Студентам ИТ / 2 УПП_ИТ / Основн_литература / ИТ (Защита_инф) / Информационная безонасность, УПП
.pdfIP-пакетов, их возможности ограничены. Так, простой фильтр пакетов нетрудно сконфигурировать таким образом, чтобы он разрешал или запрещал применение FTP, но нельзя ограничить отдельные функции этого протокола, например использование команд GET или PUT.
Фильтр пакетов принимает решения только на основе информации из заголовка пакета, а для создания более сложных межсетевых экранов служат proxy-серверы.
Шлюз приложений (application gateway), или proxy-сервер (application proxy), - это программа, которая выполняется на брандмауэре и перехватывает трафик приложений заданного типа. Она способна, например, перехватывать запросы пользователей из локальной сети, а затем осуществлять соединение с сервером, расположенным за ее пределами. При этом внутренний пользователь никогда не подключается к внешнему серверу напрямую. Вместо этого proxy-сервер служит в качестве посредника между клиентом и сервером, передавая информацию от одного к другому и обратно. Преимущество такого подхода состоит в том, что proxy-сервер можно запрограммировать на пропускание или блокировку трафика на основе сведений, содержащихся внутри пакета, а не только в его заголовке. Это значит, что proxyсервер понимает основные методы взаимодействия, используемые определенной службой, и его удается настроить так, чтобы он разрешал или запрещал доступ к функциональным возможностям этой службы, а не просто блокировал соединение в соответствии с номера порта, как это делает фильтр пакетов.
Итак, существует два основных компонента для создания межсетевого экрана:
пакетный фильтр;
proxy-сервер.
Вы можете использовать оба или только один из них. Эти компоненты реализуются различными способами и обеспечивают разный уровень защиты. Способ настройки компонентов межсетевого экрана называется его архитектурой. На выбор предоставляется одна из следующих архитектур:
пакетный фильтр на основе компьютера или маршрутизатора;
двухканальный шлюз;
экранированный узел;
экранированная подсеть.
Применение пакетного фильтра
В наше время межсетевой экран может состоять из одного или нескольких маршрутизаторов или компьютеров с соответствующим программным обеспечением, использующих различные методы для разре-
21
шения или запрета доступа в вашу локальную сеть или из нее. Но первым типом межсетевых экранов, который начал широко применяться,
стал простой экранирующий маршрутизатор (screening router), сейчас обычно называемый пакетным фильтром (packet filter).
Маршрутизатор (router) - это сетевое устройство с несколькими интерфейсами, подключенное к нескольким сетям. Когда компьютеру или сети необходимо переслать пакет компьютеру в другой сети, он передает пакет маршрутизатору, который затем определяет наилучший метод доставки данных к месту назначения. Маршрутизатор принимает решение на основе адресной информации в заголовке пакета.
Когда маршрутизатор способен определить, что пакет предназначается для узла в одной из подсетей, непосредственно подключенных к одному из его сетевых интерфейсов, пакет быстро пересылается в нужную подсеть. Если маршрутизатор обнаруживает, что необходимо доставить пакет в какую-то другую сеть, он передает его следующему маршрутизатору (в следующий «hop» - сегмент маршрута), который может знать, как доставить пакет к месту назначения. Если же маршрутизатору не удастся найти следующий сегмент, в который можно отправить пакет, он просто отбросит его и вернет источнику соответствующее сообщение ICMP «адресат недоступен».
Экранирующий маршрутизатор — это маршрутизатор, в котором задан набор правил, устанавливающих разрешенные типы сетевого трафика, которые имеют право проходить через подключенные к нему сетевые интерфейсы. Другими словами, после того, как маршрутизатор определит, может ли он доставить пакет (в следующий сегмент или конечному адресату), он сверяется с набором правил, проверяя, должен ли он его передавать.
Предположим, например, что маршрутизатор получает от какоголибо узла Internet пакет с запросом на создание сеанса Telnet с узлом вашей внутренней локальной сети. Маршрутизатор сразу же определяет, что он может доставить пакет - для этого достаточно просто передать его в интерфейс, к которому подключен адресат, поместив в пакет МАС-адрес соответствующего узла. Но экранирующему маршрутизатору необходимо предварительно проверить пакет на соответствие правилам. В данном случае входящие Telnet-соединения должны блокироваться. Поэтому, как видно на рис. 2.1, узлы во внутренней локальной сети защищены от возможного проникновения нарушителя при помощи Telnet.
Основной метод фильтрации пакетов называется фильтрацией без памяти (stateless packet filtering), поскольку каждый пакет обрабатывается по отдельности - только на основе информации в его заголовке. При новом методе фильтрации Пакетов, который называется фильтрацией с памятью
22
(stateful packet filtering или stateful inspection), в памяти сохраняются сведе-
ния о состоянии текущих сеансов.
Если полученный пакет якобы является ответом на пакет, переданный из локальной сети, пакетный фильтр с памятью проверяет, действительно ли был сделан соответствующий запрос. Таким образом, при наличии фильтра с памятью потенциальному! нарушителю будет сложнее проникнуть в сеть путем подмены адресов пакетов.
До сих пор мы рассуждали о фильтрации пакетов только с помощью маршрутизатора, однако многие коммерческие межсетевые экраны также обеспечивают такую возможность. Часто оказывается даже, что фильтрацию пакетов предпочтительнее выполнять на компьютере, а не на маршрутизаторе, благодаря простоте работы с ним и возможностям регистрации. Настройка маршрутизатора бывает достаточно сложной задачей в особенности, если при этом необходимо задавать большое число правил.
Рабочая
станция
Рабочая
станция 
Экранирующий
маршрутизатор Internet Сервер 
Рабочая
станция
Рабочая
станция
Рис. 2.1. Пакетный фильтр отбирает пакеты, которые можно передавать между вашей локальной сетью и Internet
Изменение длинного набора правил может занять много времени, поскольку придется проверить каждое из старых правил, чтобы убедиться, что оно не противоречит новому! Маршрутизаторы обычно не имеют развитых средств для регистрации событий. Хороший брандмауэр обеспечивает отличные возможности для этого и для выдачи предупреждений, а иногда даже и программы для анализа log-файлов.
23
Применение proxy-сервера
Пакетному фильтру приходится принимать решения только на основе информации в заголовке пакета. К сожалению, заголовок содержит в основном адреса и другие данные, необходимые протоколу для доставки пакета к месту назначения через лабиринт сетей. В заголовок пакета не включены детали, которые могли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Например, маршрутизатор может определить, что пакет предназначен для какого-то протокола, скажем, FTP. Но он не в состоянии распознать, какой это запрос - get (получить) или put (передать). При этом не исключено, что запросы одного типа окажутся вполне допустимыми, а запросы другого типа для данного узла должны будут блокироваться.
Шлюз приложений (application gateway), или proxy-сервер (application proxy), как было сказано выше, это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Преимущество такого подхода состоит в том, что proxy-сервер способен пропускать или блокировать трафик на основе информации в области данных пакета, а не только в его заголовке.
Недостатком proxy-серверов является их привязка к конкретному приложению. Для каждого приложения или сервиса, поддержку которых вы хотите реализовать в межсетевом экране, вам понадобится отдельный proxy-сервер. Кроме того, необходимо, чтобы клиентское программное обеспечение могло работать через proxy-сервер. Большинство современных программ обладают такой возможностью, поэтому обычно это не представляет проблемы. Например, Netscape Navigator и Microsoft Internet Explorer позволяют задавать используемые proxy-серверы.
Существуют способы добиться работоспособности и старых программ, не знающих о существовании proxy-серверов. Например, при помощи Telnet пользователь может вначале зарегистрироваться на proxy-сервере, а затем создать сеанс связи с внешним компьютером. Такой двухступенчатый метод менее удобен, чем прозрачный доступ, обеспечиваемый программами, которые умеют работать через proxy-сервер.
Чтобы приложения функционировали через proxy-серверы, при-
меняются пакеты Trusted Information Systems Firewall Toolkit (FWTK)
или SOCKS. SOCKS - это библиотека, с помощью которой создаются или модифицируются клиенты с целью реализации их взаимодействия с proxy-сервером SOCKS. Пакет TIS Firewall Toolkit также содержит proxy-серверы для большинства стандартных служб, таких как Telnet, FTP и HTTP.
Комбинация различных методов
Как было показано, для формирования межсетевого экрана го-
24
дятся и пакетные фильтры, и proxy-серверы, и каждый из этих методов имеет свои сильные и слабые стороны. Вы, возможно, догадались, что следующий шаг состоит в объединении двух этих методов и создании более надежного межсетевого экрана. Теперь вы, наверное, понимаете, почему межсетевой экран представляет собой скорее систему, чем одиночное устройство.
Существует множество способов объединения этих двух технологий. Но независимо от того, насколько тщательно вы настроите пакетный фильтр или proxy-серверы, вам может потребоваться изменить конфигурацию межсетевого экрана. При его разработке следует рассмотреть сильные и слабые стороны каждой стратегии и определить, какая из них лучше всего подходит в данной ситуации. Тщательно проанализируйте политику безопасности и выберите архитектуру межсетевого экрана, способную лучше всего реализовать ее выполнение.
Применение двухканального узла
Маршрутизатор, соединяющий локальную сеть с Internet, должен содержать не менее двух сетевых интерфейсов. Один из них подключается к локальной сети, а другой - к внешнему миру, и каждый обладает собственным IP-адресом. На основе заданных вами правил маршрутизатор принимает решения о том, какие пакеты передавать из одного интерфейса в другой.
Двухканальный узел (dual-homed host) работает аналогичным образом. К компьютеру подключается два сетевых интерфейса, и так же, как и в маршрутизаторе, один - к локальной сети, а второй - к Internet (см. рис. 2.2). Но, в отличие от маршрутизатора, многие операционные системы распознают оба установленных адаптера и автоматически передают пакеты из одного интерфейса в другой, если этого достаточно для доставки пакета адресату. Другими словами, двухканальный узел работает как маршрутизатор. Данная функция, обычно называемая IP forwarding (пересылкой IPпакетов), должна быть отключена, если вы собираетесь применять компьютер в качестве компонента межсетевого экрана.
После размещения двухканального узла между локальной сетью и Internet клиентские компьютеры в локальной сети больше не будут доступны из Internet напрямую. Сетевые пакеты, приходящие от клиентов в локальной сети по одному интерфейсу, окажутся под контролем proxyсервера, работающего на двухканальном компьютере. Программное обеспечение proxy-сервера определяет, разрешен ли запрос, а затем выполняет его, отправляя пакеты по внешнему интерфейсу. Не исключено, что в случае повышенных требований к безопасности одного двухканального компьютера будет недостаточно для защиты Internet-подключения. Операционные системы компьютеров очень сложны, поэтому практически невозможно га-
25
рантировать полное отсутствие в них уязвимых мест. Например, Windows 2000 состоит из миллионов строк кода. Время от времени кто-нибудь обнаруживает новые ошибки, которые могут эксплуатироваться с целью нарушить защиту. Необходимо постоянно следить за рекомендациями производителей по обеспечению безопасности и получать обновления и исправления для всех замеченных недочетов.
Двухканальный
компьютер
Internet
Сервер
Рабочая
станция
Сервер
Рабочая
станция
Сервер
Рабочая
станция
Рабочая
станция
Рис. 2.2. Для связи локальной сети с Internet может быть использован двухканальный узел
Еще одно отличие между маршрутизатором с фильтрацией пакетов и двухканальным узлом заключается в том, что последний обычно функционирует в качестве proxy-сервера, а не пакетного фильтра. Вместо базы данных с правилами передачи пакетов между интерфейсами на двухканальном сервере, как правило, работает один или несколько proxy-серверов.
Применение экранированного узла
Межсетевой экран, выполненный в виде экранированного узла, использует защитные возможности и пакетного фильтра, и proxyсервера. В этой архитектуре, которая показана на рис. 2.3, для подключения к Internet служит пакетный фильтр, а для обеспечения различных сервисов - proxy-серверы.
26
Обратите внимание, что у proxy-сервера на этом рисунке имеется всего один сетевой интерфейс. Пакетный фильтр настроен так, чтобы пропускать только трафик proxy-сервера. Поскольку proxy-сервер и его клиенты находятся в одной подсети, клиентская рабочая станция может посылать пакеты непосредственно пакетному фильтру, но они будут отброшены. Пакетный фильтр пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передает - только отправляемые proxy-сервером.
Proxy-сервер |
|
|
|
Фильтр |
|
|||
|
|
|
пакетов |
|
||||
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Internet
Сервер
Рабочая
станция
Сервер
Рабочая
станция
Сервер
Рабочая
станция
Рабочая
станция
Рис. 2.3. Экранированный узел содержит и пакетный фильтр, и proxy-сервер
Работа подобного межсетевого экрана зависит от правильности настройки пакетного фильтра. Если бы для proxy-сервера применялся двухканальный компьютер, пакеты не могли бы напрямую пересылаться между локальной сетью и Internet, но в данном случае это не так. Например, вам может понадобиться какая-либо служба, для которой нет proxy-сервера. В этом случае можно настроить пакетный фильтр так, чтобы он разрешал маршрутизацию пакетов определенного типа от клиентов локальной сети в Internet, а пакеты всех других сервисов направлял через proxy-сервер. Решение о том, разрешать ли клиентам непосредственно взаимодействовать с маршрутизатором,
27
минуя пакетный фильтр, должно приниматься на основе вашей политики безопасности.
От чего межсетевой экран не может защитить
Межсетевой экран не в состоянии уберечь вас от взлома изнутри. Это означает, что для защиты от возможных разрушительных действий пользователей внутри сети следует прибегать к обычным средствам безопасности. При применении брандмауэра важно не забывать о том, что он не снимает все существующие проблемы безопасности в сети. Межсетевой экран не берет на себя повседневных функций по администрированию систем и обеспечению безопасности. Он просто создает еще один уровень безопасности.
Независимо от того, насколько вы уверены в надежности своего брандмауэра, не следует ослаблять безопасность серверов. Наоборот, даже если ваш брандмауэр вполне надежен, при подключении к Internet необходимо более внимательно следить за соблюдением политики безопасности на рабочих станциях и серверах локальной сети, чтобы убедиться в отсутствии уязвимых мест.
Брандмауэр не может защитить вас от:
вирусов. Хотя некоторые брандмауэры и способны распознавать вирусы в проходящем через них трафике, существует множество способов спрятать вирусы в программе. Если даже в описании вашего брандмауэра заявлена функция антивирусной проверки, не выключайте проверку вирусов на отдельных компьютерах в сети;
«троянских коней». Как и в случае с вирусами, блокировать проникновение в сеть «троянских коней» (Trojan horses) достаточно сложно. Пользователь нередко поддается искушению загрузить программу из Internet или открыть прикрепленный к сообщению электронной почты файл, проложив тем самым путь в систему вредоносной программе;
«социальной инженерии». Термин «social engineering» возник недав-
но и применяется для описания методов получения хакерами информации от доверчивых пользователей. Вы, вероятно, будете удивлены тем, как часто люди готовы сообщить свой пароль любому, кто позвонил по телефону и отрекомендовался представителем службы безопасности, что-нибудь «проверяющим». Межсетевой экран не в состоянии остановить невоздержного на язык сотрудника;
некомпетентности. Плохо подготовленные сотрудники или небрежное руководство приводят к ошибкам в настройках локальной сети и межсетевого экрана. Если сотрудники не понимают, как работает брандмауэр и как правильно его настраивать, не исключено, что это будет способствовать возникновению проблем;
атаки изнутри. Межсетевой экран не может предотвратить злонаме-
28
ренные действия внутри вашей сети. Это одна из причин, по которой безопасность компьютеров в сети остается важной проблемой и после установки брандмауэра.
Вопросы для самопроверки к главе 2
1.Опишите основные функции, которые имеются в современных брандмауэрах.
2.Покажите связь между потребностями пользователей Интернета и применением различных служб для их удовлетворения.
3.Опишите политики безопасности брандмауэра. Какая из них предпочтительней?
4.Расскажите о различных методах формирования межсетевого экрана.
Тесты к главе 2
1.Одной из задач Firewall является:
1)фильтрация входящих пакетов;
2)защита от вирусных атак;
3)защита от логических бомб.
2.Какая из политик безопасности брандмауэра предпочтительней?
1)разрешить все действия, не запрещенные специально;
2)запретить все действия, не разрешенные специально.
3.Firewall может быть организован:
1)на аппаратном уровне;
2)на программном уровне;
3)оба варианта.
4.Самой простой реализацией межсетевого экрана является:
1)экранирующий маршрутизатор;
2)двухканальный шлюз;
3)экранированная подсеть;
4)экранированный узел.
5.Proxy – сервер принимает решение на основе:
1)информации в заголовке пакета;
2)анализа всего содержимого пакета.
29
Глава 3 Криптографические методы защиты информации
Криптографические методы традиционно используются для шифрования конфиденциальной информации, представленной в любой материальной форме в виде:
письменных текстов;
данных, хранящихся на гибком диске;
сообщений, передаваемых в телекоммуникационных сетях;
программного обеспечения, графики или речи, закодированных циф-
ровыми последовательностями и т.п.
Эти методы могут быть использованы и для многих других приложений, связанных с защитой информации, в частности, для обнаружения фактов вторжения в телекоммуникационную или компьютерную сеть и введения в нее имитирующих сообщений. В настоящее время криптографическое преобразование информации в форму, непонятную для посторонних, является универсальным и надежным способом ее защиты.
С появлением компьютеров и использованием для связи компьютерных сетей шифрование данных стало более актуальным. Благодаря созданию новых мощных компьютеров, технологий сетевых и нейронных вычислений стало возможно «взломать» криптографические системы, до недавнего времени считавшиеся практически нераскрываемыми. Вместе с тем расширилось использование компьютерных сетей, в частности, глобальной сети Internet, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, доступ к которой для посторонних лиц недопустим. Все это привело к тому, что очень быстро практическая криптография в деловой сфере сделала огромный скачок в развитии, причем сразу по нескольким направлениям:
разработаны стойкие блочные шифры с секретным ключом, предназначенные для решения классической задачи — обеспечения секретности и целостности передаваемых или хранимых данных;
созданы методы решения новых, нетрадиционных задач защиты информации, наиболее известными из которых являются задачи цифровой подписи документа и открытого распределения ключей.
Современные криптографические системы позволяют шифровать сообщения так, что на их раскрытие могут понадобиться десятки или даже сотни лет непрерывной работы.
В настоящее время используются различные компьютерные криптоалгоритмы и программы для шифрования данных, наиболее извест-
ны из них DES, RSA, PGP, ГОСТ 28147-89.
30