Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис.2.3).
Рисунок 2.2 - Схема подключения брандмауэров
Рисунок 2.3 - Подключение через внешний маршрутизатор
При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.
Другая схема представлена на рис.2.4
Рисунок 2.4 - Защита только одной подсети из нескольких выходящих из роутера
При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра
Существуют решения (см рис.2.5), которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.
При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.
Рисунок 2.5 - Организация третьей сети
Администрирование.
Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все что относится к конкретному пользователю или сервису.
Системы сбора статистики и предупреждения об атаке.
Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.
В результате выполнения данного раздела дипломной работы была разработана технология защиты локальной компьютерной сети от атак на информацию локальной сети со стороны Интернет.
Рассмотрены различные схема подключения брандмауэров, которые отличаются как экономическим показателями, так и степенью защиты локальной сети.
Показано, что наиболее предпочтительной с точки зрения безопасности и надежности защиты, является схема, изображенная на рис.2.3
Кроме того показано, что важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке.
Одной из основных задач системного администратора является контроль за доступом пользователей локальной сети банка в Internet.
Для эффективного управления
Основные задачи, выполняемые разрабатываемой программой:
ведение списка пользователей сетью Internet;
аутентификация;
назначение и контроль за использованием ресурсов Internet;
учет входящего трафика;
отключение пользователей от сети Internet в случае превышения выделенного ему трафика;
генерация отчетности.
Алгоритм работы программы контроля доступа к банковской сети можно разделить на два режима. Режим контроля и режим администрирования.
В режиме контроля программа непрерывно следит за действиями пользователей сети и соответственно реагирует на его поведение.
В режиме администрирования администратор сети может выделять пользователям требуемый размер сетевого трафика, а также следить за уже использованными ресурсами.
Режим контроля.
Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться, тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое пользователем соединение.
Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.
Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой, с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.
Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы - последние представляют из себя устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее приемлемой для своих условий.
Мы будем использовать для аутентификации систему паролей Unix. При этом при попытке пользователя получить доступ к Internet ресурсам ему предлагается ввести свое имя и пароль. Если пользователь прошел аутентификацию, то происходит сравнение выделенного ему размера трафика и уже использованного.
Если доступ запрещен, то доступ во внешнюю сеть для данного пользователя закрывается, а ему передается соответствующее предупреждение.
В случае, когда проверка успешно завершена, пользователь может беспрепятственно пользоваться необходимыми ресурсами Internet. При этом происходит протоколирование всех его действий в реальном масштабе времени, что дает пользователю возможность реагировать на влияние этого действия на безопасность и сетевой трафик.
Если в процессе работе пользователь превышает выделенный для него лимит, то он автоматически отключается от доступа во внешнюю сеть и получит соответствующее сообщение.
Алгоритм, реализующий указанный принцип работы программы, приведен на рисунке 3.1.
Рисунок 3.1 – Алгоритм работы программы в режиме контроля
В режиме администрирования обеспечивается управление пользователями сети, выделение ресурсов, запрещение или разрешение использования Internet.
Кроме этого имеется возможность просмотра отчета о работе пользователей в определенный промежуток времени с предоставлением подробной информации о посещенных сайтах с указание количества полученной информации.
Алгоритм работы программы в режиме администрирования приведен га рисунке 3.2.
Рисунок 3.2 – Режим администрирования
Рисунок 3.2 – Лист 2
В данном разделе дипломной работы был разработан алгоритм работы программы контроля доступа пользователей к банковской сети.
Разработанный алгоритм предусматривает два режима работы:
режим контроля за работой пользователя в сети;
режим администрирования.