Филин С.А. Информационная безопасность, 2006
.pdfиспользуя комбинацию компьютеров-бастионов и маршрутизато ров. Правильно установленный брандмауэр поможет значительно повысить уровень защиты информации внутри организации.
При создании сети организации следует ставить своей целью за щиту конфиденциальных документов каждого отдела от внешних атак, независимо от того производят ли эти атаки внешние пользо ватели Интернет или пользователи внутренней сети, работающие в соседнем отделе. В большинстве случаев организации выгоднее создавать сети, основываясь на принципе «доступ по необходимо сти», т. е. если пользователю не требуется доступа к конкретной ин формации, он и не должен иметь этот доступ.
Брандмауэры обеспечивают достаточную защиту сети, не завися щую от требований внутренней безопасности. К тому же брандма уэр или брандмауэры, которые используют для защиты вашей сети от пользователей Интернета, очень похожи на брандмауэры, ис пользуемые для защиты документов каждого отдела. Сравнительно простая конфигурация брандмауэра, в которой используется один компьютер-бастион с тремя сетевыми картами для защиты трех от делов от случайных (или намеренных) вторжений друг к другу, пред ставлена на рис. 4.8 [66].
Первым уровнем защиты от вторжений в присоединенных сетях является экранирующий маршрутизатор, который выполняет фильт рацию пакетов на сетевом и канальном уровнях независимо от уров ня приложений. Поэтому экранирующий маршрутизатор позволяет
Рис. 4.8. Использование компьютера с множеством сетевых карт для защиты нескольких соединенных сетей
Отдельные
243
контролировать движение данных в сети без изменения приложений клиента или сервера, как показано на рис. 4.9 [66].
Хотя этот маршрутизатор относительно недорог и удобен в ис пользовании, он не может обеспечить достаточного уровня защиты. Основное его преимущество в том, что он работает исключительно на сетевом и транспортном уровнях модели ISO/OSI. Однако, чтобы действительно защитить сеть от нежелательных вмешательств извне, брандмауэр должен защищать каждый уровень протокола TCP/IP.
Основной недостаток экранирующих маршрутизаторов в том, что они осуществляют фильтрование данных, основываясь на недо статочном объеме данных. Ограничения, накладываемые на сетевой и канальный уровни, позволяют получить доступ только к IP-адре сам, номерам портов и флагам TCP. Из-за отсутствия контекстной информации у маршрутизаторов могут возникать проблемы с фильт рованием таких протоколов, как UDP. И наконец, администраторы, которые работают с экранирующими маршрутизаторами, должны
Рис. 4.9. Экранирующие маршрутизаторы для контроля трафика сети без изменения приложений клиента или сервера
Рис. 4.10. Брандмауэры для повышения эффективности экранирующих маршрутизаторов и других технологий фильтрования пакетов
Стек протоколов |
Брандмауэры |
|
Уровень |
и серверы- |
|
приложений |
посредники |
|
Сетевой уровень |
Маршрутизатор |
|
Канальный |
и другие фильтры |
|
пакетов |
||
уровень |
||
|
||
Физический уровень |
|
244
помнить, что у большинства устройств, осуществляющих фильтра цию пакетов, включая экранирующие маршрутизаторы, отсутствуют механизмы аудита и подачи сигнала тревоги, т. е. маршрутизаторы могут подвергаться атакам и отражать большое их количество, а адми нистраторы даже не будут осведомлены об этом. Поэтому для за щиты сетей администраторы должны дополнительно использовать другие технологии фильтрования пакетов совместно с применением брандмауэров (рис. 4.10) [66].
Архитектура брандмауэров
Поскольку брандмауэры предоставляют возможности фильтра ции данных на верхних уровнях модели 180/081, а не только на се тевом и канальном, для критериев отбора можно воспользоваться полной информацией уровня приложений. В то же время фильт рация будет происходить и на сетевом, и на транспортном уров нях. Здесь брандмауэр проверяет 1Р- и ТСР-заголовки проходящих сквозь него пакетов. Таким образом, брандмауэр отбрасывает или пропускает пакеты, основываясь на заранее определенных правилах фильтрования.
Обычно брандмауэр устанавливается между локальной сетью
иИнтернетом. Он препятствует проникновению пользователей все го мира в частную сеть и контролируетдоступ к данным, хранящимся в ней. Брандмауэр не является отдельным оборудованием или прог раммой, которая сделает все. Он всего лишь предоставляет обшир ные возможности для максимальной защиты сети от постороннего вмешательства, не создавая при этом особых неудобств зарегистри рованным пользователям сети.
Для создания самого лучшего брандмауэра достаточно прос то отключить (физически) сеть от Интернета. Если сеть не будет подсоединена к Интернету, посторонние пользователи Интернета никогда не смогут проникнуть или атаковать локальную сеть орга низации. Например, если организации требуется только внутрен няя сеть, которая обеспечивает доступ к базе данных по продажам,
инет необходимости в том, чтобы в эту сеть можно было проник нуть извне, можно физически изолировать компьютерную сеть от Интернета.
На самом нижнем уровне сети расположены физические кана лы. Используйте два набора каналов: один — для вашей локальной сети, другой — для Интернета. При этом сотрудники фирмы получат доступ как к внешней, так и к внутренней сетям. Сетевая конфигу рация, в которой используется сервер (компьютер-бастион) с двумя сетевыми картами, представлена на рис. 4.11 [66].
245
Рис. 4.11. Использование двух сетевых карт для доступа к различным сетям
Сетевые карты подсоединены к компьютеру через разные, изоли рованные друг от друга порты. Пользователи вашей сети могут пе реключать использующуюся в настоящий момент сетевую карту
спомощью программного обеспечения. При этом они могут пользо ваться и локальной сетью, и Интернетом, но не тем и другим одно временно.
Одно из преимуществ подобной конструкции в том, что она пол ностью защищает внутреннюю сеть от внешних пользователей. В то же время эта конструкция обеспечивает достаточно простую связь
сИнтернетом тем пользователям, которым это требуется.
Поскольку при такой конструкции необходимо добавить вторую сетевую карту, реализация этого проекта обходится недешево, а цена увеличивается по мере роста пользователей, которым требуется до ступ к Интернету. Кроме того, когда число пользователей вашей сети, которым требуется доступ к Интернету, возрастет, вместо описанной выше конструкции более предпочтительным станет использование брандмауэра и компьютера-бастиона.
Создание брандмауэра — сложная задача, поскольку требуется разумно совместить функциональные возможности со средствами безопасности. Брандмауэр должен позволять зарегистрированным пользователям передвигаться в локальной сети и в Интернете без су щественных препятствий. Но при этом брандмауэр должен пропу скать незарегистрированных пользователей лишь на очень ограни ченную территорию.
Большинство проектировщиков брандмауэров называют эту малую территорию зоной риска (region of risk). Зона риска — это та информация и системы сети организации, которые подвергаются риску при атаке хакеров. Например, когда сеть напрямую соединена с Интернетом, то она полностью превращается в зону риска.
Можно считать каждый компьютер незащищенной сети подвер гаемым риску, и в этом случае ни один из файлов или систем не яв
246
ляются конфиденциальными. Хорошо выполненный брандмауэр ограничивает зону риска до рамок самого брандмауэра или до не скольких компьютеров сети.
Зона риска для сети, защищенной брандмауэром, ограничивается самим брандмауэром.
Зона риска, естественно, будет расширяться, если хакер проник нет в брандмауэр. При этом он может использовать брандмауэр как средство для атаки сети. Взломанный брандмауэр может послужить отправной точкой для проведения атак на другие компьютеры сети. Однако, если взломщик пройдет через заслонку, создаваемую бранд мауэром, шансы на выявление, поиск и устранение хакера из сети возрастают. Хакер, проникающий и покидающий систему через узкое пространство брандмауэра, неизбежно оставит после себя ин формацию, с помощью которой системный администратор сможет его выявить и выследить. Кроме того, благодаря вторжениям опыт ный системный администратор сможет найти способ закрыть ту узкую щель, через которую проникает хакер.
Хорошо выполненный брандмауэр будет снабжать системного администратора информацией о том, какие виды переноса данных проходят через брандмауэр, какие не проходят и сколько раз испор ченные пакеты пытались пройти через него. Последняя информация часто помогает определить, сколько раз хакеры пытались взломать брандмауэр.
Большинство брандмауэров поддерживают один или несколько уровней шифрования (encryption). Шифрование — это способ защи тить передаваемую информацию от перехвата. Для защиты от атак необходимо зашифровывать всю информацию, исходящую из вашей сети. Многие брандмауэры, которые предоставляют возможности шифрования, защищают исходящие из сети данные, автоматически зашифровывая их перед отправлением в Интернет. Кроме того, они автоматически расшифровывают приводящие данные, прежде чем отправить их в локальную сеть. Используя функции шифрования, предоставляемые брандмауэрами, можно пересылать данные через Интернет удаленным пользователям, не беспокоясь о том, что ктото может случайно перехватить и прочесть их.
Необходимость в брандмауэре возникает, когда организация ставит задачу соединения своей локальной сети с Интернетом. Определение конструкции брандмауэра начинают с анализа всего разнообразия коммуникаций, которые организация будет осуществ лять между локальной сетью и Интернетом. Прежде чем выбрать
исконструировать брандмауэр, организации следует определить:
—хочет ли она, чтобы пользователи Интернета могли загружать свои файлы на сервер вашей сети;
247
—хочет ли она, чтобы пользователи Интернета могли загружать файлы с сервера вашей сети;
—хочет ли она, чтобы определенным пользователям (например, конкурентам) было отказано в доступе к вашей сети;
—должна ли сеть включать доступные из Интернета интернетстраницы; .
—будет ли сайт организации поддерживать Telnet;
—какие права доступа к Интернету нужно предоставить сотруд никам организации;
—выделить ли отдельных сотрудников, которые будут занимать ся вопросами обеспечения безопасности брандмауэра;
—самое худшее, что может произойти с вашей сетью и данными, если кто-то взломает ее.
Брандмауэр может быть весьма простым — единственным маршрутизатором или же весьма сложным — системой маршрути заторов и хорошо защищенных серверов (главных компьютеров). Брандмауэры можно установить внутри корпоративной сети, чтобы усилить меры безопасности для отдельных ее сегментов.
Чтобы удовлетворить требованиям широкого диапазона пользо вателей, существует три типа брандмауэров: сетевого уровня, уровня приложений и уровня соединения. Каждый из этих трех типов бранд мауэров использует несколько различных подходов к защите корпо ративных сетей. Решение о выборе брандмауэра должно учитывать тип и степень защиты, требуемой для сети, а именно это и определя ет необходимую конструкцию брандмауэра. Сделав наиболее опти мальный выбор, можно лучше разработать брандмауэр.
Брандмауэр сетевого уровня [9, 66] — это обычно экранирующий маршрутизатор или специальный компьютер, который исследует адреса пакетов, чтобы определить, передать ли пакет в корпора тивную сеть (из нее) или отклонить его. Как известно, пакеты на ряду с другой информацией содержат IP-адреса отправителя и по лучателя, а также массу другой информации, которую использует брандмауэр для управления доступом к пакету. Можно, например, сконфигурировать брандмауэр сетевого уровня или маршрутиза тор так, что он будет блокировать все сообщения из того или иного сайта, например, поступающие от определенного сайта конкурента, и все сообщения, отправляемые серверу конкурента из вашей сети. Обычно настройка экранирующего маршрутизатора на блокирова ние определенных пакетов происходит с помощью файла, который
248
содержит IP-адреса сайтов (мест назначения), чьи пакеты следует блокировать. Брандмауэр (или маршрутизатор) должен блокировать пакеты, в которых эти адреса фигурируют как адреса отправителя или получателя. Когда экранирующий маршрутизатор встречает па кет, содержащий определенный в этом файле адрес, он отбрасывает пакет и не дает ему проникнуть в локальную сеть или выйти из нее. Подобное блокирование конкретных узлов часто называется мето дом черного списка (blacklisting). Большая часть программного обес печения экранирующих маршрутизаторов позволяет внести в чер ный список (заблокировать) сообщения от внешних сайтов (другими словами, от внешних сетей), но не от определенных пользователей или компьютеров вашей сети.
Пакет, пришедший на экранирующий маршрутизатор, может со держать сообщение, любое количество информации, например, со общение электронной почты, запрос на услугу типа HTTP (доступ к Интернет-странице), FTP (возможность пересылки или загрузки файла) или даже запрос Telnet на вход в корпоративную систему (запрос от удаленного пользователя на доступ к вашему компьюте ру). В зависимости от того, как вы составите файл экранирующего маршрутизатора, маршрутизатор сетевого уровня распознает каж дый тип запроса и будет предоставлять различные функции для каж дого типа запросов. Так, можно запрограммировать маршрутизатор, разрешив пользователям Интернета просматривать Интернет-стра- ницы организации, но не позволять им использовать FTP для пере сылки файлов на корпоративный сервер или из него. Или можно запрограммировать маршрутизатор так, чтобы он позволял пользо вателям Интернета загружать файлы с вашего сервера на их серверы, не позволяя загружать файлы с их серверов на ваш. Обычно экра нирующий маршрутизатор программируется так, что для принятия решения о том, пропустить или не пропустить через себя пакет, им рассматривается следующая информация:
—адрес источника пакета;
—адрес места назначения пакета;
—тип протокола сеанса данных (например, TCP, UDP или
ICMP);
—порт источника и порт приложения назначения для требуемой службы;
—является ли пакет запросом на соединение.
Если вы правильно установили и сконфигурировали брандмауэр сетевого уровня, его работа будет достаточно быстрой и почти неза метной для пользователей. Конечно, для тех, кто находится в черном списке, это будет совсем не так.
249
Правильно установленный и сконфигурированный брандмауэр сетевого уровня является быстродействующим и «прозрачным» для пользователей. Конечно, для пользователей, помещенных в черный список, маршрутизатор оправдает свое название (брандмауэр) с точ ки зрения эффективности задержания нежелательных посетителей.
Как правило, маршрутизаторы поставляются с соответствующим программным обеспечением. Для программирования маршрутиза тора в специализированный файл вводятся соответствующие прави ла, которые указывают маршрутизатору, как обрабатывать каждый входящий пакет.
В качестве брандмауэра уровня приложения обычно используется главный компьютер сети, использующий программное обеспечение
сервера-посредника ((прокси-сервер (proxy-server))35 [9, 66].
Сервер-посредник — это программа, управляющая трафиком и контролирующая передачу данных между двумя сетями, обеспечи вая связь между пользователями локальной сети и серверами присо единенной (внешней) сети.
В некоторых случаях он может управлять всеми сообщениями не скольких пользователей сети. Например, какой-либо пользователь сети, обладающий доступом к Интернету через сервер-посредник, будет казаться остальным компьютерам, входящим в Интернет, сер вером-посредником (т. е. пользователь использует ТСР-адрес серве ра-посредника). В сети сервер-посредник может предоставлять до ступ к определенной секретной информации (например, секретная база данных) без передачи (прямым текстом) пароля клиента.
Когда вы используете брандмауэр сетевого уровня, локальная сеть не подсоединена к Интернету. Более того, поток данных, кото рый перемещается по одной сети, никогда не пересекается с потоком данных, который перемещается по другой сети, поскольку сетевые кабели этих сетей не соединены друг с другом. При использовании брандмауэра уровня приложения корпоративная сеть и Интернет физически не соединены. Трафик одной сети никогда не смешива ется с трафиком другой, потому что их кабели разъединены. Работа прокси-сервера заключается в передаче изолированных копий паке тов из одной сети в другую. Сервер-посредник передает отдельную
35 Название сервер-посредник возникло от слова «ргоху» — заместитель, посредник.
250
копию для каждого пакета, поступающего от одной сети другой, независимо от того, содержит этот пакет входящие или выходящие данные. Брандмауэр уровня приложений эффективно маскирует происхождение инициализации соединения (источник, от которо го исходит запрос на соединение), и защищает корпоративную сеть от пользователей Интернета, пытающихся получить доступ к ин формации о сети организации.
Поскольку сервер-посредник распознает сетевые протоколы, можно запрограммировать его таким образом, что он будет отслежи вать, какая именно служба требуется, и установить набор услуг, пре доставляемых корпоративной сетью. Например, сервер-посредник можно настроить так, чтобы он позволял клиентам осуществлять за грузку с помощью FTP файлов с вашего сервера, но не позволит за гружать с помощью FTP файлы на ваш сервер. Серверы-посредники предоставляют множество функций доступа, таких как HTTP, Telnet, FTP. В отличие от маршрутизатора необходимо устанавливать раз личные серверы-посредники для разных сетевых служб. Например, для сетей на базе Unix и Linux используют TIS Интернет Firewall Toolkit и SOCKS. Если сервер на базе NT-подобных операционных систем, поддержку сервера-посредника осуществляет как Microsoft
Интернет Information Server, так и Netscape Commerce Server.
При установке сервера-посредника уровня приложения поль зователи должны применять клиентское программное обеспече ние, поддерживающее режим посредника с сервером-посредником. Проектировщики сетей создали множество протоколов TCP/IP, включая HTTP, FTP и др., в которых осуществлена поддержка сер- вера-посредника. В большинстве Web-броузеров пользователи могут с легкостью сконфигурировать их на поддержку сервера-посредни ка, используя предпочтения программного обеспечения броузеров. Необходимо выбирать приложение для работы в Интернет, основы ваясь на том, совместимо оно или нет со стандартными протоколами посредников. Например, приложения, которые поддерживают про токол посредников SOCKS, являются хорошим выбором, если вся сеть базируется на SOCKS. Когда устанавливается брандмауэр уровня приложений, следует также оценить, будут ли пользователи вашей сети использовать клиентское программное обеспечение, которое поддерживает службы посредника.
Таким образом, брандмауэры уровня приложения позволяют кон тролировать тип и объем трафика (передач данных), поступающего на сайт. Так как брандмауэры уровня приложений устанавливают
251
определенное физическое разделение между локальной сетью и Интернетом, они отвечают самым высоким требованиям безопас ности. Однако, поскольку программа должна анализировать паке ты и принимать решения по управлению доступом, брандмауэры уровня приложения могут уменьшать эффективность сети, в част ности, ее производительность. Если предполагается использовать брандмауэр уровня приложений, то для установки сервера-посред ника необходимо использовать наиболее быстродействующий ком пьютер.
Брацдмауэр уровня соединения подобен брандмауэру уровня при ложения — оба они являются серверами-посредниками. Однако для брандмауэра уровня соединения не нужно использовать специаль ные приложения, поддерживающие режим связи между серверомпосредником и клиентом [9, 66].
Брандмауэр уровня соединения устанавливает связь между клиен том и сервером, не требуя, чтобы каждое приложение знало что-либо о сервисе, т. е. клиент и сервер сообщаются через брандмауэр уров ня соединения без сообщения с самим брандмауэром. Брандмауэры уровня связи защищают только начальный этап транзакции и не вмешиваются в ее дальнейший ход.
Преимущество брандмауэра уровня соединения в том, что он обеспечивает сервис для широкого класса протоколов, в то время как брандмауэр уровня приложения требует отдельного посредника уровня приложений этого уровня для всех и каждого вида сервиса, который осуществляется брандмауэром. Так, используя брандмауэр уровня соединения для HTTP, FTP или, например, Telnet, нет не обходимости вносить изменения в существующие приложения или добавлять новые серверы-посредники для каждой службы — мож но просто использовать существующее программное обеспечение. Другая особенность брандмауэров уровня соединения в том, что можно работать только с одним сервером-посредником, что проще, чем регистрировать и контролировать несколько серверов.
При создании брандмауэра необходимо определить, какой тра фик (какие виды данных) брандмауэр будет пропускать через свою корпоративную сеть, а какие нет. Можно выбрать маршрутизатор, который будет фильтровать выбранные пакеты, или использовать некоторый тип программы-посредника, которая будет выполняться на главном компьютере сети. Наилучшей зашитой для сети будет яв ляться использование в архитектуре брандмауэра как маршрутизато ра, так и сервера-посредника.
252