Вопросы 17-21. Основные схемы защиты на основе Firewall.
Анализ основных схем применения систем типа Firewall позволяет выделить следующие три типа Firewall: фильтрующие маршрутизаторы, шлюзы прикладного уровня и шлюзы сетевого уровня. Рассмотрим следующие схемы организации защиты сетей на их основе:
Firewallна основе фильтрации пакетов,
Firewallна основе простого шлюза,
Firewall —экранированный шлюз,
Firewall —экранированная подсеть.
Кроме того, рассмотрим методы использования модемного доступа и Firewall.Необходимо отметить, что рассмотренные схемы не перекрывают все возможные комбинации, а представляют собой основные реализуемые на практике.
Firewall — маршрутизатор с фильтрацией пакетов.
ЭВМ
ЭВМ
Фильтрующий маршрутизатор
Firewall,основанный на фильтрации пакетов, вероятно является наиболее распространенным и самым легким для реализации. Однако он имеет множество недостатков и менее эффективен по сравнению со всеми остальными рассматриваемыми типами Firewall.
Как правило, Firewallданного типа состоит из фильтрующего маршрутизатора, расположенного междуInternetи защищаемой подсетью, который сконфигурирован для блокирования или фильтрации соответствующих протоколов и адресов. При этом компьютеры, находящиеся в этой сети, как правило, имеют прямой доступ к Internet, тогда как большая часть доступа из Internetк ним блокируется. Обычно блокируются такие заведомо опасные службы как NIS, NFSи Х Windows.
Firewall,основанные на фильтрации пакетов имеют те же недостатки, что и фильтрующие маршрутизаторы, однако эти недостатки становятся все серьезнее по мере того, как требования к безопасности защищаемого объекта становятся более сложными и строгими. Перечислим некоторые из этих недостатков:
слабые, или вообще отсутствующие возможности регистрации события. Администратору трудно определить скомпрометирован ли маршрутизатор и не узнать подвергался ли он атаке;
исчерпывающее тестирование правил фильтрации очень трудоемко или невозможно. Это означает, сеть остается незащищенной от не протестированных типов атак;
достаточная сложность правил фильтрации. В определенных случаях совокупность этих правил может стать неуправляемой;
для каждого хоста, непосредственно связанного с Internet,требуются свои средства усиленной аутентификации.
Фильтрующий маршрутизатор может реализовать любую из политик безопасности, рассмотренных в третьей главе. Однако если маршрутизатор не фильтрует по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено" может быть затруднена. Если необходимо реализовать именно эту политику, то нужно использовать маршрутизатор, обеспечивающий наиболее гибкую стратегию фильтрации.
Firewallна основе шлюза.
Информационный
сервер
ЭВМ
Фильтрующий
маршрутизатор
Прикладной
шлюз
ЭВМ
Такая схема организации защиты лучше, чем Firewallна основе фильтрующего маршрутизатора. Firewallна основе шлюза состоит из хост-системы с двумя сетевыми интерфейсами, при передаче информации между которыми осуществляется фильтрация. Кроме того, для обеспечения дополнительной защиты между защищаемой сетью иinternet,можно поместить фильтрующий маршрутизатор. Это создает между шлюзом и маршрутизатором внутреннюю экранированную подсеть, которую можно использовать для размещения систем, доступных извне, например, информационных серверов.
В отличие от фильтрующего маршрутизатора шлюз полностью блокирует трафик IPмежду сетью Internetи защищаемой сетью. Услуги и доступ предоставляются только полномочными серверами, расположенными на шлюзе. Это простая организация Firewall,но очень эффективная. Некоторые шлюзы не используют полномочных служб, зато требуют, чтобы пользователи осуществляли доступ к Internetтолько посредством регистрации на шлюзе. Этот тип шлюза менее предпочтителен, поскольку подключение к нему большого количества пользователей может привести к ошибкам, что может облегчить атаку для злоумышленника.
Этот тип Firewallреализует политику безопасности, при которой запрещено все, что не разрешено явно, поскольку делает недоступными все службы, кроме тех, для которых определены соответствующие полномочия. Шлюз игнорирует пакеты с маршрутизацией источника, поэтому передать в защищенную подсеть такие пакеты невозможно. Этим достигается высокий уровень безопасности, поскольку маршруты к защищенной подсети должны становятся известны только Firewallи скрыты от внешних систем, поскольку Firewallне будет передавать наружу информациюDNS.
Для простой настройки шлюза необходимо установить полномочные службы для TELNETи FTP,и централизованную электронную почту, с помощью которой Firewall будет получать всю почту, отправляемую в защищаемую сеть, а затем пересылать ее хостам сети. Этот Firewallможет требовать от пользователей применения средств усиленной аутентификации, регистрировать доступ, а также попытки зондирования и атак системы нарушителем.
Firewall,использующий шлюз, как и Firewallс экранированной подсетью, который будет рассмотрен далее, предоставляет возможность отделить трафик, связанный с информационным сервером, от остального трафика между сетью и Internet.Информационный сервер можно разместить в подсети между шлюзом и маршрутизатором, как показано на рисунке.Предполагая, что шлюз предоставляет информационному серверу подходящие полномочные службы (например, ftp, gopherили http), маршрутизатор может предотвратить прямой доступ кFirewallи обеспечить, чтобы этот доступ осуществлялся только через Firewall.Если разрешен прямой доступ к информационному серверу (что менее безопасно), то его имя и IPадрес становятся известны посредством DNS. Размещение информационного сервера до шлюза увеличивает безопасность основной сети, поскольку даже проникнув в информационный сервер, нарушитель не сможет получить доступ к системам сети.
Недостаточная гибкость шлюза может оказаться неприемлемой для некоторых сетей. Поскольку блокируются все службы, кроме определенных, доступ к другим службам осуществить невозможно; системы, требующие доступа, нужно располагать до шлюза со стороны Internet.Однако, как видно из рисунка,маршрутизатор можно использовать для образования подсети между шлюзом и маршрутизатором, и здесь же можно поместить системы, требующие дополнительных служб.
Необходимо отметить,что безопасность хост-систем, используемых в качестве шлюза, должна поддерживаться на очень высоком уровне, поскольку любая брешь в его защите может привести к серьезным последствиям. Если шлюз скомпрометирован, нарушитель будет иметь возможность проникнуть в защищаемую сеть.