6.3.3. Трансляция адресов устройств сети в единый сетевой адрес проксисервера
Дополнительной возможностью защиты информации в сетях является преобразование IP-адресов внутренних отправителей в один "надёжный" адрес сеансового или экспертного брандмауэра (Network Address Translation). В этом случае брандмауэр выполняет функцию proxy-сервера и маскирует внутренние элементы локальной сети от внешних источников. Трансляция адресов показана на рис. 6.5 [16]. Для трансляции адресов применяется таблица NAT. Применяется несколько алгоритмов преобразования, в частности, статическая и динамическая.
В правой части рисунков показаны рабочие места РМ1 и РМ2 локальной сети, имеющие внутренние сетевые адреса А1л и А2л. К маршрутизатору с адресом АГ они подключены через многопортовый Switch (Ethernet-переключатель) или через обычный маршрутизатор c адресом AS. Во внешней по отношению к предприятию среде находятся удалённые рабочие места УРМ1 и УРМ2 с адресами А1у и А2у, которые известны рабочим местам локальной сети.
а)
б)
Рис. 6.5. Иллюстрация статической (а) и динамической (б) трансляции (преобразования) адресов proxy-сервером
При посылке пакета от рабочего места РМ1 удалённому рабочему месту УРМ1, формируется пакет с IP-заголовком содержащим внутренний адрес отправителя А1л и внешний адрес приёмника А1у. Проходя через маршрутизатор с функцией Proxy, пакет получает новый IP-заголовок, в котором, в котором адрес отправителя заменяется на опубликованный во внешней сети адрес АГ маршрутизатора. Для этого используется Таблица NAT в которой при попытке осуществления указанного соединения автоматически формируется соответствующая запись А1у–А1л (рис. 6.5, а) или А1у–А1л:Р1 (рис. 6.5,б).
При ответе удалённое рабочее место УРМ1 формирует пакет с IP-заголовком, содержащим адреса источника А1у и приёмника АГ. Маршрутизатор, используя таблицу NAT, заменяет свой адрес в IP-заголовке на внутренний адрес рабочего места РМ1 (рис. 6.5,а) или на адрес Switch'а с указанием порта (рис. 6.5,б).
Статическая трансляция предполагает наличие у рабочих мест локальной сети фиксированных IP-адресов. Динамическая трансляция позволяет сделать IP-адреса динамически распределяемыми. В адресации в этом случае участвуют не внутренние IP-адреса рабочих мест, а IP-адрес Switch'а и номер порта, к которому присоединёно рабочее место.
6.3.4. Аутентификация пользователей как основной компонент межсетевых экранов
Выше уже указывалось, что одним из средств обеспечения безопасности является аутентификация пользователей сети, т.е. наделение их правами доступа к информации в соответствии с выполняемыми ими функциями в информационных процессах. Это справедливо и в технологиях применения межсетевых экранов.
В разд. 6.2 отмечено, что врождёнными слабостями стека протоколов TCP/IP являются аутентификация пользователя только по его IP-адресу, выполнение аутентификации только на стадии установления соединений и передача по сети важнейших сведений о системе в незашифрованном виде.
Процесс аутентификации в стеке TCP/IP происходит в следующем порядке (рис. 6.6):
клиент запрашивает сервис, посылая ему в первом пакете, помеченном флагом SYN, случайное число А;
межсетевой экран запоминает это число и передаёт пакет серверу, обслуживающему запрос;
сервер отправляет в ответ пакет, помеченный флагом ASK, содержащий число В = А+1;
сервер отправляет клиенту пакет с пометкой SYN, содержащий случайное число С, которое также запоминается межсетевым экраном;
клиент отправляет в ответ пакет с пометкой флагом ASK, содержащий число D = C+1;
межсетевой экран проверяет соответствие чисел А, В, С и D;
в случае соответствия чисел А и В, C и D соединение считается установленным, в противном случае межсетевой экран разрывает соединение.
Рис. 6.6. Квитирование связи (К – клиент, МЭ – межсетевой экран, С – сервер услуги) |
Процесс обмена пакетами с контрольными числами А и В, C и D называется квитированием связи. Никакие другие пакеты информации не будут передаваться до тех пор, пока соединение не будет установлено. |
Описанный протокол аутентификации не является единственным. В сетях применяется и более сложные системы аутентификации. Широко используется система UNIX-паролей. В настоящее время она считается устаревшей вследствие возможности перехвата паролей посредством прослеживания трафика. Более надёжной является усиленная аутентификация (рис. 6.7). Основным элементом этой схемы является межсетевой экран с усиленной аутентификацией клиентов. Одинарными стрелками показан неаутентифицированный трафик служб Telnet и FTP. Двойной стрелкой показан аутентифицированный трафик тех же служб.
Рис. 6.7. Схема усиленной аутентификации (ДК – доверенный компьютер, МЭ с УА – межсетевой экран с усиленной аутентфикацией
Усиленная аутентификация сводится к генерированию одноразовых паролей. В этих целях используются различные технические средства идентификации пользователя: персональные жетоны, смарт-карты и биометрические средства идентификации – сканеры отпечатков пальцев или радужной оболочки глаз. Эти средства работают совместно с аппаратным и программным обеспечением сервера аутентификации, то генерируемые пароли являются одноразовыми. Одноразовый пароль даже при перехвате его нарушителем не может быть использован для его проникновения в защищаемую сеть. Поскольку проблема паролей постоянна, установка межсетевых экранов без усиленной аутентификации считается не имеющей смысла.
Подводя итоги можно с уверенностью сказать, что аутентфикация пользователей является обязательным элементом технологии межсетевых экранов.
6.3.5. Схемы защиты информации на основе межсетевых экранов
Можно предложить следующие принципы защиты информации в корпоративных сетях [28].
Введение N категорий секретности и создание соответственно N выделенных сетевых сегментов пользователей. При этом каждый пользователь внутри сетевого сегмента имеет одинаковый уровень секретности (допущен к информации одного уровня секретности).
Выделение в отдельный сегмент всех внутренних серверов компании. Эта мера также позволяет изолировать потоки информации между пользователями, имеющими различные уровни доступа.
Выделение в отдельный сегмент всех серверов компании, к которым будет предоставлен доступ из Интернета (создание демилитаризованной зоны для внешних ресурсов).
Создание выделенного сегмента административного управления.
Создание выделенного сегмента управления безопасностью.
Для защиты корпоративных сетей применяются следующие схемы развертывания межсетевых экранов:
межсетевой экран, представленный фильтрующим маршрутизатором;
межсетевой экран на основе двухпортового шлюза;
межсетевой экран с экранированным шлюзом;
межсетевой экран с экранированной подсетью;
межсетевые экраны для организации виртуальных корпоративных сетей.
Схемы, показывающие применение межсетевого экрана, представленного как фильтрующий маршрутизатор, и межсетевого экрана в виде двухпортового шлюза показаны на рис. 6.8,а и рис. 6.8,б соответственно.
а)
б)
Рис. 6.8. Схемы защиты сетей межсетевым экраном, представленным как фильтрующий маршрутизатор (а), и двухпортовым шлюзом (б)
На рис. 6.8 приняты следующие обозначения: ФМ – фильтрующий маршрутизатор, С – информационный сервер, РМ1 и РМN – рабочие места сети, ДПШ – двухпортовый шлюз. В схеме рис. 6.8,а фильтрующий маршрутизатор защищает внутреннюю сеть посредством фильтрации пакетов на пакетном и сеансовом уровнях. Достоинства и недостатки этого способа описаны выше.
В схеме рис. 6.8,б основную функцию защиты несёт двухпортовый шлюз. Это межсетевой экран на уровне приложений. Физически это компьютер с постоянным IP-адресом, имеющий два порта для подключения сетей через сетевые интерфейсы СИ1 и СИ2. Программное обеспечение его состоит из достаточно сложного фильтра трафика и множества приложений, обеспечивающих информационные сервисы. В принципе на двухпортовом шлюзе можно установить и сервер аутентификации.
Дополнительную защиту создаёт фильтрующий маршрутизатор. Между маршрутизатором и двухпортовым шлюзом образовалась частично защищённая подсеть, которая называется экранированной. На рис. 6.8,б она имеет топологию "звезда" на основе концентратора. В эту подсеть можно вынести некоторые элементы, мало влияющие на безопасность информации, например информационный сервер С.
Двухпортовый шлюз реализует политику безопасности на основе принципа "запрещено все, что не разрешено в явной форме". Пользователю доступны только те службы, для которых определены соответствующие полномочия. Маршруты к защищённой подсети скрыты от внешних систем. Поэтому экран обеспечивает высокий уровень безопасности. Безопасность повышается также установкой программ усиленной аутентификации пользователей. Межсетевой экран на основе двухпортового шлюза может также протоколировать доступ, попытки зондирования и атак системы, что позволяет выявить действия злоумышленников.
Схема с экранированным шлюзом показана на рис. 6.9. Согласно этой схеме в частично защищённую зону (экранированную подсеть) вынесены информационный сервер С и шлюз приложений ШП. Коммуникационная подсеть локальной сети дополнительно защищается однопортовым шлюзом ШП, имеющим один сетевой интерфейс. Поскольку шлюз частично защищён фильтрующим маршрутизатором ФМ, то его называют экранированным шлюзом.
Рис. 6.9. Схема с экранированным шлюзом приложений
Основным недостатком этой схемы является отсутствие какой-либо защиты локальной сети в случаях компрометации маршрутизатора и проникновения злоумышленника на шлюз приложений.
Схема с экранированной подсетью показана на рис. 6.10. Она является развитием схемы с экранированным шлюзом. На входе предприятия стоит фильтрующий маршрутизатор ФМ1, который называется внешним экранирующим маршрутизатором. Экранированная подсеть содержит экран прикладного уровня ШП, информационный сервер С и почтовый сервер ПС.
Рис. 6.10. Схема с экранированной подсетью
Локальная сеть предприятия в этой схеме дополнительно защищается фильтрующим маршрутизатором ФМ2, который называется внутренним экранирующим маршрутизатором. Толстыми одинарными стрелками показаны разрешённые трафики для внешнего маршрутизатора, толстыми двойными – для внутреннего.
В данном случае при компрометации внешнего маршрутизатора и проникновении злоумышленника на шлюз внутренний маршрутизатор играет роль резервного рубежа обороны и частично всё-таки защищает локальную сеть предприятия от прорвавшихся злоумышленников.
Внешний маршрутизатор защищает от сети Internet и экранированную подсеть, и внутреннюю сеть. Он работает по следующим правилам:
разрешается трафик от объектов Internet к прикладному шлюзу;
разрешается трафик от прикладного шлюза к Internet;
разрешается трафик электронной почты от Internet к серверу электронной почты;
разрешается трафик электронной почты от сервера электронной почты к Internet;
разрешается трафик FTP, Gopher и т.д. от Internet к информационному серверу;
запрещается остальной трафик.
Внутренний маршрутизатор защищает внутреннюю сеть от Internet и от экранированной подсети. Он осуществляет большую часть пакетной фильтрации и управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:
разрешается трафик от прикладного шлюза к системам сети;
разрешается прикладной трафик от систем сети к прикладному шлюзу;
разрешается трафик электронной почты от сервера электронной почты к системам сети;
разрешается трафик электронной почты от систем сети к серверу электронной почты;
разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;
запрещается остальной трафик.