Le mur réfractaire

Le mur réfractaire est un système ou la combinaison des systèmes, permettant de diviser le réseau sur deux ou plus de parties et réaliser l'ensemble de règles, les définissants de la condition du passage des paquets d'une partie à l'autre (cm fig. 1). En général, cette frontière s'occupera du réseau local de l'entreprise et INTERNET, bien que l'on peut la passer et à l'intérieur du réseau local de l'entreprise. Le mur réfractaire manque ainsi dans lui-même tout le trafic. Pour chaque paquet passant le mur réfractaire prend la décision de le manquer ou rejeter. Pour que le mur réfractaire puisse prendre ces décisions, il lui est nécessaire de définir l'ensemble de règles. Comment ces règles font un lapsus quels paramètres sont utilisés à leur description les paroles ira plus bas.

En général, les murs réfractaires fonctionnent sur quelque UNIX au quai - le plus souvent cela BSDI, SunOS, AIX, IRIX etc., est plus rare - DOS, VMS, WNT, Windows NT. Des quais de matériel se rencontrent INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, la famille RISC des processeurs R4400-R5000. En dehors d'Ethernet, plusieurs murs réfractaires soutiennent FDDI, Token Ring, 100Base-T, 100VG-AnyLan, de diverses installations en série. Les exigences à la mémoire rapide et le volume du disque dur dépendent de la quantité de voitures dans le segment protégé du réseau, mais il est recommandé d'avoir le plus souvent pas moins 32Мб la MÉMOIRE RAM et 500 Mb sur le disque dur.

En général, dans le système d'exploitation, sous la gestion de qui le mur réfractaire travaille on fait les changements, le but de qui - l'augmentation de la protection du mur réfractaire. Ces changements abordent le noyau des GUÊPES, ainsi que les fichiers correspondants de la configuration. Sur le mur réfractaire il n'est pas permis d'avoir les comptes des utilisateurs (et donc des trous potentiels), seulement le compte de l'administrateur. Certains murs réfractaires travaillent seulement en régime d'un utilisateur. Plusieurs murs réfractaires ont le système du contrôle de l'intégrité des codes de programme. De plus les sommes de contrôle des codes de programme se trouvent dans la place protégée et sont comparés au départ du programme pour éviter la substitution du logiciel.

On peut diviser tous les murs réfractaires en trois types :

Tous les types peuvent simultanément se rencontrer dans un mur réfractaire.

Les filtres de paquet

Les murs réfractaires avec les filtres de paquet prennent la décision de celle-là, manquer le paquet ou rejeter, en examinant les IP-adresses, les drapeaux ou les numéros TCP des ports dans le titre de ce paquet. L'IP-adresse et le numéro du port est une information des niveaux de réseau et de transport en conséquence, mais les filtres de paquet utilisent l'information du niveau appliqué, car tous les services standard à TCP/IP s'associent au numéro défini du port.

Pour la description des règles du passage des paquets on fait les tableaux du type :

L'action Le type du paquet L'adresse источн. Le port источн. L'adresse назнач. Le port назнач. Les drapeaux
Champ "l'action" peut accepter les significations manquer ou rejeter.
Le type du paquet - TCP, UDP ou ICMP.
Les drapeaux - les drapeaux du titre l'IP-pa-saumon.
Champs "le port de la source" et "le port de destination" ont le sens seulement pour TCP et UDP des paquets.

Du serveur du niveau appliqué les Murs réfractaires avec les serveurs du niveau appliqué utilisent du serveur des services concrets - TELNET, FTP etc. (proxy server), lancé sur le mur réfractaire et manquant par eux-mêmes tout le trafic se rapportant au service donné. Ainsi, entre le client et le serveur se forment deux liaisons : du client à mur réfractaire et du mur réfractaire à destination. L'ensemble complet des serveurs soutenus se distingue pour chaque mur réfractaire concret, cependant se rencontrent le plus souvent du serveur pour les services suivants :

L'utilisation des serveurs du niveau appliqué permet de décider une importante tâche - cacher des utilisateurs extérieurs la structure du réseau local, y compris l'information dans les titres des paquets postaux ou le service des noms de fusion (DNS). Une autre qualité positive est la possibilité аутентификации au niveau d'utilisateur (аутентификация - le procès de la confirmation de l'identité de quelque chose; c'est dans le cas présent le procès de la confirmation, si en effet l'utilisateur est celui-là, pour lequel il se donne). Un peu plus en détail sur аутентификации sera dit plus bas. À la description des règles de l'accès on utilise tels paramètres comme le nom du service, le nom de l'utilisateur, admissible temporaire la gamme de l'utilisation du service, les ordinateurs, de qui on peut se servir du service, le schéma аутентификации. Du serveur des procès-verbaux du niveau appliqué permettent d'assurer le plus haut niveau de la protection - la coopération avec extérieur des mondes se réalise dans un petit nombre des programmes appliqués contrôlant entièrement tout le trafic entrant et sortant.

Du serveur du niveau de la liaison le Serveur du niveau de la liaison présente de lui-même le compilateur TCP de la liaison. L'utilisateur forme la liaison avec le port défini sur le mur réfractaire, après quoi le dernier produit la liaison avec la destination selon une autre partie du mur réfractaire. Pendant la séance ce compilateur copie octets dans les deux directions, en agissant comme le fil. En général, le lieu de destination est donné d'avance, pendant que des sources peut être beaucoup (la liaison du type un - beaucoup). En utilisant de divers ports, on peut créer de diverses configurations. Un tel type du serveur permet de créer le compilateur pour n'importe quel service défini par l'utilisateur fondé sur TCP, réaliser le contrôle de l'accès à ce service, la collecte de la statistique selon son utilisation.

Les caractéristiques comparatives sont plus bas amenées les avantages principaux et les manques des filtres de paquet et les serveurs du niveau appliqué assez l'un l'autre. Vers les qualités positives des filtres de paquet il faut porter les suivants :

Les manques près du type donné des murs réfractaires les suivants : Vers les avantages des serveurs du niveau appliqué il faut porter les suivants : Les manques de ce type sont :

Les réseaux virtuels la Série de murs réfractaires permet aussi d'organiser les réseaux virtuels corporatifs (Virtual Private Network), i.e. unir quelques réseaux locaux insérés à INTERNET dans un réseau virtuel. VPN permettent d'organiser la liaison transparente pour les utilisateurs des réseaux locaux, en gardant le caractère secret et l'intégrité de l'information transmise avec l'aide шифрования. De plus à la transmission selon INTERNET sont chiffrés non seulement les données de l'utilisateur, mais aussi l'information de réseau - les adresses de réseau, les numéros des ports etc.

Les schémas de la connexion

Pour la connexion des murs réfractaires on utilise de divers schémas. Le mur réfractaire peut être utilisé à titre d'extérieur роутера, en utilisant les types soutenus des installations pour la connexion au réseau extérieur (cm fig. 1). Parfois on utilise le schéma représenté нарис 3, cependant servir elle il faut seulement dans le cas extrême, puisque l'on demande le réglage très ponctuel роутеров et de petites erreurs peuvent former les trous sérieux dans la protection.

Si le mur réfractaire peut soutenir deux Ethernet de l'interface (soi-disant dual-homed le mur réfractaire), le plus souvent la connexion se réalise par extérieur маршрутизатор (cm fig. 4).

De plus entre extérieur роутером et le mur réfractaire il y a seulement une voie, selon laquelle il y a tout un trafic. D'habitude роутер se dispose de manière que le mur réfractaire est seul vu en dehors par voiture. Ce schéma est le plus préférable du point de vue de la sécurité et la sécurité de la protection. Un autre schéma est présenté sur fig. 5.

De plus par le mur réfractaire une se défend seulement подсеть de quelques sortant de роутера. Dans le domaine non protégé par le mur réfractaire les serveurs, qui doivent être vus en dehors (WWW, FTP etc.) souvent disposent. Certains murs réfractaires proposent de sont installés par ceux-ci du serveur sur lui-même - la décision, le rien moins que meilleur du point de vue du chargement de la voiture et les sécurités du mur réfractaire Existent les décisions (cm fig. 6), qui permettent d'organiser pour les serveurs, qui doivent être vus en dehors, le troisième réseau; cela permet d'assurer le contrôle de l'accès à eux, en gardant en même temps le niveau nécessaire de la protection des voitures dans le réseau principal.

Il suffit de plus beaucoup d'attention est donné que les utilisateurs du réseau intérieur non puissent par hasard ou intentionnellement ouvrir le trou au réseau local dans ceux-ci du serveur. Pour l'augmentation du niveau de la sécurité il est possible d'utiliser dans un réseau quelques murs réfractaires se trouvant l'un après l'autre.

Le directivisme la Facilité du directivisme est un des aspects clés dans la création du système effectif et sûr de la protection. Les erreurs à la définition des règles de l'accès peuvent former le trou, dans lequel on peut forcer le système. C'est pourquoi dans la plupart des murs réfractaires on réalise les utilitaires de service facilitant l'introduction, l'éloignement, l'affichage de l'ensemble de règles. La présence de ces utilitaires permet aussi de produire les contrôles des erreurs syntaxiques ou logiques à l'introduction ou l'édition des règles. En général, ces utilitaires permettent d'examiner l'information groupée selon quelle ou critères - par exemple, tout que se rapporte à l'utilisateur concret ou le service.

Les systèmes de la collecte de la statistique et la prévention de l'attaque Encore un important composant du mur réfractaire est le système de la collecte de la statistique et la prévention de l'attaque. L'information sur tous les événements - les refus entrant, les liaisons sortant, le nombre transmis octet, les services utilisés, le temps de la liaison etc. - s'accumule dans les fichiers de la statistique. Plusieurs murs réfractaires permettent souplement de définir les événements étant passibles de la verbalisation, décrire les actions du mur réfractaire aux attaques ou les tentatives de l'accès non sanctionné est il y avoir être un message sur la console, le message postal à l'administrateur du système etc. la conclusion Immédiate du message sur la tentative de l'effraction sur l'écran de la console ou l'administrateur peut aider, si la tentative s'est trouvée fructueuse et attaquant a pénétré déjà dans le système. Les générateurs des rapports entrent dans la composition de plusieurs murs réfractaires, les employés pour le traitement de la statistique. Ils permettent de recueillir la statistique selon l'utilisation des ressources par les utilisateurs concrets, selon l'utilisation des services, les refus, les sources, de qui on passait les tentatives de l'accès non sanctionné etc.

Autentifikatsija Autentifikatsija est un des plus importants composants des murs réfractaires. Avant que l'on réserve à l'utilisateur le droit de se servir de n'importe quel service, il est nécessaire de se persuader que lui en effet celui-là, pour qui il se donne (il est supposé que ce service pour l'utilisateur donné est permis : le procès de la définition, quels services sont permis s'appelle авторизацией. Авторизация est examiné d'habitude dans le contexte аутентификации - dès que l'utilisateur аутентифицирован, pour lui on définit les services permis à lui). À la réception de la demande sur l'utilisation du service de la part de quelque utilisateur, le mur réfractaire contrôle, quel moyen аутентификации est défini pour l'utilisateur donné et transmet la gestion au serveur аутентификации. Après la réception de la réponse affirmative du serveur аутентификации le mur réfractaire forme la liaison demandée par l'utilisateur. En général, on utilise le principe qui a reçu le nom "qu'il connaît" - i.e. L'utilisateur connaît un certain mot confidentiel, qu'il envoie au serveur аутентификации en réponse à sa demande. Un des schémas аутентификации est l'utilisation standard UNIX des mots d'ordre. Ce schéma est le plus vulnérable du point de vue de la sécurité - le mot d'ordre peut être saisi et utilisé par une autre personne. On utilise le plus souvent les schémas avec l'utilisation des mots d'ordre à une seule fois. Même étant saisi, ce mot d'ordre sera inutile à l'enregistrement suivant, mais recevoir le mot d'ordre suivant de précédent est extrêmement le problème difficile. Pour la génération des mots d'ordre à une seule fois sont utilisés de programme, ainsi que les générateurs de matériel - les derniers présentent d'eux-mêmes les installations insérées à слот de l'ordinateur. La connaissance du mot confidentiel est nécessaire à l'utilisateur pour la réduction de cette installation à l'action. Une série de murs réfractaires soutiennent Kerberos - une des méthodes les plus répandues аутентификации. Certains schémas demandent le changement du logiciel de client - le pas, qui est toujours acceptable rien moins que. En général, tous les murs réfractaires commerciaux soutiennent quelques divers schémas, en permettant à l'administrateur de faire le choix le plus acceptable pour les conditions.

ßíäåêñ öèòèðîâàíèÿ

Subscribe Subscribe.Ru
The Family Tree of Family