Связь и интернет Архив Программирование
Интернет
Интернет

Понятие брандмауэра

Сотовые мобильные телефоныПолифонические мелодии для сотовых
Связь :
Новости
Мобильные технологии
Программы для сотовых
Картинки для сотовых
Новинки
Виды связи
Российские операторы
Сотовые телефоны
Мелодии для сотовых
Права потребителя мобильника
Это интересно!
Телефонные карты
Доска объявлений
Новости связи
Новые статьи

Интернет :
Новости
Новые технологии
Безопасность в интернет
История Интернета
Принцип работы Интернета
Создание сайта
Обучение Интернет
Право и Интернет
Интернет-бизнес
Техника в Интернет
Провайдеры России
Зарубежные провайдеры
Рейтинги почтовых служб
Литература
Словарь терминов
Гостевая
Партнеры
Голосование :
Ваша модель телефона:
Наиболее популярные модели :
Nokia 3310 271
Motorola v50 198
Siemens C45 139
Motorola T191 94
Siemens C55 93
Siemens ME45 87
Samsung SGH R220 82
Samsung SGH N500 79
Nokia 3510 74
Siemens M50 73
Поиск по сайту :
Новые статьи
Сотовые телефоны Новости
Интернет : Безопасность в интернет ->

Понятие брандмауэра

Наверное, лучше всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост или группа систем, которые обеспечивают безопасность в сети. Скорее, брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра - управление доступом К или ИЗ защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты.

Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом, или группой хостов, созданной специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети. Обычно система брандмауэра создается на основе маршрутизаторов верхнего уровня, обычно на тех, которые соединяют сеть с Интернетом, хотя может быть создана и на других маршрутизаторах, для защиты только части хостов или подсетей.

Почему именно брандмауэры?

Оснвоной причиной использования брандмауэров является тот факт, что без брандмауэра системы подсети подвергаются опасности использования уязвимых мест служб, таких NFS и NIS, или сканирования и атак со стороны хостов в Интернете.

В среде без брандмауэра сетевая безопасность целиком зависит от безопасности хостов и все хосты должны в этом случае взаимодействовать для достижения одинаково высокого уровня безопасности. Чем больше подсеть, тем труднее поддерживать все хосты на одном уровне безопасности. Ошибки и упущения в безопасности стали распространенными, проникновения происходят не в результате хитроумных атак, а из - за простых ошибок в конфигурировании и угадываемых паролей.

Подход с использованием брандмауэра имеет многочисленные преимущества для сетей и помогает повысить безопасность хостов.

Защита от уязвимых мест в службах

Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных по своей природе служб. В результате подсеть будет подвергаться гораздо меньшему числу опасностей, так как только через брандмауэр смогут пройти только безопасные протоколы.

Например, брандмауэр может запретить, чтобы такие уязвимые службы, как NFS, не использовались за пределами этой подсети. Это позволяет защититься от использования этих служб посторонними атакующими, но продолжать использовать их внутри сети, не подвергаясь особой опасности. Поэтому можно будет спокойно использовать такие удобные службы, как NFS и NIS, специально разработанные для уменьшения затрат на администрирование в локальной сети.

Брандмауэры также могут обеспечить защиту от атак с использованием маршрутизации, таких как маршрутизация источника и попыток изменить маршруты передачи данных с помощью команд перенаправления ICMP. Брандмауэр может заблокировать все пакеты с маршрутизацией источника и перенаправленя ICMP, а затем информировать администраторов об инцидентах.

Управляемый доступ к систем сети

Брандмауэр также предоставляет возможности по управлению доступом к хостам сети. Например, некоторые хосты могут быть сделаны достижимыми из внешних сетей, в то время как доступ к другим системам извне будет запрещен. Сеть может запретить доступ к своим хостам извне, за исключением особых случаев, таких как почтовые сервера или информационные сервера.

Эти свойства брандмауэров требуются при политике управления доступом, построенной по принципу: не предоставлять доступ к хостам или службам, к которым доступ не требуется.

Другими словами, зачем давать доступ к хостам и службам, которые могут использоваться атакующими, когда на самом деле он не нужен или не требуется? Если, например, пользователю не нужно, чтобы кто - то в сети мог получить доступ к его рабочей станции, то брандмауэр как раз и может реализовать этот вид политики.

Концентрированная безопасность

Брандмауэр может на самом деле оказаться недорогим для организации из - за того, что большинство или все изменения в программах и дополнительные программы по безопасности будут установлены на системе брандмауэра, а не распределены по большому числу хостов. В частности, системы одноразовых паролей и другие дополнительные программы усиленной аутентификации могут быть установлены только на брандмауэре, а не на каждой системе, которой нужно обращаться к Интернету.

Другие подходы к сетевой безопасности, такие как Kerberos требуют модификации программ на каждой системе в сети. Поэтому, хотя Kerberos и другие технологии также должны рассматриваться из - за их преимуществ и могут оказаться наиболее подходящими, чем брандмауэры в определенных ситуациях, все - таки брандмауэры проще в реализации, так как специальные программы требуются только на брандмауэре.

Повышенная конфиденциальность

Конфиденциальность очень важна для некоторых организаций, так как то, что обычно считается безобидной информацией, может на самом деле содержать полезные подсказки для атакующего. Используя брандмауэр, некоторые сети могут заблокировать такие службы, как finger и доменную службу имен. finger дает информацию о пользователях, такую как время последнего сеанса, читалась ли почта, и другие данные. Но finger может дать атакующему информацию о том, как часто используется система, работают ли сейчас в этой системе пользователи, и может ли быть система атакована, не привлекая при этом внимания.

Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети, поэтому имена и IP - адреса хостов в сети не станут известны хостам в Интернете.

Некоторые организации уже убедились в том, что, блокируя эту информацию, они скрывают ту информацию, которая была бы полезна для атакующего.

Протоколирование и статистика использования сети и попыток проникновения

Если все доступ к Интернету и из Интернета осуществляется через брандмауэр, то брандмауэр может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе сигналов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том, были ли брандмауэр или сеть атакованы или зондированы.

Важно собирать статистику использования сети и доказательства зондирования по ряду причин. Прежде всего нужно знать наверняка, что брандмауэр устойчив к зондированию и атакам, и определить, адекватны ли меры защиты брандмауэра. Кроме того, статистика использования сети важна в качестве исходных данных при проведении исследований для формулирования требований к сетевому оборудованию и программам и анализе риска.

Претворение в жизнь политики

И наконец, самое важное - брандмауэр предоставляет средства реализации и претворения в жизнь политики сетевого доступа.

Фактически, брандмауэр обеспечивает управление доступом для пользователей и служб. Поэтому, политика сетевого доступа может быть реализована с помощью брандмауэра, в то время как без него, такая политика зависит целиком от доброй воли пользователей. Организация может зависеть от своих пользователей, но не должна зависеть от доброй воли всех пользователей Интернета.




Источник: NPK


Налоговое консультирование от компании Корпус Права
Как известно, российское налоговое законодательство довольно запутанно и обычному человеку, не являющимся специалистом в области экономики, не разобраться со всеми постановлениями, указами, отчетами, актами
Сайт для серьезных знакомств
Мы живем в то время, когда информационные технологии развиваются бешеными темпами


Комментарии к статье

 
Copyright ©RIN 2003 - 2004.* connect@rin.ru
Российская Информационна Сеть