Шпаргалка по предмету "Защита информации (ЗИ)"


Прокси-брандмауэры.

Прокси-сервер, называемый иногда шлюзом прикладного уровня (application gateway), представляет собой специализированное приложение, обеспечивающее связь между внутренними защищенными сетями и внешним миром (Интернет) с помощью Интернет-протоколов. Вообще говоря, прокси работают с программами, основанными на протоколе TCP/IP. Обычно прокси-серверы запускают не-сколько программ (прокси), которые могут быть защищенными и доверительными. Это специализированные программы, и каждый поддерживаемый протокол должен обладать собственной службой прокси или обрабатываться общим прокси. Прокси может быть также и прозрачной программой, создаваемой для передачи пакетов в любой данный порт через границы сети.Прокси (proxy) действует по команде клиента или пользователя для доступа к услугам сети и защищает каждую сторону от прямого равноправного (pear-to-pear) соединения. Клиенты устанавливают соединения, выполняя три стадии организации соединения с прокси-сервером. После этого прокси устанавливает соединение с удаленным сервером. Прокси-сервер высылает данные, которые поступили к нему от клиента, на искомый сервер, а также пересылает данные, полученные от искомого сервера, клиенту. Строго говоря, прокси-сервер является как сервером, так и клиентом. Он является сервером в отношении своего клиента и клиентом в отношении искомого сервера.Этапы организации соединения через прокси требуют различные уровни аутентификации или доверия программному обеспечению, которое будет использовано для установки соединений. Далее приводится пример типов соединений, которые устанавливаются с помощью прокси для связи внутренней сети с Интернетом:1.  Пользователь производит запрос служб Интернета, таких как HTTP, FTP, Telnet.2.  Программные средства пользователя направляют запросы службам Интернета в соответствии с политикой безопасности.3.  Прокси обеспечивают соединения, функционируя в качестве шлюзов для удаленных служб.4.  Прокси организовывают связь, необходимую для установки соединения с внешней системой, защищая системы, находящиеся за брандмауэром так, что для внешних систем они оказываются невидимыми.5.  Весь трафик, маршрутизируемый между внутренним пользователем и внешними системами, обрабатывается посредством прокси-шлюзов. Обычно прокси-сервер работает на двустороннем барьерном хосте или шлюзе и поддерживает один или более Интернет протоколов (см. рис. 12). Барьерными, или бастионными, хостами (bastion hosts) являются укрепленные системы, сконфигурированные для работы с Интернетом. Двусторонний шлюз состоит из хост-системы с двумя сетевыми интерфейсами: один интерфейс для внутренней защищенной сети и один для внешней сети. Эти хосты запрещают прямой трафик между сетями и могут использоваться для функций регистрации и аудита проходящего через них тра-фика. Хост не выполняет маршрутизацию пакетов между двумя соединенными сетями, поскольку перенаправление IP пакетов невозможно. Двусторонний шлюз полностью блокирует IP-трафик между внешней и внутренней сетью. Прокси-серверы в шлюзе обеспечивают службы и возможность соединения с Интернетом. Во избежание случайной пересылки IP-трафика может оказаться очень полезным явный запрет возможности перенаправления IP-пакетов.В качестве примера простой конфигурации двустороннего шлюза можно привести использование прокси-служб для электронной почты. Служба брандмауэра принимает всю электронную почту, адресуемую внутренним пользователям, и пересылает ее внутренним системам или централизованному внутреннему почтовому серверу. Для конечного пользователя такой тип соединения является прозрачным. Соединение выглядит так, как будто оно является прямым соединением между внутренней системой пользователя и внешней системой.Рис. Двусторонний хост (бастионный) с прокси-службами.Поскольку данные передаются между внутренним клиентом и бастионным хостом, информация о внутреннем IP-адресе клиента, а также некоторая информация о протоколе защищаются от широкого вещания в Интернете. Изучая некоторые особенности пакетов – включая установки по умолчанию для поля Time to Live (TTL – время жизни), размера окна и опций TCP – можно определить операционную систему клиента. Для определения действий, которые можно осуществить в отношении системы клиента, злоумышленник может использовать технологию идентификации операционной системы клиента, известную под названием passive fingerprinting ("пассивное снятие отпечатков (пальцев)").Эти типы служб/серверов обеспечивают функциональность внутренних и внешних пользователей, находясь с внешней стороны сетевого периметра. На рис. 13 показаны несколько серверов, размещенных с внешней стороны защищенной сети.В идеале, для адресации одной прокси-службы мог бы использоваться один бастионный хост – это так называемый принцип разделения безопасности. На бастионных хостах не следует размещать учетные записи пользователей, компиляторы или ненужные программы. Кроме этого необходимо заблокировать и неиспользуемые службы; следует разрешить только те службы, которые предлагает прокси-сервер – тогда в случае дискредитации барьера или службы повреждена будет только одна служба. Это, однако, не всегда возможно. К сожалению, объединение всех прокси в одном бастионном хосте в результате удачной атаки может привести к образованию одной точки сбоя.Кроме классических вспомогательных протоколов (прокси-протоколов), таких как Telnet, FTP, электронной почты и новостей, организациям может понадобиться обеспечение доступа к web (HTTP), широковещание, распределенные протоколы для музыки, видео/аудио, конференций, доступа к базам данных, совместного использования файлов и т.п. В результате это приведет к увеличению нагрузки администраторов сетевой безопасности – им придется вести сражение за поддержку систем на самом современном уровне и добиваться удовлетворительных откликов кли-ентов/пользователей от возможностей существующих служб.


Не сдавайте скачаную работу преподавателю!
С помощью нашего сервиса Вы можете собрать свою коллекцию шпаргалок по нужному предмету, и распечатать готовые ответы в удобном для вырезания виде. Для этого начните собирать ответы, добавляя в "Мои шпаргалки".

Поделись с друзьями, за репост + 100 мильонов к студенческой карме :

Делаем шпаргалки правильно:
! Шпаргалки для экзаменов Какие бывают шпаргалки, как их лучше подготовить и что писать.
! Делаем правильную шпаргалку Что представляет собой удобная и практичная шпаргалка, как ее сделать.
! Как воспользоваться шпаргалкой В какой момент лучше достать шпаргалку, как ей воспользоваться и что необходимо учесть.

Читайте также:
Сдаем экзамены Что представляет собой экзамен, как он проходит.
Экзамен в виде тестирования Каким образом проходит тестирование, в чем заключается его суть.
Готовимся к экзаменам Как правильно настроиться, когда следует прекратить подготовку и чем заниматься в последние часы.
Боремся с волнением Как преодолеть волнение, как внушить себе уверенность.
Отвечаем на экзамене Как лучше отвечать и каким идти к преподавателю.
Не готов к экзамену Что делать если не успел как следует подготовиться.
Пересдача экзамена На какое время назначается пересдача, каким образом она проходит.
Микронаушники Что такое микронаушник или "Профессор .. ллопух ...".

Виды дипломных работ:
выпускная работа бакалавра Требование к выпускной работе бакалавра. Как правило сдается на 4 курсе института.
магистерская диссертация Требования к магистерским диссертациям. Как правило сдается на 5,6 курсе обучения.