Деревянко_БС ЭВМ

МЭ представляет собой последовательность фильтров. Это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, которые определяют условия прохождения пакетов из одной части в другую.

Всамом общем случае МЭ должен:

обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

обладать мощными и гибкими средствами управления для полного и простого воплощения в жизнь политики безопасности организации;

обеспечивать простую реконфигурацию МЭ при изменении структуры сети;

работать незаметно для пользователей сети и не затруднять выполнение ими легальных действий;

работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в пиковых режимах;

обладать свойствами самозащиты от любых НСД;

иметь возможность централизованно обеспечивать несколько внешних подключений (например, удаленных филиалов) для проведения единой политики безопасности;

иметь средства авторизации доступа пользователей через внешние подключения.

Выделяют три основных компонента МЭ, выполняющих функции администрирования, сбора статистики и предупреждения об атаке , а также аутентификации.

Администрирование. В большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил.

Системы сбора статистики и предупреждения об атаке. Многие МЭ позволяют гибко определять подлежащие

241

протоколированию события, описывать порядок действия при атаках или попытках НСД: сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему.

Аутентификация. При получении запроса на использование сервиса от имени какого-либо пользователя, МЭ проверяет, какой способ аутентификации определен для данного пользователя, и передает управление серверу аутентификации. После получения положительного ответа МЭ формирует запрашиваемое пользователем соединение.

При конфигурировании МЭ следует выбрать стратегию защиты. Типичным является «запрещено все, что не разрешено», однако можно выбрать и противоположный подход, а именно «разрешено все, что не запрещено». Лучшие из реализаций МЭ блокируют по умолчанию всякий доступ, а затем пропускают только те пакеты, прохождение которых специально разрешено и может быть проконтролировано.

МЭ может быть программным, аппаратным или про- граммно-аппаратным, имеет список контроля доступа, ограничивающий или разрешающий прохождение IP-пакетов по указанному адресу (или целому набору адресов) и по заданным номерам портов (сервисам).

Из соображений производительности аппаратные МЭ хорошо использовать совместно с маршрутизаторами, соединяющими внутреннюю и внешние сети. Тогда фильтрация пакетов происходит на маршрутизаторе.

Большинство МЭ предусматривает также сокрытие внутренней структуры IP-сети при помощи преобразования адресов (NAT). Как правило, адрес системы, находящейся внутри защищаемой МЭ сети, заменяется адресом самого МЭ.

Все МЭ можно разделить на четыре типа:пакетные фильтры (packet filter);

242

серверы (шлюзы) уровня соединения (circuit gateways);

серверы (шлюзы) прикладного уровня (application gateways);

МЭ экспертного уровня (stateful inspection firewall).

Работа всех МЭ основана на использовании информации разных уровней модели OSI. В общем случае, чем выше уровень, на котором МЭ фильтрует пакеты, тем выше его интеллектуальность и выше обеспечиваемый им соответствующий уровень защиты.

Пакетные фильтры. Роль МЭ с пакетной фильтрацией чаще всего играют экранирующие маршрутизаторы. МЭ с пакетными фильтрами принимают решение о том, пропустить пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта – это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня – все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляют таблицы типа:

Поле «Действие» может принимать значения: пропустить или отбросить. Тип пакета – TCP, UDP или ICMP. Флаги

– флаги из заголовка IP-пакета. Поля «Порт источника» и «Порт назначения» имеют смысл только для TCP- и UDPпакетов (ICMP имеет дело только с адресами).

МЭ – пакетные фильтры являются наиболее простыми.

Серверы уровня соединения. Эти МЭ работают на сеан-

совом уровне модели OSI, или на уровне TCP стека протоколов TCP/IP. Пользователь устанавливает соединение с опреде-

243

ленным портом на МЭ, который производит соединение с местом назначения. Сервер уровня соединения представляет собой ретранслятор TCP-соединения. Во время сеанса этот ретранслятор копирует байты в обоих направлениях. Как правило, пункт назначения задается заранее, в то время как источников может быть много – соединение типа «один – много».

Сервер уровня соединения следит за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), проверяя, является ли допустимым запрашиваемый сеанс связи. При копировании и перенаправлении пакетов в этих серверах используются так называемые канальные посредники, которые устанавливают между двумя сетями виртуальный канал связи и поддерживают несколько служб TCP/IP.

Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.

Серверы прикладного уровня. МЭ этого типа использу-

ют серверы конкретных сервисов – telnet, ftp, proxy-server и т.д., запускаемые на МЭ и пропускающие через себя только трафик, относящийся к данному сервису. Таким образом, клиент и сервер образуют два соединения: от клиента до МЭ и от МЭ до места назначения.

Использование серверов прикладного уровня позволяет решить важную задачу – скрыть от внешних пользователей структуру интрасети, включая информацию в заголовках почтовых пакетов или службы доменных имен.

Другим положительным качеством является возможность аутентификации – подтверждения действительно ли пользователь является тем, за кого он себя выдает.

При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации.

244

Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты – взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сравнительные характеристики. Приведем основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня.

К положительным качествам пакетных фильтров следует отнести следующие:

относительно невысокая стоимость;

гибкость в определении правил фильтрации, т.е. простота конфигурации и установки;

минимальное влияние на производительность сети из-за небольшой задержки при прохождении пакетов;

прозрачность для ПО из-за отсутствия специальных требований к содержимому пакетов, посылаемых пользователями.

Недостатки у данного типа МЭ следующие:

ЛВС видна (маршрутизируется) из Internet;

правила фильтрации пакетов трудны в описании, поэтому требуются очень хорошие знания технологий

TCP и UDP;

при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;

аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуффинга, когда атакующая система выдает себя за другую, используя ее IPадрес;

отсутствует аутентификация на пользовательском уровне.

245

К преимуществам МЭ прикладного уровня следует отнести следующие:

ЛВС невидима из Internet;

при нарушении работоспособности МЭ пакеты перестают проходить через МЭ, тем самым не возникает угрозы для защищаемых им компьютеров;

защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в ПО;

они способны осуществлять фильтрацию специфических команд приложения, например, get и т.д. Данная функция не доступна ни пакетным фильтрам, ни шлюзам сеансового уровня;

при аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатками этого типа серверов являются:

более высокая, чем для пакетных фильтров стоимость;

невозможность использования протоколов RPC и

UDP;

производительность ниже, чем для пакетных фильтров.

МЭ экспертного уровня. Эти МЭ сочетают в себе элементы всех трех описанных выше категорий. Они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. МЭ экспертного уровня также выполняют функции шлюза сеансового уровня (stateful inspection – контроль состояния соединения), определяя, относятся ли пакеты к соответствующему сеансу. МЭ экспертного уровня берут на себя и функции шлюза прикладного уровня, оценивая содержимое каждого пакета в

246

соответствии с выработанной политикой безопасности. Все современные МЭ имеют свойства МЭ экспертного уровня, то есть являются многоуровневыми экранами.

Для подключения МЭ используются различные схемы. 1. Схема защиты единой локальной сети (рис. 3.11).

Рис. 3.11. Защита единой локальной сети

Здесь МЭ целиком экранирует локальную сеть от внешней сети. Данную схему можно использовать лишь при отсутствии в локальной сети серверов открытых для внешней сети. Через МЭ локальной сети, как и через маршрутизатор, пропускается весь трафик. Соответственно функции зашифрования исходящего и расшифрования входящего трафика может выполнять и межсетевым экраном.

2. При наличии в составе ЛВС серверов, доступных из внешней сети, их можно расположить в открытой подсети до межсетевого экрана (рис. 3.12).

247

Открытая

подсеть

ЛВС

Рис. 3.13. Защита закрытой и открытой подсетей на основе одного МЭ с тремя сетевыми интерфейсами

Схема с двумя МЭ, каждый из которых образует отдельный эшелон защиты закрытой подсети, обеспечивает большую степень безопасности сетевых взаимодействий. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Поскольку прямой обмен информационными пакетами между внешней сетью и закрытой подсетью запрещается, атакующий систему с экранирующей подсетью должен преодолеть, по крайней мере, две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.

249

Рис. 3.14. Раздельная защита закрытой и открытой подсетей на основе двух МЭ с двумя сетевыми интерфейсами

МЭ может выполнять и вполне интеллектуальную функцию отслеживания сеансов обмена информацией между клиентом и сервером. К примеру, МЭ пропустит ответ от сервера только в том случае, если запрос клиента был санкционирован.

Эти МЭ не изменяют IP-адресов, проходящих через них пакетов. С одной стороны, это облегчает настройку протоколов прикладного уровня, с другой – этим допускается прямое соединение между клиентом и компьютером во внешней сети, что даёт снижение уровня защиты.

Обычный МЭ (размещаемый в маршрутизаторе не-

большой сети класса SoHo - Small office Home office – «малый офис, домашний офис») настраивается, как минимум, на два интерфейса: внутренний — для ЛВС и внешний — для

Internet.

Маршрутизатор как устройство сетевого уровня имеет свой IP-адрес. Свой IP-адрес имеет также его внешний порт. Этот IP-адрес должен принадлежать диапазону адресов подсе-

250