Особенности межсетевых экранов

2Программно-аппаратные методы защиты от удаленных атак в сети Internet

1Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети

Межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия. Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными. При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие — на регламентировании разрешенного межмашинного обмена.

Межсетевой экран FireWall/Plus предназначен для решения трех основных задач:

защита ресурсов корпоративных сетей от атак со стороны Internet;

реализация мер безопасности (для выделенного сервера/группы серверов);

разделение сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.

2 Программно-аппаратные методы защиты от удаленных атак в сети Internet

1 Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов. Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи".

При этом задача экранирования формулируется как защита внутренней области

от потенциально враждебной внешней.

МЭ устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet.

Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко.

Безопасность распределенных вычислительных систем в Интернет

Методы защиты от удаленных атак в сети Internet 85 2 Программно-аппаратные методы защты от удаленных атак в сети Internet

1Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте

IP-сети

Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети.

В общем случае методика Firewall реализует следующие основные три функции:

1. Многоуровневая фильтрация сетевого трафика

Фильтрация обычно осуществляется на трех уровнях OSI:

сетевом (IP);

транспортном (TCP, UDP);

прикладном (FTP, TELNET, HTTP, SMTP и т. д.).

Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети

2Программно-аппаратные методы защиты от удаленных атак в сети Internet

1Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети

2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте

Proxy-схема позволяет,

во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя

во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами.

Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте Firewall.

На этом proxy-сервере и может осуществляться дополнительная идентификация абонента

3.Создание приватных сетей (Virtual Private Network –VPN) с "виртуальными" IP-адресами (NAT - Network Address Translation)

Втом случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания приватной сети (VPN- сеть). Хостам в VPN -сети назначаются любые "виртуальные" IP- адреса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней VPN -сети виртуальный IP-адрес, очевидно, не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами VPN -сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов.

Рис. 5. Обобщенная схема полнофункционального хоста Firewall.

Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall- методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы.

Руководящий документ “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”. Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.

Безопасность распределенных вычислительных систем в Интернет 90

Методы защиты от удаленных атак в сети Internet

2 Программно-аппаратные методы защиты от удаленных атак в сети Internet Проектирование демилитаризованной зоны

DMZ – сокращение от demilitarized zone (демилитаризованная зона) – подразумевает собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это защищенная локальная сеть) от доступа, который осуществляется из Интернета. DMZ создается посредством реализации полузащищенной сетевой зоны, что достигается путем применения межсетевых экранов или маршрутизаторов со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ. Очевидно, что все системы, доступные из внешней среды, должны быть размещены в демилитаризованной зоне. Следует учитывать и то, что, если система доступна через интерактивный сеанс (такой, как telnet или SSH), то открывается возможность проведения атак против других систем, находящихся в DMZ.

Пример возможной архитектуры безопасной ЛВС использованием демилитаризованной зоны: сеть включает в себя два межсетевых экрана, отделяющих DMZ от внешней и внутренней сети (рис. 6).

Рис. 6. Схема с двумя файрволами и общим соединением.