3590
.pdfМЭ представляет собой последовательность фильтров. Это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, которые определяют условия прохождения пакетов из одной части в другую.
Всамом общем случае МЭ должен:
обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;
обладать мощными и гибкими средствами управления для полного и простого воплощения в жизнь политики безопасности организации;
обеспечивать простую реконфигурацию МЭ при изменении структуры сети;
работать незаметно для пользователей сети и не затруднять выполнение ими легальных действий;
работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в пиковых режимах;
обладать свойствами самозащиты от любых НСД;
иметь возможность централизованно обеспечивать несколько внешних подключений (например, удаленных филиалов) для проведения единой политики безопасности;
иметь средства авторизации доступа пользователей через внешние подключения.
Выделяют три основных компонента МЭ, выполняющих функции администрирования, сбора статистики и предупреждения об атаке , а также аутентификации.
Администрирование. В большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил.
Системы сбора статистики и предупреждения об атаке. Многие МЭ позволяют гибко определять подлежащие
241
протоколированию события, описывать порядок действия при атаках или попытках НСД: сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему.
Аутентификация. При получении запроса на использование сервиса от имени какого-либо пользователя, МЭ проверяет, какой способ аутентификации определен для данного пользователя, и передает управление серверу аутентификации. После получения положительного ответа МЭ формирует запрашиваемое пользователем соединение.
При конфигурировании МЭ следует выбрать стратегию защиты. Типичным является «запрещено все, что не разрешено», однако можно выбрать и противоположный подход, а именно «разрешено все, что не запрещено». Лучшие из реализаций МЭ блокируют по умолчанию всякий доступ, а затем пропускают только те пакеты, прохождение которых специально разрешено и может быть проконтролировано.
МЭ может быть программным, аппаратным или про- граммно-аппаратным, имеет список контроля доступа, ограничивающий или разрешающий прохождение IP-пакетов по указанному адресу (или целому набору адресов) и по заданным номерам портов (сервисам).
Из соображений производительности аппаратные МЭ хорошо использовать совместно с маршрутизаторами, соединяющими внутреннюю и внешние сети. Тогда фильтрация пакетов происходит на маршрутизаторе.
Большинство МЭ предусматривает также сокрытие внутренней структуры IP-сети при помощи преобразования адресов (NAT). Как правило, адрес системы, находящейся внутри защищаемой МЭ сети, заменяется адресом самого МЭ.
Все МЭ можно разделить на четыре типа:пакетные фильтры (packet filter);
242
серверы (шлюзы) уровня соединения (circuit gateways);
серверы (шлюзы) прикладного уровня (application gateways);
МЭ экспертного уровня (stateful inspection firewall).
Работа всех МЭ основана на использовании информации разных уровней модели OSI. В общем случае, чем выше уровень, на котором МЭ фильтрует пакеты, тем выше его интеллектуальность и выше обеспечиваемый им соответствующий уровень защиты.
Пакетные фильтры. Роль МЭ с пакетной фильтрацией чаще всего играют экранирующие маршрутизаторы. МЭ с пакетными фильтрами принимают решение о том, пропустить пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта – это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня – все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляют таблицы типа:
|
Тип |
Адрес |
Порт |
Адрес |
Порт |
|
Действие |
источ- |
источ- |
назна- |
назначе- |
Флаги |
|
|
пакета |
ника |
ника |
чения |
ния |
|
Поле «Действие» может принимать значения: пропустить или отбросить. Тип пакета – TCP, UDP или ICMP. Флаги
– флаги из заголовка IP-пакета. Поля «Порт источника» и «Порт назначения» имеют смысл только для TCP- и UDPпакетов (ICMP имеет дело только с адресами).
МЭ – пакетные фильтры являются наиболее простыми.
Серверы уровня соединения. Эти МЭ работают на сеан-
совом уровне модели OSI, или на уровне TCP стека протоколов TCP/IP. Пользователь устанавливает соединение с опреде-
243
ленным портом на МЭ, который производит соединение с местом назначения. Сервер уровня соединения представляет собой ретранслятор TCP-соединения. Во время сеанса этот ретранслятор копирует байты в обоих направлениях. Как правило, пункт назначения задается заранее, в то время как источников может быть много – соединение типа «один – много».
Сервер уровня соединения следит за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), проверяя, является ли допустимым запрашиваемый сеанс связи. При копировании и перенаправлении пакетов в этих серверах используются так называемые канальные посредники, которые устанавливают между двумя сетями виртуальный канал связи и поддерживают несколько служб TCP/IP.
Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
Серверы прикладного уровня. МЭ этого типа использу-
ют серверы конкретных сервисов – telnet, ftp, proxy-server и т.д., запускаемые на МЭ и пропускающие через себя только трафик, относящийся к данному сервису. Таким образом, клиент и сервер образуют два соединения: от клиента до МЭ и от МЭ до места назначения.
Использование серверов прикладного уровня позволяет решить важную задачу – скрыть от внешних пользователей структуру интрасети, включая информацию в заголовках почтовых пакетов или службы доменных имен.
Другим положительным качеством является возможность аутентификации – подтверждения действительно ли пользователь является тем, за кого он себя выдает.
При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации.
244
Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты – взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сравнительные характеристики. Приведем основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня.
К положительным качествам пакетных фильтров следует отнести следующие:
относительно невысокая стоимость;
гибкость в определении правил фильтрации, т.е. простота конфигурации и установки;
минимальное влияние на производительность сети из-за небольшой задержки при прохождении пакетов;
прозрачность для ПО из-за отсутствия специальных требований к содержимому пакетов, посылаемых пользователями.
Недостатки у данного типа МЭ следующие:
ЛВС видна (маршрутизируется) из Internet;
правила фильтрации пакетов трудны в описании, поэтому требуются очень хорошие знания технологий
TCP и UDP;
при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;
аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуффинга, когда атакующая система выдает себя за другую, используя ее IPадрес;
отсутствует аутентификация на пользовательском уровне.
245
К преимуществам МЭ прикладного уровня следует отнести следующие:
ЛВС невидима из Internet;
при нарушении работоспособности МЭ пакеты перестают проходить через МЭ, тем самым не возникает угрозы для защищаемых им компьютеров;
защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в ПО;
они способны осуществлять фильтрацию специфических команд приложения, например, get и т.д. Данная функция не доступна ни пакетным фильтрам, ни шлюзам сеансового уровня;
при аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа серверов являются:
более высокая, чем для пакетных фильтров стоимость;
невозможность использования протоколов RPC и UDP;
производительность ниже, чем для пакетных фильтров.
МЭ экспертного уровня. Эти МЭ сочетают в себе элементы всех трех описанных выше категорий. Они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. МЭ экспертного уровня также выполняют функции шлюза сеансового уровня (stateful inspection – контроль состояния соединения), определяя, относятся ли пакеты к соответствующему сеансу. МЭ экспертного уровня берут на себя и функции шлюза прикладного уровня, оценивая содержимое каждого пакета в
246
соответствии с выработанной политикой безопасности. Все современные МЭ имеют свойства МЭ экспертного уровня, то есть являются многоуровневыми экранами.
Для подключения МЭ используются различные схемы. 1.Схема защиты единой локальной сети (рис. 3.11).
|
|
|
|
Межсе- |
|
|
|
|
|
|
|
Внешняя |
|
|
|
|
|
|
Закрытая |
||||
|
|
|
тевой |
|
|
|
|||||
сеть |
|
|
|
экран |
|
|
|
сеть |
|
|
|
|
|
|
|
|
|
|
ЛВС |
|
|
||
|
Маршрутизатор |
|
|
|
|||||||
|
|
|
|||||||||
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3.11. Защита единой локальной сети
Здесь МЭ целиком экранирует локальную сеть от внешней сети. Данную схему можно использовать лишь при отсутствии в локальной сети серверов открытых для внешней сети. Через МЭ локальной сети, как и через маршрутизатор, пропускается весь трафик. Соответственно функции зашифрования исходящего и расшифрования входящего трафика может выполнять и межсетевым экраном.
2.При наличии в составе ЛВС серверов, доступных из внешней сети, их можно расположить в открытой подсети до межсетевого экрана (рис. 3.12).
247
Открытаяпод-
подсеть
ЛВС
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Закрытая |
||||
|
|
|
|
|
|
|
Межсете- |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Внешняя |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
подсеть |
|
|||||
|
сеть |
|
|
|
|
|
вой экран |
|
|
|
|
ЛВС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Маршрутизатор |
|
|
||||||||||
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3.12. Защита закрытой подсети ЛВС при наличии незащищенной открытой подсети
Здесь понижена безопасность открытых серверов, расположенных до сетевого экрана.
3. Когда к безопасности открытых серверов предъявляются повышенные требования, применяют схемы с раздельной защитой закрытой и открытой подсетей. Это может быть схема на основе одного МЭ с тремя сетевыми интерфейсами (рис. 3.13) или на основе двух МЭ с двумя сетевыми интерфейсами каждый (рис. 3.14).
248
Открытая
подсеть
ЛВС
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Межсете- |
|
|
Закрытая |
|||
Внешняя |
|
|
|
|||||||
|
|
|
|
|
|
подсеть |
|
|||
|
|
|
|
|
|
|
||||
сеть |
|
|
|
вой экран |
|
|
|
|
||
|
|
|
|
|
|
ЛВС |
|
|
||
|
|
|
|
|
|
|
|
|||
|
Маршрутизатор |
|
|
|
|
|
||||
|
|
|||||||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|||
Рис. 3.13. Защита закрытой и открытой подсетей на основе одного МЭ с тремя сетевыми интерфейсами
Схема с двумя МЭ, каждый из которых образует отдельный эшелон защиты закрытой подсети, обеспечивает большую степень безопасности сетевых взаимодействий. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Поскольку прямой обмен информационными пакетами между внешней сетью и закрытой подсетью запрещается, атакующий систему с экранирующей подсетью должен преодолеть, по крайней мере, две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.
249
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Закрытая |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
Межсетевой |
|
|
|
|
|
подсеть |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
ЛВС |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
экран |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Открытая |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подсеть |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЛВС |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Межсетевой |
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
Внешняя |
|
|
|
|
|
экран |
|
|
|
|
|
|
|
|
|
|
|
||
|
сеть |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Маршрутизатор |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3.14. Раздельная защита закрытой и открытой подсетей на основе двух МЭ с двумя сетевыми интерфейсами
МЭ может выполнять и вполне интеллектуальную функцию отслеживания сеансов обмена информацией между клиентом и сервером. К примеру, МЭ пропустит ответ от сервера только в том случае, если запрос клиента был санкционирован.
Эти МЭ не изменяют IP-адресов, проходящих через них пакетов. С одной стороны, это облегчает настройку протоколов прикладного уровня, с другой – этим допускается прямое соединение между клиентом и компьютером во внешней сети, что даёт снижение уровня защиты.
Обычный МЭ (размещаемый в маршрутизаторе не-
большой сети класса SoHo - Small office Home office – «малый офис, домашний офис») настраивается, как минимум, на два интерфейса: внутренний — для ЛВС и внешний — для
Internet.
Маршрутизатор как устройство сетевого уровня имеет свой IP-адрес. Свой IP-адрес имеет также его внешний порт. Этот IP-адрес должен принадлежать диапазону адресов подсе-
250