перейти к полному списку дипломных проектов
Ссылка на скачивания файла в формате .doc находится в конце странички
Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном
Адреса назначаются на сетевые интерфейсы и называются MAC (Media Access Control) адресами. Ethernet - адрес, принадлежащий Ethernet-карте, является примером МАС - адреса уровня 2.
Уровень 3 является уровнем, отвечающим за доставку сетевого трафика по WAN. В Интернете адреса уровня 3 называются IP-адресами; адреса обычно являются уникальными, но при определенных обстоятельствах, например, при трансляции сетевых адресов (NAT) возможны ситуации, когда различные физические системы имеют один и тот же IP-адрес уровня 3.
Уровень 4 идентифицирует конкретное сетевое приложение и коммуникационную сессию в дополнение к сетевым адресам; система может иметь большое число сессий уровня 4 с другими ОС. Терминология, связанная с семейством протоколов TCP/IP, включает понятие портов, которые могут рассматриваться как конечные точки сессий: номер порта источника определяет коммуникационную сессию на исходной системе; номер порта назначения определяет коммуникационную сессию системы назначения. Более высокие уровни (5, 6 и 7) представляют приложения и системы конечного пользователя.
Мостиковые межсетевые экраны
Данный класс межсетевого экрана, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой межсетевой экран.
Мостиковые межсетевые экраны появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами (frame, кадр).
К достоинствам подобных межсетевых экранов можно отнести:
• Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов межсетевого экрана.
• Высокая производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных.
• Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке. Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира. Если такой межсетевой экран недоступен, то как его атаковать? Атакующие даже не будут знать, что существует межсетевой экран, проверяющий каждый их пакет.
Фильтрующие маршрутизаторы
Межсетевой экран с фильтрацией пакетов (Packet - filtering firewall) - межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)
Работают на 3 уровне
Также известны, как межсетевой экран на основе порта
Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя)
Недорогой, быстрый (производительный в силу простоты), но наименее безопасный
Технология 20-летней давности
Пример: список контроля доступа (ACL, access control lists) маршрутизатора
Шлюз сеансового уровня
Шлюз сеансового уровня (Circuit-level gateway) — межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. На рис. 2.2 показано схема функционирование шлюза сеансового уровня.
��
Рис. 2.2. Схема функционирование шлюза сеансового уровня
После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном.
скачать бесплатно «Анализ проблем информационной безопасности в компьютерной сети, организации подключенной к сети Интернтет»
Содержание дипломной работы
И достаточно долгое время специалисты в области компьютерных технологий не уделяли внимания безопасности компьютерных сетей
Многочисленные уязвимости в программных и сетевых платформах;
Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз
Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;
нарушение (частичное или полное) работоспособности КСО (нарушение доступности)
Так, например, выведение из строя руководителей предприятия, членов их семей или ключевых работников должно поставить под сомнение само существование данного предприятия
Основные проблемы, связанные с электронной почтой:
подделка электронной почты
DNS - доменная система имен
DNS - доменная система имен - производит преобразование имен в адреса и наоборот
Например, если запрашивается MX (mail exchanger) для некоторого домена, отвечающий сервер помимо собственно MX записи передает также A-записи для всех mail exchanger'ов домена
Как правило, требованиям к функциональности системы отдается предпочтение в ущерб требования защиты
В случае, если использование для доступа к Интернет физически отделенной от основной сети системы неприемлемо, наиболее эффективным решением является использование технологии межсетевых экранов
Он также является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельную машину
Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном
Возможность анализировать более высокие уровни позволяет межсетевого экрана предоставлять сервисы, которые ориентированы на пользователя, например, аутентификация пользователя
Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам
Экстранет
Термин «Экстранет» применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN
Идентификация и аутентификация
Нет требований к четвертому и пятому классу
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса
Для этих функций характерна взаимосвязь друг с другом
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных
Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана
В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet
Низкий уровень безопасности
Как отмечалось в начале статьи, межсетевые экраны рассматриваются в соответствии с необходимым предприятию уровнем безопасности
SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций
В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама
Использование IDS помогает достичь нескольких целей:
Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность
В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания
Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection)
Стратегии оповещения о тревогах
Наконец, при развертывании IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае
Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet)
Формат расширенного заголовка
Функции расширенного заголовка Routing (значение поля Next Header для которого равно 43) аналогичны маршрутизации от источника в IPv4
, 2009;
Журнал «Chip», июль 2007;
Журнал «Проблемы информационной безопасности», апрель 2008;
Яковлев
, нами было разработано и проведено 6 занятий по 3D моделированию, позволяющих изучить основы 3D моделирования
