39. Межсетевые экраны. Классификация межсетевых экранов. Типовое размещение межсетевого экрана в лвс. Архитектура межсетевых экранов. Политика межсетевых экранов. Понятие dmz. Трансляция ip-адресов.
Согласно РД Гостехкомисии РФ «»Межсетевым экраном называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы.
По определению межсетевой экран служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет.
Межсетевой экран помогает избежать риска повреждения систем или данных в локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной.
Неотъемлемой функцией межсетевого экрана является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации межсетевого экрана и принять решение об изменении правил межсетевого экрана.
Задачами межсетевого экрана, как контрольного пункта, являются:
Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть;
Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети.
Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил.
Механизмы для пропускания или блокирования трафика могут быть простыми фильтрами пакетов(packetfilter), принимающими решение на основе анализа заголовка пакета, или более сложными proxy-серверами(applicationproxy), которые расположены между клиентом и Internet и служат в качестве посредника для некоторых сетевых служб.
Помимо фильтрации входящего и исходящего трафика межсетевые экраны могут выполнять ряд дополнительных функций:
кэширование: благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;
трансляция адреса: настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден только адрес брандмауэра;
фильтрация контент: всё большее число продуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данных;
переадресация: эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не напрямую, а через указанный IP-адрес. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как один сервер.
КЛАССИФИКАЦИЯ
Выделяют следующую классификацию межсетевых экранов, в соответствие с функционированием на разных уровнях модели OSI:
- Мостиковые экраны (2 уровень OSI)
Данный класс межсетевых экранов, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой. Фильтрация трафика осуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами (frame, кадр).
- Фильтрующие маршрутизаторы
Межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)
Пример: список контроля доступа (ACL, accesscontrollists) маршрутизатора.
- Шлюзы сеансового уровня
Межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом.
После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, networkaddresstranslation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматически преобразуются в один IP-адрес, ассоциируемый с экранирующим МЭ. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными МЭ, что исключает прямой контакт между внутренней и внешней сетью.
- Шлюзы прикладного уровня
Межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.
Возможности:
Идентификация и аутентификация пользователей при попытке установления соединения через МЭ;
Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
Регистрация событий и реагирование на события;
Кэширование данных, запрашиваемых из внешней сети.
- Комплексные экраны
Межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов.
Особенности:
Фильтрация 3 уровня;
Проверка правильности на 4 уровне;
Просмотр 5 уровня;
Высокие уровни стоимости, защиты и сложности;
Политика МЭ
Межсетевой экран использует набор правил, определяющих, какие пакеты (в случае пакетного фильтра) или сервисы (в случае proxy-сервера или шлюза) будут работать через него. При этом выбирается одна из следующих двух стратегий:
разрешить любой доступ, не запрещенный правилами;
запретить любой доступ, не разрешенный правилами.
После выбора стратегии следует определить, каким сервисам будет разрешено работать через межсетевой экран и в каком направлении.
Также политика межсетевого экранирования должна определять порядок администрирования, а также порядок просмотра логов межсетевого экрана и реагирования на нарушения политики безопасности.
Архитектура МЭ
Два основных компонента для создания межсетевого экрана: пакетный фильтр и proxy-сервер.
Эти компоненты реализуются различными способами и обеспечивают разный уровень защиты. Способ настройки компонентов межсетевого экрана называется его архитектурой. На выбор предоставляется одна из следующих архитектур:
пакетный фильтр на основе компьютера или маршрутизатора:
Маршрутизатор, соединяющий локальную сеть с Internet, должен содержать не менее двух сетевых интерфейсов. Один из них подключается к локальной сети, а другой - к внешнему миру, и каждый обладает собственным IP-адресом. На основе заданных правил маршрутизатор принимает решения о том, какие пакеты передавать из одного интерфейса в другой.
двухканальный шлюз:
Работает как маршрутизатор. Данная функция, обычно называемая IPforwarding(пересылкой IP-пакетов), должна быть отключена (в отличии от первой архитектуры), если компьютер будет применятся для построения данной архитектуры. После размещения двухканального узла между локальной сетью и Internet клиентские компьютеры в локальной сети больше не будут доступны из Internet напрямую. Сетевые пакеты, приходящие от клиентов в локальной сети по одному интерфейсу, окажутся под контролем proxy-сервера, работающего на двухканальном компьютере. Программное обеспечение proxy-сервера определяет, разрешен ли запрос, а затем выполняет его, отправляя пакеты по внешнему интерфейсу.
Межсетевой экран, выполненный в виде экранированного узла, использует защитные возможности и пакетного фильтра, и proxy-сервера. Пакетный фильтр настроен так, чтобы пропускать только трафик proxy-сервера. Поскольку proxy-сервер и его клиенты находятся в одной подсети, клиентская рабочая станция может посылать пакеты непосредственно пакетному фильтру, но они будут отброшены. Пакетный фильтр пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передает - только отправляемые proxy-сервером.
Если немного расширить концепцию экранированного узла, то легко представить себе экранированную подсеть.
Для нормальной работы внешний маршрутизатор настраивается так, чтобы пропускать только трафик между proxy-сервером и внешней сетью. Внутренний маршрутизатор пропускает лишь трафик между внутренними клиентскими компьютерами и proxy-сервером в экранированной подсети.
Для обозначения экранированной подсети, расположенной между локальной сетью и Internet, иногда употребляется термин demilitarizedzone(DMZ, демилитаризованная зона). Маршрутизаторы на границах демилитаризованной зоны позволяют непосредственно передавать трафик между локальной сетью и Internet даже в случае неработоспособности proxy-сервера.
СХЕМЫ ПОДКЛЮЧЕНИЯ МЭ
Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены межсетевым экраном. При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов.
Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед межсетевым экраном. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.
Данная схема подключения обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети.
Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone).
