Архітектурні аспекти
Боротися з загрозами, притаманними мережевому середовищу, засобами універсальних операційних систем не надається можливим. Універсальна ОС – це величезна програма, що напевно містить, крім явних помилок, деякі особливості, які можуть бути використані для нелегального одержання привілеїв. Сучасна технологія програмування не дозволяє зробити надто великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в змозі врахувати всі наслідки вироблених змін. Нарешті, в універсальної багатокористувацької системі проломи у безпеці постійно створюються самими користувачами (слабкі й/або рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.). Єдиний перспективний шлях пов'язаний з розробкою спеціалізованих сервісів безпеки, які в силу своєї простоти допускають формальну або неформальну верифікацію. Міжмережевий екран саме і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережевих протоколів.
Міжмережевий екран розташовується між захищуваною (внутрішньою) мережею й зовнішнім середовищем (зовнішніми мережами або іншими сегментами корпоративної мережі). У першому випадку говорять про зовнішній МЕ, у другому – про внутрішній. Залежно від точки зору, зовнішній міжмережевий екран можна вважати першою або останньою (але ніяк не єдиною) лінією оборони. Першою – якщо дивитися на світ очима зовнішнього зловмисника. Останньою – якщо прагнути захищеності всіх компонентів корпоративної мережі й припиненню неправомірних дій внутрішніх користувачів.
Міжмережевий екран – ідеальне місце для вбудовування засобів активного аудиту. З одного боку, і на першому, і на останньому захисному рубежі виявлення підозрілої активності по-своєму важливо. З іншого боку, МЕ здатний реалізувати будь-яку потужну реакцію на підозрілу активність, аж до розриву зв'язку із зовнішнім середовищем. Щоправда, потрібно усвідомлювати те, що з'єднання двох сервісів безпеки в принципі може створити пролом, що сприяє атакам на доступність.
На міжмережевий екран доцільно покласти ідентифікацію/аутентифікацію зовнішніх користувачів, що мають потребу у доступі до корпоративних ресурсів (з підтримкою концепції єдиного входу в мережу).
У силу принципів ешелонованості оборони для захисту зовнішніх підключень звичайно використовується двокомпонентне екранування (див. рис. 10.3). Первинна фільтрація (наприклад, блокування пакетів керуючого протоколу SNMP, небезпечного атаками на доступність, або пакетів з певними IP-адресами, включеними в "чорний список") здійснюється граничним маршрутизатором (див. також наступний розділ), за яким розташовується так звана демілітаризована зона (мережа з помірною довірою безпеки, куди виносяться зовнішні інформаційні сервіси організації – Web, електронна пошта й т.п.) і основний МЕ, що захищає внутрішню частину корпоративної мережі.
Рис. 14.3. Двокомпонентне екранування з демілітаризованою зоною
Теоретично міжмережевий екран (особливо внутрішній) повинен бути багатопротокольним, однак на практиці домінування сімейства протоколів TCP/IP настільки велике, що підтримка інших протоколів уявляється надмірністю, шкідливою для безпеки (чим сервіс складніший, тим він більш уразливий).
Загалом кажучи, і зовнішній, і внутрішній міжмережеві екрани можуть стати вузьким місцем, оскільки обсяг мережевого трафіка має тенденцію швидкого зростання. Один з підходів до вирішення цієї проблеми припускає розбивку МЕ на кілька апаратних частин й організацію спеціалізованих серверів-посередників. Основний міжмережевий екран може проводити грубу класифікацію вхідного трафіка за видами і передоручати фільтрацію відповідним посередникам (наприклад, посередникові, що аналізує HTTP-трафік). Вихідний трафік спочатку обробляється сервером-посередником, що може виконувати й функціонально корисні дії, такі як кешування сторінок зовнішніх Web-серверів, що знижує навантаження на мережу взагалі й основний МЕ зокрема.
Ситуації, коли корпоративна мережа містить лише один зовнішній канат, є скоріше виключенням, ніж правилом. З іншого боку, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожний з яких підключений до Internet. У цьому випадку кожне підключення повинне захищатися своїм екраном. Можна вважати, що корпоративний зовнішній міжмережевий екран є складовим, і потрібно вирішувати завдання узгодженого адміністрування (керування й аудиту) всіх компонентів.
Протилежністю складовим корпоративних МЕ (або їхнім компонентам) є персональні міжмережеві екрани й персональні екрануючі пристрої. Перші є програмними продуктами, які встановлюються на персональні комп'ютери й захищають тільки їх. Другі реалізуються на окремих пристроях і захищають невелику локальну мережу, таку як мережа домашнього офісу.
При розгортанні міжмережевих екранів варто дотримуватися розглянутих нами раніше принципів архітектурної безпеки, у першу чергу подбавши про простоту й керованість, про ешелонованість оборони, а також про неможливість переходу в небезпечний стан. Крім того, варто брати до уваги не тільки зовнішні, але й внутрішні загрози.