Курсовая работа по дисциплине программно-аппаратная защита информации на тему: «Межсетевые экраны в Linux» Выполнил студент группы 3881 Грошев Тимофей. - презентация

1 Курсовая работа по дисциплине программно-аппаратная защита информации на тему: «Межсетевые экраны в Linux» Выполнил студент группы 3881 Грошев Тимофей Руководитель: Фёдоров Д.Ю.

2 Что такое межсетевой экран (МЭ)? Под межсетевым экраном будет пониматься персональный компьютер, подключённый к сети Internet. Основное назначение межсетевого экрана – защита ПК от вмешательства извне.

3 Функционирование МЭ Стандартом, определяющим процесс межсетевого взаимодействия между компьютером под управлением UNIX, является модель TCP\IP. Функционирование МЭ осуществляется на сетевом и транспортном уровнях.

4 Порты - числовые значения, применяющиеся для идентификации сетевых соединений и программ, взаимодействующих с помощью этих соединений, передаваемых на транспортном уровне. Порты делятся на привилегированные и непривилегированные

5 IP-пакет Сообщение в формате IP, передаваемое по сети, называется пакетом.

6 Механизм межсетевого экрана IPFW(IP firewall), реализованного в Linux, поддерживает три типа сообщений: ICMP, UDP и TCP.

7 Процесс установления соединения с сервером

8 Межсетевой экран с фильтрацией пакетов Реализуется в составе операционной системы. Исходной информацией для фильтрации пакетов является содержимое заголовков IP-пакетов, на основе которого межсетевой экран принимает решение, по какому маршруту следует направить пакет.

9 Действия, предпринимаемые МЭ

10 Представление правил МЭ При настройке компьютера правила для конкретного сетевого интерфейса удобно представлять как пары ввода\вывода. Списки правил, которые управляют фильтрацией пакетов, называют цепочками. Входная цепочка – input, выходная – output.

11 При построении межсетевого экрана используются два основных подхода Запрещается прохождение всех пакетов; пропускаются лишь те, которые удовлетворяют определённым правилам; Разрешается прохождение всех пакетов, за исключением пакетов, удовлетворяющих определённым правилам.

12 Фильтрация входящих пакетов Она производится на основе: 1. Адреса источника и назначения 2. Порта источника и назначения 3. Флагов определяющих состояние TCP-соединения

13 Фильтрация на основе адреса источника. Меры профилактики: 1.Блокировка неблагонадёжных узлов. 2.Работа с ограниченным набором удалённых узлов. 3.Фальсификация исходного адреса и недопустимые адреса.

14 Фильтрация на основе адреса источника. Существует шесть основных категорий значений, которые явно указывают на то, что пакет является поддельным (увидев эти значения в поле, предназначенном для адреса, необходимо запрещать прохождение этого пакета): 1.Если в заголовке указан адрес моего компьютера, т.к. в процессе сетевого обмена невозможна ситуация, при которой пакет, отправленный с моего компьютера, вернулся бы ко мне через внешний интерфейс. 2.Существует 3 категории адресов (А, В, С), которые попадают в определённые диапазоны и используются только для внутреннего применения: 3.IP-адреса класса D, предназначенные для группового вещания. Эти адреса выделены для организации группового вещания, в частности для передачи аудио- и видеоинформации нескольким абонентам. Лежат в диапазоне от до IP-адреса класса Е. Они зарезервированы для дальнейшего использования и пока не присвоены конкретному компьютеру. Лежат в диапазоне от до Адреса, принадлежащие интерфейсу обратной петли, который предназначен для локального использования сетевых служб (ОС передаёт данные в пределах одного компьютера). Как правило, для этого используется адрес Некорректный широковещательный адрес (специальный тип адреса, определяющий все компьютеры в сети. Его адрес может быть обычным IP-адресом или Передача пакета с таким адресом в рамках обычного соединения между двумя узлами глобальной сети исключено.

15 Фильтрация на основе адреса назначения. В большинстве случаев она выполняется автоматически. Сетевой интерфейс попросту игнорирует пакеты, не адресованные непосредственно ему. Фильтрация на основе информации о состоянии TCP-соединения. Состояние ТCP-соединения можно определить по установленным флагам.

16 Проба и сканирование Проба – это попытка установить соединение или получить ответ при обращении к конкретному порту. Сканирование представляет собой серию подобных попыток, предпринятых для различных портов.

17 Проба и сканирование Общее сканирование портов – проверка целого набора портов, принадлежащих определённому диапазону. Целевое сканирование портов выполняется для того, чтобы найти на узле службу, уязвимую с точки зрения безопасности сети Атаки с целью вывода служб из строя. 1.SYN-наводнение 2.Ping-наводнение 3.UDP-наводнение

18 Построение и инсталляция межсетевого экрана Для создания межсетевого экрана используется программа администрирования iptables. Эта программа предназначена для создания правил фильтрации пакетов, включаемых в цепочки input и output. Один из важных признаков, определяющих работу межсетевого экрана, - это последовательность, в которой правила расположены в цепочке.

19 Инициализация межсетевой экрана. Порядок действий: 1.Определение констант, используемых при работе сценария 2.Удаление существующих правил из цепочек 3.Определение политики по умолчанию 4.Восстановление состояния интерфейса обратной петли, пригодного для выполнения системных операций (используется при настройке МЭ в локальной сети) 5.Блокирование узлов, доступ с которых нужно запретить 6.Определение основных правил, предотвращающих прохождение пакетов с некорректными адресами источника и защищающих серверы, работающие через непривилегированные порты

20 IPTABLES Общий вид: iptables [-t table] command [match] [target/jump] -t table – спецификатор, указывает какая используется таблица Command – команда, определяющее действие МЭ Match - задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет target/jump - указывает какое действие должно быть выполнено при условии выполнения критериев в правиле