ЛЕКЦИЯ 5 Защита от НСД. Межсетевые экраны.
5.1 История вопроса
5.2 Общие понятия
5.3. Основные компоненты МЭ
5.3.1 Фильтрующие маршрутизаторы
5.3.2. Шлюзы сетевого уровня
5.3.3. Шлюзы прикладного уровня
5.4 Типовые схемы защиты с использованием МЭ
5..4.1. МЭ на основе двухпортового шлюза
5..4.2. МЭ – экранированная подсеть
5.1. История вопроса
Глобальная сеть Интернет создавалась как открытая система, предназначенная для открытого обмена информацией. Прародительница Интернета – сеть Arpanet строилась как сеть, связывающая исследовательские центры, военные, научные и правительственные учреждения. В качестве платформы для решения сетевых задач использовалась операционная система UNIX. В то время, когда зарождались общедоступные сети, проблемы информационной безопасности не стояли так остро, как сейчас и ОС UNIX удовлетворяла всех, поэтому возникшие в 80–е годы проблемы безопасности исторически связаны в первую очередь с принципами, заложенными в ОС UNIX.
Для организации взаимодействия в среде Интернет используется набор протоколов, который называется TCP/IP (Transmission Control Protocol/Internet Protocol). Один из основных принципов, заложенных в набор (стек) протоколов – обеспечение совместимости между компьютерами различных типов, поэтому стек протоколов TCP/IP стал чрезвычайно популярным и приобрел фактически статус стандарта для межсетевого взаимодействия.
На основе стека протоколов TCP/IP строится ряд служб Интернета. Наиболее распространенные службы и соответствующие протоколы Интернет:
Почтовая Служба основывается на протоколе передачи электронной почты (SMTP – Simple Mail Transfer Protocol).
Для передачи текстовых и двоичных файлов между сервером и клиентским рабочим местом может использоваться Протокол Передачи Файлов (FTP – File Transfer Protocol).
Для обеспечения удаленного доступа в режиме управляющего терминала используется служба, получившая название TELNET.
Основываясь на тех соображениях, что:
есть стандарт для межсетевого взаимодействия;
есть множество разнообразных служб, обеспечивающих необходимые сервисы;
и сеть Интернет действительно превратилась в мировую паутину;
коммерческие организации пришли к выводу, что значительно дешевле передавать информацию по этой паутине, нежели строить свои корпоративные сети. Правда, из-за исторической неприспособленности стека протоколов TCP/IP и ОС UNIX к защите данных встала проблема защищенности передачи.
МЭ являются одним из тех средств, которые позволяют в некоторой степени обезопасить передачу информации через глобальные сети.
5.2. Общие понятия
Синонимы: МЭ, брандмауэр, Firewall.
Определение: МЭ – средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.
Как правило, граница проводится между корпоративной (локальной) сетью организации и глобальной сетью. МЭ пропускает через себя весь трафик, принимая для каждого пакета решение – пропускать его или отбросить.
Помимо этого, МЭ используются не только для того, чтобы обезопасить себя при выходе в Интернет, но и для защиты Интрасети – сегментов организации (т.е. сегментов, которые используют Интернет – технологии для взаимодействия в корпоративных сетях). МЭ в Интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться МЭ и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть МЭ для финансового отдела или бухгалтерии в организации.
МЭ позволяют обеспечить несколько типов защиты:
могут блокировать нежелательный трафик или направлять входной трафик только к надежным внутренним системам;
могут скрывать уязвимые подсистемы, которые нельзя обезопасить от атак из Интернета другим способом;
могут протоколировать входной и выходной трафик внутренней сети;
могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей от Интернета;
могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.
Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. В соответствии с принятыми компромиссами принимается политика безопасности. Политика безопасности должна включать две составляющие:
Политику доступа к сетевым сервисам;
Политику реализации межсетевых экранов.
Первый тип политики обычно основывается на одном из следующих принципов:
Запретить доступ из Интернет во внутреннюю сеть, но разрешить доступ из внутренней сети в Интернет;
Разрешить ограниченный доступ во внутреннюю сеть из Интернет, обеспечивая работу только отдельных систем, например, почты.
Политика реализации МЭ должна базироваться на одном из двух принципов:
Запрещать все, что не разрешено в явной форме;
Разрешать все, что не запрещено в явной форме.
Первый принцип обеспечивает лучшую защищенность, однако доставляет значительные неудобства пользователям. Второй принцип, наоборот, предоставляет больше удобства пользователям, но обеспечивает меньшую защищенность.