Основы безопасности в ip-сетях. Прокси-серверы Цель работы
Изучение основных способов обеспечения безопасности локальных сетей, построенных на стеке протоколов TCP/IP, основанных на манипуляции пакетами. Освоение практических навыков работы с пакетами прикладных программ, осуществляющих манипуляции пакетами.
Методические указания
Основные методы обеспечения безопасности
Все современные методы обеспечения безопасности в компьютерных сетях, основанных на стеке протоколов TCP/IP, используют в своей основе манипуляцию пакетами.
Методы обеспечения безопасности можно разделить на аппаратные и программные. Среди спектра аппаратных решений, имеющихся сегодня на рынке, следует назвать аппаратные брандмауэры. Особенно следует выделить продукцию фирмы Cisco.
Программные продукты, осуществляющие фильтрацию пакетов, проходящих между глобальной сетью и локальной вычислительно сетью (ЛВС), или отдельным компьютером, подключенным к Internet, или между фрагментами ЛВС, получили название брандмауэров (firewall).
Среди современных программных средств, относящихся к классу брандмауэров, следует назвать AtGuard, ZoneAlarm и другие. Такие пакеты прикладных программ, как WinGate и WinRoute, кроме того, могут включать в себя целый набор средств, таких как прокси-сервер, сервер электронной почты, сервер DNS и др.
Современные программные средства, предоставляют следующие основные способы манипуляции пакетами в модели сетевых протоколов OSI (на примере WinRoute):
Трансляция сетевых адресов (network address translation – NAT) преобразует пакеты, посланные из ЛВС (одного из компьютеров в ЛВС) таким образом, что они выглядят так, будто их отсылает WinRoute-сервер путем замены адресов инициатора пересылки в пакетах на адрес WinRoute-сервера. Приходящие в ответ пакеты рассылаются инициаторам обмена в ЛВС. Другим назначением NAT, помимо обеспечения безопасности, может являться обеспечение доступа в Internet нескольких компьютеров, соединенных в ЛВС, с использованием одного IP-адреса.
Переназначение портов (port mapping) обеспечивает доступ к избранным службам, защищенным посредством NAT.
Фильтрация пакетов (packet filtering) является основой любого брандмауэра. Используя данные из пакета, такие как IP-адреса источника и приемника, тип сетевого протокола, порты источника и приемника, фильтр пакетов либо позволяет прохождение пакетов, либо блокирует их, в зависимости от заданных правил фильтрации. Необходимость в применении фильтрации пакетов для сегмента сети, защищенного с помощью NAT, отсутствует.
Верификация пакетов – надстройка к фильтру пакетов, призванная защищать ЛВС от атак, во время которых атакующий фальсифицирует IP-адрес источника пакета.
Рассмотрим подробнее некоторые из этих способов.
Трансляция сетевых адресов – NAT может быть использована для следующих целей:
автоматическая защита ЛВС;
прозрачный доступ в Интернет для всех машин ЛВС, с использованием одного IP-адреса.
Во время работы NAT внутренняя структура ЛВС (защищаемого фрагмента ЛВС) спрятана и недоступна для прямого доступа из глобальной сети. Для доступа в ЛВС снаружи необходим посредник – NAT. Поскольку он запоминает все коммуникационные запросы, инициированные из защищаемой им сети, он разрешает доступ в сеть только тем пакетам, которые являются ответами на запросы из ЛВС. Все остальные пакеты блокируются. Работа целой ЛВС, с использованием единственного IP-адреса возможна потому, что NAT заменяет в пакетах адрес источника (компьютера в ЛВС) на IP-адрес компьютера, на котором запущен WinRoute.
Соединение с Internet прозрачно, т.е. компьютеры в ЛВС используют WinRoute как шлюз (router). С точки зрения локального компьютера все выглядит так, как будто он соединен с Internet, используя зарегистрированный IP-адрес. Таким образом, практически все известные приложения работают с NAT без дополнительной настройки. Это главная особенность, отличающая NAT от других разнообразных прокси-серверов, шлюзов уровня приложений, и брандмауэров, которые в принципе не могут поддерживать некоторые протоколы.
Работа NAT основана на таблице, в которой содержится информация о каждом соединении: IP-адрес и номер порта источника, IP-адрес и номер порта приемника, IP-адрес и номер порта, используемых для модификации пакетов.
Пример работы NAT можно увидеть на рис.1.1. Здесь компьютер 192.168.1.18 отсылает пакет с порта 7564 на компьютер 194.196.16.45, порт 80 (сервис http). Пакет проходит через WinRoute, который сравнивает данные пакета со своей таблицей NAT. Если в таблице есть запись для пакетов с этой машины и порта, пакет следует дальше, если нет, – такая запись создается вновь. Затем, WinRoute модифицирует пакет, заменяя адрес источника 192.168.1.18 на свой собственный в глобальной сети 195.105.17.95, а также изменяя номер порта с 7564 на, например, 61001. После внесения изменений пакет отсылается. Когда приходит ответный пакет, он содержит 195.105.17.95 как адрес приемника, и 61001 как порт приемника. WinRoute просматривает свою таблицу для порта 61001 и находит запись для этого соединения. В соответствии с записью, он изменяет адрес и порт цели назад на 192.168.1.18 и 7564.
Рис.
1.1.
Номера портов в пакетах, пересылаемых через WinRoute, должны изменяться, поскольку если две или более станций в защищенной ЛВС начинают передавать данные, используя одинаковые номера портов, появляется необходимость идентифицировать, с какой именно станции пришел данный пакет. Модуль NAT назначает номера портов в диапазоне от 61000 до 61600. Для каждой транзакции назначается уникальный порт.
Недостатком работы NAT является трудность работы с приложениями, при разработке которых допущены ошибки, и которые не соответствуют полностью модели «клиент-сервер». Такие приложения могут использовать кроме одного соединения дополнительные соединения, инициированными сервером, расположенным где-то в Internet. NAT блокирует такие транзакции.
NAT делает защищенную ЛВС закрытой для доступа снаружи. Используя назначение портов, возможно создавать коммуникационные каналы, через которые может быть организован доступ к службам внутри ЛВС. Таким образом возможно создавать публичные службы, такие как WWW-сервер или FTP-сервер.
Для каждого пакета, полученного из внешней сети, проверяются его атрибуты (протокол, порт службы назначения, IP-адрес назначения) соответствие записи в таблице назначения портов (port mapping). Если найдена запись, для которой все три атрибута совпадают с атрибутами пакета, производится модификация и отсылка пакета в защищенную ЛВС по адресу, определенному в IP назначения в табличной записи и на порт, определенный как порт назначения.
Фильтрация пакетов имеет смысл в том случае, если ЛВС имеет зарегистрированные IP-адреса, напрямую доступные из Internet. Использование NAT для всего сегмента сети избавляет от необходимости в использовании фильтрации пакетов. Тем не менее, фильтрация пакетов лежит в основе многих распространенных программных и аппаратных решений, не использующих технологию NAT.
Поэтому скажем несколько слов о принципах, положенных в основу фильтрации пакетов.
Напомним, что пакет каждого уровня модели OSI состоит из заголовка и данных. Данные представляют собой пакеты более высоких сетевых уровней. Каждый сетевой уровень добавляет дополнительно свой собственный заголовок.
Фильтрация пакетов основана на информации, содержащейся в заголовках пакетов протоколов того или иного уровня: TCP, IP, UDP, ICMP, такой как IP-адрес источника, IP-адрес приемника, тип протокола верхнего уровня, тип сообщения ICMP и др.
Выбор правил фильтрации составляет политику безопасности и определяется администратором системы. Он зависит от того какие сервисы Internet необходимо сделать доступными из ЛВС и какие сервисы ЛВС должны быть доступны извне.