Курсовая работа по дисциплине программно-аппаратная защита информации на тему: «Межсетевые экраны в Linux» Выполнил студент группы 3881 Грошев Тимофей Руководитель: Фёдоров Д.Ю.

Что такое межсетевой экран (МЭ)? Под межсетевым экраном будет пониматься персональный компьютер, подключённый к сети Internet. Основное назначение межсетевого экрана – защита ПК от вмешательства извне.

Функционирование МЭ Стандартом, определяющим процесс межсетевого взаимодействия между компьютером под управлением UNIX, является модель TCP\IP. Функционирование МЭ осуществляется на сетевом и транспортном уровнях.

Порты - числовые значения, применяющиеся для идентификации сетевых соединений и программ, взаимодействующих с помощью этих соединений, передаваемых на транспортном уровне. Порты делятся на привилегированные и непривилегированные

IP-пакет Сообщение в формате IP, передаваемое по сети, называется пакетом.

Механизм межсетевого экрана IPFW(IP firewall), реализованного в Linux, поддерживает три типа сообщений: ICMP, UDP и TCP.

Процесс установления соединения с сервером

Межсетевой экран с фильтрацией пакетов Реализуется в составе операционной системы. Исходной информацией для фильтрации пакетов является содержимое заголовков IP-пакетов, на основе которого межсетевой экран принимает решение, по какому маршруту следует направить пакет.

Действия, предпринимаемые МЭ

Представление правил МЭ При настройке компьютера правила для конкретного сетевого интерфейса удобно представлять как пары ввода\вывода. Списки правил, которые управляют фильтрацией пакетов, называют цепочками. Входная цепочка – input, выходная – output.

При построении межсетевого экрана используются два основных подхода Запрещается прохождение всех пакетов; пропускаются лишь те, которые удовлетворяют определённым правилам; Разрешается прохождение всех пакетов, за исключением пакетов, удовлетворяющих определённым правилам.

Фильтрация входящих пакетов Она производится на основе: 1. Адреса источника и назначения 2. Порта источника и назначения 3. Флагов определяющих состояние TCP-соединения

Фильтрация на основе адреса источника. Меры профилактики: 1.Блокировка неблагонадёжных узлов. 2.Работа с ограниченным набором удалённых узлов. 3.Фальсификация исходного адреса и недопустимые адреса.

Фильтрация на основе адреса источника. Существует шесть основных категорий значений, которые явно указывают на то, что пакет является поддельным (увидев эти значения в поле, предназначенном для адреса, необходимо запрещать прохождение этого пакета): 1.Если в заголовке указан адрес моего компьютера, т.к. в процессе сетевого обмена невозможна ситуация, при которой пакет, отправленный с моего компьютера, вернулся бы ко мне через внешний интерфейс. 2.Существует 3 категории адресов (А, В, С), которые попадают в определённые диапазоны и используются только для внутреннего применения: 3.IP-адреса класса D, предназначенные для группового вещания. Эти адреса выделены для организации группового вещания, в частности для передачи аудио- и видеоинформации нескольким абонентам. Лежат в диапазоне от до IP-адреса класса Е. Они зарезервированы для дальнейшего использования и пока не присвоены конкретному компьютеру. Лежат в диапазоне от до Адреса, принадлежащие интерфейсу обратной петли, который предназначен для локального использования сетевых служб (ОС передаёт данные в пределах одного компьютера). Как правило, для этого используется адрес Некорректный широковещательный адрес (специальный тип адреса, определяющий все компьютеры в сети. Его адрес может быть обычным IP-адресом или Передача пакета с таким адресом в рамках обычного соединения между двумя узлами глобальной сети исключено.

Фильтрация на основе адреса назначения. В большинстве случаев она выполняется автоматически. Сетевой интерфейс попросту игнорирует пакеты, не адресованные непосредственно ему. Фильтрация на основе информации о состоянии TCP-соединения. Состояние ТCP-соединения можно определить по установленным флагам.

Проба и сканирование Проба – это попытка установить соединение или получить ответ при обращении к конкретному порту. Сканирование представляет собой серию подобных попыток, предпринятых для различных портов.

Проба и сканирование Общее сканирование портов – проверка целого набора портов, принадлежащих определённому диапазону. Целевое сканирование портов выполняется для того, чтобы найти на узле службу, уязвимую с точки зрения безопасности сети Атаки с целью вывода служб из строя. 1.SYN-наводнение 2.Ping-наводнение 3.UDP-наводнение

Построение и инсталляция межсетевого экрана Для создания межсетевого экрана используется программа администрирования iptables. Эта программа предназначена для создания правил фильтрации пакетов, включаемых в цепочки input и output. Один из важных признаков, определяющих работу межсетевого экрана, - это последовательность, в которой правила расположены в цепочке.

Инициализация межсетевой экрана. Порядок действий: 1.Определение констант, используемых при работе сценария 2.Удаление существующих правил из цепочек 3.Определение политики по умолчанию 4.Восстановление состояния интерфейса обратной петли, пригодного для выполнения системных операций (используется при настройке МЭ в локальной сети) 5.Блокирование узлов, доступ с которых нужно запретить 6.Определение основных правил, предотвращающих прохождение пакетов с некорректными адресами источника и защищающих серверы, работающие через непривилегированные порты

IPTABLES Общий вид: iptables [-t table] command [match] [target/jump] -t table – спецификатор, указывает какая используется таблица Command – команда, определяющее действие МЭ Match - задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет target/jump - указывает какое действие должно быть выполнено при условии выполнения критериев в правиле