1. Симметричное шифрование

Симметри́чные криптосисте́мы (также симметричное шифрование , симметричные шифры ) (англ. symmetric - key algorithm ) - способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ. До изобретения схемы асимметричного шифрования единственным существовавшим способом являлось симметричное шифрование. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.

В симметричных криптосистемах для шифрования и расшифровывания используется один и тот же ключ. Отсюда название - симметричные . Алгоритм и ключ выбирается заранее и известен обеим сторонам. Сохранение ключа в секретности является важной задачей для установления и поддержки защищённого канала связи. В связи с этим, возникает проблема начальной передачи ключа (синхронизации ключей). Кроме того существуют методы криптоатак, позволяющие так или иначе дешифровать информацию не имея ключа или же с помощью его перехвата на этапе согласования. В целом эти моменты являются проблемой криптостойкости конкретного алгоритма шифрования и являются аргументом при выборе конкретного алгоритма.

Симметричные, а конкретнее, алфавитные алгоритмы шифрования были одними из первых алгоритмов . Позднее было изобретено асимметричное шифрование, в котором ключи у собеседников разные .

Основные сведения[править | править код]

Алгоритмы шифрования данных широко применяются в компьютерной технике в системах сокрытия конфиденциальной и коммерческой информации от злонамеренного использования сторонними лицами. Главным принципом в них является условие, что передатчик и приемник заранее знают алгоритм шифрования , а также ключ к сообщению, без которых информация представляет собой всего лишь набор символов, не имеющих смысла.

Классическими примерами таких алгоритмов являются симметричные криптографические алгоритмы , перечисленные ниже:

Простая перестановка

Одиночная перестановка по ключу

Двойная перестановка

Перестановка "Магический квадрат"

Простая перестановка [править | править код]

Простая перестановка без ключа - один из самых простых методов шифрования. Сообщение записывается в таблицу по столбцам. После того, как открытый текст записан колонками, для образования шифртекста он считывается по строкам. Для использования этого шифра отправителю и получателю нужно договориться об общем ключе в виде размера таблицы. Объединение букв в группы не входит в ключ шифра и используется лишь для удобства записи несмыслового текста.

Одиночная перестановка по ключу [править | править код]

Более практический метод шифрования, называемый одиночной перестановкой по ключу, очень похож на предыдущий. Он отличается лишь тем, что колонки таблицы переставляются по ключевому слову, фразе или набору чисел длиной в строку таблицы.

Двойная перестановка [править | править код]

Для дополнительной скрытности можно повторно шифровать сообщение, которое уже было зашифровано. Этот способ известен под названием двойная перестановка. Для этого размер второй таблицы подбирают так, чтобы длины её строк и столбцов отличались от длин в первой таблице. Лучше всего, если они будут взаимно простыми. Кроме того, в первой таблице можно переставлять столбцы, а во второй строки. Наконец, можно заполнять таблицу зигзагом, змейкой, по спирали или каким-то другим способом. Такие способы заполнения таблицы если и не усиливают стойкость шифра, то делают процесс шифрования гораздо более занимательным.

Перестановка «Магический квадрат» [править | править код]

Магическими квадратами называются квадратные таблицы со вписанными в их клетки последовательными натуральными числами от 1, которые дают в сумме по каждому столбцу, каждой строке и каждой диагонали одно и то же число. Подобные квадраты широко применялись для вписывания шифруемого текста по приведенной в них нумерации. Если потом выписать содержимое таблицы по строкам, то получалась шифровка перестановкой букв. На первый взгляд кажется, будто магических квадратов очень мало. Тем не менее, их число очень быстро возрастает с увеличением размера квадрата. Так, существует лишь один магический квадрат размером 3 х 3, если не принимать во внимание его повороты. Магических квадратов 4 х 4 насчитывается уже 880, а число магических квадратов размером 5 х 5 около 250000. Поэтому магические квадраты больших размеров могли быть хорошей основой для надежной системы шифрования того времени, потому что ручной перебор всех вариантов ключа для этого шифра был немыслим.

В квадрат размером 4 на 4 вписывались числа от 1 до 16. Его магия состояла в том, что сумма чисел по строкам, столбцам и полным диагоналям равнялась одному и тому же числу - 34. Впервые эти квадраты появились в Китае, где им и была приписана некоторая «магическая сила».

Шифрование по магическому квадрату производилось следующим образом. Например, требуется зашифровать фразу: «ПриезжаюСегодня.». Буквы этой фразы вписываются последовательно в квадрат согласно записанным в них числам: позиция буквы в предложении соответствует порядковому числу. В пустые клетки ставится точка.

После этого шифрованный текст записывается в строку (считывание производится слева направо, построчно): .ирдзегюСжаоеянП

При расшифровывании текст вписывается в квадрат, и открытый текст читается в последовательности чисел «магического квадрата». Программа должна генерировать «магические квадраты» и по ключу выбирать необходимый. Размер квадрата больше чем 3х3.

Общая схема[править | править код]

В настоящее время симметричные шифры - это:

блочные шифры. Обрабатывают информацию блоками определённой длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми раундами. Результатом повторения раундов является лавинный эффект - нарастающая потеря соответствия битовмежду блоками открытых и зашифрованных данных.

поточные шифры, в которых шифрование проводится над каждым битом либо байтом исходного (открытого) текста с использованием гаммирования. Поточный шифр может быть легко создан на основе блочного (например, ГОСТ 28147-89 в режиме гаммирования), запущенного в специальном режиме.

Большинство симметричных шифров используют сложную комбинацию большого количества подстановок и перестановок. Многие такие шифры исполняются в несколько (иногда до 80) проходов, используя на каждом проходе «ключ прохода». Множество «ключей прохода» для всех проходов называется «расписанием ключей» (key schedule). Как правило, оно создается из ключа выполнением над ним неких операций, в том числе перестановок и подстановок.

Типичным способом построения алгоритмов симметричного шифрования является сеть Фейстеля. Алгоритм строит схему шифрования на основе функции F(D, K), где D - порция данных размером вдвое меньше блока шифрования, а K - «ключ прохода» для данного прохода. От функции не требуется обратимость - обратная ей функция может быть неизвестна. Достоинства сети Фейстеля - почти полное совпадение дешифровки с шифрованием (единственное отличие - обратный порядок «ключей прохода» в расписании), что значительно облегчает аппаратную реализацию.

Операция перестановки перемешивает биты сообщения по некоему закону. В аппаратных реализациях она тривиально реализуется как перепутывание проводников. Именно операции перестановки дают возможность достижения «эффекта лавины». Операция перестановки линейна - f(a) xor f(b) == f(a xor b)

Операции подстановки выполняются как замена значения некоей части сообщения (часто в 4, 6 или 8 бит) на стандартное, жестко встроенное в алгоритм иное число путём обращения к константному массиву. Операция подстановки привносит в алгоритм нелинейность.

Зачастую стойкость алгоритма, особенно к дифференциальному криптоанализу, зависит от выбора значений в таблицах подстановки (S-блоках). Как минимум считается нежелательным наличие неподвижных элементов S(x) = x, а также отсутствие влияния какого-то бита входного байта на какой-то бит результата - то есть случаи, когда бит результата одинаков для всех пар входных слов, отличающихся только в данном бите.

Параметры алгоритмов[править | править код]

Существует множество (не менее двух десятков) алгоритмов симметричных шифров, существенными параметрами которых являются:

стойкость

длина ключа

число раундов

длина обрабатываемого блока

сложность аппаратной/программной реализации

сложность преобразования

Виды симметричных шифров[править | править код]

блочные шифры

AES (англ. Advanced Encryption Standard ) - американский стандарт шифрования

ГОСТ 28147-89 - советский и российский стандарт шифрования, также является стандартом СНГ

DES (англ. Data Encryption Standard ) - стандарт шифрования данных в США

3DES (Triple-DES, тройной DES)

RC2 (Шифр Ривеста (Rivest Cipher или Ron’s Cipher))

IDEA (International Data Encryption Algorithm, международный алгоритм шифрования данных)

CAST (по инициалам разработчиков Carlisle Adams и Stafford Tavares)

потоковые шифры

RC4 (алгоритм шифрования с ключом переменной длины)

SEAL (Software Efficient Algorithm, программно-эффективный алгоритм)

WAKE (World Auto Key Encryption algorithm, всемирный алгоритм шифрования на автоматическом ключе)

Сравнение с асимметричными криптосистемами[править | править код]

Достоинства [править | править код]

скорость

простота реализации (за счёт более простых операций)

меньшая требуемая длина ключа для сопоставимой стойкости

изученность (за счёт большего возраста)

Недостатки [править | править код]

сложность управления ключами в большой сети

сложность обмена ключами. Для применения необходимо решить проблему надёжной передачи ключей каждому абоненту, так как нужен секретный канал для передачи каждого ключа обеим сторонам

Для компенсации недостатков симметричного шифрования в настоящее время широко применяется комбинированная (гибридная) криптографическая схема, где с помощью асимметричного шифрования передаётся сеансовый ключ, используемый сторонами для обмена данными с помощью симметричного шифрования.

Важным недостатком симметричных шифров является невозможность их использования в механизмах формирования электронной цифровой подписи и сертификатов, так как ключ известен каждой стороне.

2. Межсетевой экран. Firewall. Brandmauer

Межсетево́й экра́н , сетево́й экра́н - программный или программно-аппаратный элемент компьютерной сети , осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами .

Другие названия :

Брандма́уэр (нем. Brandmauer - противопожарная стена ) - заимствованный из немецкого языка термин;

Файрво́л (англ. Firewall - противопожарная стена) - заимствованный из английского языка термин.

Firewall (Межсетевой экран)

Межсетевой экран (Брандмауэр или Firewall) – это средство фильтрации пакетного трафика, поступающего из внешней сети по отношению к данной локальной сети или компьютеру. Рассмотрим причины появления и задачи выполняемые Firewall. Современная сеть передачи данных – это множество удаленных высокопроизводительных устройств, взаимодействующих друг с другом на значительном расстоянии. Одними из наиболее крупномасштабных сетей передачи данных являются компьютерные сети, такие как сеть Интернет. В ней одновременно работают миллионы источников и потребителей информации по всему миру. Широкое развитие данной сети позволяет использовать ее не только частным лицам, но и крупным компаниям для объединения своих разрозненных устройств по всему миру в единую сеть. Вместе с этим, общий доступ к единым физическим ресурсам открывает доступ мошенникам, вирусам и конкурентам возможность причинить вред конечным пользователям: похитить, исказить, подбросить или уничтожить хранимую информацию, нарушить целостность программного обеспечения и даже вывести аппаратную часть конечной станции. Для предотвращения данных нежелательных воздействий необходимо предотвратить несанкционированный доступ, для чего часто применяется Firewall. Само название Firewall (wall – от англ. стена) кроет в себе его назначение, т.е. он служит стеной между защищаемой локальной сетью и Интернетом либо любой другой внешней сетью и предотвращать любые угрозы. Кроме вышеуказанной межсетевой экран также может выполнять и другие функции, связанные с фильтрацией трафика от/к какому-либо ресурсу сети Интернет.

Принцип действия Firewall основан на контроле поступающего извне трафика. Могут быть выбраны следующие методы контроля трафика между локальной и внешней сетью:

1. Фильтрация пакетов – основан на настройке набора фильтров. В зависимости от того удовлетворяет ли поступающий пакет указанным в фильтрах условиям он пропускается в сеть либо отбрасывается.

2. Proxy-сервер – между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через который должен проходить весь входящий и исходящий трафик.

3. Stateful inspection – инспектирование входящего трафика – один из самых передовых способов реализации Firewall. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнении с заранее известными значениями из базы данных разрешенных ресурсов. Данный метод обеспечивает наибольшую производительность работы Firewall и наименьшие задержки.

Принцип действия Firewall

Межсетевой экран может быть выполнен аппаратно или программно. Конкретная реализация зависит от масштаба сети, объема трафика и необходимых задач. Наиболее распространенным типом Брандмауэров является программный. В этом случае он реализован в виде программы, запущенной на конечном ПК, либо пограничном сетевом устройстве, например маршрутизаторе. В случае аппаратного исполнения Firewall представляет собой отдельный сетевой элемент, обладающий обычно большими производительными способностями, но выполняющий аналогичные задачи.

Firewall позволяет настраивать фильтры, отвечающие за пропуск трафика по следующим критериям:

1. IP-адрес . Как известно, любое конечное устройство, работающее по протоколу IP должно иметь уникальный адрес. Задав какой-то адрес либо определенный диапазон можно запретить получать из них пакеты, либо наоборот разрешить доступ только с данных IP адресов.

2. Доменное имя . Как известно, сайту в сети Интернет, точнее его IP-адресу может быть поставлено в соответств ие буквенно-цифровое имя, которое гораздо проще запомнить чем набор цифр. Таким образом, фильтр может быть настроен на пропуск трафика только к/от одного из ресурсов, либо запретить доступ к нему.

3. Порт . Речь идет о программных портах, т.е. точках доступа приложений к услугам сети. Так, например, ftp использует порт 21, а приложения для просмотра web-страниц порт 80. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо наоборот разрешить доступ только к ним.

4. Протокол . Firewall может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Обычно тип протокола может говорить о выполняемых задачах, используемого им приложения и о наборе параметров защиты. Таким образом, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.

Выше перечислены только основные параметры, по которым может быть произведена настройка. Также могут применяться другие параметры для фильтров, специфичные для данной конкретной сети, в зависимости от выполняемых в ней задач.

Таким образом, Firewall предоставляет комплексны набор задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети. Обычно межсетевой экран используется в совокупности с другими средствами защиты, например, антивирусное ПО.

\\ 06.04.2012 17:16

Межсетевой экран представляет собой комплекс задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети.

Межсетевой экран, его также называют фаервол (от англ. Firewall) или брандмауэр на шлюзе позволяет обеспечить безопасный доступ пользователей в сеть Интернет, при этом защищая удаленное подключение к внутренним ресурсам. Межсетевой экран просматривает через себя весь трафик, проходящий между сегментами сети, и для каждого пакета реализует решение - пропускать или не пропускать. Гибкая система правил межсетевого экрана позволяет запрещать или разрешать соединения по многочисленным параметрам: адресам, сетям, протоколам и портам.

Методы контроля трафика между локальной и внешней сетью

Фильтрация пакетов. В зависимости от того удовлетворяет ли поступающий пакет указанным в фильтрах условиям он пропускается в сеть либо отбрасывается.

Stateful inspection. В этом случае осуществляется инспектирование входящего трафика - один из самых передовых способов реализации Firewall. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнении с заранее известными значениями из базы данных разрешенных ресурсов. Такой метод обеспечивает наибольшую производительность работы Firewall и наименьшие задержки.

Proxy-сервер.В данном случае между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через который должен проходить весь входящий и исходящий трафик.

Межсетевой экран позволяет настраивать фильтры, которые отвечают за пропуск трафика по:

IP-адрес. Задав какой-то адрес либо определенный диапазон можно запретить получать из них пакеты, либо наоборот разрешить доступ только с данных IP адресов.

- Порт. Фаервол может настроить точки доступа приложений к услугам сети. К примеру, ftp использует порт 21, а приложения для просмотра web-страниц порт 80.

Протокол. Брандмауэр может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Чаще всего тип протокола может говорить о выполняемых задачах, используемого им приложения и о наборе параметров защиты. В связи с этим, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.

Доменное имя. В данном случае фильтр запрещает или разрешает соединения конкретных ресурсов. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо наоборот разрешить доступ только к ним.

Для настройки могут применяться и другие параметры для фильтров, характерные для данной конкретной сети, в зависимости от выполняемых в ней задач.

Чаще всего межсетевой экран используется в комплексе с другими средствами защиты, к примеру, антивирусное программное обеспечение.

Принцип действия межсетевого экрана

Брандмауэр может быть выполнен:

Аппаратно. В таком случае в роли аппаратного фаервола выступает маршрутизатор, который располагается между компьютером и сетью Интернет. К фаерволу может быть подключено несколько ПК и при этом все они будут защищены межсетевым экраном, который выступает частью маршрутизатора.

Программно. Наиболее распространенный тип межсетевого экрана, который представляют собой специализированное программное обеспечение, которое пользователь устанавливает на свой ПК.

Даже если подключен маршрутизатор со встроенным межсетевым экраном, дополнительно может быть установлен программный фаервол на каждый компьютер в отдельности. В таком случае злоумышленнику будет сложнее проникнуть в систему.

Официальные документы

В 1997 году был принят Руководящий документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ устанавливает пять классов защищенности межсетевого экрана, каждый из которых характеризуется определенной минимальной совокупностью требований по защите информации.

В 1998 году был разработан еще один документ: "Временные требования к устройствам типа межсетевой экран». Согласно данному документу установлено 5 классов защищенности межсетевого экрана, которые применяются для защиты информации в автоматизированных системах, содержащих криптографические средства.

А с 2011 года вступили в силу требования законодательства по сертификации межсетевых экранов. Таким образом, если в сети предприятия осуществляется работа с персональными данными, то требуется установить межсетевой экран, сертифицированный Федеральной службой по экспортному контролю (ФСТЭК).

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).

Афера "Asia Domain Name Registration scam" в Рунете! Вы зарегистрировали или купили домен и создали на нем сайт. Годы идут, сайт развивается, становится популярным. Вот уже и доход с него "закапал". Вы получаете свой доход, оплачиваете домен, хостинг и другие расходы...

Еще несколько лет назад для надежной защиты ПК достаточно было установить хорошую антивирусную программу и следить за регулярным обновлением баз. Однако изобретательность злоумышленников порождает все новые и новые способы нанесения ущерба. Зачастую основным путем проникновения на компьютер пользователя оказываются его сетевые подключения, точнее связанные с ними системные уязвимости. Антивирусный пакет может лишь определить вредоносный код, однако далеко не каждый антивирус способен обнаружить несанкционированный доступ к данным.

С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов.

Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны. Но наиболее часто используется термин “межсетевые экраны” (МЭ).

В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия “внутри” и “снаружи”, причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.

Межсетевой экран или сетевой экран -- комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами .

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов -- динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной вычислительной сети.

Рисунок 4. Общая структура брандмауэра

Другие названия

Брандмауэр (нем. Brandmauer) -- заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Файрволл -- образовано транслитерацией английского термина firewall.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

на уровне каких сетевых протоколов происходит контроль потока данных;

отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

традиционный сетевой (или межсетевой) экран -- программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

персональный сетевой экран -- программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай -- использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на :

сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

сеансовом уровне (также известные как stateful) -- отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях -- сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.

Рисунок 5. Структура информационного экранирования с использованием эталонной модели

Современные требования к межсетевым экранам

Основное требование -- это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.

Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.

Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.

Особенности современных межсетевых экранов

Как видно из таблицы 3 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия .

Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными.

При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие -- на регламентировании разрешенного межмашинного обмена.

Таблица 3 - Особенности межсетевых экранов

Типовые варианты включения межсетевых экранов

Рисунок 6. Включение МЭ по схеме двухпортового шлюза

Рисунок 7. Включение МЭ непосредственно на защищаемом сервере

Рисунок 8. Включение МЭ в системе Интернет-Интранет

Сравнительные характеристики современных межсетевых экранов

Таблица 4 - Сравнительные характеристики современных межсетевых экранов

Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он :

не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

не обеспечивает защиту от многих внутренних угроз, в первую очередь -- утечки данных;

не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Межсетевые экраны - это специальные защитные комплексы программ (файрволы), предотвращающие несанкционированные а также создающие заслон как отдельному компьютеру, так и всей локальной сети от проникновения вредоносных Исходя из их основного предназначения - не пропускать подозрительные пакеты, такие программы получили еще одно название - фильтры. На сегодняшний день самыми известными производителями защитных файрволов являются следующие: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Настройка сетевых экранов

Межсетевые экраны настраиваются вручную, что предоставляет возможность детальной установки защиты. Одна из важнейших возможностей - настройка антивируса непосредственно USB-порта. Задав необходимые установки, вы с помощью такой программы можете создать обеспечение полного контроля над входом и выходом в локальной сети и в каждом электронном устройстве в ее составе.

Осуществив ручную настройку защитного экрана на одном из компьютеров сети, можно в кратчайшие сроки перенести уже готовые настройки на другие сетевые единицы. Причем синхронность работы обеспечивается даже при беспроводном сетевом соединении. Задание необходимых параметров работы файрвола требует некоторого времени, но если пренебрежительно к нему отнестись, то ограничения защиты могут заблокировать некоторые необходимые для работы службы.

Дополнительные возможности сетевых фильтров

Существуют межсетевые экраны, которые можно настроить на дополнительную защиту отдельных сервисов и приложений. Например, на предотвращение взлома «родительского контроля» или установить «антиспам». Настройка доступа в интернет и права функционирования в закрытой локальной сети для каждой программы и приложения могут быть определены отдельно. Межсетевой фильтр позволяет управлять доступом к сайтам, может отслеживать сканирование шлюзов, производить фильтрацию Web-содержимого. Также он способен блокировать доступ с подозрительных IP-адресов, уведомлять о попытках атаки или зондирования.

Виды межсетевых файрволов

Межсетевые экраны подразделяются на следующие типы:

Традиционный сетевой экран, обеспечивающий фильтрацию доступа отправки и получения пакетов;

Сеансовый сетевой экран, отслеживающий отдельные сеансы между установленными приложениями, обеспечивающий своевременное закрытие доступа несертифицированных пакетов, используемых, как правило, для взломов, сканирования конфиденциальных данных и т. д.;

Аналитический сетевой экран, осуществляющий фильтрацию на основе анализа внутренней информации пакета с последующей блокировкой выявленных троянов;

Аппаратный межсетевой экран, оборудованный встроенным ускорителем, позволяющим одновременно осуществлять предотвращение вторжений (IPS), антивирусное сканирование, предотвращение пользователей внутри частной сети, и VPN-анонимность, а также осуществлять работу файрвола более производительно.

Меры предосторожности

Для гарантии обеспечения качественной и надежной от несанкционированных вторжений и взломов, необходимо устанавливать на узлы сети только сертифицированный межсетевой экран. В настоящий момент законодательными актами РФ предусмотрена сертификация ФСТЭК, Газпромсерт и ФСБ. Например, удостоверяет, что данный межсетевой фильтр соответствует всем требованиям, изложенным в первой части документа Гостехкомиссии России. А сертификаты ФСБ показывают, что система программ защиты соответствует российскому Госстандарту по требованиям обеспечения безопасности и конфиденциальности сведений.

Инструкция

Зайдите в главное меню «Пуск» операционной системы Windows. Выберите раздел «Панель управления» и перейдите к пункту «Брандмауэр Windows». Также можно запустить его настройку из командной строки, введя следующий текст: “control.exe /name Microsoft.WindowsFirewall”.

Ознакомьтесь с открывшимся окном. Слева имеется панель, состоящая из нескольких разделов, которые отвечают за различные настройки межсетевого экран а. Зайдите на вкладку «Общий профиль» и «Частный профиль», где возле надписи «Исходящие подключения» необходимо отменить опцию «Блокировать». Нажмите кнопку «Применить» и «Ок», после чего закройте окно. После этого вы можете приступить к настройке доступа к интернету различных сервисов и программ, установленных на персональном компьютере.

Зайдите на вкладку «Дополнительные параметры», чтобы запустить межсетевой экран в режиме повышенной безопасности. Появившееся окно состоит из панели инструментов и трех разделов. Выберите в левом поле раздел «Правила для исходящих подключений», после чего на правом поле отметьте пункт «Создать правило». В результате откроется мастер создания правил.

Выберите тип правила, который хотите добавить в настройки межсетевого экран а. Можно выбрать для всех подключений компьютера или настроить конкретную программу, указав к ней путь. Нажмите кнопку «Далее», чтобы перейди к пункту «Программа», в котором опять указываем путь к приложению.

Перейдите к пункту «Действие». Здесь можно разрешить подключение или блокировать его. Также можно становить безопасное подключение, при котором будет проверяться его посредством IPSec. При этом, нажав кнопку «Настроить», можно установить собственные правила. После этого укажите «Профиль» для вашего правила и придумайте ему название. Нажмите кнопку «Готово», чтобы сохранить настройки.

Степень мерцания на включенном экране, зависит от параметров, установленных для частоты обновления изображения на мониторе. Понятие «частота обновления» применимо к ламповым мониторам, для жидкокристаллических мониторов данные настройки не важны. Экран большинства ламповых мониторов обновляется один раз в минуту. Если вам не подходят данные настройки, устраните мерцание экрана , выполнив несколько действий.

Инструкция

Вызовите компонент «Экран». Для этого через меню «Пуск» откройте «Панель управления». В категории «Оформление и темы» кликните по значку «Экран» левой кнопкой мыши или выберите любое из доступных заданий в верхней части окна. Если «Панель управления» на вашем компьютере имеет классический вид, выберите искомый значок сразу.

Существует и другой способ: кликните правой кнопкой мыши в любой свободной от файлов и папок части «Рабочего стола». В выпадающем меню выберите пункт «Свойства», кликнув по нему левой кнопкой мыши. Откроется новое диалоговое окно «Свойства: Экран».

В открывшемся окне перейдите на вкладку «Параметры» и нажмите на кнопку «Дополнительно», расположенную в нижней части окна. Это действие вызовет дополнительное диалоговое окно «Свойства: Модуль подключения монитора и [название вашей видеокарты]».

В новом окне перейдите на вкладку «Монитор» и установите маркер в поле напротив надписи «Скрыть режимы, которые монитор не может использовать». Это поможет вам избежать возможных проблем: если экрана установлена неверно, изображение на мониторе может быть неустойчивым. Также неверно выбранная частота может привести к неисправности оборудования.

С помощью выпадающего списка в разделе «Параметры монитора» установите в поле «Частота обновления экрана » нужное вам значение. Чем выше частота обновления экрана , тем меньше мерцает монитор. По умолчанию используется частота 100 Гц, хотя ваш монитор может поддерживать и другую частоту. Уточните данные сведения в документации или на сайте производителя.

После внесения нужных изменений нажмите на кнопку «Применить» в окне свойств монитора. На запрос о подтверждении новых параметров ответьте утвердительно. Нажмите на кнопку ОК. Перед вами останется одно окно «Свойства: Экран». Закройте его, воспользовавшись кнопкой ОК или значком [x] в правом верхнем углу окна.

Если при смене частоты обновления экрана изменится вид рабочего стола, установите в окне свойств экрана удобное для восприятия разрешение, нажмите на кнопку «Применить» и закройте окно. Размер рабочей области на экране отрегулируйте с помощью кнопок настройки на корпусе монитора. Не забудьте в конце нажать на кнопку «Размагнитить» (Degauss).

Межсетевой экран , или firewall, предназначен для контроля за работой программ в сети и для защиты операционной системы и данных пользователя от внешних атак. Программ с подобными функциями немало, и они не всегда эффективны. Чтобы проверить качество работы вашего сетевого экран а, воспользуйтесь программой 2ip Firewall Tester.

Инструкция

Найдите с помощью поисковой системы ссылку на скачивание утилиты 2ip Firewall Tester. Проверьте загруженные файлы антивирусной программой и запустите приложение. Как правило, программу нужно установить на жесткий диск компьютера. После чего на рабочем столе появится ярлык, при помощи которого можно ее запустить.

Окно программы довольно простое и содержит строку вывода сообщений и две кнопки Help и Test. Убедитесь, что на вашем компьютере есть доступ в интернет и нажмите на кнопку Test. Утилита произведет попытку связи с внешним сервером. Если соединение будет установлено (о чем возникнет сообщение красными буквами), значит ваш firewall неэффективен. Также стоит отметить, что большинство подобного программного обеспечения устанавливается по умолчанию с англоязычным интерфейсом. Чтобы изменить на русский язык, зайдите в настройки программы. Не забудьте сохранить все изменения, которые были произведены в программе.

Если соединение установить не удалось, а программа межсетевого экран а выдала запрос на разрешения данного соединения, значит firewall работает. Разрешите провести одноразовое соединение. Для более сложной проверки firewall переименуйте файл запуска утилиты 2ip Firewall Tester в имя программы, доступ которой в интернет заведомо разрешен. Например, Internet Explorer. Для этого назовите утилиту именем iexplore.exe, снова запустите и нажмите на кнопку Test. Если соединение будет установлено, значит ваш межсетевой экран имеет довольно низкий уровень защиты.

Если же соединение не будет установлено, значит ваша программа межсетевого экран а выполняет свои функции на пять баллов. Вы можете спокойно бродить по сайтам в интернете, потому что ваш персональный компьютер надежно защищен от различных угроз. Как правило, подобное программное обеспечение имеет гибкие настройки в системе.

Видео по теме

Иногда, сидя за компьютером, можно заметить, что изображение на экране трясется, своеобразно "плывет" или начинает неожиданно ь. Эта проблема имеет широкое распространение. Но причины для нее бывают разные. Стоит разобраться с тем, почему трясется экран.

Чаще всего причиной трясущегося экрана является наличие в рабочем помещении или квартире источника переменных электромагнитных полей. Это проверяется очень легко при помощи перемещением монитора. Если прекращается, значит проблема связана именно с электромагнитными полями. Их источниками на работе являются различные электрические установки, трансформаторные подстанции, а также линии электропередачи. Дома же их заменяют телевизор, холодильник, микроволновая печь и прочая бытовая техника.

Вторая по частоте причина трясущегося экрана - недостаточное электропитание монитора. Как правило, монитор подключается к пилоту, в котором, помимо его самого, еще "питаются" системный блок, модем, телевизор, люстра и много чего еще, в зависимости от вкуса пользователя. Стоит попробовать отключить часть этих приборов и посмотреть, снизилась ли дрожь изображения на мониторе. Если нет, то, возможно, проблема есть в самом пилоте, в том, как он фильтрует электроэнергию. Можно попробовать просто поменять его.

Реже всего (хоть и чаще всего приходящее на ум) причиной тряски изображения может быть неисправность внутри самого монитора, например, сломанный блок развертки либо неполадки в системе его питания. В таких случаях лучше неопытному пользователю не лезть внутрь монитора. Оптимальным решением в этой ситуации будет обращение к квалифицированным специалистам.

Иногда причиной вышеуказанных проблем может стать низкая частота обновления экрана. По умолчанию у некоторых мониторов частота выставлена в районе 60 Гц. Это не только делает заметной дрожь экрана, но и крайне вредно для зрения. Поэтому стоит через "Панель управления" найти пункт меню "Экран" и выставить там частоту в 75 Гц. При данной частоте дрожание экрана может уйти полностью.

Внимание: снимаем!

Чтобы снять скриншот, запустите на компьютере приложение, кликнув по ярлыку на рабочем столе (обычно в процессе установки он создается автоматически) или найдя его в списке программ (через кнопку «Пуск»). После этого в открывшемся рабочем окне выберите необходимую для вас функцию. В данной программе можно выполнить захват экрана: весь экран, элемент окна, окно с прокруткой, выделенную область, фиксированную область, произвольную область или снять скриншот с предыдущего выбора.

Панель инструментов открывается и при нажатии кнопки «Файл» в главном меню программы.

Из названий опций понятно, какая часть рабочего окна будет выделена в процессе снятия скрина. Вы сможете одним нажатием кнопки «сфотографировать» весь экран или какую-либо его часть. Также здесь можно задать определенную область или часть экрана, которая будет соответствовать заданным ранее параметрам. В общем, заскринить можно абсолютно все.

Кроме этого, в программе есть небольшой перечень необходимых для обработки изображения инструментов: цветовая палитра, окно увеличения, линейка, при помощи которой можно с точностью до миллиметра просчитать расстояние от одной точки до другой, угломер, перекрытие и даже грифельная доска, позволяющая производить записи и чертежи прямо на экране.

Для выполнения дальнейших действий нажмите кнопку «Главное», после чего на экране появится дополнительная панель с определенным набором инструментов. С их помощью вы сможете обрезать изображение, задать его размер, выделить цветом определенную часть, наложить текст, выбрать цвет шрифта и заливки.

Кнопка «Вид» в главном меню позволяет изменить масштаб, работать с линейкой, настроить вид заскриненных документов: каскадом, мозаикой.

После того как вы снимите скриншот, нажмите кнопку «Файл» на верхней панели приложения и в выпадающем окне выберите опцию «Сохранить как». После этого в правой части откроется дополнительное окно, в котором нужно будет выбрать тип файла: PNG, BMP, JPG, GIF, PDF. Затем останется только указать папку, в которую следует сохранить файл.