Межсетевые экраны | Курс "Компьютерные сети"
HTML-код
- Опубликовано: 30 сен 2016
- Видеолекция Межсетевые экраны. Лекции по курсу "Компьютерные сети" - goo.gl/0aIOuf
Страница курса - www.asozykin.ru/courses/networ...
Межсетевой экран - это устройств или программная система, предназначенное для отделения сетей друг от друга. Другое название межсетевого экрана: брандмауэр или firewall.
Межсетевые экраны используются для защиты сетей от проникновения злоумышленников.
Межсетевые экраны перехватывают все пакеты, которые поступают в сети, и проверяют их на соответствие политике безопасности по таблице правил.
Межсетевые экраны работают на сетевом и транспортном уровне, они анализируют заголовки пакетов протоколов этих уровней. Чаще всего используются IP-адреса, порты транспортного уровня, флаги, а также состояние соединение.
Преимуществом использования межсетевых экранов является увеличение безопасности.
Недостатки межсетевых экранов:
- Неправильная конфигурация может привести к неработоспособности сети.
- Возможно снижение производительности сети.
Мой канал с краткими и понятными объяснениями сложных тем в ИТ и компьютерных науках:
goo.gl/kW93MA 
Наука
Спасибо! Коротко, информативно, последовательно - так и должно быть.
+Jon Belov, пожалуйста.
Андрей, дай бог тебе здоровья) за курс лекций по сетям объяснил мне единственный понятным языком то, что я не мог понять всю жизнь и просто воспринимал как магию
Время идет, но я периодически возвращаюсь к Вашим курсам. Спасибо!
Очень интересно, помню, когда была совсем мелкая, от скуки лазила по компьютеру и изучала начинку, но значение слов брандмауэр и файрволл узнала только сейчас ахаха
Это и есть life long learning, сейчас очень востребовано 😉
Андрей, огромное вам спасибо. Это большой труд - создавать такие уроки.
Пожалуйста!
Большое спасибо! Теория, как всегда, на высоте. На мой взгляд, не хватает практического примера программно-аппаратной реализации. Понятно было только с брандмауэром на хосте.
Благодарю Вас за Ваши замечательные доступные объяснения!!!
Спасибо! Очень понятное изложение материала.
Спасибо за приятный стиль подачи информации...
+3S-cctv.ru, пожалуйста! Рад, что нравится!
Спасибо вам, Андрей!
Пожалуйста!
нет слов! ) великолепная подача материала. лаконично, понятно, информативно!
Спасибо!
Не первое ваше видео, очень здорово спасибо большое!
Пожалуйста!
Супер, все понятно теперь! Спасибо :-)
+Dinara Shadyarova, пожалуйста.
Андрей, спасибо большое за информативность! Мы всем потоком сдали экзамен по сетям связи благодаря вашим видео! :)
Спасибо за приятный отзыв! Какой университет?
тебя спросили какой университет!
Спасибо Андрей!
Пожалуйста!
Спасибо ! Очень полезный урок!
Пожалуйста!
Спасибо, полезно и понятно. Отличное видео.
Пожалуйста!
Спасибо первое видео по безопасности которое я понял .
Отлично! Успехов в дальнейшем изучении!
спасибо за труды
Пожалуйста!
Спасибо! Было интересно!
Пожалуйста!
Спасибо что объясняете.
Пожалуйста!
Большое спасибо ... 🙂
Спасибо.
Qilgan bu yaxshi amallariyezni ajrini bersin.
Пожалуйста!
Спасибо большое.
Пожалуйста!
Вау, вот это очень интересный видос!
Спасибо!
Класс! Спасибо!!!
Пожалуйста!
Андрей, огромное спасибо за Вашу работу! Изучал по Вашим урокам компьютерные сети, прошёл собеседование!!!
Что по зп?
Куда устроились, как дальнейшие успехи?
Неплохо, чёрт возьми.
Спасибо!
Андрей спасибо, отличные лекции. Очень грамотная структурированность и подача информации. Почему не подключен сервис донатов? Я, как думаю и многие люди из комментариев отблагодарили бы.
Спасибо за приятный отзыв!
Сервис донатов есть, вот ссылка - pay.cloudtips.ru/p/45a4055b
Не во все ранние видео успел прописать.
спасибо!!!
Пожалуйста!
Спасибо
Пожалуйста!
Очень доступно.. Даже я тугодум всё понял с первого раза
Было бы интересно увидеть типологию с внешними и внутренними МСЭ, DMZ. Что можно что нельзя при протоколах прикладного уровня.
А так же отличие и/или размещение коммутатора и МСЭ.
В этом я не специалист, к сожалению.
@@AndreySozykin а чем отличается МСЭ от коммутатора?
Спасибо за лекцию ( на дистанционке это самое то) ps какие негодяя минусят- кому Вы зачёт не поставили)))
Минусы обязательно нужны, всем нравится невозможно.
СПС!
Анрдей, можно вас попросить рассказать про WAF IPS IDS поподробнее, если у вас есть таковые знания, буду очень признателен
К сожалению, в этих темах я не очень разбираюсь. Поэтому вряд ли смогу сделать хорошие лекции.
супер, что посоветуете из оьорудования железки - для малого бизнеса с поддержкой контроля на прикладной уровне?
спасибо|
Андрей, возникло затруднение в понимании на моменте 6:44 "межсетевой экран их пропустит, наш сервис их будет отбрасывать" - всё-таки пропустит или будет отбрасывать? Просто прозвучали две противоречивые фразы друг за другом. Вроде эти пакеты удовлетворяют правилу 2 в таблице.
privet!
Правильно ли я понимаю, что если я - провайдер, я могу использовать межсетевой экран для того, чтобы ограничивать доступ моим клиентам к некому списку IP адресов (например, вебсерверов, запрещенных РКН), а обойти это можно будет с помощью прокси на прикладном уровне, ведь запрос будет осуществляться к разрешенному IP-адресу прокси-сервера, а он уже будет отправлять запрос на запрещенный сайт?
P. S. Наконец-то я начал понимать все эти фаерволы, брандмауэры и iptables. Оказалось проще и приятнее, чем казалось со стороны, когда еще не знал ничего.
Объясните, в какой точке правильно устанавливать маршрутизатор? В большинстве случае в интернете представлены следующие схемы:
1) внутренняя защищаемая сеть->межсетевой экран->маршрутизатор->внешняя сеть
но ведь в таком случае маршрутизатор оказывается за пределами защиты МСЭ.
Конечно маршрутизатор можно защитить его собственными средствами безопасности, но этих средств всё равно меньше чем у МСЭ.
И таким образом злоумышленники могут просто положить маршрутизатор, и пользователь останется без доступа во внешнюю сеть.
Логичнее выглядит следующая схема
2) внутренняя защищаемая сеть->маршрутизатор->межсетевой экран->внешняя сеть
почему же по второму варианту схемы встречаются крайне редко?
какая из них является правильной или какая является предпочтительной по каким-либо причинам?
Я проектирую сети энергетики, во внутренних руководящих документах ПАО "Россети" строго сказано, что сегменты сети должны быть разделены МСЭ и это видится логичным, но почему же в интернете во всяческих учебных лекциях всегда указывается схема по первому варианту или изредка встречается схема по второму?
Алексей,
однозначного ответа нет, все зависит от условий.
1. Сейчас многие маршрутизаторв содержат в себе встроенные межсетевые экраны и могут обеспечить достаточно серьезную защиту.
2. Нужно смотреть, как осуществляется подключение к интернет. Возможно, по требованиям должен сначала идти маршрутизатор, а к межсетевому экрану подключиться не получится.
3. В зависимости от архитектуры сети возможна более сложная схема: в дополнение к внутреннему и внешнему сегменту может использоваться демилитаризованная зона, в которой находятся серверы компании, к которым разрешен доступ из интернет.
Я не являюсь специалистом по информационной безопасности и не могу сказать точно, как будет правильно и в каком случае.
замечу, что некоторые провайдеры разрешают свой канал(пачкорд) воткнуть только в роутер(шлюз который), а дальше как клиент хочет, может в этом дело?
Да, провайдеры обычно только канал в Интернет предоставляют. Но у некоторых есть дополнительные сервисы - защита от DDos атак и т.п.
Однако в большинстве случаев свою сеть придется защищать самостоятельно.
Спасибо за лекции! Очень доступно и интересно !
Мне немного не хватало информации о том как применять брандмауэр и нат вместе . Если у меня уже есть нат , нужен ли мне брэндмауэр?
Да, нужен. NAT и межсетевой экран - дополняющие друг друга технологии. Чаще всего они реализованы в одном устройстве.
Норм преподаватель))))
Спасибо!
Добрый день, Андрей! Спасибо! Вопрос: не является ли третье правило в таблице правил доступа излишним?
Которое про запретить все? Для обработки пакетов используется первое найденное подходящее правило. Если никакое правило найдено не будет, то пакет передается дальше.
@@AndreySozykin спасибо! То есть работает правило: всё, что не запрещено, разрешено.
Да.
Я думал, это зависит от конкретной реализации фаервола, нет?
Здравствуйте, Андрей, спасибо за очередную отличную лекцию. у меня возникли вопросы, которые хотелось бы прояснить прежде чем переходить к следующему уровню.
1) хосты находящиеся в одной подсети, то есть равную маску IP. Как они связаны на канальном уровне? Они должны находиться близко? Или могут быть в разных городах к примеру
2)как связаны хосты подсети с маршрутизатором на канальном уровне?
1) на канальном уровне все устройства в широковещательные домене взаимодействуют на уровне Mac-адресов, коммутация пакетов. Обычно используются коммутаторы L2, L3. Расстояние зависит от возможностей канального уровня и технологии ethernet. Максимальная длина кабеля между 2-мя сегментами utp (витая пара) с ethernet 10,100, 1000, 1GBase-T = 100 метров, для ethernet 1000Base-LX (оптоволокно) = 5 км. Чтобы построить свою подсеть в разных городах без маршрутизаторов, чисто на канальном уровне, тебе нужно протянуть между ними несколько физических кабельных линий с коммутаторами, хабами и репитерами. Эл. сигнал затухает при прохождении по кабелю. Потому на технологии наложены ограничения на максимальную длину кабеля.
В современном мире, благодаря VLAN, можно свои линии не тянуть, но здесь без сетевого уровня и маршрутизатора никак.
2) Они взаимодействуют на сетевом уровне с помощью инкапсуляции и протокола ARP.
@@user-ii3xb8tm4m спасибо большое!
@@user-ii3xb8tm4m Благодарю за развернутый ответ. Но на 2-ой вопрос я не совсем понял ответ. Либо вопрос был задан не корректно. Я так понимаю, использование маршрутизатора в подсети для связи хостов не целесообразно, только как коммутатор LAN - портов в подсети и выхода их во внешнюю сеть провайдера и интернет. Это имеет место только для домашнего роутера. Понятно, что роутер по определению предназначен для работы на сетевом уровне для связи сетей между собой. Вопрос: под инкапсуляцией вы имеете ввиду соотнесение MAC - адрес порта роутера с IP-пакета по ARP?
@@user-st7uu4jj7v @Александр Черданцев Это разные вещи. Инкапсуляции это основа сетей, технологии ethernet и модели OSI. Всё завязано на инкапсуляции ip-пакета во фрейм при отправке и декапсуляции из фрейма в пакет при получении. Это базовая логика работы передачи данных, которой безукоризненно следуют и хосты (ПО на ПК) и сетевые устройства. Нельзя отправить ip-пакет, не упакован его во фрейм. И нельзя отправить фрейм без ip-пакета.
Особенность коммутации: Фрейм может пересылаться только ближайшем физическому устройству. ARP-таблица нужна маршрутизатору для понимания кому из напрямую подключённых соседей предназначен фрейм.
@@user-ii3xb8tm4m
четкий комментарий. первый раз вижу тебя здесь в комах. мало комментируешь, мог бы больше:)
Алексей, подскажите когда следует использовать цепочки forward, output и input при построении ip tables на линукс
+Danil Ghost, надеюсь вопрос ко мне, хотя меня зовут Андрей :)
В iptables цепочка output - для исходящих пакетов, input - для входящих пакетов. Цепочка forward используется на программных маршрутизаторах, в ней обрабатываются пакеты, не предназначенные для локального компьютера. Наша Linux-машина маршрутизатор принимает такие пакеты и передает дальше.
Сорри за ошибку с именем)) Спасибо за ответ
А разве firewall не может пасть от атаки "Отказ в обслуживании"?
+Sergey Ufimtsev, да может. Но обычно для этого гораздо больше ресурсов нужно.
Solid.
5:53 но ack же будет только от клиента к серверу (о подтверждении получения данных), то есть правило 2 не будет работать, как рассказывается?
допустим в первом правиле клиент отправил запрос на установку соединения syn (флаг любой), а во втором правиле пришло подтверждение соединения syn-ack (так как в нем есть флаг ack его пропустили), далее по первому правилу клиент устанавливает соединение с сервером и начинается передача от сервера к клиенту.
А так как злоумышленникам необходимо установить соединение с клиентом им не остается выхода как кинуть пакет только с syn и как раз таки он и не пройдет по второму правилу так как в первом пакете отсутствует флаг ack, фух. Я как то так понял.
@@Monkeylust
всё правильно понял.
Правильно ли я понял что межсетевые экраны могут быть встроены в маршрутизатор ли конфигурируются администратором сети?
Да, так часто бывает.
@@AndreySozykin спасибо за урок!
4:44
в брэнмауэре win8 не нашел порядка у правил
Нарешті почав розуміти як функціонують SPI. Дякую.
Андрей я так и не понял, как злоумвшленник сможет узнать внутренний айпи адрес хоста и его внутренний порт, чтобы сконструировать тот самый поддельный пакет? Ведь как мы знаем из лекции о НАТ - те, кто за прелелами сети видят айпи адрес и порты устройства НАТ а не хоста из лок сети, то есть по сути такая атака получается невозможна в принципе. Так или нет? 🤷♂️
Или злой парень в своем сконструированном пакете укажет порт и айпи устройства НАТ, а оно уже транслирует эти данные во внутренний айппи и порт хоста и далее пакет плохого парня идет в мсэ? Так получается? Тогда НАТ должен стоять перед мсэ.
Межсетевой экран не обязательно использовать вместе с NAT. Экран может отделять два сегмента сети друг от друга. Или во внутренней сети компании могут быть несколько устройств с внешними адресами. Наример, веб-серверы.
@@AndreySozykin а если во внутренней сети имеются хосты с внешним айпи то они выходят в инет через нат или минуя нат? Или через нат, но нат им айпи не меняет?
Обычно, NAT реализован на маршрутизаторе. Поэтому маршрутизатор для таких адресов NAT не применяет.
Но могут быть более сложные подключения. Тогда трафик от таких адресов идет миную NAT.
A ato ne acces list?
+gheocom, на маршрутизаторе это может быть access list.
+Plus
"МЭ отделяет сети друг от друга." Возможно, что он объединяет сети по определенным правилам?
Можно сказать и так. Но основное устройство объединения сетей - это маршрутизатор.
у кого-то стакан наполовину полон, а у кого-то наполовину пуст)
iptables это всего лишь утилита заполнения таблиц, а фильтрацией занимается уже часть ядра netfilter
+Евгений Шаров, спасибо за уточнение. Именно так.
Слайд 12.
Для проверки наличия соединения, fw использует таблицу соединений.
Но как мы сможем установить ПЕРВОЕ соединение, если все пакеты с ACK флагом без соединения отбрасываются согласно 2-му правилу fw?
Ведь для установки соединения, необходимо пропустить как минимум один SYN-ACK от удаленного сервера
хороший вопрос, в инете нашёл о SPI, который может запомнить и атрибуты каждого соединения. Конечно же ответ на твой вопрос хотелось бы получить, но, как мне кажется, fw просто "запомнит" что был SYN и будет "ждать" ACK.
Правило, которое пропускает только пакеты с проставленным ACK, действует только для входящих пакетов. То есть если кто-то извне попытается инициировать соединение без нашего желания, у него не получится. А вот мы инициировать соединение можем, ведь такого же требования для флага ACK для исходящих пакетов не стоит. В итоге извне будут приходить только те пакеты, которые являются ответами в рамках TCP-соединения, которое мы инициировали сами.
@@user-gd6il5zb8l
в этом ответе халтуришь.
а можно ли как то просмотреть таблицу правил доступа?
Ну если ты ее составляешь, наверное и посмотреть можешь!)) А извне только понять разрешен конкретно тебе доступ в эту сеть или нет
да и изнутри, если ты не администратор старший какой-нибудь, хрен посмотришь)
++Plus
На сколько глубока кроличья нора...) Но зачем безопасность рядовому пользователю, которого никто не знает и денег не много?
Основы все равно нужно представлять.
@@AndreySozykin то есть обычный человек может получить публичный ip и не заморачиваться?
Скорее, понимать, что есть такие задачи, как безопасность. И не выключать межсетевой экран (брандмауэр) на своём компьютере.
По 7 уровень забыли(
злоумышленник может подключиться модему использовать трафик клиента.
что
@@w1tcherj
да он лимонада перепил
Как сконструировать пакет ?!
Пакеты вручную конструировать не нужно. Вместо прямого создания пакетов для передачи данных используется интерфейс сокетов.
@@AndreySozykin спасибо
@@AndreySozykin а если я хочу сконструировать пакет RST и отправить?
09:40 а как он определит, что я скачиваю видео, вот пришло ему 1500байт, хер же поймёшь, что там внутри, а все пакеты собирать-места не хватит.
Обычно межсетевые экраны отслеживают установку соединения. Продвинутые могут определить, какая именно операция используется в этом соединении. После этого достаточно определить, к какому соединению относится пакет, не обязательно хранить все предыдущие пакеты. Часто для этого этой цели используется технология DPI - ru.wikipedia.org/wiki/Deep_packet_inspection
ты похож на вячеслава сальникова...
+Дмитрий Диев, не знаю, кто это.
На Дмитрия Комарова
Супер скучно
Какой же ты скучняк