Тип пакета содержит код протокола, который соответствует сетевому или транспортному уровню. Флаг фрагментации пакета определяет наличие или отсутствие фрагментации. Номера портов источника и получателя однозначно идентифицируют прикладную программу отправителя, а также прикладную программу, для которой предназначен этот пакет. Для возможности фильтрации пакетов по адресам портов необходимо знание принятых в сети соглашений относительно выделения номеров портов протоколам высокого уровня.
Экранирующие маршрутизаторы не обеспечивают высокой степени безопасности, так как проверяют только заголовки пакетов и не поддерживают таких функций, как аутентификация конечных узлов, шифрование пакетов, проверка их целостности и т.п. Эти маршрутизаторы чувствительны к таким атакам, как подделка исходных адресов, несанкционированная модификация содержимого пакетов сообщений, а обход таких экранов реализуется на основе формирования заголовков пакетов, которые удовлетворяют правилам фильтрации.
Экранирующий шлюз сеансового уровня предназначен для контроля виртуальных соединений и трансляции адресов (например, IP-адрес) при взаимодействии с внешней сетью. Он функционирует на сеансовом уровне модели OSI, охватывает транспортный и сетевой уровни, а защитные механизмы принадлежат к функциям посредничества.
Контроль виртуальных соединений заключается в контроле квитирования связи и передачи информации из установленных виртуальных каналов.
При контроле квитирования осуществляется контроль установки виртуального соединения между узлами внутренней и внешней сетей путем определения допустимой связи, на основе информации, которая содержится в заголовках пакетов сеансового уровня, протокола TCP. Однако если пакетный фильтр при анализе заголовков проверяет только номера портов источника и получателя, то экранирующий шлюз сеансового уровня анализирует другие поля, которые относятся к процессу квитирования связи. Определение шлюзом допустимости запроса на сеанс связи осуществляет-
700
Глава 9. Методы и средства защиты от несанкционированного доступа
ся по алгоритму (рис. 9.39).
После установления соединения с компьютером внешней сети шлюз действует от лица клиента, следит за выполнением квитирования связи, например по протоколу TCP, а примером базового критерия фильтрации может быть возможность DNS-сервера определить IP-адрес клиента и ассоциированное с ним имя.
Начало
Запрос Запрос на связь с осуществляет
внешней сетью компьютер (клиент)
Шлюз
принимает Прием запроса запрос от
клиента
Нет
Соответствие
Да
Шлюз
базовым
проверяет
критериям
соответствие
фильтрации
критериям
Отказ в
соединении
Установление
соединения
Конец
Рис. 9.39. Алгоритм определения допустимости запроса на сеанс связи
Рассмотрим процедуру квитирования связи на примере обмена TCPпакетами, где флагом SYN обозначается синхронизация, а АСК - подтверждение (рис. 9.40).
SYN (01100100)
Пассивный
ACK (01100101), SYN (11001000)
Активный
компьютер
ACK (11001001)
компьютер
внешней
внутренней сети
сети
(клиент)
ACK, данные
Рис. 9.40. Схема квитирования связи по протоколу TCP
Первый пакет сеанса TCP, обозначенный флагом SYN, содержит произвольное число, например 01100100, и является запросом клиента на открытие сеанса. Компьютер внешней сети, который получил этот пакет, посылает ответ, обозначенный флагом АСК, и содержит число на един и- цу больше, чем в принятом пакете (в нашем случае 01100101), подтверждая таким образом прием пакета SYN от клиента. Кроме того, осуществляя обратную процедуру, компьютер внешней сети посылает также клиенту пакет SYN, но уже с порядковым номером первого байта передачей данных (например, 11001000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 11001001. На этом процесс квитирования связи завершается.
Для экранированного шлюза сеансового уровня (рис. 9.41) сеанс считается допустимым тогда, когда при квитировании связи флаги SYN и АСК и числа заголовков TCP-пакетов оказываются логически связанными между собой. После того как шлюз определил, что компьютеры внутренней и внешней сетей являются авторизованными участниками сеанса TCP, и проверил допустимости данного сеанса, он устанавливает соединение.
Экранированный шлюз сеансового
Трансляция уровня
внутренних
Потенцій о
Внешняя
IP-адресов
Канальные
Внутренняя
ворожа зовнішня
сеть
посредники
сеть
мережа
Рис. 9.41. Схема функционирования шлюза сеансового уровня
Для контроля виртуальных соединений используются специальные программы (канальные посредники), устанавливающие виртуальные каналы между внутренней и внешней сетями.
В основном экранирующие шлюзы сеансового уровня работают в комплексе с экранирующими шлюзами прикладного уровня.
С точки зрения практической реализации шлюз сеансового уровня - достаточно простая и надежная программа и дополняет экранирующий маршрутизатор функциями контроля виртуальных соединений и трансляции внутренних адресов (например, IP-адреса).
Шлюз сеансового уровня имеет почти такие же недостатки, что и экранный маршрутизатор, поэтому он применяется как дополнение к экранирующему шлюзу прикладного уровня.
Экранирующий шлюз прикладного уровня функционирует на прикладном уровне модели OSI, охватывая также уровень представления данных, и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Его защитные функции принадлежат к функциям посредничества, но, в отличие от
702
Глава 9. Методы и средства защиты от несанкционированного доступа
экранированного шлюза сеансового уровня, он выполняет большее количество функций, к которым принадлежат те, что реализуются экранирующими агентами (рис. 9.42) и используются по одному для каждого обслуженного прикладного протокола.
Прикладной шлюз, равно как и шлюз сеансового уровня, перехватывает с помощью соответствующих экранирующих агентов входные и исходные пакеты, копирует и переправляет информацию через шлюз, функционируя как сервер-посредник, кроме прямых соединений между внутренней и внешней сетями. Посредники, пользующиеся прикладным шлюзом, связаны с конкретными прикладными программами и могут фильтровать поток сообщений на прикладном уровне модели OSI.
Рис. 9.42. Схема функционирования экранирующего шлюза прикладного уровня
Прикладные шлюзы в качестве посредников используют программные серверы конкретных служб (передача файлов, электронной почты, отдаленного управления и т.п.), функционирующие на брандмауэре в резидентном режиме и реализуют функции защиты.
Как и в случае экранирующего шлюза сеансового уровня, для связи между компьютерами внутренней и внешней сетей соответствующий посредник прикладного шлюза образовывает два соединения: от компьютеров (внутренней сети) к брандмауэру и от брандмауэра к месту назначения. Но, в отличие от канальных посредников, посредники прикладного шлюза пропускают только пакеты, генерированные теми прикладными программами, которые им поручено обслуживать. Например, программа-посредник Web-службы может обрабатывать лишь трафик, генерированный этой службой. Если в сети работает прикладной шлюз, то входные и исходные пакеты могут передаваться лишь для тех служб, для которых есть соответствующие посредники.
Во время налаживания прикладного шлюза и описания правил фильтрации сообщений используются такие параметры, как название сервиса, допу-
стимый временной диапазон его использования, ограничение на содержание сообщений, связанных с этим сервисом, компьютеры, из которых можно пользоваться сервисом, идентификаторы пользователей, схемы аутентификации и т.п. Основные преимущества экранированного шлюза прикладного уровня:
за счет возможности выполнения большого количества функций посредничества обеспечивает наиболее высокий уровень защиты локальной сети;
защита на уровне приложений разрешает осуществлять большое количество дополнительных проверок, уменьшая тем самым вероятность проведения успешных атак, основанных на недостатках программного обеспечения;
при нарушении трудоспособности прикладного шлюза блокируется сквозное прохождение пакетов между разделяемыми сетями, которое не снижает безопасность защищенной сети в случае отказов.
При этом экранированный шлюз прикладного уровня имеет ряд недостатков:
довольно большая сложность самого брандмауэра, а также процедур его установки и конфигурирование;
высокие требования к производительности и ресурсоемкости компьютерной платформы;
отсутствие "прозрачности" для пользователей и снижение пропускной способности при реализации межсетевых взаимодействий.
Для эффективной защиты межсетевые взаимодействия брандмауэр должен быть правильно установлен и сконфигурирован. Для этого необходимо разработать политику межсетевого взаимодействия, определить схемы подключения межсетевого экрана и наладить параметры функционирования брандмауэра.
Разработка политики межсетевого взаимодействия. Политика межсете-
вого взаимодействия являются той частью политики безопасности в организации, которые определяет требования к безопасности информационного обмена с внешним окружением. Эти требования непременно должны отражать два аспекта: политику доступа к сетевым серверам; политику работы межсетевого экрана.
Политика доступа к сетевым сервисам определяет правила предостав-
ления и использования всех возможных сервисов защищаемой компьютерной сети. Должны быть заданы все сервисы, предоставляемые межсетевым экраном, определены допустимые адреса клиентов для каждого сервиса, указаны правила относительно того, когда и какие пользователи каким именно сервисом и на каком компьютере могут воспользоваться, в частности правила аутентификации компьютеров и пользователей, а также условия работы последних вне локальной сети.
Политика работы межсетевого экрана задает базовый принцип управ-
ления межсетевым взаимодействием, положенный в основу функционирования
704
Глава 9. Методы и средства защиты от несанкционированного доступа
брандмауэра. Может быть выбран один из двух таких принципов: запрещено все, что не разрешено; разрешено все, что не запрещено.
В первом случае межсетевой экран конфигурируется так, чтобы блокировать любые неразрешенные межсетевые взаимодействия. Такой подход дает возможность адекватно реализовать принцип минимизации привилегий, а значит, с точки зрения безопасности он наилучший.
Во втором случае межсетевой экран налаживается таким образом, чтобы блокировать только запрещенные межсетевые взаимодействия, благодаря чему повышается удобство использования сетевых сервисов пользователями. Тем не менее вместе с тем снижается безопасность межсетевого взаимодействия, когда администратор может учесть не все действия, которые запрещены пользователям.
Определение схемы подключения межсетевого экрана. Для под-
ключения межсетевых экранов используются разные схемы, зависящие от условий функционирования и количества сетевых интерфейсов брандмауэра.
Брандмауэры с одним сетевым интерфейсом (рис. 9.43) недостаточно эффективны с точки зрения безопасности и из позиций удобства конфигурирования. Физически не разграничиваются внутренняя и внешняя сети, а потому не обеспечивается надежная защита межсетевых взаимодействий. Отладка таких экранов и соединение с ними маршрутизаторов - довольно сложная задача, стоимость решения которой превышает стоимость брандмауэра с двумя или тремя сетевыми интерфейсами. Поэтому будем рассматривать лишь две последних схемы подключения. При этом защищаемую локальную сеть подадим как совокупность закрытой и открытой подсетей, где открытой является та подсеть, доступ к которой со стороны внешней сети может быть целиком или частично открытым.
Рис. 9.43. Защита локальной сети брандмауэром с одним сетевым интерфейсом
Среди многочисленных возможных схем подключения брандмауэров типичными являются:
схема из защищенного закрытой и незащищенной открытой подсетей; схема с распределенной защитой закрытой и открытой подсетей.
Схема единой защиты локальной сети является наиболее простым решением (рис. 9.44), согласно которому брандмауэр целиком экранирует локальную сеть от внешней, а между маршрутизатором и брандмауэром существует только один путь для трафика. При этом маршрутизатор настраивается так, что брандмауэр является единственным видимым извне узлом. Серверы, входящие в локальную сеть, защищены межсетевым экраном, но объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенным образом снизит безопасность межсетевых взаимодействий. Поэтому эту схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда они являются доступными из внешней сети только для ограниченного числа доверенных пользователей.
Рис. 9.44. Схема единой защиты локальной сети
При наличии в локальной сети общедоступных открытых серверов их целесообразно вынести в открытую подсеть к межсетевому экрану (рис.
9.45).
Рис. 9.45. Схема с защищенной и незащищенной открытой подсети
Такой способ обеспечивает высшую защищенность закрытой части локальной сети, но вместе с тем снижается безопасность открытых серверов.
706
Глава 9. Методы и средства защиты от несанкционированного доступа
Некоторые брандмауэры дают возможность разместить эти серверы на себе, но такое решение не является наилучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра, поэтому такую схему целесообразно использовать лишь при невысоких требованиях к безопасности открытой подсети.
Если к безопасности открытых серверов выдвигаются повышенные требования, то необходимо использовать схему с распределенной защитой закрытой и открытой подсети. Такую схему можно построить на основе одного брандмауэра с тремя сетевыми интерфейсами (рис. 9.46) или двух брандмауэров с двумя сетевыми интерфейсами (рис. 9.47). В обоих случаях доступ к открытой и закрытой подсети локальной сети возможен только через межсетевой экран, при этом доступ к открытой подсети не дает возможности осуществить доступ к закрытой.
Рис. 9.46. Схема с распределенной защитой закрытой и открытой подсети на основе одного брандмауэра с тремя сетевыми интерфейсами
Рис. 9.47. Схема с раздельной защитой закрытой и открытой подсетей на основе двух брандмауэров с двумя сетевыми интерфейсами
Из последних двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя брандмауэрами, каждый из которых образовывает отдельный эшелон защиты закрытой подсети, а защищенная открытая подсеть здесь выступает как экранированная подсеть, конфигурируемая таким образом, чтобы обеспечить доступ к компьютерам подсети как из внешней сети, так и из закрытой локальной. Но прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможный. При атаке системы с экранированной подсетью необходимо преодолеть по крайней мере две независимые линии защиты. Средства мониторинга состояния межсетевых экранов, как правило, проявят такую попытку атаки, и администратор системы сможет своевременно начать необходимые действия относительно предотвращения НСД.
Отладка параметров функционирования брандмауэра. Межсетевой экран является программно-аппаратным средством защиты, которая состоит из компьютера, а также операционной системы и специального программного обеспечения (которое часто называют брандмауэром), которые функционируют на нем.
Компьютер брандмауэра должны быть довольно мощным и физически защищенным (например, содержаться в специально отведенном помещении, которое охраняется) и иметь средства защиты от загрузки операционной системы из несанкционированного носителя.
Операционная система брандмауэра также должны удовлетворять ряду требований:
иметь средства размежевания доступа к ресурсам системы; блокировать доступ к компьютерным ресурсам в обход существующего
программного интерфейса; запрещать привилегированный доступ к своим ресурсам из локальной сети;
содержать средства мониторинга (аудита) любых административных действий.
После установления брандмауэра осуществляется отладка параметров, которые состоит из таких этапов:
1)формирование правил работы межсетевого экрана соответственно разработанной политике межсетевого взаимодействия и описание правил в интерфейсе брандмауэра;
2)проверка заданных правил на непротиворечивость;
3)проверка соответствия параметров отладки брандмауэра разработанной политике межсетевого взаимодействия.
Сформированная на первом этапе база правил работы межсетевого экрана является формализованным отображением разработанной политики межсетевого взаимодействия, а компонентами правил являются защищаемые объекты, пользователи и сервисы.
708
Глава 9. Методы и средства защиты от несанкционированного доступа
К таким объектам могут принадлежать компьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькими сетевыми интерфейсами), маршрутизаторы, сети и т.п. Объекты, каждый из которых имеет ряд атрибутов (сетевой адрес, маска подсети и т.п.), могут объединяться в группы. Важно обращать внимание на необходимость полного описания объектов для проверки корректности заданных правил экранирования. Такое описание возможное только тогда, когда определены все сетевые интерфейсы шлюзов и маршрутизаторов.
При описании правил работы межсетевого экрана пользователям предоставляются входные имена, которые объединяются в группы. Для пользователей отмечаются допустимые исходные и целевые сетевые адреса, диапазон дат и времени работы, а также схемы и порядок аутентификации.
Определение набора и свойств используемых сервисов осуществляется на основе встроенной в дистрибутив брандмауэра базы данных, а для нестандартных сервисов параметры могут задаваться вручную с помощью специальных атрибутов.
После формирования базы правил осуществляется ее проверка на непротиворечивость. Это очень важный момент, особенно для развитых многокомпонентных сетевых конфигураций со сложной политикой межсетевого взаимодействия.
Проверка сформированных правил на непротиворечивость выполняется автоматически, а выявленные неоднозначности устраняют путем редактирования противоречивых правил. Большинство брандмауэров после формирования базы правил выполняют процесс окончательной отладки автоматически.
Проверка соответствия параметров отладки брандмауэра разработанной политике межсетевого взаимодействия может выполняться на основе анализа протоколов работы межсетевого экрана. Однако наибольшая результативность такой проверки будет достигнута в случае использования специализированных программных средств анализа защищенности сети (сетевые сканеры).
После поиска слабых мест в конфигурации межсетевого экрана подаются рекомендации относительно их коррекции. Поиск слабых мест осуществляется на основе проверки реакции межсетевых экранов на разные типы попыток нарушения безопасности. При этом выполняется сканирование всех сетевых сервисов, доступ к которым осуществляется через межсетевой экран, а для постоянной поддержки высокой степени безопасности сети сканеры монтируются в межсетевые экраны.
При отладке межсетевого экрана следует учитывать, что он не может защитить от некомпетентности администраторов и пользователей, например, через выбор пароля, который легко угадывается, неконтролируемый канал связи и т.п.
Запрос Запрос на связь с осуществляет
компьютер (клиент)
запрос от
