3 КОМПЛЕКСНЫЕ СИСТЕМЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ, ИСПОЛЬЗОВАНИЕ
БРАНДМАУЭРОВ.
3.1.1
Экранирующий маршрутизатор.
3.2.1
Брандмауэр на основе машины, подключенной к
двум сетям.
3.2.2
Брандмауэр с изолированным хостом.
3.2.3
Брандмауэр с изолированной подсетью.
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (рисунок ). Как правило, эта граница проводится между локальной сетью и Internet, хотя ее можно провести и внутри локальной сети. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются, и какие параметры используются при их описании речь пойдет ниже.
Структура информационной системы в общем случае представляет собой неоднородный набор (комплекс) из различных компьютеров, управляемых различными операционными системами и сетевого оборудования, осуществляющего взаимодействие между компьютерами. Поскольку описанная система весьма разнородна (даже компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно различные конфигурации), вряд ли имеет смысл осуществлять защиту каждого элемента в отдельности. В связи с этим предлагается рассматривать вопросы обеспечения информационной безопасности для локальной сети в целом.
Концепция межсетевого экранирования формулируется следующим образом. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (рисунок ).
Рисунок . – Экран как средство разграничения доступа
В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю (рисунок ).
Рисунок . –Экран как последовательность фильтров
Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов. Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней.
назад
Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI (см. Приложение ). Все брандмауэры можно разделить на четыре типа:
В первом случае мы имеем экранирующий маршрутизатор или пакетный фильтр (packet filter), во втором - экранирующий транспорт или сервер уровня соединения (circuit gateways), в третьем - экранирующий шлюз или сервер прикладного уровня (application gateways), а в четвертом гибридные системы, которые сочетают в себе все выше перечисленные. Каждый подход имеют свои достоинства и недостатки.
Экранирующий маршрутизатор имеет дело с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа полей заголовков, путем применения заранее заданной системы правил. Для описания правил прохождения пакетов составляются таблицы типа:
Таблица – Описания правил прохождения пакетов экранирующего маршрутизатора
|
Действие |
тип пакета |
адрес источн. |
порт источн. |
адрес назнач. |
порт назнач. |
флаги |
Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-па-кета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.
Схема включения данного маршрутизатора приведена на рисунке .
Рисунок
- Брандмауэр с фильтрацией пакетов
Еще один важный компонент анализируемой информации - порт, через который пакет поступил в маршрутизатор.
Современные
маршрутизаторы (такие, как продукты
компаний Bay Networks или Cisco) позволяют
связывать с каждым портом несколько
десятков правил и фильтровать пакеты как на
входе (при поступлении в маршрутизатор), так
и на выходе. В принципе, в качестве
пакетного фильтра может использоваться и
универсальный компьютер, снабженный
несколькими сетевыми картами.
Основные достоинства экранирующих
маршрутизаторов - дешевизна (на границе
сетей маршрутизатор нужен практически
всегда, дело лишь в том, чтобы задействовать
его экранирующие возможности) и
прозрачность для более высоких уровней
модели OSI. Основной недостаток -
ограниченность анализируемой информации и,
как следствие, относительная слабость
обеспечиваемой защиты. Примером
экранирующего маршрутизатора можетбыть
межсетевой экран Cisco PIX Firewall. (Подробное описание
смотри в приложении
).
Экранирующий транспорт позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации экранирующий транспорт представляет собой довольно простую, а значит, надежную программу. Пример экранирующего транспорта - продукт TCP wrapper, коды данного продукта без труда можно найти в дистрибутивах Linux. По сравнению с пакетными фильтрами, экранирующий транспорт обладает большей информацией, поэтому он может осуществлять более тонкий контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации). Аналогично, возможно накопление более содержательной регистрационной информации. Главный недостаток - сужение области применимости, поскольку вне контроля остаются датаграммные протоколы. Обычно экранирующий транспорт применяют в сочетании с другими подходами, как важный дополнительный элемент.
назад
Экранирующий шлюз, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. Как правило, экранирующий шлюз представляет собой универсальный компьютер, на котором функционируют программные агенты - по одному для каждого обслуживаемого прикладного протокола. Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
· терминалы (Telnet, Rlogin)
· передача файлов (Ftp)
· электронная почта (SMTP, POP3)
· WWW (HTTP)
· Gopher
· Wais
· X Window System (X11)
· Принтер
· Rsh
· Finger
· новости (NNTP) и т.д.
При обслуживаемого прикладного протокола, помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер; соответственно, им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует, то есть заслоняет, внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. Недостаток экранирующих шлюзов - отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола. Примерами инструментариев для построения экранирующих шлюзов являются Cisco IOS Firewall Feature Set (Описание приведено в приложении ) или межсетевой экран “ПАНДОРА” (приложение ).
назад
В гибридных системах, удается объединить лучшие качества экранирующих систем, то есть получить надежную защиту, сохранить прозрачность для приложений и удержать накладные расходы в разумных пределах. Кроме того, появляются и очень ценные новые возможности, такие как отслеживание передачи информации в рамках датаграммных протоколов. Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что преодоление одного из них еще не открывает доступ ко всей внутренней сети. К реальной системе, осуществляющей межсетевое экранирование применяется следующий ряд требований:
Во-первых, очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
Во-вторых, экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.
В-третьих, экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
В-четвертых, экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в “пиковых” режимах. Это необходимо для того, чтобы firewall нельзя было, перегрузить большим количеством вызовов, которые привели бы к нарушению ее работы.
Пятое. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
Шестое. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности.
Седьмое. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем не менее, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.
Далее приведем несколько практических реализация по организации различных конфигураций брандмауэров.
Брандмауэр данного типа – улучшенная альтернатива, брандмауэра на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста, имеющего два сетевых интерфейса, в котором отключена функция маршрутизации IP-пакетов с одного интерфейса на другой (то есть хост не может маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить маршрутизатор с фильтрацией пакетов между сетью и этим хостом для обеспечения дополнительной защиты. Это поможет создать внутреннюю изолированную подсеть, которая может быть использована для размещения специализированных систем, таких как информационные сервера и модемные пулы.
Рисунок – Брандмауэр на основе машины, подключенной к двум сетям
С помощью этого брандмауэра может быть достигнута высокая конфиденциальность, так как маршрут до машины в защищаемой сети должен знать только брандмауэр, а не системы в Internet е (так как машины в Internet е не могут посылать пакеты напрямую защищаемым системам). Имена и IP-адреса систем внутренней сети будут неизвестны для Internet а, так как брандмауэр не будет передавать эту информацию DNS. Как минимум простой брандмауэр этого типа должен обеспечивать прокси-сервисы для TELNET, FTP и центральный почтовый сервер, с помощью которого брандмауэр будет принимать всю почту для внутренней сети, и передавать ее системам. Так как брандмауэр использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Также брандмауэр может протоколировать попытки доступа и зондирования систем, что поможет выявить действия злоумышленников.
Брандмауэр на основе хоста, соединенного с двумя сетями, обеспечивает возможность отделить трафик, связанный с информационным сервером, от трафика других систем сайта. Информационный сервер может быть размещен в подсети между шлюзом и маршрутизатором.
Жесткость шлюза с двумя интерфейсами может оказаться неудобной для некоторых сетей. Так как все сервисы по умолчанию заблокированы, кроме тех, для которых имеются прокси-сервера, доступ к другим сервисам не может быть организован. Системы, к которым требуется доступ, должны быть размещены между шлюзом и Internet.
Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети.
Рисунок – Брандмауэр с изолированным хостом
Он отвергает или пропускает трафик в соответствии со следующими правилами:
· трафик от систем в Internet к прикладному шлюзу пропускается
· другой трафик от систем в Internet блокируется
· маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного шлюза.
Брандмауэр с изолированной подсетью – это объединение шлюза с двумя интерфейсами и брандмауэра с изолированным хостом. Он может быть использован для того, чтобы разместить каждую компоненту брандмауэра в отдельной системе, обеспечив, таким образом, большую пропускную способность и гибкость, хотя за это приходится платить некоторым усложнением. Но зато каждая компонента брандмауэра будет реализовывать одну задачу, что делает более простым конфигурирование системы.
Рисунок – Брандмауэр с изолированной подсетью
На рисунке для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ – «демилитаризованная зона») находится прикладной шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор, изображенный в месте соединения с Internet, может маршрутизировать трафик согласно следующим правилам:
· пропускать прикладной трафик от прикладного шлюза в Internet
· пропускать почтовый трафик от почтового сервера в Internet
· пропускать прикладной трафик из Internet к прикладному шлюзу
· пропускать почтовый трафик из Internet к почтовому серверу
· пропускать трафик из Internet к информационному серверу
· все остальные виды трафика блокировать
Внешний маршрутизатор предоставляет возможность взаимодействия с Internet только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Internet, от других систем в изолированной подсети, которые не имеют права инициировать соединения.
Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:
· прикладной трафик от прикладного шлюза к внутренним системам пропускается
· почтовый трафик от почтового сервера к внутренним системам пропускается
· прикладной трафик к прикладному шлюзу от внутренних систем пропускается
· почтовый трафик от внутренних систем к почтовому серверу пропускается
· пропускать трафик от внутренних систем к информационному серверу
· все остальные виды трафика блокировать
Выводы
В данном разделе рассмотрены основные типы брандмауэров, как было описано выше брандмауэры бывают четырех видов:
· пакетные фильтры (packet filter)
· сервера прикладного уровня (application gateways)
· сервера уровня соединения (circuit gateways)
· гибридные системы
К положительным качествам пакетных фильтров следует отнести следующие:
· относительно невысокая стоимость
· гибкость в определении правил фильтрации
· небольшая задержка при прохождении пакетов
Недостатки у данного типа брандмауэров следующие:
· локальная сеть видна (маршрутизируется из Internet
· правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
· при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
· аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
· отсутствует аутентификация на пользовательском уровне
К преимуществам серверов прикладного уровня следует отнести следующие:
· локальная сеть невидима из Internet
· при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
· защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
· аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа являются:
· более высокая, чем для пакетных фильтров стоимость;
· невозможность использовании протоколов RPC и UDP;
· производительность ниже, чем для пакетных фильтров.
Сервер уровня соединения нельзя рассматривать как самостоятельную единицу реализации брандмауэра, он позволяет лишь осуществлять контроль доступа к этому сервису и осуществлять сбор статистики по его использованию.
Наилучшим решением является использование гибридных систем. В зависимости от того, какой уровень безопасности необходимо реализовать, можно выбрать различные способы конфигурации брандмауэров. Начиная от простейших и не дорогих, но с малой степенью защищенности брандмауэров с фильтрацией пакетов, и заканчивая брандмауэрами с изолированной подсетью с использованием двух маршрутизаторов и мощной программой межсетевого экранирования Firewall-1 компании Sun Microsystems.
назад