Системы обнаружения и предотвращения атакам
Лекция 7-8
Основы технологии межсетевых экранов.
Системы обнаружения вторжений.
Общие положения
Межсетевой экран- это средство, которое
разграничивает доступ между двумя сетями (или, в частном случае, узлами) с различными требованиями по обеспечению безопасности.
В самом распространенном случае межсетевой экран устанавливается между корпоративной сетью и Internet.
Общие положения
Межсетевой экран, защищающий сразу множество (не менее двух) узлов, призван решить две задачи:
-Ограничение доступа внешних (по отношению к
защищаемой сети) пользователей к внутренним ресурсам
корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающие получить доступ к серверам баз данных, защищаемых межсетевым экраном.
- Разграничение доступа пользователей защищаемой сети к
внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей.
Общие положения
Все межсетевые экраны используют в своей работе один из двух взаимоисключающих принципов:
- "Разрешено все, что не запрещено".
С одной стороны данный принцип облегчает администрирование межсетевого экрана, т.к. от администратора не требуется никакой предварительной настройки - межсетевой экран начинает работать сразу после включения в сеть электропитания. Любой сетевой пакет, пришедший на МСЭ, пропускается через него, если это не запрещено правилами. С другой стороны, в случае неправильной настройки данное правило делает межсетевой экран дырявым решетом, который не защищает от большинства несанкционированных действий.
Поэтому в настоящий момент производители межсетевых экранов практически отказались от использования данного принципа.
Общие положения
- "Запрещено все, что не разрешено".
Этот принцип делает межсетевой экран практически неприступной стеной (если на время забыть на возможность подкопа этой стены, ее обхода и проникновения через незащищенные бойницы).
Однако, как это обычно и бывает, повышая защищенность, мы тем самым нагружаем администратора безопасности дополнительными задачами по предварительной настройке базы правил межсетевого экрана. После включения такого МСЭ в сеть, она становится недоступной для любого вида трафика. Администратор должен на каждый тип разрешенного взаимодействия задавать одно и более правил.
Классификация
До сих пор не существует единой и общепризнанной классификации межсетевых экранов. Каждый производитель выбирает удобную для себя классификацию и приводит ее в соответствие с разработанным этим производителем межсетевым экраном. Однако, основываясь на приведенном выше неформальном определении МСЭ, можно выделить следующие их классы, учитывающие уровни OSI или стека TCP/IP:
- коммутаторы, функционирующие на канальном
уровне;
-сетевые или пакетные фильтры, которые, как видно из названия, функционируют на сетевом уровне;
-шлюзы сеансового уровня (circuit-level proxy);
-посредники прикладного уровня (application proxy или application gateway);
-инспекторы состояния (stateful inspection).
Коммутаторы
Данные устройства, функционирующие на канальном уровне, не принято причислять к классу межсетевых экранов,
т.к. они разграничивают доступ в рамках локальной сети и не могут быть применены для
ограничения трафика из Internet. Однако, основываясь на том факте, что межсетевой экран разделяет доступ между двумя сетями или узлами, такое причисление вполне закономерно.
ОСНОВЫ ТЕХНОЛОГИИ МЕЖСЕТЕВЫХ ЭКРАНОВ
Коммутаторы
Многие производители коммутаторов, например, Cisco, Nortel, 3Com, позволяют осуществлять фильтрацию трафика на основе MAC-адресов, содержащихся во фреймах, пытающихся получить доступ к определенному порту коммутатора.
в
Наиболее эффективно данная возможность реализована
решениях компании Cisco, в частности в семействе коммутаторов Catalyst, которые обладают механизмом Port Security. Однако надо заметить, что практически все современные сетевые карты позволяют программно изменять их MAC-адреса, что приводит к неэффективности такого метода фильтрации.
ОСНОВЫ ТЕХНОЛОГИИ МЕЖСЕТЕВЫХ ЭКРАНОВ
Модель OSI/ISO
Уровень |
Наименование |
Функция |
1 |
Физический |
Собственно кабель или |
|
|
физический носитель |
2 |
Канальный |
Передача и прием пакетов, |
|
|
определение аппаратных |
|
|
адресов |
3 |
Сетевой |
Маршрутизация и ведение учета |
4 |
Транспортный |
Обеспечение корректной |
|
|
сквозной пересылки данных |
5 |
Сеансовый |
Аутентификация и проверка |
|
|
полномочий |
6 |
Представления |
Интерпретация и сжатие данных |
|
данных |
|
7 |
Прикладной |
Предоставление услуг на уровне |
|
|
конечного пользователя: почта, |
ОСНОВЫ ТЕХНОЛОГИИ МЕЖСЕТЕВЫХ ЭКРАНОВ
Коммутаторы
Достоинства:
- Высокая скорость работы.
- Данная возможность встроена в большинство коммутаторов, что не требует дополнительных финансовых затрат.
Недостатки:
- Отсутствует возможность анализа прикладного уровня. - Отсутствует возможность анализа заголовков сетевого и сеансового уровней (исключая некоторые коммутаторы). - Нет защиты от подмены адреса.