3. Класифікація міжмережевих екранів

При розгляді будь-якого питання, що стосується мережевих технологій, основою слугує семирівнева еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати за рівнем фільтрації – канальному, мережевому, транспортному або прикладному. Відповідно, можна говорити про екрануючі концентратори (мости, комутатори) (рівень 2), маршрутизатори (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.

Фільтрація інформаційних потоків здійснюється міжмережевими екранами на основі набору правил, що є вираженням мережевих аспектів політики безпеки організації. У цих правилах, крім інформації, яка зберігається у фільтрованих потоках, можуть фігурувати дані, отримані з оточення, наприклад, поточний час, кількість активних з'єднань, порт, через який надійшов мережевий запит і т.д. Таким чином, у міжмережевих екранах використовується дуже потужний логічний підхід до розмежування доступу.

Можливості міжмережевого екрана безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і якою може бути потужність наборів правил. Загалом кажучи, чим вищим є рівень моделі ISO/OSI, на якому функціонує МЕ, тим більш змістовна інформація йому доступна й, отже, тим тонше й надійніше він може бути сконфігурованим.

Екрануючі маршрутизатори (і концентратори) мають справу з окремими пакетами даних, тому іноді їх називають пакетними фільтрами. Рішення про те, пропустити або затримати дані, приймаються для кожного пакета незалежно, на підставі аналізу адрес й інших полів заголовків мережевого (канального) і, можливо, транспортного рівнів. Ще один важливий компонент аналізованої інформації – порт, через який надійшов пакет.

Екрануючі концентратори є засобом не стільки розмежування доступу, скільки оптимізації роботи локальної мережі за рахунок організації так званих віртуальних локальних мереж. Останні можна вважати важливим результатом застосування внутрішнього міжмережевого екранування.

Сучасні маршрутизатори дозволяють зв'язувати з кожним портом кілька десятків правил і фільтрувати пакети як на вході, так і на виході. У принципі, як пакетний фільтр може використовуватися й універсальний комп'ютер, обладнаний декількома мережевими картами.

Основні переваги екрануючих маршрутизаторів, – доступна ціна (на межі мереж маршрутизатор потрібний практично завжди, питання лише в тому, як задіяти його екрануючі можливості) і прозорість для більш високих рівнів моделі OSI. Основний недолік – обмеженість аналізованої інформації та, як наслідок, відносна слабкість забезпечуваного захисту.

Транспортне екранування дозволяє контролювати процес установлення віртуальних з'єднань і передачу інформації з них. З погляду реалізації екрануючий транспорт, являє собою досить просту, а виходить, надійну програму.

У порівнянні з пакетними фільтрами, транспортне екранування володіє більшою кількістю інформації, тому відповідний МЕ може здійснювати більш тонкий контроль за віртуальними з'єднаннями (наприклад, він здатний відслідковувати кількість переданої інформації й розривати з'єднання після перевищення певного порогу, перешкоджаючи тим самим несанкціонованому експорту інформації). Аналогічно, можливе нагромадження більш змістовної реєстраційної інформації. Головний недолік – звуження області застосування, оскільки поза контролем залишаються датаграмні протоколи. Звичайно, транспортне екранування застосовують у сполученні з іншими підходами, як важливий додатковий елемент.

Міжмережевий екран, що функціонує на прикладному рівні, здатний забезпечити найбільш надійний захист. Як правило, подібний МЕ являє собою універсальний комп'ютер, на якому функціонують екрануючі агенти, інтерпретуючи протоколи прикладного рівня (HTTP, FTP, SMTP, telnet і т.д.) у тому ступені, який необхідний для забезпечення безпеки.

При використанні прикладних МЕ, крім фільтрації, реалізується ще один найважливіший аспект екранування. Суб'єкти із зовнішньої мережі бачать тільки шлюзовий комп'ютер; відповідно, їм доступна тільки та інформація про внутрішню мережу, яку він уважає за потрібне експортувати. Прикладний МЕ насправді екранує, тобто закриває, внутрішню мережу від зовнішнього світу. У той же час, суб'єктам внутрішньої мережі здається, що вони напряму спілкуються з об'єктами зовнішнього світу. Недолік прикладних МЕ – відсутність повної прозорості, що вимагає спеціальних дій для підтримки кожного прикладного протоколу.

Якщо організація має у своєму розпорядженні вихідні тексти прикладного МЕ й у стані ці тексти модифікувати, перед нею відкриваються надзвичайно широкі можливості по налаштуванню екрана з урахуванням власних потреб. Справа в тому, що при розробці систем клієнт/сервер у багатоланковій архітектурі з'являються специфічні прикладні протоколи, які потребують захисту не менше стандартних. Підхід, заснований на використанні екрануючих агентів, дозволяє побудувати такий захист, не знижуючи безпеку й ефективності інших додатків і не ускладнюючи структуру зв'язків у міжмережевому екрані.

Комплексні міжмережеві екрани, що охоплюють рівні від мережевого до прикладного, поєднують у собі кращі властивості "однорівневих" МЕ різних видів. Захисні функції виконуються комплексними МЕ прозорим для додатків чином, не вимагаючи внесення будь-яких змін ні в існуюче програмне забезпечення, ні в дії, що стали для користувачів звичними.

Комплексність МЕ може досягатися різними способами: "знизу догори", від мережевого рівня через нагромадження контексту до прикладного рівня, або "зверху вниз", за допомогою доповнення прикладного МЕ механізмами транспортного й мережевого рівнів.

Крім виразних можливостей і припустимої кількості правил, якість міжмережевого екрана визначається ще двома дуже важливими характеристиками – простотою використання й власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при визначенні правил фільтрації й можливість централізованого адміністрування складених конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити засоби централізованого завантаження правил фільтрації й перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також одержання сигналів про спроби виконання дій, заборонених політикою безпеки.

Власна захищеність міжмережевого екрана забезпечується тими ж засобами, що й захищеність універсальних систем. Мається на увазі фізичний захист, ідентифікація й аутентифікація, розмежування доступу, контроль цілісності, протоколювання й аудит. При виконанні централізованого адміністрування варто також подбати про захист інформації від пасивного й активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність. Надто важливо оперативне накладення латок, що ліквідують виявлені уразливі місця МЕ.

Хотілося б підкреслити, що природа екранування як сервісу безпеки дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про захищувані мережі, що, тим самим перешкоджають діям потенційних зловмисників. Потужним методом приховування інформації є трансляція "внутрішніх" мережевих адрес, що попутно вирішує проблему розширення адресного простору, виділеного організації.

Відзначимо також наступні додаткові можливості міжмережевих екранів:

• контроль інформаційного наповнення (антивірусний контроль "на ходу", верифікація Java-апплетів, виявлення ключових слів в електронних повідомленнях і т.п.);

• виконання функцій ПЗ проміжного шару.

Особливо важливим уявляється останній з перерахованих аспектів. ПЗ проміжного шару, як і традиційні міжмережеві екрани прикладного рівня, приховує інформацію про надавані послуги. За рахунок цього воно може виконувати такі функції, як маршрутизація запитів і балансування навантаження. Уявляється цілком природним, щоб ці можливості були реалізовані в межах міжмережевого екрана. Це істотно спрощує дії по забезпеченню високої доступності експортованих сервісів і дозволяє здійснювати перемикання на резервні потужності прозорим для зовнішніх користувачів чином. У результаті до послуг, які традиційно надаються міжмережевими екранами, додається підтримка високої доступності мережевих сервісів.