Il y a quelques années, pour une protection de PC fiable, il suffisait d'établir un bon programme antivirus et de suivre la mise à jour régulière des bases. Cependant, l'ingéniosité des attaquants génère de plus en plus de nouvelles façons de dommages. Souvent, le principal moyen de pénétrer dans l'ordinateur de l'utilisateur est ses connexions réseau ou des vulnérabilités systémiques plutôt associées. Le paquet antivirus ne peut déterminer que le code malveillant, mais tous les antivirus ne peuvent pas détecter un accès non autorisé à des données.

Avec le développement des relations de marché, des informations de plus en plus acquièrent la qualité des marchandises, c'est-à-dire qu'elle peut être achetée, vendue, transmettre et, malheureusement, voler. Par conséquent, le problème de la sécurité des informations chaque année devient de plus en plus pertinent. L'une des directions possibles pour résoudre ce problème est l'utilisation de pare-feu.

Les technologies de protection des réseaux modernes sont l'un des segments les plus dynamiques du marché de la sécurité moderne. Les moyens de protection du réseau évoluent si rapidement que, à l'heure actuelle, la terminologie généralement acceptée dans cette direction n'a pas encore été établie. Ces moyens de protection dans la littérature et les médias apparaissent sous forme de pare-feu, de pare-feu et même de membranes informatives. Mais le terme "pare-feu" (moi) est le plus souvent utilisé.

En général, pour assurer une protection du réseau entre deux ensembles de systèmes d'information (IP), une membrane d'écran ou d'informations est soulevée, ce qui constitue un moyen de délimiter l'accès client d'un ensemble de systèmes aux informations stockées sur des serveurs dans un autre ensemble. En ce sens, cela peut que je puisse être représenté comme un ensemble de filtres qui analysent les informations qui les traversent et la prise de décision: saute des informations ou le bloquer. Dans le même temps, l'enregistrement des événements et l'alarme alarmante sont enregistrés en cas de détection de menace. Typiquement, les systèmes de blindage sont fabriqués asymétriques. Pour les écrans, les concepts de "intérieur" et "extérieur" sont déterminés et et la protection interne du réseau d'un environnement potentiellement hostile inclut la tâche de l'écran. De plus, le moi peut être utilisé comme une partie d'entreprise ouverte du réseau visible d'Internet. Par exemple, dans de nombreuses organisations, les MES sont utilisés pour stocker des données d'accès public, telles que des informations sur les produits et services, les fichiers de bases de données FTP, des messages d'erreur, etc.

L'écran de pare-feu ou de réseau est un ensemble de contrôles matériels ou logiciels et filtrant des paquets de réseau qui le passent en fonction des règles spécifiées.

La tâche principale de l'écran de réseau est de protéger les réseaux informatiques ou des nœuds individuels contre un accès non autorisé. En outre, les écrans de réseau sont souvent appelés filtres, car leur tâche principale n'est pas de sauter des paquets (filtrer) qui ne conviennent pas aux critères définis dans la configuration.

Certains écrans de réseau vous permettent également de diffuser des adresses - le remplacement dynamique des adresses intranet (gris) ou des ports à l'extérieur utilisé en dehors du réseau informatique local.

Figure 4. Structure du pare-feu général

Autres noms

Pare-feu (Brandmauer) - emprunté à la langue allemande, qui est un analogue du pare-feu anglais dans sa valeur d'origine (un mur qui sépare les bâtiments adjacents, protège contre la distribution de feu). Fait intéressant, dans le domaine des technologies informatiques, le mot «pare-feu» est utilisé en allemand.

Pare-feu - formé par la translittération du pare-feu d'anglais.

Variétés d'écrans réseau

Les écrans de réseau sont divisés en différents types en fonction des caractéristiques suivantes:

si l'écran fournit une connexion entre un nœud et un réseau ou entre deux ou plusieurs réseaux différents;

au niveau des protocoles de réseau, le contrôle des flux de données se produit;

si les états de composés actifs sont surveillés ou non.

En fonction de la couverture des flux de données contrôlés, les écrans de réseau sont divisés en:

l'écran Network (ou pare-feu) est un programme (ou une partie intégrante du système d'exploitation) sur la passerelle (trafic transmettant du serveur entre les réseaux) ou une solution matérielle contrôlant des flux de données entrants et sortants entre les réseaux connectés.

Écran de réseau personnel - Un programme installé sur un ordinateur utilisateur et destiné à protéger contre l'accès non autorisé de cet ordinateur uniquement.

Le cas dégénéré est l'utilisation d'un écran de réseau traditionnel par le serveur pour limiter l'accès à ses propres ressources.

Selon le niveau sur lequel le contrôle d'accès se produit, il existe une division dans des écrans réseau qui fonctionnent sur:

niveau de réseau Lorsque le filtrage se produit sur la base des adresses de l'expéditeur et du destinataire de paquets, les numéros de niveau de numéro du modèle OSI et des règles statiques spécifiés par l'administrateur;

niveau de session (également appelé état d'état) - Les sessions de suivi entre les applications qui ne manquent pas de packages violent les spécifications TCP / IP, souvent utilisées dans des opérations malveillantes - des ressources de numérisation, piratage de la mise en oeuvre TCP / IP incorrecte, rupture / ralentissement des composés de données, injection de données.

niveau d'application, filtrage basé sur l'analyse des données d'application transmises à l'intérieur du package. De tels types d'écrans vous permettent de bloquer le transfert des informations indésirables et potentiellement dangereuses basées sur des stratégies et des paramètres.

Certaines solutions attribuables aux écrans réseau du niveau d'application sont des serveurs de proxy avec certaines capacités d'écran réseau, mettant en œuvre des serveurs de proxy transparents, avec spécialisation par protocoles. Les capacités du serveur proxy et de la spécialisation du multiprotocol permettent de filtrer de manière significative plus flexible que sur les écrans de réseau classiques, mais ces applications ont toutes des lacunes de serveurs proxy (par exemple, l'anonymisation du trafic).

Selon le suivi des connexions actives, les écrans de réseau sont les suivants:

sTAPOIRE (filtrage simple) qui ne suivent pas les connexions actuelles (par exemple, TCP) et filtrer le flux de données uniquement sur la base de règles statiques;

inspection de paquets sotculeux (SPI) (filtrage avec comptabilité de contexte), avec suivi des connexions en cours et ne transmettant que de tels packages satisfaisant à la logique et aux algorithmes des protocoles et applications concernés. Ces types d'écrans de réseau permettent de se battre plus efficacement avec différents types d'attaques et de vulnérabilités de DOS de certains protocoles de réseau. En outre, ils assurent le fonctionnement de protocoles tels que H.323, SIP, FTP, etc., qui utilisent des systèmes de transmission de données complexes entre les adresses, décrit mal par des règles statiques et souvent incompatibles avec des écrans réseau standard et apatrides.

Il convient de noter qu'ici, avec des pare-feu à un niveau unique, des écrans complexes deviennent de plus en plus populaires, couvrant des niveaux de réseau à appliquer, car de tels produits combinent les meilleures propriétés des écrans à un niveau unique de types différents. Le schéma 1 montre la structure des informations de blindage entre deux systèmes utilisant le modèle de référence ISO / OSI.

Figure 5. Structure de blindage d'informations à l'aide du modèle de référence

Exigences modernes pour les pare-feu

La principale exigence est d'assurer la sécurité du réseau interne (protégé) et du contrôle total sur les connexions externes et les sessions de communication.

Le système de blindage doit avoir des outils de gestion puissants et flexibles pour une mise en œuvre simple et complète des politiques de sécurité de l'organisation.

Le pare-feu devrait fonctionner inaperçu des utilisateurs du réseau local et n'empêcher pas la mise en œuvre d'une action en justice.

Le processeur du pare-feu doit être à grande vitesse, fonctionner de manière assez efficace et le temps nécessaire pour traiter l'ensemble du flux entrant et sortant dans les modes de pointe afin qu'il ne puisse pas être bloqué par un grand nombre d'appels et perturber son fonctionnement.

Le système de sécurité doit être protégé de manière fiable des impacts non autorisés, car il s'agit de la clé des informations confidentielles de l'organisation.

Le système de gestion des écrans devrait être en mesure de garantir de manière centrale une stratégie de sécurité unique pour les branches distantes.

Caractéristiques des pare-feu modernes

Comme le montre le tableau 3, le pare-feu est le moyen le plus courant d'obtenir des outils de protection traditionnels à partir d'un accès non autorisé et est utilisé pour assurer la protection des données lors de l'organisation du pare-feu.

Des implémentations spécifiques de moi dépendent en grande partie des plates-formes informatiques utilisées, mais, néanmoins, tous les systèmes de cette classe utilisent deux mécanismes, dont l'un fournit le blocage du trafic de réseau, et le second, au contraire, permet un échange de données.

Dans le même temps, certaines versions de moi se concentrent sur la bloquer du trafic indésirable, tandis que d'autres sont sur la régulation de l'échange intermadaire autorisé.

Tableau 3 - Caractéristiques des pare-feu

Options typiques d'inclusion de pare-feu

Figure 6. Permettez-moi d'en fonction du schéma de passerelle à deux ports

Figure 7. Permettez-moi directement sur le serveur protégé

Figure 8. Inclusion sur le MES dans le système intranet Internet

Caractéristiques comparatives des pare-feu modernes

Tableau 4 - Caractéristiques comparatives des pare-feu modernes

Le pare-feu lui-même n'est pas une panacée de toutes les menaces au réseau. En particulier, il:

ne protège pas les nœuds du réseau de la pénétration à travers les "trappes" (portes anglaises) ou des vulnérabilités du logiciel;

ne protège pas contre de nombreuses menaces internes, d'abord des fuites de données;

ne protège pas de chargement des utilisateurs de programmes malveillants, y compris des virus;

Pour résoudre les deux derniers problèmes, des fonds supplémentaires appropriés sont utilisés, en particulier des antivirus. Habituellement, ils sont connectés au pare-feu et transmet eux-mêmes la partie correspondante du trafic réseau, fonctionnant comme transparent pour d'autres nœuds de réseau ou reçoivent une copie de toutes les données envoyées du pare-feu. Toutefois, une telle analyse nécessite des ressources matérielles significatives, est donc généralement effectuée sur chaque nœud du réseau indépendamment.

Instruction

Allez au menu principal "Démarrer" du système d'exploitation Windows. Sélectionnez la section "Panneau de configuration" et accédez à Firewall Windows. Vous pouvez également commencer son paramètre à partir de la ligne de commande en entrant le texte suivant: "Control.exe / Nom Microsoft.WindowsFirewall".

Découvrez la fenêtre qui s'ouvre. La gauche dispose d'un panneau composé de plusieurs sections responsables des différents paramètres du pare-feu. écranmais. Accédez à l'onglet Profile Général et au "Profil privé", où les inscriptions "Connections sortantes", vous devez annuler l'option "Block". Cliquez sur le bouton "Appliquer" et "OK", puis fermez la fenêtre. Après cela, vous pouvez procéder à la mise en place d'un accès à Internet de divers services et programmes installés sur un ordinateur personnel.

Accédez à l'onglet "Paramètres avancés" pour exécuter le pare-feu écran En mode de sécurité avancé. La fenêtre qui apparaît se compose de la barre d'outils et de trois sections. Sélectionnez les "règles pour la connexion hors-bord" dans le champ gauche, après quoi elle se trouve sur le champ droit pour "créer une règle". En conséquence, l'assistant de création de règles apparaîtra.

Sélectionnez le type de règles que vous souhaitez ajouter aux paramètres du pare-feu écranmais. Vous pouvez sélectionner pour toutes les connexions informatiques ou configurer un programme spécifique en spécifiant le chemin d'accès. Cliquez sur le bouton Suivant pour accéder au programme, dans lequel vous spécifiez à nouveau le chemin d'accès à l'application.

Aller à "action". Ici, vous pouvez activer la connexion ou le bloquer. Vous pouvez également devenir une connexion sécurisée à laquelle elle sera vérifiée par IPSec. Dans le même temps, en cliquant sur le bouton "Configurer", vous pouvez installer vos propres règles. Après cela, spécifiez le "profil" pour votre règle et proposez-lui le nom. Cliquez sur le bouton "Terminer" pour enregistrer les paramètres.

Le degré de scintillement sur l'écran activé dépend des paramètres définis sur la fréquence de mise à jour de l'image sur le moniteur. Le concept de "fréquence de mise à jour" est applicable aux moniteurs de la lampe, pour les moniteurs à cristaux liquides, ces paramètres ne sont pas importants. L'écran de la plupart des moniteurs de lampe est mis à jour une fois par minute. Si vous ne correspondez pas aux paramètres, éliminez vaciller ÉcranAprès avoir effectué plusieurs actions.

Instruction

Appelez le composant "Écran". Pour ce faire, sur le menu "Démarrer", ouvrez le panneau de commande. Dans la catégorie "Design and Tunics", cliquez sur l'icône "Écran" avec le bouton gauche de la souris ou sélectionnez l'une des tâches disponibles en haut de la fenêtre. Si le "Panneau de configuration" de votre ordinateur a une vue classique, sélectionnez l'icône souhaitée immédiatement.

Il y a un autre moyen: cliquez avec le bouton droit de la souris sur n'importe quel fichier de fichiers et de dossiers du bureau. Dans le menu déroulant, sélectionnez "Propriétés", en cliquant dessus avec le bouton gauche de la souris. Une nouvelle boîte de dialogue "Propriétés: écran" s'ouvre.

Dans la fenêtre qui s'ouvre, accédez à l'onglet "Paramètres" et appuyez sur le bouton "Avancé" situé au bas de la fenêtre. Cette action entraînera les "propriétés optionnelles": Module de connexion du moniteur et [Votre carte vidéo] ".

Dans une nouvelle fenêtre, allez à l'onglet Moniteur et installez le marqueur dans le champ en face de l'inscription «Masquer les modes que le moniteur ne peut pas utiliser. Cela vous aidera à éviter des problèmes possibles: si Écran Installée de manière incorrecte, l'image sur le moniteur peut être instable. La fréquence non sélectionnée de manière incorrecte peut également entraîner un dysfonctionnement de l'équipement.

En utilisant la liste déroulante dans la section Paramètres du moniteur, définissez le champ "Mettre à jour la fréquence". Écran«La valeur dont vous avez besoin. Plus la fréquence de mise à jour est élevée ÉcranMoins le moniteur flickes. La fréquence par défaut est de 100 Hz, bien que votre moniteur puisse supporter une autre fréquence. Spécifiez ces informations dans la documentation ou sur le site Web du fabricant.

Après avoir apporté les modifications dont vous avez besoin, cliquez sur le bouton "Appliquer" dans la fenêtre Propriétés du moniteur. La demande de confirmation de nouveaux paramètres est répondu dans l'affirmative. Cliquez sur le bouton OK. Vous resterez une fenêtre «Propriétés: écran». Fermez-le à l'aide du bouton OK ou de l'icône [x] dans le coin supérieur droit de la fenêtre.

Si vous modifiez la fréquence de mise à jour Écran Le type de bureau changera, définira la fenêtre Propriétés. Écran Convient à percevoir la permission, cliquez sur le bouton "Appliquer" et fermez la fenêtre. La taille de l'espace de travail à l'écran est ajustée à l'aide des boutons de configuration du boîtier du moniteur. N'oubliez pas à la fin de cliquer sur le bouton "Degauss".

Interselets écranou le pare-feu est conçu pour contrôler le fonctionnement des programmes de réseau et protéger le système d'exploitation et les données utilisateur des attaques externes. Il existe de nombreux programmes ayant des caractéristiques similaires et ils ne sont pas toujours efficaces. Pour vérifier la qualité de votre réseau écrana, utilisez le programme de testeur de pare-feu 2IP.

Instruction

Trouvez le lien de téléchargement pour télécharger l'utilitaire 2IP Firewall Testoter à l'aide du moteur de recherche. Vérifiez le programme téléchargé sur le programme antivirus et exécutez l'application. En règle générale, le programme doit être installé sur le disque dur de l'ordinateur. Après cela, une étiquette apparaît sur le bureau, avec laquelle vous pouvez l'exécuter.

La fenêtre du programme est assez simple et contient une chaîne de sortie de message et deux boutons d'aide et de test. Assurez-vous que votre ordinateur a accès à Internet et appuyez sur le bouton Test. L'utilitaire tentera de communiquer avec le serveur externe. Si la connexion est définie (ce que le message se posera avec des lettres rouges), votre pare-feu est inefficace. Il convient également de noter que la plupart d'un tel logiciel sont définis par défaut avec une interface anglophone. Pour changer la langue russe, accédez aux paramètres du programme. N'oubliez pas de conserver tous les changements produits dans le programme.

Si la connexion ne peut pas être installée, mais le programme du pare-feu écranet a publié une demande d'autorisation à cette connexion, puis le pare-feu fonctionne. Autoriser une connexion jetable. Pour une vérification de pare-feu plus difficile, renommez le fichier de démarrage de l'utilitaire de testeur de pare-feu 2IP dans le nom du programme, l'accès à Internet est évidemment autorisé. Par exemple, Internet Explorer. Pour ce faire, nommez le nom de l'utilitaire IExplore.exe, démarrez et appuyez sur le bouton Test. Si la connexion est installée, votre pare-feu écran Il a un niveau de protection assez faible.

Si la connexion n'est pas établie, votre programme de pare-feu écranet effectue ses fonctions pour cinq points. Vous pouvez vous promener en toute sécurité via des sites sur Internet, car votre ordinateur personnel est protégé de manière fiable de diverses menaces. En règle générale, ce logiciel a des paramètres flexibles dans le système.

Vidéo sur le sujet

Parfois, assis sur l'ordinateur, vous pouvez voir que l'image à l'écran est tremblante, particulière "flotte" ou commence de manière inattendue. Ce problème est répandu. Mais les raisons d'elle sont différentes. Il vaut la peine de traiter pourquoi l'écran tremble.

Le plus souvent, la cause de l'écran d'agitation est la présence d'un champ électromagnétique dans la salle de travail ou de l'appartement. Ceci est valable très facilement en déplaçant le moniteur. S'il s'arrête, le problème est lié aux champs électromagnétiques. Leurs sources au travail sont diverses installations électriques, des sous-stations de transformation, ainsi que des lignes électriques. Les maisons sont remplacées par une télévision, un réfrigérateur, un four micro-ondes et d'autres appareils.

Le deuxième taux de l'écran de secoussage est insuffisant de la puissance du moniteur. En règle générale, le moniteur est connecté au pilote, dans lequel, en plus de son propre "flux", un modem, un modem, une télévision, un lustre et beaucoup plus, en fonction du goût de l'utilisateur. Il convient de tenter de déconnecter certains de ces dispositifs et de voir si les images frissonnantes sur le moniteur ont diminué. Sinon, peut-être que le problème est peut-être dans le pilote lui-même, dans la façon dont il filtre l'électricité. Vous pouvez essayer simplement de le changer.

Moins fréquemment (bien que le plus souvent à l'esprit), la cause de la tremblante de l'image peut être un dysfonctionnement à l'intérieur du moniteur lui-même, par exemple une unité de décharge cassée ou un problème dans le système de son pouvoir. Dans de tels cas, il vaut mieux ne pas grimper à l'intérieur du moniteur. La solution optimale dans cette situation sera l'attrait à des spécialistes qualifiés.

Parfois, la raison des problèmes susmentionnés peut être le taux de mise à jour de faible écran. Par défaut, certains moniteurs ont une fréquence de 60 Hz. Cela fait non seulement un écran aigu des yeux notable, mais aussi extrêmement nocif pour la vue. Par conséquent, il se situe à travers le "Panneau de commande" pour trouver l'élément de menu "Écran" et définir une fréquence de 75 Hz. À cette fréquence, le bouclier peut être complètement complètement.

ATTENTION: Supprimer!

Pour supprimer la capture d'écran, exécutez l'application sur l'ordinateur en cliquant sur l'étiquette du bureau (généralement pendant le processus d'installation, il est créé automatiquement) ou en le trouvant dans la liste des programmes (via le bouton "Démarrer"). Après cela, dans la fenêtre de travail qui s'ouvre, sélectionnez la fonction dont vous avez besoin. Dans ce programme, vous pouvez capturer la capture d'écran: tout l'écran, l'élément de fenêtre, la fenêtre de défilement, la zone sélectionnée, une zone fixe, une zone arbitraire ou supprimer la capture d'écran de la sélection précédente.

La barre d'outils s'ouvre et appuyez sur la touche "Fichier" dans le menu Programme principal.

Sur les noms des options, il est clair que la partie de la fenêtre de travail sera mise en évidence dans le processus de retrait de l'écran. Vous pourrez appuyer sur l'écran entier ou une partie de la touche "Prendre une photo". Vous pouvez également spécifier une zone ou une partie spécifique de l'écran, qui répondra aux paramètres précédemment définis. En général, vous pouvez absolument tout.

En outre, le programme dispose d'une petite liste d'outils nécessaires au traitement: palette de couleurs, fenêtre de zoom, règle, avec laquelle vous pouvez calculer avec précision la distance d'un point à un autre, une cassure, un chevauchement et même une planche de styliste qui vous permet Pour enregistrer des dessins directement à l'écran.

Pour effectuer d'autres actions, cliquez sur le bouton "Main", après lequel un panneau supplémentaire avec un ensemble d'outils spécifique apparaît à l'écran. Avec leur aide, vous pouvez couper l'image, définir sa taille, mettre en surbrillance la couleur d'une certaine partie, imposer du texte, sélectionner la couleur de la police et remplir.

Le bouton "View" dans le menu principal vous permet de changer l'échelle, de travailler avec une règle, de mettre en place une sorte de documents tachés: cascade, mosaïque.

Après avoir supprimé la capture d'écran, cliquez sur le bouton "Fichier" situé en haut du panneau Application et dans la fenêtre déroulante, sélectionnez l'option "Enregistrer sous". Après cela, une fenêtre supplémentaire s'ouvrira sur le côté droit dans laquelle vous devrez sélectionner le type de fichier: PNG, BMP, JPG, GIF, PDF. Ensuite, vous ne spécifierez que le dossier dans lequel le fichier doit être enregistré.

1. Cryptage symétrique

Cryptosystèmes symétriques (également cryptage symétrique, chiffres symétriques) (eng. symétrique.- clé algorithme.) - La méthode de cryptage dans laquelle la même clé cryptographique est utilisée pour le cryptage et le décryptage. Avant l'invention du schéma d'un cryptage asymétrique, la seule manière existante était le cryptage symétrique. La clé de l'algorithme doit être maintenue dans la sélection par les deux parties. L'algorithme de cryptage est sélectionné par les parties avant que la messagerie ne commence.

Dans les cryptosystèmes symétriques du cryptage et du déchiffrement, la même clé est utilisée. D'où le nom - symétrique. L'algorithme et la clé sont choisis à l'avance et connus des deux parties. Enregistrer une clé dans le secret est une tâche importante pour établir et soutenir un canal de communication protégé. À cet égard, le problème du transfert clé initial (synchronisation clé) se produit. De plus, il existe des méthodes cryptoques qui permettent à l'une ou l'autre de déchiffrer des informations sans avoir une clé ou avec l'aide de son interception au stade de la coordination. En général, ces moments sont le problème de la résistance à la cryptost d'un algorithme de cryptage spécifique et constitue un argument lors du choix d'un algorithme spécifique.

Les algorithmes de cryptage alphabétiques sont symétriques et plus spécifiquement, l'un des premiers algorithmes . Plus tard, un cryptage asymétrique a été inventé dans lequel les clés des interlocuteurs sont différentes .

Informations de base [Modifier | Modifier le code]

Les algorithmes de cryptage des données sont largement utilisés dans le technicien informatique dans des systèmes de dissimulation d'informations confidentielles et commerciales provenant d'une utilisation malveillante par des personnes tierces. Le principe principal en eux est la condition que Émetteur et récepteur connaissent à l'avance l'algorithme de cryptage, ainsi que la clé du message, sans laquelle les informations sont juste un ensemble de symboles qui n'ont pas de sens.

Des exemples classiques de tels algorithmes sont algorithmes cryptographiques symétriquesénumérés ci-dessous:

Réarrangement simple

Permutation unique par clé

Double réarrangement

Réarrangement "carré magique"

Réarrangement simple[modifier | Modifier le code]

Permutation simple sans clé - une des méthodes de cryptage les plus simples. Le message est écrit sur la table sur les colonnes. Une fois le texte ouvert enregistré par des haut-parleurs, il est lu en ligne pour la formation d'un CIPHERText. Pour utiliser ce chiffre, l'expéditeur et le destinataire doivent être convenus sur la clé générale sous la forme de la taille de la table. La combinaison de lettres au groupe n'est pas incluse dans la touche Cipher et n'est utilisée que pour la commodité d'écrire un texte gratuit.

Permutation unique par clé[modifier | Modifier le code]

Une méthode de cryptage plus pratique, appelée une seule permutation par clé, est très similaire à celle précédente. Il ne diffère que par le fait que les colonnes de table sont réorganisées par mot-clé, phrase ou ensemble de nombres longs dans la chaîne de table.

Double réarrangement[modifier | Modifier le code]

Pour un secret supplémentaire, vous pouvez ré-chiffrer un message déjà crypté. Cette méthode est connue comme une double permutation. À cette fin, la taille de la deuxième table est choisie de sorte que ses longueurs et ses colonnes diffèrent des longueurs de la première table. Mieux s'ils sont mutuellement simples. De plus, dans la première table, vous pouvez réorganiser des colonnes et dans la deuxième ligne. Enfin, vous pouvez remplir une table de zigzag, un serpent, une spirale ou une autre manière. De telles méthodes de remplissage de la table si n'améliorent pas la résistance des chiffres, le processus de cryptage est beaucoup plus divertissant.

Réarrangement "carré magique"[modifier | Modifier le code]

Les carrés magiques sont appelés tables carrées avec des nombres naturels séquentiels entrés dans leurs cellules, qui sont donnés dans la quantité de chaque colonne, chaque ligne et chaque diagonale du même nombre. De tels carrés étaient largement utilisés pour adapter le texte crypté en fonction de la numérotation donnée dans elles. Si vous écrivez ensuite le contenu de la table sur les lignes, le cryptage des lettres est réarrangé. À première vue, il semble qu'il y ait très peu de carrés magiques. Cependant, leur nombre augmente très rapidement avec une taille carrée croissante. Donc, il n'y a qu'un seul carré magique de 3 x 3 en taille, sinon pris en compte ses virages. Les carrés magiques de 4 x 4 sont déjà 880 et le nombre de carrés magiques de 5 x 5 est d'environ 250000. Par conséquent, les carrés magiques de grandes tailles pourraient être une bonne base pour un système fiable de cryptage de ce temps, car le buste manuel de toutes les options clés de ce chiffre était impensable.

Le numéro 4 de la taille 4 sur 4 chiffres d'ajustement de 1 à 16. Sa magie consistait dans le fait que la quantité de chiffres sur des lignes, des colonnes et des diagonales complètes était égale au même nombre - 34. Pour la première fois, ces carrés sont apparus en Chine, où ils leur ont été attribués. Un "pouvoir magique".

Le cryptage sur la place magique a été effectué comme suit. Par exemple, il est nécessaire de chiffrer la phrase: "Allez à l'arrivée". Les lettres de cette phrase s'adaptent séquentiellement dans le carré selon les nombres enregistrés en eux: la position de la lettre dans la proposition correspond à la séquence. Le point est mis dans des cellules vides.

Après cela, le texte crypté est enregistré dans la chaîne (la lecture est faite de gauche à droite, ligne par ligne) :. hydrzeguszhayuyanp

Lorsque vous déchiffrez le texte s'adapte à la place, le texte ouvert est lu dans la séquence des numéros «Magic Square». Le programme doit générer des "carrés magiques" et la clé de choisir le nécessaire. La taille carrée est supérieure à 3x3.

Diagramme général [Modifier | Modifier le code]

Actuellement, des chiffres symétriques sont:

chiffres de blocs. Processus Les informations par blocs d'une certaine longueur (généralement 64, 128 bits), appliquant la clé du bloc de la manière prescrite, en règle générale, plusieurs cycles d'agitation et de substitution appelés tours. Le résultat de la répétition des rondes est l'effet d'avalanche - une perte croissante de conformité à la composition de bits des unités de données ouvertes et cryptées.

ciphers de flux dans lequel le cryptage est effectué au-dessus de chaque bit ou octet du texte source (ouvert) à l'aide de gamming. Le chiffrement de flux peut être facilement créé en fonction d'un bloc basé sur un bloc (par exemple, GOST 28147-89 en mode gamming) en mode spécial.

Les chiffres les plus symétriques utilisent une combinaison complexe d'un grand nombre de substitutions et de permutations. Beaucoup de tels chiffres sont exécutés dans plusieurs passes (parfois jusqu'à 80) à l'aide de la "touche Pass" sur chaque passage. L'ensemble des "touches de passe" pour toutes les passes est appelé "calendrier clé". En règle générale, il est créé à partir de la clé de l'exécution de certaines opérations, y compris des permutations et des substitutions.

Un réseau typique de construire des algorithmes de cryptage symétrique est un réseau de facetel. L'algorithme construit le schéma de cryptage basé sur la fonction F (D, K), où D est une partie des données de la moitié de la taille de l'unité de cryptage, et K est une "clé de passe" pour ce passage. La fonction ne nécessite pas de réversibilité - la fonction inverse peut être inconnue. Les avantages du réseau FAISTEL sont presque une coïncidence complète du déchiffrement avec le cryptage (la seule différence est l'ordre inverse des "touches de frappe" dans le calendrier), ce qui facilite grandement la mise en œuvre matérielle.

L'opération de permutation mélange les bits du message par une loi. Dans les implémentations matérielles, il est trivialement mis en œuvre comme conducteurs de syntonisation. Les opérations de la permutation permettent d'atteindre l'effet "Avalanche". FONCTIONNEMENT DE PERMUATION DE LINÉEAR - F (A) XOR F (B) \u003d\u003d F (A XOR B)

Les opérations de substitution sont effectuées en remplacement de la valeur de la partie du message (souvent dans 4, 6 ou 8 bits) sur la norme, intégrée rigidement dans l'algorithme autrement en faisant référence au réseau constant. Le fonctionnement de la substitution introduit une non-linéarité dans l'algorithme.

Souvent, la résistance de l'algorithme, en particulier la cryptanalyse différentielle, dépend de la sélection des valeurs dans les tables de substitution (blocs S). Au minimum, il est considéré comme indésirable pour la présence d'éléments fixes S (x) \u003d x, ainsi que l'absence d'une influence de quelque peu de l'octet d'entrée sur un peu du résultat - c'est-à-dire des cas où le résultat Les bits sont les mêmes pour toutes les paires de mots d'entrée, qui ne diffèrent que dans ce bit.

Paramètres d'algorithmes [modifier | Modifier le code]

Il existe de nombreux algorithmes de chiffres symétriques (au moins deux tens), dont les paramètres essentiels sont:

la résistance

longueur de la clé

numéro de rond

longueur du bloc transformé

complexité matérielle / logicielle

complexité de conversion

Types de chiffres symétriques [modifier | Modifier le code]

ciphers de bloc

Aes (eng. Avancée Chiffrement Standard) - Norme américaine de chiffrement

GOST 28147-89 - Norme de cryptage soviétique et russe, est également la norme de la CEI

Des (eng. Données. Chiffrement Standard) - Cryptage de données standard aux États-Unis

3DES (Triple-des, Triple des)

RC2 (Cipher Cipher ou Ron))))

Idée (algorithme de cryptage international de données, algorithme international de cryptage de données)

Cast (sur les initiales des développeurs de Carlisle Adams et Stafford Tavares)

chiffres en streaming

RC4 (algorithme de cryptage avec clé de longueur variable)

Sceau (algorithme efficace du logiciel, logiciel et algorithme efficace)

Wake (algorithme de cryptage de clé d'auto mondiale, algorithme de cryptage mondial sur la clé automatique)

Comparaison avec des cryptosystèmes asymétriques [Modifier | Modifier le code]

Dignité[modifier | Modifier le code]

la vitesse

facile à mettre en œuvre (au détriment des opérations plus simples)

longueur de la clé moins requise pour une résistance comparable

Étude (au détriment de plus d'âge)

désavantages[modifier | Modifier le code]

la complexité de la gestion clé dans un grand réseau

la complexité des clés de partage. À utiliser, il est nécessaire de résoudre le problème du transfert de clé fiable à chaque abonné, car vous avez besoin d'un canal secret pour transférer chaque clé des deux côtés.

Pour compenser les déficiences du cryptage symétrique, un diagramme cryptographique combiné (hybride) est largement utilisé, où, à l'aide d'un cryptage asymétrique, une clé de session utilisée par les parties pour échanger des données à l'aide d'un cryptage symétrique est transmise.

Un inconvénient important des chiffres symétriques est impossible Leur utilisation dans les mécanismes permettant de former une signature et des certificats numériques électroniques, car la clé est connue de chaque côté.

2. Pare-feu. Pare-feu. Brandmauer.

Pare-feu, Écran de réseau - programme ou élément logiciel et matériel réseau informatiqueContrôler et filtrer le passage à travers elle trafic réseau Conformément aux règles spécifiées .

Autres noms :

Pare-feu (il. Brandmauer. - mur de cheminée) - le terme emprunté de la langue allemande;

Pare-feu (anglais Pare-feu - Mur d'incendie) - Le terme emprunté de l'anglais.

Pare-feu (pare-feu)

Le pare-feu (pare-feu ou pare-feu) est un moyen de filtrer le trafic de lots provenant du réseau externe par rapport à un réseau local donné ou à un ordinateur. Considérez les raisons de l'apparence et des tâches effectuées par pare-feu. Le réseau de transfert de données moderne est un ensemble de dispositifs à distance à haute performance interagissant les uns avec les autres à une distance considérable. L'un des plus grands réseaux de transmission de données sont des réseaux informatiques, tels que Internet. Il emploie simultanément des millions de sources et consommateurs d'informations dans le monde entier. Le développement généralisé de ce réseau lui permet d'utiliser non seulement des individus, mais également des grandes entreprises de combiner leurs appareils dispersés à travers le monde en un seul réseau. Dans le même temps, l'accès partagé à des ressources physiques uniformes ouvre des fraudeurs d'accès, des virus et des concurrents. Capacité à causer des dommages aux utilisateurs finaux: kidnapper, déformer, lancer ou détruire des informations stockées, perturber l'intégrité du logiciel et même la sortie du matériel de la Station finale. Pour empêcher ces impacts indésirables, il est nécessaire d'empêcher l'accès non autorisé, qui est souvent utilisé par le pare-feu. Le nom du pare-feu (mur - du mur anglais) prend son but en soi, c'est-à-dire Il sert de mur entre le réseau local protégé et Internet ou tout autre réseau externe et empêche toute menace. En plus de ce qui précède, le pare-feu peut également être effectué d'autres fonctions liées au filtrage de la circulation à partir de tout réseau de ressources.

Le principe du pare-feu est basé sur le contrôle du trafic provenant de l'extérieur. Les méthodes suivantes de contrôle du trafic entre le réseau local et externe peuvent être sélectionnées:

1. Filtrage de paquet - Basé sur la définition du jeu de filtres. Selon si l'emballage entrant satisfait aux conditions spécifiées dans les conditions de filtrage, elle est transmise au réseau ou jeté.

2. Serveur proxy. - Il existe un dispositif de serveur proxy supplémentaire entre les réseaux locaux et étrangers, qui sert de «porte», à travers laquelle le trafic entrant et sortant doit être organisé.

3. Inspection d'état. - L'inspection du trafic entrant est l'une des méthodes les plus avancées de mettre en œuvre le pare-feu. L'inspection implique une analyse de l'ensemble du package, mais uniquement de sa partie clé spéciale et de sa comparaison avec des valeurs pré-connues de la base de données des ressources autorisées. Cette méthode fournit la performance la plus élevée du pare-feu et des plus petits retards.

Principe du pare-feu

Le pare-feu peut être effectué du matériel ou des logiciels. La mise en œuvre spécifique dépend de l'ampleur du réseau, du volume de trafic et des tâches nécessaires. Le type de pare-feu le plus courant est le logiciel. Dans ce cas, il est mis en œuvre en tant que programme exécutant sur un PC fini ou un périphérique de réseau frontalier, tel qu'un routeur. Dans le cas du matériel, le pare-feu est un élément de réseau distinct qui possède généralement de grandes capacités productives, mais effectuant des tâches similaires.

Le pare-feu vous permet de configurer des filtres responsables du trafic de transmission des critères suivants:

1. adresse IP. Comme vous le savez, tout périphérique final qui fonctionne via le protocole IP doit avoir une adresse unique. En définissant une adresse ou une plage spécifique, vous pouvez interdire les packages d'eux, ou inversement permettre l'accès uniquement à partir des données des adresses IP.

2. Nom de domaine. Comme vous le savez, le site sur Internet ou plutôt son adresse IP peut être effectué conformément au nom alphanumérique, qui est beaucoup plus facile à retenir qu'un ensemble de chiffres. Ainsi, le filtre peut être configuré pour sauter le trafic uniquement pour / vers l'une des ressources ou interdire l'accès à celui-ci.

3. Port. Nous parlons de ports de programme, c'est-à-dire Points d'accès des applications aux services réseau. Par exemple, FTP utilise le port 21 et l'application pour afficher le port de pages Web 80. Cela vous permet d'interdire l'accès à partir de services indésirables et d'applications réseau, ou inversement à leur permettre uniquement.

4. Protocole. Le pare-feu peut être configuré pour sauter des données uniquement n'importe quel protocole ou interdire l'accès à son utilisation. Typiquement, le type de protocole peut parler des tâches utilisées par l'application et l'ensemble de paramètres de protection. Ainsi, l'accès ne peut être configuré que pour faire fonctionner une seule application spécifique et empêcher un accès potentiellement dangereux à l'aide de tous les autres protocoles.

Ce qui précède ne répertorie que les paramètres de base pour lesquels vous pouvez configurer. D'autres paramètres pour les filtres spécifiques à ce réseau particulier peuvent également être utilisés, en fonction des tâches effectuées.

Ainsi, le pare-feu fournit un ensemble complet de tâches pour empêcher l'accès non autorisé, les dommages ou les données distinctives, ou tout autre impact négatif, ce qui peut affecter les performances du réseau. Habituellement, le pare-feu est utilisé avec d'autres moyens de protection, par exemple un logiciel antivirus.

On pense que le routeur peut également jouer le rôle d'un pare-feu. Cependant, il existe une différence fondamentale entre ces dispositifs: le routeur est destiné à un routage rapide de la circulation et de ne pas le bloquer. Pare-feu Il s'agit d'un moyen de protection qui saute un certain trafic dans le flux de données et le routeur est un périphérique réseau pouvant être configuré pour bloquer certains trafic.

De plus, des pare-feu ont tendance à avoir un grand ensemble de paramètres. Le passage du trafic sur le pare-feu peut être configuré par des services, les adresses IP de l'expéditeur et du destinataire, par des identifiants d'utilisateur demandés service. Les écrans de pare-feu permettent centralisés gestion de la sécurité. Dans une configuration, l'administrateur peut configurer le trafic entrant autorisé pour tous les systèmes d'organisation interne. Cela n'élimine pas la nécessité de mettre à jour et de configurer les systèmes, mais réduit la probabilité de configuration incorrecte d'un ou plusieurs systèmes, à la suite de laquelle ces systèmes peuvent être attaqués par un service incorrect sur mesure.

Définition des types de pare-feu

Il existe deux types principaux de pare-feu: des feux de niveau d'application et des pare-feu avec filtration par lots. Ils sont basés sur divers principes de travail, mais lorsqu'il est correctement configuré, les deux types d'appareils fournissent le bon fonctionnement des fonctions de sécurité verrouillées pour un trafic interdit. Du matériau des sections suivantes, vous verrez que le degré de protection fourni par ces appareils dépend de la manière dont ils sont appliqués et configurés.

Écrans de niveau appliqué par pare-feu

Les pare-feu du niveau d'application ou des écrans de proxy sont des packages logiciels basés sur opérant systèmes à usage général (tels que Windows NT et UNIX) ou sur la plate-forme matérielle de pare-feu. Pare-feu Il a plusieurs interfaces, une pour chacun des réseaux auxquels elle est connectée. Le jeu de politiques détermine la manière dont le trafic est transmis d'un réseau à un autre. S'il n'y a pas de permission explicite de passer du trafic, pare-feu Rejette ou annule les paquets.

Règles de la politique de sécurité amplifié en utilisant des modules d'accès. Dans le pare-feu de la couche d'application, chaque protocole résolu doit correspondre à son propre module d'accès. Les meilleurs modules d'accès sont ceux qui sont construits spécifiquement pour le protocole résolu. Par exemple, un module d'accès FTP est conçu pour le protocole FTP et peut définir si le trafic de passage compte ce protocole et si ce trafic est autorisé par les règles des politiques de sécurité.

Lorsque vous utilisez un écran d'incendie de niveau appliqué, toutes les connexions le transmettent (voir Fig. 10.1). Comme indiqué sur la figure, la connexion commence sur le client et entre dans l'interface interne du pare-feu. Pare-feu Accepte la connexion, analyse le contenu de l'emballage et du protocole utilisé et détermine si ce trafic est conforme aux règles de politique de sécurité. Si oui, alors pare-feu Initie une nouvelle connexion entre son interface externe et le système serveur.

Pare-feu du niveau d'application Utilisez des modules d'accès pour entrant connexions. Module L'accès dans le pare-feu accepte une connexion entrante et des procédés de processus avant d'envoyer du trafic au destinataire. De cette façon, pare-feu Protège les systèmes des attaques effectuées par des applications.

Figure. 10.1.

Noter

Ici, il est entendu que le module d'accès sur le pare-feu lui-même est invulnérable à attaquer. Si logiciel Ce n'est pas difficile à soigneusement, cela peut être une fausse déclaration.

Un avantage supplémentaire de l'architecture de ce type est que, lorsqu'il est utilisé, il est très difficile s'il n'est pas impossible, "cacher" la circulation dans d'autres services. Par exemple, certains programmes de contrôle du système, tels que Netbus et

Le pare-feu ou l'écran de réseau est un ensemble de contrôles matériels ou logiciels et filtrant des paquets de réseau qui le passent à divers niveaux du modèle OSI conformément aux règles spécifiées.

La tâche principale de l'écran de réseau est de protéger les réseaux informatiques ou des nœuds individuels contre un accès non autorisé. En outre, les écrans de réseau sont souvent appelés filtres, car leur tâche principale n'est pas de sauter (filtrer) des paquets qui ne conviennent pas aux critères définis dans la configuration (fig.6.1).

Le pare-feu a plusieurs noms. Considérez-les.

Pare-feu (Brandmauer) - emprunté à la langue allemande, qui est un analogue du pare-feu anglais dans sa valeur d'origine (un mur qui sépare les bâtiments adjacents, protège contre la distribution de feu). Fait intéressant, dans le domaine des technologies informatiques, le mot «pare-feu» est utilisé en allemand.

Pare-feu, pare-feu, pare-feu - formé par la translittération du terme de pare-feu anglais, équivalent à la durée du pare-feu, n'est actuellement pas un mot emprunté officiel en russe.

Fig.6.1 placement typique me dans le réseau d'entreprise

Il existe deux types de pare-feu clairement différents utilisés quotidiennement dans Internet moderne. Le premier type est plus correct d'appeler un routeur de filtrage de paquets. Ce type de pare-feu fonctionne sur une machine connectée à plusieurs réseaux et utilise un ensemble de règles pour chaque package définissant ce package ou bloc. Le deuxième type appelé serveur proxy est implémenté sous la forme de démons qui authentifient et envoient des paquets, éventuellement sur la machine avec plusieurs connexions réseau, où le transfert de paquets dans le noyau est désactivé.

Parfois, ces deux types de pare-feu sont utilisés ensemble, de sorte que seule une machine spécifique (appelée hôte de protection (hôte de protège)) soit autorisée à envoyer des paquets via le routeur de filtre au réseau interne. Les services de proxy fonctionnent sur un hôte protecteur, qui est généralement plus sécurisé que les mécanismes d'authentification réguliers.

Les écrans de pare-feu ont une apparence et une taille différentes, et il s'agit parfois d'un ensemble de plusieurs ordinateurs différents. Ici, sous le pare-feu, un ordinateur ou des ordinateurs entre réseaux de confiance (par exemple, interne) et incrédule (par exemple, Internet), qui vérifient l'ensemble du trafic entre eux. Les pare-feu efficaces ont les propriétés suivantes:

· Toutes les connexions doivent passer par le pare-feu. Son efficacité diminue grandement, s'il existe une voie de réseau alternative, - un trafic non autorisé sera transféré pour contourner le pare-feu.

· Le pare-feu ne saute que le trafic autorisé. S'il n'est pas capable de différencier clairement le trafic autorisé et non autorisé, ou s'il est configuré pour ignorer des composés dangereux ou inutiles, le bénéfice de celui-ci est considérablement réduit. En cas de défaillance ou de surcharge, le pare-feu doit toujours passer à l'état "Échec" ou à un état fermé. Il vaut mieux interrompre les connexions que de laisser le système non protégé.

· Le pare-feu doit confronter des attaques contre lui-même, car des périphériques supplémentaires sont installés pour sa protection.

Le pare-feu peut être comparé à la serrure sur la porte d'entrée. Il peut être le plus fiable au monde, mais si la porte n'est pas verrouillée, les attaquants peuvent facilement l'ouvrir. Le pare-feu protège le réseau de l'accès non autorisé, car la serrure est l'entrée de la pièce. Souhaitez-vous laisser des choses précieuses à la maison si le château de la porte d'entrée était peu fiable?

Le pare-feu n'est qu'un élément de l'architecture de sécurité globale. Cependant, il joue un rôle très important dans la structure du réseau et, comme tout autre appareil, présente ses avantages et ses inconvénients.

Avantages d'un pare-feu:

· Les pare-feu sont un excellent moyen de mettre en œuvre des politiques de sécurité des sociétés. Ils doivent être configurés pour limiter les composés en fonction du leadership sur cette question.

· Les pare-feu limitent l'accès à des services spécifiques. Par exemple, le partage d'un serveur Web peut être résolu, ainsi que sur Telnet et autres services non publics - sont interdits. La plupart des pare-feu fournissent un accès sélectif via une authentification.

· Le but de l'utilisation de pare-feu est assez spécifique, vous n'avez donc pas besoin de rechercher un compromis entre sécurité et facilité d'utilisation.

· Les pare-feu sont un excellent outil d'audit. Avec une quantité suffisante d'espace sur des disques durs ou avec le support de la journalisation à distance, ils peuvent entrer des informations sur tout trafic de passage.

· Les écrans de pare-feu ont de très bonnes occasions de notifier au personnel sur des événements spécifiques.

Inconvénients des pare-feu:

· Les écrans de pare-feu ne fournissent pas de blocage de ce qui a été autorisé. Ils permettent l'installation de composés réguliers d'applications autorisées, mais si les applications sont une menace, le pare-feu ne sera pas en mesure d'empêcher une attaque, percevoir ce composé comme autorisé. Par exemple, les pare-feu permettent un courrier électronique pour entrer dans le serveur de messagerie, mais ne trouvez pas de virus dans les messages.

· L'efficacité des pare-feu dépend des règles à respecter lesquelles elles sont configurées. Les règles ne doivent pas être trop fidèles.

· Les écrans de pare-feu n'empêchent pas les attaques d'ingénierie sociale ou d'une attaque utilisateur autorisée, qui utilise délibérément son adresse.

· Les écrans de pare-pétard ne peuvent pas résister à des approches de mauvaise qualité des politiques de sécurité administratives ou incorrectées.

· Les pare-feu n'empêchent pas les attaques si le trafic ne les traverse pas.

Certaines personnes ont prédit la fin de l'ère des pare-feu, qui, avec difficulté à délimiter le trafic d'applications sanctionné et non autorisé. De nombreuses applications, telles que la messagerie instantanée, deviennent de plus en plus mobiles et compatibles avec le travail via de nombreux ports. Ainsi, ils peuvent utiliser le passage du pare-feu via le port ouvert pour un autre service autorisé. De plus, de plus en plus d'applications fournissent une transmission de trafic à travers d'autres ports autorisés disponibles avec la plus grande probabilité. Des exemples de telles applications populaires sont HTTP-Tunnel (www.http-tunnel.com) et Sockcap (www.socks.permeo.com). De plus, les applications sont développées spécifiquement conçues pour contourner des pare-feu, tels que la télécommande sur les ordinateurs gotomypc (www.gotomypc.com).

Cependant, les pare-feu ne se rendent pas sans combat. Les versions actuelles sur les plus grands fabricants contiennent des outils de prévention de l'invasion avancés et un blindage au niveau des applications. Ces pare-feu détectent et filtraient un trafic non autorisé, par exemple, des applications de messagerie instantanée, essayant de pénétrer dans les ports ouverts à d'autres services autorisés. De plus, les pare-feu sont désormais comparé les résultats de l'exploitation avec des normes de protocole publiées et des caractéristiques de diverses activités (similaires au logiciel antivirus) pour détecter et bloquer les attaques contenues dans les paquets transmis. Ainsi, ils restent les principaux réseaux cousus de l'outil. Toutefois, si la protection de l'application fournie par le pare-feu est insuffisante ou incapable de distinguer correctement le trafic autorisé et non autorisé, des méthodes de sécurité de compensation alternatives doivent être envisagées.

Le pare-feu peut être un routeur, un ordinateur personnel, une machine spécialement conçue ou un ensemble de nœuds, spécialement configuré pour protéger le réseau privé des protocoles et des services pouvant être utilisés malicieusement en dehors du réseau de confiance.

La méthode de protection dépend du plus de pare-feu, ainsi que des politiques ou des règles qui sont configurées. Aujourd'hui, quatre technologies de pare-feu sont utilisées:

· Filtres par lots.

· Passerelles appliquées.

· Passerelles de contour.

· Dispositifs de vérification de l'emballage adaptatif.

Avant d'apprendre les fonctions de pare-feu, tenez compte du package de protocole de transmission et de contrôle Internet (TCP / IP).

TCP / IP fournit une méthode de transfert de données d'un ordinateur à un autre via le réseau. La tâche du pare-feu contrôle la transmission de paquets TCP / IP entre les nœuds et les réseaux.

TCP / IP est un ensemble de protocoles et d'applications qui effectuent des fonctions individuelles conformément aux niveaux spécifiques du modèle d'interaction des systèmes ouverts (OSI). TCP / IP effectue une transmission indépendante des blocs de données via le réseau sous forme de paquets et chaque niveau de modèle TCP / IP ajoute à l'emballage d'en-tête. Selon la technologie utilisée, le pare-feu traite les informations contenues dans ces titres afin de contrôler l'accès. Si elle prend en charge la délimitation des applications comme passerelles d'application, le contrôle d'accès peut également être surveillé par les données elles-mêmes contenues dans le corps de l'emballage.

Le contrôle des flux d'informations consiste à les filtrer et à convertir en un ensemble de règles spécifié. Depuis que dans le filtrage moderne ME peut être effectué à différents niveaux du modèle de référence d'interaction des systèmes ouverts (OSI), cela est pratique pour imaginer sous la forme d'un système de filtrage. Chaque filtre basé sur l'analyse des données qui le passent, fait une solution - saute, transférer les données, bloquer ou convertir les données (Fig. 6.2).

Fig. 6.2 Schéma de filtration en moi.

Une fonction intégrale du moi est la journalisation de l'échange d'informations. L'enregistrement d'enregistrement permet à l'administrateur d'identifier des actions suspectes, des erreurs dans la configuration de la ME et de décider du changement de règles.

Classification des écrans

Allouez la classification suivante ME, conformément au fonctionnement à différents niveaux de MVOS (OSI):

· Écrans de pont (2 niveaux OSI).

· Routeurs de filtrage (niveaux 3 et 4 OSI).

· Passerelles de niveau de session (5 niveau OSI).

· Passerelles de niveau d'application (niveau 7 OSI).

· Écrans complets (3-7 niveaux OSI).

Fig.6.3 modèle OSI

Bridge ma.

Cette classe ME, opérant au 2e modèle OSI, est également connue sous le nom de transparent (furtivité), cachée, Shadow Me. Le pont moi est apparu relativement récemment et représente une direction prometteuse de développement des technologies du pare-feu. Le filtrage de la circulation est effectué au niveau de la chaîne, c'est-à-dire Moi travaille avec des cadres (cadre, cadre). Les avantages d'un tel moi peuvent être attribués à:

· Nul besoin de modifier les paramètres du réseau d'entreprise, aucune configuration supplémentaire des interfaces réseau Me n'est requise.

· Haute performance. Étant donné que ce sont des appareils simples, ils ne nécessitent pas de coûts de ressources élevés. Les ressources sont nécessaires pour augmenter les capacités de la machine ou pour une analyse de données plus profonde.

· Transparence. La clé de cet appareil est son fonctionnement à 2 modèles OSI. Cela signifie que l'interface réseau n'a pas d'adresse IP. Cette fonctionnalité est plus importante que la facilité de configuration. Sans adresse IP, cet appareil n'est pas disponible sur le réseau et est invisible dans le monde environnant. Si un tel homme est indisponible, comment l'attaquer? Attaquer ne saura même pas qu'il y a un moi qui vérifie chacun de leurs colis.

Routeurs de filtrage

Le routeur est une machine de transfert de machine entre deux ou plusieurs réseaux. Le routeur de filtrage de paquets est programmé pour comparer chaque paquet avec une liste de règles avant de décider de la transmettre ou non.

Faire filtration de paquets (moi avec filtrage de paquet)

Les pare-feu garantissent la sécurité du réseau en filtrant des connexions réseau par des en-têtes TCP / IP chaque paquet. Ils vérifient ces titres et utilisent-les pour ignorer et rouler le paquet vers la destination ou pour le bloquer par réinitialisation ou déviation (c'est-à-dire réinitialiser le package et la notification sur cet expéditeur).

Les filtres à colis effectuent une distinction basée sur les données suivantes:

· Adresse IP de la source;

· Adresse IP de la destination;

· Protocole réseau utilisé (TCP, UDP ou ICMP);

· Port de source TCP ou UDP;

· Port de destination TCP ou UDP;

· Type de message ICMP (si le protocole ICMP).

Un bon filtre de paquets peut également fonctionner sur la base d'informations non contenues directement dans l'en-tête de paquet, par exemple sur quelle interface est obtenue dans l'emballage. En fait, le filtre à colis contient une interface non approuvée ou "sale", un ensemble de filtres et une interface de confiance. Les bordures "sales" avec un réseau incrédule et la première reprennent la circulation. Le passage, le trafic est traité selon l'ensemble des filtres utilisés par le pare-feu (ces filtres sont appelés règles). Selon eux, le trafic est accepté et envoyé plus loin à travers l'interface "propre" à la destination ou est réinitialisée ou déviée. Quelle interface est "sale" et qui est "propre" dépend de la direction du mouvement d'un package particulier (acte de filtres de package de haute qualité pour le trafic sortant et pour le trafic entrant).

Les stratégies de mise en œuvre des filtres à lots sont différentes, mais il existe des méthodes de base qui devraient être guidées.

· Construction de règles - du plus spécifique aux plus courantes. La plupart des filtres de paquets sont traités à l'aide d'ensembles de règles «de bas en haut» et l'empêchent lorsque la correspondance est détectée. L'introduction de filtres plus spécifiques dans la partie supérieure de l'ensemble rend impossible la dissimulation de la règle générale de la règle spécifique vers l'élément inférieur de l'ensemble de filtres.

· Placez les règles les plus actives en haut de l'ensemble de filtres. Les packages de blindage occupent une partie importante du temps du processeur et. Comme mentionné précédemment, le filtre d'emballage cesse de traiter l'emballage, de trouver sa conformité à toute règle. Placer des règles populaires dans la première ou la deuxième place, et non sur 30 ou 31 postes, économiser du temps de processeur, ce qui nécessiterait de traiter un paquet de plus de 30 règles. Lorsqu'un traitement ponctuel est requis, des milliers de packages ne doivent pas être négligés des économies d'énergie du processeur.

La définition de règles de filtrage de paquets spécifiques et correctes est un processus très complexe. Vous devez évaluer les avantages et les inconvénients des filtres par lots. Donnons des avantages.

· Haute performance. La filtration peut être effectuée avec une vitesse linéaire comparable à la vitesse des processeurs modernes.

· Payerback. Les filtres à lots sont relativement peu coûteux ou gratuits. La plupart des routeurs sont équipés de capacités de filtrage de paquets intégrées à leurs systèmes d'exploitation.

· Transparence. Les actions et les applications utilisateur ne sont pas tenues de s'ajuster pour assurer le passage des packages via un filtre de lots.

· Capacités de gestion de trafic étendues. Les filtres à lots simples peuvent être utilisés pour réinitialiser un trafic évidemment indésirable sur le périmètre du réseau et entre différents sous-réseaux internes (par exemple, appliquer des routeurs de limites pour réinitialiser les paquets avec des adresses initiales, correspondant au réseau interne (nous parlons de packages sous-titres), «Privé "Adresses IP (RFC 1918) et sacs suspendus).

Considérez les lacunes des filtres de paquets.

· Les connexions directes sont autorisées entre les nœuds sans confiance et les nœuds de confiance.

· Faible niveau d'évolutivité. À mesure que des ensembles de règles se développent, il devient plus difficile d'éviter des composés «inutiles». La complexité des règles est associée au problème de l'évolutivité. S'il est impossible de numériser rapidement l'ensemble des règles pour afficher le résultat des modifications apportées, il devra le simplifier.

· La possibilité d'ouvrir de grandes gammes de ports. En raison de la nature dynamique de certains protocoles, vous devez ouvrir de grandes gammes de ports pour le bon fonctionnement des protocoles. Le pire des cas ici est le protocole FTP. FTP nécessite une connexion entrante du serveur au client et les filtres de paquets devront ouvrir des plages de ports larges pour permettre une telle transmission de données.

· Exposition aux attaques avec substitution de données. Les attaques avec substitution de données (entrepoofs), en règle générale, impliquent la fixation des fausses informations dans l'en-tête TCP / IP. Les attaques avec le remplacement des adresses initiales et le masquage des paquets sous l'apparence de la partie des composés déjà installés sont courants.

Passerelle de session

Passerelle de niveau de circuit (passerelle de niveau de session) est un pare-feu qui élimine l'interaction directe entre un client agréé et un hôte externe. Au début, il demande à un client de confiance à certains services et, après avoir vérifié la recevabilité de la session demandée, établit une connexion à l'hôte externe.

Après cela, la passerelle copie simplement des paquets dans les deux sens sans filtrer. À ce niveau, il est possible d'utiliser la fonction de diffusion de réseau d'adresses (NAT, Traduction de l'adresse réseau). La diffusion d'adresses internes est effectuée par rapport à tous les paquets qui suivent du réseau interne en externe. Pour ces packages, les adresses IP des ordinateurs de réseau interne sont automatiquement converties en une adresse IP associée à la blindage. En conséquence, tous les paquets émanant du réseau interne sont envoyés à la MA, qui élimine le contact direct entre le réseau interne et externe. L'adresse IP de la passerelle de niveau de session devient la seule adresse IP active qui appartient au réseau externe.

Caractéristiques:

· Fonctionne à 4 niveaux.

· Transmet des connexions TCP en fonction du port.

· Pas cher, mais plus sûr que le filtre à colis.

· Nécessite généralement le programme d'utilisateurs ou de configuration pour les travaux à part entière.

· Exemple: pare-feu de chaussettes.

Passerelle de niveau appliquée

Passerelles de niveau d'application (passerelle de niveau d'application) est un pare-feu qui élimine l'interaction directe entre un client agréé et un hôte externe, filtrant tous les paquets entrants et sortants au niveau de l'application OSI.

Un programme d'application associé à une application redirige des informations générées par des services TCP / IP spécifiques via la passerelle.

Capacités:

· Identification et authentification des utilisateurs en essayant d'établir une connexion à travers moi;

· Filtrage des flux de messages, tels que la recherche de virus dynamique et le cryptage des informations transparentes;

· Enregistrement des événements et de la réponse aux événements;

· Mise en cache des données demandées à partir du réseau externe.

À ce niveau, la possibilité d'utiliser des fonctionnalités de médiation (proxy) apparaît.

Pour chaque niveau d'application accessible, vous pouvez entrer des intermédiaires logiciels - intermédiaire HTTP, intermédiaire FTP, etc. L'intermédiaire de chaque service TCP / IP est axé sur les messages de traitement et effectuer des fonctions de protection liées à ce service. En outre, ainsi qu'une passerelle de niveau de session, la passerelle d'application intercepte les agents de blindage appropriés d'informations, de copies et de redirection de paquets entrants et d'incitation via la passerelle, et fonctionne comme un serveur intermédiaire, éliminant ainsi les connexions directes entre le réseau interne et externe. Cependant, les intermédiaires utilisés par la passerelle d'application ont des différences importantes sur les canaux des passerelles de niveau de session. Premièrement, les intermédiaires de la passerelle d'application sont associés à des serveurs logiciels d'application spécifiques) et ensuite, ils peuvent filtrer le flux de messages au niveau d'application OSI.

Caractéristiques:

· Fonctionne à 7 niveaux.

· Spécifique pour les applications.

· Modérément coûteux et lent, mais plus sûr et permet l'enregistrement des utilisateurs.

· Nécessite le programme d'utilisateurs ou de configuration pour les travaux à part entière.

· Exemple: proxy Web (http).

Moi niveau d'expert

Pare-feu d'inspection standard - pare-feu de couche experte, qui vérifie le contenu des paquets reçus sur trois niveaux du modèle OSI: réseau, session et appliqué. Lors de l'exécution de cette tâche, des algorithmes de filtrage de paquets spéciaux sont utilisés, avec lequel chaque paquet est comparé à un modèle connu de paquets autorisés.

Caractéristiques:

· Filtrage de niveau 3.

· Vérification de l'exactitude à 4 niveaux.

· Niveau d'inspection 5.

· Niveaux élevés de coût, de protection et de complexité.

· Exemple: pare-feu de point de contrôle-1.

Certains MES modernes utilisent une combinaison des méthodes ci-dessus et fournissent des moyens supplémentaires de protéger, à la fois des réseaux et des systèmes.

"Personnel" moi

Cette classe ME vous permet de développer davantage la protection, permettant ainsi de contrôler les types de fonctions ou de processus système ayant accès aux ressources du réseau. Ces MES peuvent utiliser différents types de signatures et de conditions afin de permettre ou de rejeter le trafic. Voici quelques-unes des fonctions générales de moi personnels:

· Blocage au niveau de l'application - Autoriser certaines applications ou bibliothèques d'exécuter des actions de réseau ou de recevoir des connexions entrantes.

· Blocage basé sur la signature - surveiller en permanence le trafic réseau et bloquer toutes les attaques connues. Le contrôle supplémentaire augmente la complexité de la gestion de la sécurité en raison du nombre potentiellement grand de systèmes pouvant être protégés par un pare-feu personnel. Cela augmente également le risque de dommages et de vulnérabilités dus au mauvais réglage.

Dynamique moi

Les MES dynamiques combinent standard moi (énumérés ci-dessus) et des méthodes de détection d'intrusion pour assurer le blocage "à la volée" des connexions réseau correspondant à une signature spécifique, tout en permettant des connexions d'autres sources au même port lui-même. Par exemple, vous pouvez bloquer le fonctionnement des vers de réseau sans perturber le travail du trafic normal.

Schemes de connexion moi:

· Schéma de protection du réseau local unifié

· Schéma d'une sous-réseaux ouverts fermés et non protégés

· Schéma avec une protection séparée des sous-réseaux fermés et ouverts.

Le plus simple est la solution à laquelle le pare-feu écrans simplement le réseau local de Global. Dans le même temps, le serveur www, le serveur FTP, le serveur de messagerie et d'autres serveurs sont également protégés par un pare-feu. Cela nécessite beaucoup d'attention pour empêcher la pénétration du réseau local sur des stations protégées utilisant des installations de serveurs www facilement accessibles.

Fig.6.4 Schéma de protection du réseau local unifié

Pour empêcher l'accès au réseau local à l'aide des ressources de serveur www, des serveurs disponibles au public sont recommandés pour vous connecter avant le pare-feu. Cette méthode a une sécurité réseau locale plus élevée, mais un faible niveau de sécurité de sécurité www et ftp.

Fig.6.5 Schéma de sous-réseaux ouverts protégés fermés et non protégés

Informations similaires.