39. Межсетевые экраны. Классификация межсетевых экранов. Типовое размещение межсетевого экрана в лвс. Архитектура межсетевых экранов. Политика межсетевых экранов. Понятие dmz. Трансляция ip-адресов.

Согласно РД ГТК Межсетевым экраном называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы.

По определению межсетевой экран служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет.

Межсетевой экран помогает избежать риска повреждения систем или данных в вашей локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной.

Неотъемлемой функцией межсетевого экрана является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации межсетевого экрана и принять решение об изменении правил межсетевого экрана.

Задачами межсетевого экрана, как контрольного пункта, являются:

• Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть;

• Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети.

Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил.

Механизмы для пропускания или блокирования трафика могут быть простыми фильтрами пакетов (packet filter), принимающими решение на основе ана­лиза заголовка пакета, или более сложными proxy-серверами (application proxy), которые расположены между клиентом и Internet и служат в качестве по­средника для некоторых сетевых служб.

Помимо фильтрации входящего и исходящего трафика межсетевые экраны могут выполнять ряд дополнительных функций:

• кэширование: благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;

• трансляция адреса: настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден только адрес брандмауэра;

• фильтрация контента: всё большее число продуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данных;

• переадресация: эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не напрямую, а через указанный IP-адрес. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как один сервер.

Существуют два основных метода создания брандмауэра: фильтрация пакетов и ргоху-серверы.

• Фильтры пакетов (packet filters) были первым типом брандмауэров для защиты сети при доступе в Internet. Маршрутизаторы настраивались соответствующим образом, чтобы пропускать или блокировать пакеты. Поскольку маршрутизаторы просматривают только заголовки IP-пакетов, их возможности ограничены.

• Шлюз приложений (application gateway), или proxy-сервер (application proxy), – это программа, которая выполняется на брандмауэре и перехватывает трафик приложений заданного типа. Proxy-сервер служит в качестве посредника между клиентом и сервером, передавая информацию от одного к другому и обратно. Преимущество такого подхода состоит в том, что proxy-сервер можно запрограммировать на пропускание или блокировку трафика на основе сведений, содержащихся внутри пакета, а не только в его заголовке.

Выделяют следующую классификацию межсетевых экранов, в соответствие с функционированием на разных уровнях модели OSI:

1. Мостиковые экраны (2 уровень OSI)

Фильтрация трафика осуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами (frame, кадр).

2. Фильтрующие маршрутизаторы (3 и 4 уровни OSI)

Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)

Пример: список контроля доступа (ACL, access control lists) маршрутизатора.

3. Шлюзы сеансового уровня (5 уровень OSI)

Межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматически преобразуются в один IP-адрес, ассоциируемый с экранирующим МЭ. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными МЭ, что исключает прямой контакт между внутренней и внешней сетью. [Наверное про трансляцию адресов хватит, и так вопрос большой]

4. Шлюзы прикладного уровня (7 уровень OSI)

Фильтрует все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

Возможности:

• Идентификация и аутентификация пользователей при попытке установления соединения через МЭ;

• Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

• Регистрация событий и реагирование на события;

• Кэширование данных, запрашиваемых из внешней сети.

5. Комплексные экраны (3-7 уровни OSI)

Межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов.

Особенности:

• Фильтрация 3 уровня;

• Проверка правильности на 4 уровне;

• Просмотр 5 уровня;

• Высокие уровни стоимости, защиты и сложности.

Политика МЭ.

Межсетевой экран использует набор правил, определяющих, какие пакеты (в случае пакетного фильтра) или сервисы (в случае proxy-сервера или шлюза) будут работать через него. При этом выбирается одна из следующих двух стратегий:

• разрешить любой доступ, не запрещенный правилами;

• запретить любой доступ, не разрешенный правилами.

После выбора стратегии следует определить, каким сервисам будет разрешено работать через межсетевой экран и в каком направлении.

Также политика межсетевого экранирования должна определять порядок администрирования, а также порядок просмотра логов межсетевого экрана и реагирования на нарушения политики безопасности.

Архитектура МЭ.

Два основных компонента для создания межсетевого экрана: пакетный фильтр и proxy-сервер.

Эти компоненты реализу­ются различными способами и обеспечивают разный уровень защиты. Способ настройки компонентов межсетевого экрана называется его архитектурой. На выбор предоставляется одна из следующих архитектур:

• пакетный фильтр на основе компьютера или маршрутизатора;

• двухканальный шлюз;

• экранированный узел;

• экранированная подсеть.

Пакетный фильтр на основе компьютера или маршрутизатора:

Маршрутизатор, соединяющий локальную сеть с Internet, должен содержать не менее двух сетевых интерфейсов. Один из них подключается к локальной сети, а другой - к внешнему миру, и каждый обладает собственным IP-адресом. На основе заданных правил маршрутизатор принимает решения о том, какие пакеты передавать из одного интерфейса в другой.

Двухканальный шлюз:

Работает как маршрутизатор. Данная функция, обычно называемая IP forwarding (пересылкой IP-пакетов), должна быть отключена (в отличии от первой архитектуры), если компьютер будет применятся для построения данной архитектуры. После размещения двухканального узла между локальной сетью и Internet клиентские компьютеры в локальной сети больше не будут доступны из Internet напрямую. Сетевые пакеты, приходящие от клиентов в локальной сети по одному интерфейсу, окажутся под контролем proxy-сервера, работающего на двухканальном компьютере. Программное обеспечение proxy-сервера определяет, разрешен ли запрос, а затем выполняет его, отправляя пакеты по внешнему интерфейсу.

Межсетевой экран, выполненный в виде экранированного узла, использует защитные возможности и пакетного фильтра, и proxy-сервера. Пакетный фильтр настроен так, чтобы пропускать только трафик proxy-сервера. Поскольку proxy-сервер и его клиенты находятся в одной подсети, клиентская рабочая станция может посылать пакеты непосредственно пакетному фильтру, но они будут отброшены. Пакетный фильтр пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передает - только отправляемые proxy-сервером.

Если немного расширить концепцию экранированного узла, то легко представить себе экранированную подсеть. В ней также присутствует пакетный фильтр для первоначальной защиты соединения между локальной сетью и Internet. Но, в данную конфигурацию был добавлен еще один маршрутизатор.

Для нормальной работы внешний маршрутизатор настраивается так, чтобы пропускать только трафик между proxy-сервером и внешней сетью. Внутренний маршрутизатор пропускает лишь трафик между внутренними клиентскими компьютерами и proxy-сервером в экранированной подсети.

Для обозначения экранированной подсети, расположенной между локальной сетью и Internet, иногда употребляется термин demilitarized zone (DMZ, демили­таризованная зона). Маршрутизаторы на границах демилитаризованной зоны позволяют непосредственно передавать трафик между локальной сетью и Internet даже в случае неработоспособности proxy-сервера.

Схемы подключения МЭ

Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены межсетевым экраном. При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов.

Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед межсетевым экраном. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.

Данная схема подключения обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети.

Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone).