Современные
информационные технологии/ Информационная безопасность
Дубчак О. В., Мосур О.М.
Національний авіаційний університет(НАУ), Україна
ОПТИМІЗАЦІЯ ФУНКЦІЙ МІЖМЕРЕЖЕВОГО
ЕКРАНУ ДЛЯ UNIX-ПОДІБНИХ СИСТЕМ
Вступ. Впровадження інформаційних технологій в усі сфери життєдіяльності
суспільства зумовило зростання обігу
великих масивів інформації в обчислювальних та інформаційних мережах. Така
тенденція потребує убезпечення інформації від несанкціонованого доступу шляхом
використання комплексу різноманітних засобів захисту, одним з яких є
міжмережевий екран як ефективний та економічно
доцільний в перешкоджанні несанкціонованим діям, спрямованим із
глобальної мережі.
Актуальність. На сьогоднішній день для захисту комп'ютерних систем і мереж від
зловмисних дій все частіше використовується комплексний підхід, який передбачає
наявність такого програмного забезпечення (ПЗ), як антивірус, міжмережевий
екран (ММЕ), antispyware. З огляду на
ступінь важливості інформації, що потребує захисту, є припустимим використання
різноманітних ММЕ, встановлення яких є обов'язковим після інсталяції
антивірусного ПЗ.
Постановка завдання.
Міжмережевий екран – це напівпроникна мембрана, що розташовується між
внутрішньою мережею, яка захищається, і зовнішніми мережами з метою контролю
всіх інформаційних потоків, що циркулюють мережами. Деякі ММЕ дозволяють здійснювати динамічну заміну (трансляцію) внутрішньомережевих адрес або портів на зовнішні, використовувані за межами внутрішньої комп’ютерної мережі.
Контроль інформаційних потоків
полягає в їх фільтрації, яка здійснюється на основі набору правил, попередньо
завантажених у ММЕ. [1]
Залежно від охоплення контрольованих потоків даних ММЕ
розподіляються на: традиційні ММЕ – ПЗ або невід'ємна частина операційної
системи на шлюзі чи апаратне рішення для контролю міжмережевого трафіку;
персональні ММЕ – ПЗ, яке встановлено на комп'ютері користувача з метою захисту від
несанкціонованого доступу тільки даного комп'ютера. [2]
Обов'язковим атрибутом усіх UNIX – подібних систем є ММЕ як
стандартний фільтр пакетів, параметри якого задає користувач: спершу був
простий у використанні ipfadm; з розвитком ядра Linux з'явився ipchains, що виконував заміну джерела IP (NAT) і
перенаправлення порту призначення, працюючи на 2.2.х ядрах; із появою гілки 2.4
набув популярності iptables, який містить множину різних функцій і модулів. [3]
Мета. Визначити набір правил щодо налаштування ММЕ, які дозволять оптимізувати захист комп'ютерної системи.
Програма iptables дозволяє застосовувати щодо пакетів набір
різних критеріїв і може здійснювати
аналіз пакетів вхідних, вихідних, а також тих, що передаються через ММЕ.
Рішення можуть прийматися на основі вихідної або кінцевої адреси, а також на
основі номера порту, для якого вони призначені.
Залежно від того, який пакет - TCP, UDP або ICMP, можуть
застосовуватися різні правила. За умови явного невизначення типу пакета у
рамках набору правил ММЕ, відносно нього буде застосовуватися обумовлена
політика за замовчуванням.
Набір правил iptables створюється, в основному, для
документування відомостей про трафік і може використовуватися спільно із проксі
для стеження за спеціальними різновидами трафіку. Кращим варіантом може бути
використання комбінації різних ММЕ.
Результати. Налаштування ММЕ з унікальним набором правил для iptables, який визначає рішення щодо приймання пакетів з мережі від достовірного
джерела та відправку запитів в мережу без втрати або викривлення інформації,
дозволяє наступне: отримання всіх
пакетів із заданих інтерфейсів та відправлення їх в мережу; проходження службових пакетів; потрапляння на
комп'ютер тільки тих TCP - і UDP - пакетів, які були запитані додатками з
комп'ютера; для запрошення пакетів обумовлено, які порти використовують
клієнтські додатки, а які використовуються серверними додатками; додавання
правил на вхід, які дозволяють приймання пакетів по протоколах TCP і UDP, що
надходять з мережевого інтерфейсу локальної мережі на порти, використовувані
протоколом NetBIOS; встановлення заданого набору правил ММЕ при кожному завантаженні
комп'ютера, причому їх налаштування відбувається до активізації мережевих
інтерфейсів.
Висновки. Конфігурації налаштованого ММЕ здатні фільтрувати мережевий трафік та
повідомляти користувача про виникнення несанкціонованого доступу, хоча і мають
ряд переваг та недоліків. Налаштування ММЕ не є оптимальними для всіх систем,
через що часто, особливо на серверах, потрібно проводити деяке корегування.
Переваги налаштованого ММЕ: прозорість коду та особисте
налаштування ММЕ під власну систему з огляду на інформацію, що захищається; iptables
аналізує не тільки дані, що передаються, але й контекст їх передачі, тому приймаються більш обґрунтовані рішення щодо
кожного мережевого пакета; налаштовані правила починають діяти з моменту
завантаження операційної системи до моменту завантаження мережевих інтерфейсів;
контроль трафіку для інших комп’ютерів, які знаходяться в мережі.
Недоліки налаштованого ММЕ: не має можливості автоматично
налаштовувати правила залежно від ситуації, тобто приймати рішення при виникненні
критичної ситуації; небажано зберігати налаштування в каталозі /root через
можливість втрати файлу після збою операційної системи, особливо якщо на
комп’ютері їх встановлено декілька; відсутність звичної графічної оболонки ММЕ.
Даний ММЕ можна використовувати:
на персональних комп'ютерах та серверних системах; при керуванні невеликою
локальною мережею та адмініструванні декількох мереж з доступом до глобальної
мережі Інтернет.
Література:
1. Лапонина О.Р. Межсетевое
экранирование. / Лапонина О.Р. – М.: Бином, – 2007. – 344
с.
2. Лєнков С.В. Методи і засоби захисту інформації. / С.В.
Лєнков, Д.О. Перегудов, В.О. Хорошко – К.: Арій, 2008. – с.163–180.
3. Стейсі Куант. Linux та Windows, порівняння безпеки. /
Стейсі Куант // URL: http://www.menatwork.com.ua/