Коммуникационная подсеть . . . С Интернет предприятие м
Рис. 6.2. Примерная схема локальной сети малого предприятия без средств защиты информации (С – сервер, М – маршрутизатор, РМ1 РМ2 … РМn – рабочие станции, ЛП – легальный пользователь, ЗУ – злоумышленник)
Фигурными стрелками показаны возможные атаки внешнего злоумышленника на сервер и рабочие станции, а простыми утолщёнными – вредоносный трафик внутреннего злоумышленника, передающий информацию, полученную незаконным способом, например атакой сервера, которая повышает его права доступа. Все эти злонамеренные действия происходят через сеть Internet и коммуникационную подсеть предприятия.
Вторжение легче предупредить, чем исправлять его последствия. Отсюда следует необходимость защиты локальной сети предприятия специально выделенными для этой цели средствами. Такими средствами являются различные межсетевые экраны, они же брандмауэры, они же файерволлы, они же шлюзы (в дальнейшем межсетевые экраны или просто экраны и шлюзы).
Межсетевой экран – программно-технический комплекс, контролирующий входящий и исходящий трафик и отсекающий запрещённый по некоторым правилам трафик.
Идеальный межсетевой экран должен выполнять следующие функции:
блокировка внешних атак, включая сканирование портов, подмену IP-адресов, DoS и DDoS (атак "Отказ в обслуживании"), подбор паролей и пр.;
блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть;
контроль приложений запрашивающих разрешение на доступ к открытым портам с проверкой по имени файла и аутентичности приложения;
поддержка зональной защиты с дифференциальным подходом к анализу содержания контента в зависимости от зоны его поступления (Интернет или внутренняя локальная сеть);
протоколирование и предупреждение, т.е. брандмауэр должен собирать строго необходимый объем информации;
максимально прозрачная работа, применение мастеров настройки межсетевых экранов.
Классификация межсетевых экранов показана на рис. 6.3.
Рис. 6.3. Классификация брандмауэров
Аппаратные экраны существуют в виде физических устройств, не являющихся персональными компьютерами и серверами. Примерами экранов, являющихся аппаратными средствами, являются межсетевые экраны серий DFL и DSR фирмы D-Link.
Программные экраны ставятся на персональные компьютеры рабочих мест или серверы. Примером такого брандмауэра является брандмауэр Windows, входящий в состав операционной системы Windows 2000/ХР и последующих версий.
Локальные экраны устанавливаются на одно рабочее место или на один сервер, распределённые – на множество компьютеров и серверов.
Межсетевые экраны могут работать по двум технологиям: контролировать пакеты, принимая решения о пропуске или задержании их на основе некоторых правил, или привлекать для реализации различных сетевых сервисов различные приложения посредники. Эти технологии используются на разных уровнях работы в модели OSI.
На пакетном уровне модели OSI работают фильтрующие маршрутизаторы. Фильтрующий маршрутизатор – это маршрутизатор или работающая на сервере программа, которые по некоторым правилам пропускают или задерживают пакеты, пытающиеся пройти через них. Процесс отбора пакетов называется фильтрацией пакетов. Фильтрация осуществляется, как правило, на основе группы полей заголовка пакета:
IP-адрес отправителя;
IP-адрес получателя;
порт отправителя;
порт получателя.
Дополнительная фильтрация может осуществляться, например, на основе сетевого интерфейса маршрутизатора, с которого пришёл пакет.
При своих положительных качествах (малая стоимость, гибкость построения правил фильтрации, минимальная задержка прохождения пакетов) фильтрующие маршрутизаторы имеют ряд недостатков:
внутренняя сеть видна (маршрутизируется) из сети Интернет;
правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
отсутствует аутентификация на пользовательском уровне;
не защищают от атак типа подмена IP-адреса и не проверяют содержимое пакетов.
Шлюзы сеансового уровня представляют собой транслятор TCP-соединения: шлюз принимает запрос авторизованного клиента на конкретные услуги, на основании квитирования связи (см. разд. 6.3.4), выявляет допустимость запрошенного сеанса и устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Во время работы шлюз поддерживает таблицу установленных соединений, пропуская данные, которые относятся к одному из сеансов связи, зафиксированных в данной таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает соединение, использовавшееся в текущем сеансе.
Дополнительно шлюз сеансового уровня позволяет осуществлять контроль доступа к запрашиваемым сервисам и сбор статистики по их использованию.
Отсутствие контроля содержимого передаваемых пакетов является недостатком шлюза сеансового уровня, который позволяет нарушителям проникать через него.
По различным соображениям3 межсетевые экраны вынуждены применять программы-посредники для организации поставщиков и потребителей информационных услуг [29]. В любом случае программа-посредник применяет трансляцию сетевых адресов обслуживаемых компьютеров в один сетевой адрес программы-посредника. Приложение-посредник называется прокси-службой, а компьютер с постоянным IP-адресом (хост), на котором работает прокси-служба – шлюзом уровня приложений. Он фильтрует все исходящие и входящие пакеты на уровне приложений. Посредники, используемые межсетевым экраном прикладного уровня, связаны с приложениями и могут фильтровать информацию на прикладном уровне модели OSI. Примерами программ-посредников являются службы FTP и Telnet. Настройка экрана позволит блокировать пакеты, содержащие нежелательные команды, например команду PUT службы FTP.
Обнаружив сетевой сеанс шлюз приложений приостанавливает его и определяет способ аутентификации, заданный для вызывающего субъекта. Далее управление передаётся серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран осуществляет запрашиваемое пользователем соединение и вызывает соответствующее приложение для оказания запрошенной информационной услуги.
Применение прокси-службы обеспечивает достижение ряда преимуществ перед фильтрующими маршрутизаторами:
скрытие от внешней сети структуры защищаемой локальной сети;
обеспечение работы сетевых сервисов малым числом приложений;
упрощение правил фильтрации пакетов;
применение надёжных схем идентификации и аутентификации пользователей;
возможность выполнения большого числа различных проверок, что позволяет существенно снизить вероятность взлома системы с помощью "дыр" в программном обеспечении.
Основными недостатками шлюзов уровня приложений являются: относительно низкая производительность и более высокая стоимость.
Для повышения эффективности шлюзы уровня приложений и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране.
Экспертные экраны являются экранами, работающими на всех указанных выше уровнях (пакетном, сеансовом и прикладном).
Применение межсетевых экранов позволяет создавать схемы трёх основных типов: с единой защитой всей сети, с открытым и закрытым сегментами сети и с раздельной защитой открытого и закрытого сегмента сети (рис. 6.4).
Установка единственного межсетевого экрана МЭ на входе предприятия приводит к схеме с единой защитой локальной сети ЛВС предприятия. Установка дополнительных экранов на территории предприятия приводит к появлению сегментов локальной сети с разной степенью защищённости информации.
ФМ
МЭ
Предприятие
Предприятие
М
МЭ
Наличие на входе предприятия обычного маршрутизатора М перед межсетевым экраном МЭ приводит к схеме с открытым незащищённым сегментом (ОСЛВС) и закрытым защищённым (ЗСЛВС) сегментом локальной сети. Установка фильтрующего маршрутизатора ФМ на входе предприятия перед дополнительным экраном МЭ более высокого уровня приводит к появлению открытого слабозащищённого сегмента (ЗОЛВС) и защищённого закрытого сегмента (ЗСЛВС) локальной сети.