- •Занятие12. Защита и управление доступом в Интернет
- •Определение требований к защите доступа в Интернет
- •Ограничение набора разрешенных приложений
- •Фильтрация по номеру порта
- •Ограничение прав пользователей
- •Применение nat
- •Nat и проверка пакетов spi
- •Выбор метода доступа в Интернет
- •Упражнение 1. Настройка службы rras в режиме маршрутизатора nat
- •Упражнение 2. Отключение службы rras
Nat и проверка пакетов spi
Некоторые реализации NAT поддерживают дополнительный защитный механизм под названием проверка пакетов SPI (stateful packet inspection). Это общее название механизмов, когда NAT тщательнее обычного проверяет пакеты, принятые из Интернета. Типичная реализация NAT анализирует лишь IP-адрес и номер порта, которому адресованы проходящие через него пакеты. Маршрутизатор NAT с проверкой пакетов SPI дополнительно анализирует поля заголовков сетевого и транспортного уровня в поисках сигнатур, характерных для атак типа подделки IP, синхронной лавины, а также teardrop-атак. Различные производители реализуют SPI по-своему, поэтому разные маршрутизаторы обеспечивают неодинаковый уровень безопасности.
Пересылка в порт
Обычно компьютеры Интернета не способны инициировать взаимодействие с компьютером сети, защищенной NAT, но методика под названием пересылка в порт (port forwarding) позволяет размещать в частной сети с незарегистрированными IP-адресами Web- и другие серверы. Эта методика позволяет передавать по назначению трафик, который маршрутизатор NAT обычно блокирует.
Преимущества пересылки в порт
Дополнительное преимущество механизма пересылки в порт в том, что он позволяет маршрутизатору манипулировать преобразованием адресов для поддержки дополнительных функций, таких как балансировка нагрузки. Сервер NAT способен распределять запросы, пришедшие на один зарегистрированный адрес, между несколькими незарегистрированными адресами, благодаря чему на сильно загруженных Web-сайтах можно развертывать несколько идентичных Web-серверов, чтобы распределять нагрузку между ними.
Применение прокси-серверов
Помимо доступа в Интернет NAT обеспечивает компьютерам с незарегистрированными адресами определенную защиту. Однако NAT функционирует на сетевом уровне и поэтому разрешает клиентам использовать любые приложения. Кроме того, NAT почти не поддерживает защитные функции брандмауэра (за исключением маршрутизаторов NAT с проверкой пакетов SPI). Администраторам, желающим получить более надежную защиту и дополнительные возможности по контролю действий пользователей в Интернете, рекомендуется использовать прокси-серверы.
Прокси-сервер (proxy server) — это посредник между клиентами и Интернетом, он напоминает маршрутизатор NAT, но работает на прикладном уровне. Клиенты с незарегистрированными IP-адресами отправляют запросы прокси-серверу, который генерирует идентичные запросы и направляет их серверам Интернета. Получив отклик, прокси-сервер ретранслирует его клиенту, приславшему запрос.
Первые прокси-серверы были относительно простыми программами, поддерживавшими ограниченный набор клиентских приложений, таких как Web-браузеры и почтовые клиенты. Администратору или пользователю приходилось настраивать каждый клиент, чтобы тот посылал запросы на IP-адрес прокси-сервера, а не напрямую серверам Интернета. Современные прокси-серверы — это комплексные решения для доступа в Интернет, поддерживающие все распространенные приложения и обеспечивающие администраторам большие возможности по контролю действий пользователей в Интернете.
Internet Security and Acceleration Server 2000
ISA Server 2000 — это прокси-сервер, поддерживающий широкий спектр функций брандмауэра, включая фильтрацию на разных уровнях, от пакетов до приложений. Благодаря этим возможностям прокси-сервер блокирует большинство типов атак из арсенала взломщиков эффективнее обычного маршрутизатора NAT. ISA Server 2000 также способен анализировать поступающие из Интернета Web-страницы, почтовые сообщения и другие данные на предмет содержания вирусов и другого вредоносного кода.
Помимо защиты сети от вторжений извне ISA обладает значительными возможностями по обеспечению внутренней безопасности. Он поддерживает политики, позволяющие отслеживать и регулировать доступ пользователей в Интернет. При помощи ПО клиента брандмауэра, которое поставляется вместе с ISA, можно настроить прокси-сервер так, чтобы пользователи, прежде чем получить доступ в Интернет, проходили аутентификацию ISA и получали разные уровни доступа в зависимости от своих удостоверений. Этот механизм позволяет без труда контролировать доступ к определенным Интернет-приложениям и сайтам, а также вести журналы действий пользователей в Интернете. Можно ограничивать время, проводимое пользователем в Интернете, указав часы, когда доступ разрешен.
Большинство прокси-серверов способно ускорять доступ, кэшируя загружаемые из Интернета данные. Когда клиент вновь посещает кэшированный Web -сайт, запрошенные им файлы загружаются из кэша прокси-сервера, а не из Интернета. Прокси-сервер располагается в корпоративной сети, поэтому его время отклика (при наличии в кэше запрошенной информации) меньше, чем у сервера Интернета, с которого исходно загружалась эта информация.