To tylko jedna z 7 stron tej notatki. Zaloguj się aby zobaczyć ten dokument.
Zobacz
całą notatkę
Zapora sieciowa Zapora sieciowa (dalej używana będzie oryginalna nazwa angielska - firewall) składa się z komputera wraz z odpowiednim oprogramowaniem. Nazwa „firewall” pochodzi od kurtyny przeciwpożarowej stosowanej w teatrach, która w momencie wybuchu pożaru na scenie zostaje opuszczona, aby odizolować ogień od widowni. Firewall może skutecznie odizolować od świata zewnętrznego sieć lokalną; może działać na styku dwóch sieci (lub podsieci) chroniąc przed włamaniami typu „internet spoofing”. Trzeba jednak pamiętać, że firewall chroni sieć komputerową tylko przed atakami z zewnątrz i dla pełnego bezpieczeństwa informacji w takiej sieci potrzebny jest cały szereg przedsięwzięć chroniących przed utratą tajności, integralności bądź dostępności informacji na skutek działań wykonywanych wewnątrz sieci (np. przez uprawnionego lub podszywającego się pod takiego użytkownika. W celu zapewnienia bezpieczeństwa chronionej przez firewall sieci:
Jego stosowanie powinno być uzasadnione w ramach polityki bezpieczeństwa;
Powinien być elementem wdrożonej koncepcji bezpieczeństwa;
Powinien być poprawnie zainstalowany i administrowany.
Dla „zbudowania” i eksploatacji firewalla należy wykonać szereg czynności takich jak:
opracowanie koncepcji łączenia sieci przy pomocy firewalla, która obejmuje: ustalenie celów bezpieczeństwa;
dopasowanie struktury sieci;
specyfikację podstawowych założeń na realizację firewalla.
opracowanie polityki bezpieczeństwa firewalla, która obejmuje:
wybór potrzeb komunikacyjnych;
wybór usług;
opracowanie odpowiednich przepisów jego eksploatacji.
zakup firewalla:
wybór typu firewalla;
ustalenie kryteriów zakupu.
implementacja firewalla:
ustalenie i implementacja reguł filtracji informacji;
wdrożenie dla firewalla ogólnych przedsięwzięć bezpieczeństwa (obowiązujących w całej chronionej sieci);
weryfikacja koncepcji bezpieczeństwa dla chronionej sieci (jeżeli takowej brak, to należy ją opracować i wdrożyć);
przestrzeganie wymagań granicznych dla bezpieczeństwa stosowania poszczególnych protokołów i usług;
dołączenie pozostałych komponentów sieci (bram, serwerów DNS, serwerów pocztowych, itp.).
eksploatacja firewalla, w skład której wchodzą:
regularne kontrole;
dostosowywanie do zmian i testowanie;
protokołowanie pracy firewalla;
opracowanie procedury na wypadek awarii firewalla;
przestrzeganie obowiązujących przedsięwzięć ochrony danych.
eksploatacja dołączonych do firewalla komputerów- klientów.
Filtry pakietowe i Application-Gateway Do budowy firewalli wykorzystywane są filtry pakietowe oraz tzw. Application-Gateway (po polsku należałoby je nazwać bramami warstwy aplikacji siedmiowarstwowego modelu OSI/ISO). Filtrem pakietowym nazywa się rutery lub komputery ze specjalnym oprogramowaniem, które na poziomie warstw 3 i 4 wykorzystuje dostarczane w ramach rodziny protokołów TCP/IP (IP, ICMP, ARP, TCP, UDP) do filtrowania pakietów. Filtry pakietowe muszą umożliwiać:
(…)
… to:
wysoki koszt (wydajny komputer + dwie karty sieciowe);
trudności z wprowadzeniem nowych usług;
przejęcie Application-Gateway przez intruza prowadzi do całkowitej utraty bezpieczeństwa chronionej sieci.
Screened-Subnet
W tej konfiguracji mamy do czynienia z pewnego rodzaju „siecią pośredniczącą” (czy dokładniej - ekranującą) pomiędzy siecią zewnętrzną a siecią chronioną. Taka sieć składa…
… informacje z poziomu warstwy aplikacji do filtrowania połączeń. Rozwiązanie to umożliwia stworzenie jednolitego sposobu dostępu do chronionej sieci oraz ukrycie jej wewnętrznej struktury dla zewnętrznego użytkownika. Jeżeli Application-Gateway ma być wykorzystany do budowy firewalla należy przestrzegać następujących zasad:
muszą być uwzględnione wszystkie protokoły warstwy aplikacji (Telnet, FTP, SMTP, DNS…
... zobacz całą notatkę
Komentarze użytkowników (0)