Методы использования межсетевых экранов

В настоящее время большинство разработанных МЭ (табл. 18.2) совмещают в себе возможности МЭ, функционирующих на базе пакетных фильтров и прокси-серверов. МЭ могут быть реализованы двумя основными способами:

• при помощи специализированных программных или программно-аппаратных комплексов;

• при помощи маршрутизаторов с интегрированными функциями МЭ. Примерами таких МЭ могут служить МЭ Checkpoint FW-1, встроенные в коммутаторы компании Nortel Networks, и МЭ, интегрированные в маршрутизаторы Cisco.

В качестве общего недостатка технологии межсетевого экранирования можно отметить невозможность обнаружения и предотвращения ВН, источник которых находится в рамках сегмента ЛВС, защищаемого МЭ (рис. 18.4).

Рисунок 18.4 - Схема ВН, не обнаруживаемых МЭ

Рассмотрим возможность применения МЭ для решения задач обеспечения ИБ ГСПД. В настоящее время все МЭ, представленные на отечественном рынке ИБ, предназначены для использования только в IP-сетях, что не позволяет их применять в ГСПД, построенных на базе технологий Х.25, Frame Relay и ATM. В IP-сетях МЭ могут быть использованы для выполнения двух задач обеспечения ИБ ГСПД:

• защиты информационных ресурсов и инфраструктур ЦУС и маршрутизаторов от ВН, направленных на получение НСД по каналам связи ГСПД;

• защиты ЦУС и маршрутизаторов от ВН, направленных на нарушение работоспособности и реализуемых по каналам связи ГСПД.

Выполнение данных задач может осуществляться МЭ путём отфильтровывания тех поступающих в ЦУС или маршрутизаторы IP-сети пакетов данных, которые могут быть использованы нарушителем для реализации воздействия. Рассмотрим более подробно различные способы использования МЭ в целях защиты ЦУС и маршрутизаторов IP-сети.

Для защиты ЦУС от ВН, направленных на получение НСД к ЦУС по каналам связи и от ВН, направленных на нарушение работоспособности ЦУС, могут быть использованы два метода применения МЭ:

• установка МЭ, выполненных в виде специализированных программно-аппаратных комплексов, в сегменте ЛВС, посредством которого осуществляется подключение ЦУС к IP-сети (рис. 18.5);

• использование МЭ, интегрированных в маршрутизаторы IP-сети. Такой тип МЭ может встраиваться в маршрутизатор, при помощи которого ЦУС подключается к IP-сети.

Защита информационных ресурсов и инфраструктур ЦУС может осуществляться МЭ посредством удаления проходящих через МЭ пакетов данных, не удовлетворяющих параметрам фильтрования уровня межсетевого взаимодействия, транспортного уровня, а также уровня приложения стека протоколов TCP/IP. Если параметры заголовка пакета данных, проходящего через МЭ и предназначенного для ЦУС, не удовлетворяют параметрам фильтрации МЭ, то пакет удаляется. В противном случае пакет данных передаётся в ЦУС.

Рассмотрим более подробно параметры фильтрования каждого из уровней стека протоколов TCP/IP.

Параметры фильтрования уровня межсетевого взаимодействия позволяют определить перечень IP-адресов маршрутизаторов, с которых разрешается доступ к информационным ресурсам и инфраструктурам ЦУС. Таким образом, МЭ сможет отфильтровывать поступающие в ЦУС пакеты данных, в заголовках которых содержатся IP-адреса, не входящие в перечень адресов, хранящихся в МЭ. Тем самым МЭ сможет блокировать попытку нарушителя получить НСД к ЦУС по каналам связи при помощи терминального оборудования или маршрутизатора, IP-адрес которого не записан в МЭ.

Параметры фильтрования транспортного уровня задают номера ТСР- и UDP-портов, идентифицирующие протоколы прикладного уровня, при помощи которых маршрутизаторы IP-сети могут взаимодействовать с ЦУС. МЭ могут отфильтровывать IP-пакеты, содержащие блоки данных, сформированные при помощи тех протоколов прикладного уровня, которые могут быть использованы нарушителем для реализации воздействий, направленных на получение НСД к ресурсам и инфраструктурам ЦУС или на нарушение его работоспособности. Так, например, при помощи параметров фильтрования транспортного уровня можно запретить использование протокола TelNet путём отфильтровывания всех пакетов данных, заголовок TCP-сегментов которых содержит 23-й ТСР-порт.

На прикладном уровне стека протоколов TCP/IP параметры фильтрования МЭ могут определять конкретные параметры протоколов системы управления IP-сети, которые потенциально могут быть использованы нарушителем для реализации воздействия, направленного на получение НСД к ЦУС или на нарушение его работоспособности.

Рисунок 18.5 – Возможные схемы использования МЭ, предназначенных для защиты информационных ресурсов и инфраструктур ЦУС

Например, при помощи МЭ можно запретить выполнение определённых команд, содержащихся в блоках данных SNMP, или запретить запуск определённых программ на стороне ЦУС при помощи протокола TelNet и т.д.

Необходимо, однако, отметить, что МЭ не может обеспечить защиту ЦУС от ВН, реализуемых путём формирования пакетов данных, удовлетворяющих параметрам фильтрации МЭ. Так, нарушитель может сформировать пакет данных и отправить его от имени маршрутизатора, имеющего права доступа к информационным ресурсам и инфраструктурам ЦУС. В этом случае пакет данных, сформированный нарушителем, успешно пройдёт через МЭ и будет передан в ЦУС.

Для защиты информационных ресурсов и инфраструктур маршрутизаторов IP-сети от ВН, направленных на получение НСД или на нарушение работоспособности маршрутизатора, МЭ должен выполнять функцию перехвата и отфильтровывания тех поступающих в маршрутизатор пакетов данных, посредством которых нарушитель может реализовывать эти воздействия. Данная функция защиты может быть реализована двумя способами:

• путём оснащения защищаемого маршрутизатора функциями МЭ. Процедура оснащения может быть выполнена при помощи установки в маршрутизатор дополнительного программно-аппаратного обеспечения, выполняющего функции межсетевого экранирования. Возможность такой модернизации предусмотрена, например, в маршрутизаторах, производимых компаниями Cisco и Nortel networks;

• путём установки МЭ, выполненного в виде специализированного программно-аппаратного комплекса, в каналы связи портов защищаемого маршрутизатора, по которым в маршрутизатор могут поступать пакеты данных. Для реализации такого варианта установки для каждого канала связи порта маршрутизатора в МЭ необходимо использовать два сетевых адаптера, один из которых служит для приёма пакетов данных, а другой для их передачи в маршрутизатор (рис. 18.6). Такой вариант использования МЭ является более дорогостоящим, однако он может быть применен в том случае, если защищаемый маршрутизатор не может быть оснащён функциями МЭ.

Параметры фильтрования МЭ, предназначенных для защиты маршрутизаторов IP-сети от ВН, во многом аналогичны рассмотренным выше параметрам МЭ, применяемых для защиты ЦУС. Так, к параметрам фильтрования уровня межсетевого взаимодействия относятся:

• перечень IP-адресов объектов IP-сети, с которыми может взаимодействовать защищаемый маршрутизатор. Данный перечень может включать в себя IP-адрес ЦУС, а также IP-адреса смежных маршрутизаторов, с которыми защищаемый маршрутизатор может обмениваться информацией о топологии IP-сети. В случае если в МЭ поступит пакет данных, предназначенный для защищаемого маршрутизатора, и при этом IP-адрес отправителя этого пакета не будет содержаться в параметрах фильтрования МЭ, то этот пакет данных будет удалён;

• перечень протоколов маршрутизации, функции которых реализует защищаемый маршрутизатор. Если в МЭ поступит пакет данных, направленный в защищаемый маршрутизатор и сформированный при помощи протокола, не указанного в параметрах фильтрования МЭ, то такой пакет также будет удалён.

Рисунок 18.6 - Схема использования МЭ, выполненного в виде специализированного программно-аппаратного комплекса, предназначенного для защиты маршрутизатора IP-сети