортно представить в виде системы фильтров. Любой фильтр основываясь проходящими через него данными, выносит вердикт – пропустить далее, перебросить за экран, блокировать либо же преобразовать данные (рис.1.3).

Рисунок 1.3 Схема фильтрации в МЭ.
Присущей ролью МЭ назначается протоколирование информационного обмена. Проведение журналов регистрации дарует администратору обнаружить вредоносные или подозрительные действия, сбои в конфигурации МЭ и уточнить приговор об изменении правил МЭ.
1.2 Разновидности межсетевых экранов
Сетевые экраны распределяются на различные типы, относительно следующих характеристик:
Есть ли возможность у экрана обеспечить соединение между одним узлом и сетью, либо же между двумя, а также более различными сетями;
на каких уровнях сетевых протоколов разрабатывается контроль потока данных;
ведется ли слежка статуса активных соединений или нет.
Опираясь на охват подчиняемых потоков данных сетевые экраны также разбиваются на:
традиционный сетевой (или межсетевой) экран — программа (или присущая частица операционной системы) на шлюзе (сервере, который передает трафик между сетями) или решение механизма, ревизующие входящие и исходящие потоки данных между подключенными сетями.
персональный сетевой экран — программа, установленная на пользовательском компьютере и служащая для защиты от несанкционированного доступа лишь этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственно личным ресурсам.
Опираясь на уровень контроля доступа, рождается разделение на сетевые экраны, которые ведут работу на:
Сетевом уровне, во время фильтрации, осуществляемой на ядре адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, констатированных администратором;
сеансовом уровне (пользующийся славой как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, нередко используемых во враждебных вмешательствах — сканировании ресурсов, вскрытиях через неверные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
Уровне приложений, фильтрация на позиционировании анализа данных приложения, передаваемых внутри пакета. Данные типы экранов дают возможность блокировать передачу ненадежной и потенциально вредоносной информации на основании политик и настроек.
Частные решения, относящиеся к сетевым экранам уровня приложения, виднеются как прокси-серверы с какими-либо возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Умения прокси-сервера и многопротокольная специализация предоставляют фильтрацию значительно более гибкой, в отличие классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика). [4]
В зависимости от отслеживания активных соединений сетевые экраны бывают:
stateless (простая фильтрация), не отслеживающие текущие соединения (например, TCP), а фильтрующие поток данных исключительно на представлении статических правил;
stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее сражаться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Помимо этого, они организуют функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
1.3 Возможности межсетевых экранов
фильтрация доступа к заведомо незащищенным службам;
противодействие получению закрытой информации из защищенной подсети, а также инъекции в защищенную подсеть недостоверных данных с помощью уязвимых служб;
контроль доступа к узлам сети;
может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
регламентирование порядка доступа к сети;
оповещение о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
В ходе защитных ограничений могут быть ограничены какие-либо необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому, непосредственно настройка файрвола требует участия специалиста по сетевой безопасности. Иначе вред от неправильного конфигурирования может превысить пользу.
Также следует отметить, что использование файрвола повышает время отклика и понижает пропускную способность, так как фильтрация происходит не мгновенно.
1.4 Принцип работы межсетевых экранов
Фильтрация трафика осуществляется на основе ранее предусмотренных правил безопасности. Для этого формируется специальная таблица, в которую заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.
Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.
IP-адреса. Любое устройство, использующее протокол IP, владеет оригинальным адресом. У вас есть возможность задать какой-либо адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот — предоставить доступ лишь определенной области IP-адресов.
Порты. Это точки, которые позволяют приложениям вход к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Исходя из этого, мы создаём умение воспрепятствовать доступу к каким-либо приложениям и сервисам.
Доменное имя. Адрес ресурса в интернете непосредственно является параметром для фильтрации. Возможно запретить проходить трафику с одного или более сайтов. Пользователь будет защищён от неприемлемого контента, а сеть от вредоносного воздействия.
Протокол. Файрвол формализуется так, дабы пропускать трафик одного протокола либо запрещать доступ к одному из них. Тип протокола определяет сумму параметров защиты и задачу, которую выполняет используемое им приложение.
1.5 Типы МСЭ
Прокси-сервер
Один из родоначальников МСЭ, который играет роль шлюза для приложений между внутренними и внешними сетями. Прокси-серверы также имеют и другие функции, даже таких, как защита данных и кэширование. Помимо этого, они не допускают подключения напрямую из-за границ сети. Использование дополнительных функций может избыточно нагрузить производительность и понизить пропускную способность.
МСЭ с контролем состояния сеансов
Экраны с возможностью контролировать статус сеансов — уже традиционная технология. На решение разрешить или блокировать данные влияет статус, порт и протокол. Данные версии прослеживают за всей активностью сразу же после открытия соединения и впредь до самого закрытия. Запрещать трафик или же пропускать решает система, исходя из установленных администратором правила и контекст. В другом случае учитываются данные, которые МСЭ дали прошлые соединения.
МСЭ Unified threat management (UTM)
Комплексное устройство. Считается, что такой межсетевой экран определяет 3 задачи:
ревизует состояние сеанса;
препятствует вторжениям;
проводит антивирусное сканирование.
Иногда фаерволы, модернизированные до версии UTM, включают и другой функционал, к примеру, управление облаком.
Межсетевой экран Next-Generation Firewall (NGFW)
Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, вычисляют новые уязвимости, совершенствуют вредоносные программы и усугубляют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря представленным функциям:
учет индивидуальности приложений, который дает возможность идентифицировать и нейтрализовать вредоносное ПО;
оборона от беспрестанных атак из инфицированных систем;
обновляемая база данных, содержащая описание приложений и угроз;
мониторинг трафика, который шифруется благодаря протоколу SSL.
МСЭ нового поколения с активной защитой от угроз
Перед вами тип межсетевого экрана — модернизированная версия NGFW. Данное устройство позволяет защититься от угроз повышенной сложности. При дополнительном функционале умеет:
учитывать контекст и искать ресурсы, которые находятся под приоритетным риском;
продуктивно отражать атаки благодаря автоматизации безопасности, которая самостоятельно владеет защитой и устанавливает политики;
обнаруживать отвлекающую либо подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;
В представленной версии межсетевого экрана NGFW введены унифицированные политики, которые крайне значимо упрощают администрирование.
Недостатки МСЭ
Межсетевые экраны непосредственно защищают сеть от злоумышленников. Однако необходимо более серьезно отнестись к их настройке. Будьте предельно осторожны: совершив ошибку при настройке параметров доступа, вы имеете шанс нанести вред и файрвол будет останавливать и нужные и ненужные трафики, а сеть перестанет быть работоспособной.
Использование межсетевого экрана может стать виновником падения производительности сети. Не забывайте, что они перехватывают весь входящий трафик для проверки. При габаритных размерах сети избыточное стремление обеспечить безопасность и введение огромного числа правил приведет к более медленной работе сети.
Сплошь и рядом, одного файрвола недостаточно, дабы полностью обезопасить сеть от внешних угроз. Следственно его применяют вместе с остальными программами, такими как антивирус.

КЛАССИФИКАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ
Фиксируют следующую классификацию МЭ, в соответствие с функционированием на различных уровнях МВОС (OSI):
Мостиковые экраны (2 уровень OSI).
Фильтрующие маршрутизаторы (3 и 4 уровни OSI).
Шлюзы сеансового уровня (5 уровень OSI).
Шлюзы прикладного уровня (7 уровень OSI).
Комплексные экраны (3-7 уровни OSI).

Рисунок 2.4 Модель OSI
Мостиковые МЭ
Этот класс МЭ, функционирующий на 2-м уровне модели OSI, известен также под названием прозрачный (stealth), невидимый, незаметный МЭ. Мостиковые МЭ родились относительно недавно и представляют перспективнейшее направление усовершенствование технологий межсетевого экранирования. Фильтрация трафика ими организуется на канальном уровне, т.е. МЭ работают с фреймами (frame, кадр). К положительным качествам подобных МЭ можно отнести: [5]
-Нет обязательства в корректировке настроек корпоративной сети, не обязуется дополнительного конфигурирования сетевых интерфейсов МЭ.
-Мощная производительность. Так как это простые устройства, они не нуждаются в больших затратах ресурсов. Ресурсы требуются либо для роста возможностей машин, либо для более расширенного анализа данных.
-Прозрачность. Головным для данного устройства приходится его функционирование на 2 уровне модели OSI. Что означает, в сетевом интерфейсе отсутствует IP-адрес. Эта характерность нужна больше, чем простота в настройке. Не имея IP-адреса данное устройство не доступно в сети и становится невидимым для окружающего мира. Если этот МЭ недоступен, то, как его атаковать? Атакующие даже не будут и полагать, что существует МЭ, сканирующий каждый их пакет.
Фильтрующие маршрутизаторы
Маршрутизатором приходится машина, пересылающая пакеты между двумя или более сетями. Маршрутизатор с фильтрацией пакетов запрограммирован сравнивать каждый пакет со списком правил, прежде чем решить, пересылать ли его.
Packet-filtering firewall (МЭ с фильтрацией пакетов)
Межсетевые экраны осуществляют безвредность сетей, фильтруя сетевые соединения по заголовкам TCP/IP каждого пакета. Они осматривают эти заголовки и пользуются ими для пропуска и маршрутизации пакета к пункту назначения или для его блокировки посредством сброса или отклонения (т. е. сброса пакета и уведомления об этом отправителя).
Фильтры пакетов воплощают разграничение, беря за основу следующие данные:
-IP-адрес источника;
-IP-адрес назначения;
-используемый сетевой протокол (TCP, UDP или ICMP);
-исходный порт TCP или UDP;
-порт TCP или UDP назначения;
-тип сообщения ICMP (если протоколом является ICMP).
Благой фильтр пакетов также имеет возможность функционировать на базе информации, отсутствующей непосредственно в заголовке пакета, например, о том, на каком интерфейсе совершается получение пакета. По факту, фильтр пакетов вмещает недоверенный, или «грязный» интерфейс, набор фильтров и доверенный интерфейс. «Грязная» грань прилегает с недоверенной сетью и первой принимает трафик. Проходя через нее, трафик обрабатывается применительно набору фильтров, используемому межсетевым экраном (эти фильтры называются правилами). Исходя от них трафик либо принимается и отправляется далее через «чистый» интерфейс в пункт назначения, либо сбрасывается или отклоняется. Какой интерфейс называется «грязным», а какой - «чистым», зависит от направления движения определенного пакета (качественные фильтры пакетов действуют и для исходящего, и для входящего трафика).
Стратегии реализации пакетных фильтров различимы, но есть головные методы, которыми необходимо сопровождаться.
-Построение правил - от преимущественно индивидуальных до особенно обобщенных. Львиная доля фильтров пакетов обеспечивает обработку с использованием суммы правил «снизу-вверх» и прекращает ее, когда обнаруживается соответствие. Укоренение в верхнюю часть набора правил более конкретных фильтров принимает невозможным сокрытие общим правилом специфичного правила далее по направлению к нижнему элементу суммы фильтров.
-Размещение самых активнейших правил в верхней части набора фильтров. Экранирование пакетов занимает ощутительную долю процессорного времени, и. как уже было сказано ранее, фильтр пакетов останавливает обработку пакета, обнаружив его соответствие какому-либо правилу. Размещение актуальных правил на первых двух местах, но никак не на 30 или 31 позиции, экономит процессорное время, которое может стать необходимым для обработки пакета более чем 30 правилами. Когда требуется единовременная обработка тысяч пакетов, нет необходимости пренебрегать экономией мощности процессора.
Конкретизация определенных и корректных правил фильтрации пакетов — довольно непростой процесс. Целесообразно оценить преимущества и недостатки пакетных фильтров. Продемонстрируем некоторые преимущества.
-Высокая производительность. Фильтрация может осуществляться с линейной скоростью, сравнимой с быстродействием современных процессоров.
-Окупаемость. Пакетные фильтры оказываются сравнительно недорогими либо вообще бесплатными. Немалая часть маршрутизаторов оснащена возможностями по фильтрации пакетов, интегрированными в их операционные системы.
-Прозрачность. Маневры пользователя и приложения не приходится корректировать, дабы обеспечить прохождение пакетов через пакетный фильтр.
-Расширенные возможности управления трафиком. Незамысловатые пакетные фильтры можно использовать для сброса разумеется бесполезного трафика на сетевом периметре и между разными внутренними подсетями (к примеру, воздействовать граничные маршрутизаторы для сброса пакетов с исходными адресами, соответствующими внутренней сети, «частным» IP-адресам (RFC 1918) и пакетам вешания).
Укажем недостатки фильтров пакетов.
-Разрешены соединения напрямую между узлами без доверия и доверенными узлами.
-Низкий уровень масштабируемости. По мере роста наборов правил оказывается более сложнее уклоняться от «ненужных» соединений. С трудностью правил сцеплена проблема масштабируемости. Если исключено быстро сканировать набор правил, чтобы ознакомиться с результатами внесенных изменений, потребуется его упростить.
-Возможность открытия больших диапазонов портов. Из-за динамического свойства некоторых протоколов нужно открывать крупные диапазоны портов для верного функционирования протоколов. Наихудший случай здесь - протокол FTP. FTP нуждается входящим соединением от сервера к клиенту, и пакетным фильтрам придётся открыть широкие диапазоны портов для разрешения такой передачи данных.
-Подверженность атакам с подменой данных. Угрозы с подменой данных (спуфинг), обыкновенно, означают прикрепление фальшивой информации в заголовке TCP/IP. Более распространенными являются атаки с подменой исходных адресов и маскировкой пакетов под видом части уже установленных соединений.
Шлюз сеансового уровня
Circuit-level gateway (Шлюз сеансового уровня) — межсетевой экран, не подразумевающий прямое взаимодействие между авторизированным клиентом и внешним хостом. Сперва он принимает запрос доверенного клиента на какие-либо услуги, затем после проверки допустимости запрошенного сеанса, обеспечивает соединение с внешним хостом.
Далее шлюз просто копирует пакеты в обоих направлениях, не воплощая их фильтрации. На таком уровне организуется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматически реформируются в единый IP-адрес, ассоциируемый с экранирующим МЭ. В итоге все пакеты, исходящие из внутренней сети, становятся отправленными МЭ, что означает исключение прямого контакта между внутренней и внешней сетью. IP- адрес шлюза сеансового уровня остаётся единственным активным IP- адресом, попадающим во внешнюю сеть.
Особенности:
-Осуществляет работу на 4 уровне.
-Разглашает TCP подключения, опираясь на порт.
-Дешевый, при этом более безопасный, нежели фильтр пакетов.
-Вообще требует работы пользователя или программы конфигурации для полноценной работы.
-Пример: SOCKS файрвол.
Шлюз прикладного уровня
Application-level gateways (Шлюз прикладного уровня) - межсетевой экран, исключающий линейное взаимодействие авторизированного клиента и внешнего хоста, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI.
Скованные с приложением программы-посредники переориентирует через шлюз информацию, генерируемую конкретными сервисами TCP/IP.
Возможности:
-Идентификация и аутентификация пользователей при стремлении нахождения соединения через МЭ;
-Фильтрация потока сообщений, к примеру, динамический поиск вирусов и прозрачное шифрование информации;
-Регистрация событий, также реагирование на них;
-Кэширование данных, запрашиваемых из внешней сети.
На этом уровне возникает полномочие использования функций посредничества (Proxy).
Для любого обсуживаемого протокола прикладного уровня можно вводить программных посредников – HTTP-посредник, FTP-посредник и т.д. Посредник любой службы TCP/IP ориентирован на обработку сообщений и исполнение роли защиты, относящихся конкретно к данной службе. Точно также, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью определенных экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения отношения внутренней и внешней сети. Тем не менее, посредники, применяемые прикладным шлюзом, имеют первоочередные различия от канальных посредников шлюзов сеансового уровня. Для начала, посредники прикладного шлюза связаны с явственными приложениями программными серверами), ну а потом, они в силах фильтровать поток сообщений на прикладном уровне модели OSI.
Особенности:
-Осуществляет работу на 7 уровне.
-Специфический для приложений.
-В меру недешевый и медлительный, при этом более безопасный и позволяет регистрацию деятельности пользователей.
-Требует работы пользователя или программы конфигурации для полноценной работы.
-Пример: Web (http) proxy.
МЭ экспертного уровня
Stateful inspection firewall — межсетевой экран экспертного уровня, проверяющий содержание получаемых пакетов на 3-х уровнях модели OSI: сетевом, сеансовом и прикладном. При реализации данной задачи эксплуатируются дополнительные алгоритмы фильтрации пакетов, с их помощью всякий пакет сравнивается с актуальным шаблоном авторизированных пакетов.
Особенности:
-Фильтрация 3 уровня.
-Проверка безупречности на 4 уровне.
-Осмотр 5 уровня.
-Огромные уровни стоимости, защиты и сложности.
-Пример: CheckPoint Firewall-1.
Некие современные МЭ используют комбинацию вышеперечисленных методов и организуют опциональные меры защиты, что сетей, что и систем.
«Персональные» МЭ
Такой класс МЭ позволяет впредь увеличивать защиту, допуская управление по тому, какие типы системных функций или процессов имеют доступ к ресурсам сети. Эти МЭ могут использовать различные типы сигнатур и условий, для разрешения или отвержения трафика. Одни из некоторых общих функций персональных МЭ:
-Блокирование на уровне приложений – предоставлять возможность лишь иным приложениям или библиотекам организовать сетевые действия или принимать входящие подключения
-Блокирование на основе сигнатуры – непрерывно контролировать сетевой трафик и блокировать все заведомые атаки. Дополнительный контроль повышает сложность управления безопасностью из-за потенциально крупного количества систем, которые иногда защищены персональным файрволом. Это тоже поднимает риск повреждения и уязвимости принадлежащие плохой настройки.
Динамические МЭ
Динамические МЭ комбинируют в себе стандартные МЭ и методы обнаружения вторжений, ради обеспечения блокирования «на лету» сетевых подключений, которые соответствуют конкретной сигнатуре, разрешая при этом подключения от других источников к одному и тому же порту. К примеру, можно блокировать работу сетевых червей, не разрушая деятельность естественного трафика.
Схемы подключения МЭ:
-Схема цельной защиты локальной сети
-Схема защищаемой закрытой и не защищаемой открытой подсетями
-Схема с раздельной защитой, закрытой и открытой подсетей.
Наиболее непринужденным является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и прочие сервера тоже оказываются защищены межсетевым экраном.
Однако, необходимо заострить особое внимание на предотвращение проникновения на защищаемые станции локальной сети посредством средств легкодоступных WWW-серверов.

Рисунок 2.5 Схема единой защиты локальной сети
Во избежание доступа в локальную сеть, используя ресурсы WWW-сервера, предлагается общедоступные серверы подключать перед межсетевым экраном. Данный способ владеет повышенной защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.

Рисунок 2.6 Схема защищаемой закрытой и не защищаемой открытой подсетями

3. СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕЖСЕТЕВЫХ ЭКРАНОВ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННО-УПРАВЛЯЮЩИХ СИСТЕМАХ
При построении распределенных информационно - управляющих систем (РИУС) особое внимание следует уделять защите сети управления технологическими процессами. Сеть управления отслеживает и контролирует все внутренние узлы. Ключевым элементом защиты периметра сети является межсетевой экран. Применение межсетевого экрана позволяет избежать ряда атак при построении высокопроизводительных, безопасных и надежных систем автоматизации предприятий и корпоративной сети в целом.
Межсетевые экраны (МЭ) - это устройства или системы, контролирующие поток сетевого трафика между сетями, которые используют различные силы и средства обеспечения безопасности. МЭ располагаются между защищаемым внутренним сегментом сети и внешней сетью Интернет, а также могут применяться в средах, которые не требуют подключения к Интернету. Так, например, во многих корпоративных сетях применяют МЭ, чтобы ограничить соединения в пределах внутренних сетей, обслуживая более критичные области, тем самым предотвращая несанкционированный доступ к соответствующим системам и ресурсам [6].
Согласно стандарту, NIST Special Publication 800-82 (2 издание) существует три общих класса межсетевых экранов, рассмотрим каждый из них.
1. Межсетевые экраны с фильтрацией пакетов.
Самый основной тип межсетевого экрана называется фильтром пакетов [6]. Пакетные фильтры - это межсетевые экраны, которые функционируют на третьем, то есть сетевом уровне модели OSI и принимают решение о разрешении прохождения трафика в сеть на основании информации, которая находится в заголовке пакета.
Распространенность этих межсетевых экранов связана с тем, что именно эта технология фильтрации в большинстве случаях используется в маршрутизаторах с функцией экранирования. Создается специальный набор правил с определенными параметрами, с помощью которых можно задавать достаточно гибкую схему разграничения доступа. При поступлении пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению и только потом маршрутизатор сверяется с набором правил, проверяя, должен ли он пересылать этот пакет [7].
2. Межсетевые экраны с проверкой трафика «потоком».
Межсетевые экраны с проверкой трафика «потоком» - это те же фильтры пакетов, которые включают параметры данных модели OSI на четвертом уровне, то есть на сетевом уровне. Они определяют, являются ли пакеты установления связи разрешенными, а также оценивают содержание пакетов на транспортном
уровне. Таким образом, в качестве параметров, используемых при анализе сетевых пакетов, могут быть:
- тип протокола (например, TCP, ICMP, UDP);
- номера портов получателей и отправителей (для TCP и UDP трафика);
- другие параметры заголовка пакета (например, флаги TCP-заголовка) [7]. 3. Межсетевые экраны прикладного уровня с функциями прокси шлюза.
Этот класс межсетевых экранов проверяет пакеты на прикладном уровне, а также фильтрует трафик по правилам определенных приложений [6]. Межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, например, как Telnet и FTP, с целью защиты ряда уязвимых мест. Подобное приложение называется ргоху-службой, а хост, на котором работает proxy - служба, - шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все исходящие и входящие пакеты на прикладном уровне [8].
После того как шлюз приложений обнаруживает сетевой сеанс, он останавливает его и вызывает уполномоченное приложение, необходимое для завершения процедуры. Шлюзы прикладного уровня позволяют обеспечить надежную защиту, так как взаимодействие с внешним миром реализуется через некоторые уполномоченные приложения, полностью контролирующие весь исходящий и входящий трафик [9]. Сравнительный анализ
При выборе межсетевых экранов необходимо учитывать некоторые аспекты функционирования автоматизированной системы управления. Межсетевые экраны должны предоставлять механизмы для соблюдения политики безопасности. Например, блокировать все коммуникации, за исключением специально разрешенных коммуникаций между устройствами в незащищенных локальных сетях и в защищенных АСУ; обеспечивать безопасную аутентификацию всех пользователей, стремящихся получить доступ к АСУ;
обеспечивать авторизацию пункта назначения; записывать информационный поток для мониторинга и анализа трафика и обнаружения вторжений.
Рассмотрим основные группы межсетевых экранов, изученные ранее, и сравним их между собой по нескольким критериям, проанализировав достоинства и недостатки каждой группы:
1) Стоимость и реализация.
Пакетные фильтры имеют небольшую цену и простоту реализации, по сравнению с межсетевыми экранами прикладного уровня. Несмотря на это, межсетевые экраны с пакетной фильтрацией имеют ряд существенных недостатков, а данный критерий сравнения не является определяющим при выборе межсетевого экрана в РИУС.
2) Производительность сети.
Производительность сети играет не маловажную роль при эксплуатации РИУС, так как в АСУ необходимо выполнение требования реального времени. Таким образом, наибольшая производительность сети наблюдается в межсетевых экранах с пакетной фильтрацией и проверкой трафика «потоком», т. к. анализируется только заголовок пакета, тем самым скорость передачи пакетов значительно выше, чем у межсетевых экранов прикладного уровня.
3) Анализ трафика.
Так как межсетевые экраны с пакетной фильтрацией анализируют только заголовок пакета, за пределами рассмотрения остается поле данных, которое в свою очередь может содержать информацию, противоречащую политике безопасности. Также пакетный фильтр может пропустить в защищаемую сеть TCP-пакет от узла, с которым в настоящий момент не открыто никаких активных сессий, а межсетевые экраны с проверкой трафика «потоком» такую возможность исключают.
В целом, недостаток пакетных фильтров заключается в том, что они не умеют анализировать трафик на прикладном уровне, на котором совершается множество атак - проникновение вирусов, отказ в обслуживании и т.д. Что касается МЭ прикладного уровня, то здесь присутствует возможность анализа содержимого, однако невозможно анализировать трафик от неизвестного приложения.
4) Аутентификация трафика.
МЭ с пакетной фильтрацией присуща слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP(v4) позволяет без особого труда подменять такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола, реализуя тем самым атаку "подмена адреса" (IP Spoofing). Так как сетевой фильтр не запрашивает у пакета идентификатор и пароль пользователя, ведь эта информация принадлежит прикладному уровню. Тем самым МЭ прикладного уровня позволяет контролировать состояние соединения.
Подводя итоги, можно сделать вывод, что использование межсетевых экранов является неотъемлемой частью в построении архитектуры безопасности АСУ. В среде АСУ, межсетевые экраны наиболее часто устанавливаются между сетью АСУ и корпоративной сетью. При правильной настройке, они могут значительно ограничить нежелательный доступ к хост-компьютерам и контроллерам системы управления и от них, тем самым улучшая безопасность.
При выборе межсетевого экрана нельзя ссылаться в пользу только какого-либо из названных экранов, так как некоторые недостатки одних МЭ являются критичными для РИУС, но с другой стороны благодаря присущим им достоинствам могут лучше справляться с поставленными задачами.
Тем самым лучше всего использовать несколько межсетевых экранов, таким образом, выстраивая эшелонированную оборону всей сети. Целесообразно использовать комбинацию из МЭ с фильтрацией пакетов, затем МЭ прикладного уровня. Также по совокупности эта комбинация из МЭ не является дорогостоящей, ведь в большинстве случаев пакетный фильтр встроен в маршрутизатор, расположенный на границе сети.
В заключение стоит заметить, что межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности, ведь они обеспечивают лишь первую линию обороны и не способны защитить от ряда уязвимостей.
ЗАКЛЮЧЕНИЕ
В обычных случаях у компании или организации существует внутренняя сеть: либо серверы, либо компьютеры сотрудников или же маршрутизаторы. В данной сети хранится конфиденциальная информация: корпоративная тайна, персональные данные, данные сотрудников. Внутренняя сеть соединяется с глобальным интернетом, что является крайне опасным — злоумышленники могут легко воспользоваться этим соединением, дабы похитить данные.
Для защиты от вредоносных действий шпионов устанавливают межсетевые экраны — программы или устройства, которые охраняют границы какой-либо сети.
В проделанной работе было изучено понятие межсетевых экранов.
В первой главе мы ознакомились с определением межсетевых экранов, привели их разновидности, а также возможности.
Вторая глава раскрыла классификацию межсетевых экранов.
В третьей главе был проведен сравнительный анализ межсетевых экранов в распределенных информационно - управляющих системах.
Таким образом, поставленные цели и задачи были выполнены.

СПИСОК ЛИТЕРАТУРЫ
Статьи из журналов и сборников:
Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оузли, К. Стразсберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006. – С.275.
Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оузли, К. Стразсберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006. – С.276.
Брэгг Р. Безопасность сетей / Р. Брэгг, М. Родс-Оузли, К. Стразсберг; [пер. с англ.] – М.: Издательство «ЭКОМ», 2006. – С.276.
Дэвид В. Чепмен, мл., Энди Фокс Брандмауэры Cisco Secury PIX — М.: «Вильямс», 2003.
Мейволд Э. Безопасность сетей: практическое пособие / Э. Мейволд; [пер. с англ.] – М.: «СП ЭКОМ», 2006.
Электронные ресурсы:
NIST Special Publication 800-82 Rev. 2 Guide to Industrial Control Systems (ICS).
Современные методы и средства защиты сети. Межсетевые экраны. [Электронный ресурс] // URL: http://www.lghost.ru/lib/security/kurs1/theme03_chapter02.htm (дата обращения: 10.07.2021).
Классификация сетей межсетевых экранов. [Электронный ресурс] // Журнал сетевых решений. URL: http://www.osp.ru/lan/1999/09/134421/ (дата обращения: 11.07.2021).
Межсетевые экраны. Методы организации защиты. [Электронный ресурс] // КомпьютерПресс. URL: http://compress.ru/article.aspx?id=10145 (дата обращения: 11.07.2021).
Брандмауэр: определение, сущность и свойства. [Электронный ресурс] // Библио-фонд URL: http://bibliofond.ru/view.aspx?id=446811 (дата обращения: 11.07.2021).