СОДЕРЖАНИЕ
стр.
Введение…………………………………………………………………4
1. Постановка задачи ………..………………………………………… 5
2. Анализ
ОУ и обзор известных решений
…………………………... 8
3. Обоснование принятого
направления работы …………………..
10
3.1
Брандмауэр с фильтрацией пакетов……………………………
10
3.2
Брандмауэр на основе машины, подключенной к
двум сетям 11
3.3
Брандмауэр с изолированным хостом…………………………
12
3.4
Брандмауэр с изолированной подсетью……………………….
13
3.5
Интеграция модемных пулов с брандмауэрами………………
14
Приложение Онлайновые
информационные ресурсы ………………
17
ВВЕДЕНИЕ
Интернет
- это объединение в масштабе всей планеты
группы сетей, которое использует единый
протокол для передачи данных. Большое число
организаций сейчас присоединяются к
Интернету для того, чтобы воспользоваться
преимуществами и ресурсами Интернета.
Бизнесмены и государственные организации
используют Интернет в самых различных
целях - включая обмен электронной
почтой, распространение информации среди
заинтересованных лиц и проведение
исследований. Многие организации сегодня
присоединяют существующие локальные сети к
Интернету, чтобы рабочие станции этих ЛВС
могли получить прямой доступ к сервисам
Интернета.
Присоединение
к Интернету может дать огромные
преимущества, хотя при этом
нужно серьезно учесть вопросы,
связанные с безопасностью соединения.
Существуют достаточно серьезные риски
безопасности, связанные с Интернетом,
которые зачастую являются неочевидными для
пользователей-новичков. В частности, в мире
наблюдается деятельность злоумышленников,
при этом имеется
много уязвимых мест, которые могут ее
облегчить. Действия злоумышленников трудно
предсказать и порой ее бывает трудно
обнаружить и прекратить. Многие
организации уже потеряли много времени и
понесли значительные финансовые потери из-за
деятельности злоумышленников; некоторым
организациям был нанесен урон их репутации,
когда стало известно о проникновении в их
сети.
Эта
публикация будет рассматривать
вопросы, связанные с безопасностью,
которые нужно учесть как организациям,
собирающимся присоединиться к Интернету,
так и организациям, уже присоединенным к
Интернету. В частности, это
документ подробно рассматривает
брандмауэры для Интернета, как один из
механизмов и методов, используемых для
защиты внутренних сетей от угроз, связанных
с Интернетом. Этот документ
рекомендует организациям
использовать технологию брандмауэров и
другие, связанные с ними, средства, для
фильтрации соединений и управления
доступом в сети.
1.
Постановка задачи.
Интернет
стал жизненно необходимой и постоянно
растущей сетью, которая изменила образ
жизнедеятельности многих людей и
организаций. Тем не менее, из-за Интернета
возникло много серьезных проблем с
безопасностью. Многие организации были
атакованы или зондированы
злоумышленниками (Злоумышленники часто
проверяют сети организаций на возможность
проникновения в них путем методического
сканирования систем в них на наличие
уязвимых мест. Злоумышленники часто
используют средства автоматического
зондирования, то есть программы, которые
сканируют все хосты, присоединенные к сети
организации. Эта деятельность называется
иногда зондирование сети организации) что
привело к большим потерям во времени и
ущербу репутации. В некоторых случаях,
организации вынуждены были временно
отсоединиться от Интернета, и потратить
значительные средства для решения
возникших проблем с конфигурацией хостов и
сети. Сети организаций, которые не
осведомлены или игнорируют эти проблемы,
подвергают себя большому риску быть
атакованными сетевыми злоумышленниками.
Даже те организации, в которых безопасности
уделяется внимание, могут подвергаться
риску из-за появления новых уязвимых мест в
сетевом программном обеспечении или
упорства некоторых злоумышленников.
Данное положение дел сложилось по ряду
причин. Одной из основных причин может быть
то, что при разработке Интернет требования
безопасности не учитывались, так как
главным требованием при реализации
Интернета было требование удобства при
обмене информацией при проведении научных
исследований.
Тем не менее, на данном этапе положение
вещей усугубилось в обеспечении
безопасности до такой степени, что сети,
открытые для доступа со стороны Интернета,
стали подвергаться риску проникновения в
них и нанесения им разрушений. Другими
причинами являются следующие:
·
уязвимость
сервисов TCP/IP
- ряд сервисов TCP/IP являются небезопасными и
могут быть скомпрометированы умными
злоумышленниками; сервисы, использующиеся
в ЛВС для улучшения управления сетью,
особенно уязвимы
Уровень
IP получает пакеты, доставляемые нижними
уровнями, например драйвером интерфейса с
ЛВС, и передает их лежащим выше уровням
TCP или UDP. И наоборот, IP передает пакеты,
полученные от уровней TCP и UDP к нижележащим
уровням.
Высокоуровневые
сервисы TCP и UDP при приеме пакета
предполагают, что адрес отправителя,
указанный в пакете, является истинным.
Другими словами, адрес IP является основой
для аутентификации во многих сервисах;
сервисы предполагают, что пакет был послан
от существующего
хоста, и именно от того хоста, чей адрес
указан в пакете.
Если
IP-пакеты содержат инкапсулированные
пакеты TCP, программы IP передадут их вверх
уровню TCP. TCP последовательно нумерует все
пакеты и выполняет исправление
ошибок, и реализует таким образом
виртуальные соединения между хостами.
Рисунок
1.1 – Структура TCP/IP.
Коротко
говоря, маршрутизация IP-источника - это
опция, с помощью которой можно явно указать
маршрут к назначению и путь, по которому
пакет будет возвращаться к отправителю. Это
путь может включать использование других
маршрутизаторов или хостов, которые в
обычных условиях не используются при передаче пакетов к
назначению.
Рассмотрим
следующий пример того, как это может быть
использовано для маскировки системы
атакующего под доверенный клиент какого-то
сервера:
1.
Атакующий меняет IP-адрес своего хоста на
тот, который имеет доверенный клиент.
2.
Атакующий создает маршрут для
маршрутизации источника к этому серверу, в
котором явно указывает
путь, по которому должны передаваться IP-пакеты
к серверу и от сервера к хосту
атакующего, и использует адрес доверенного
клиента как последний промежуточный адрес
в пути к серверу.
3.
Атакующий посылает клиентский запрос к
серверу, используя опцию маршрутизации
источника.
4.
Сервер принимает клиентский запрос, как
если бы он пришел от доверенного клиента, и
возвращает ответ доверенному клиенту.
5.
Доверенный клиент, используя опцию
маршрутизации источника, переправляет
пакет к хосту атакующего.
Многие
хосты Unix принимают пакеты с маршрутизацией
источника и будут передавать их по пути,
указанному в пакете. Многие маршрутизаторы
также принимают пакеты с маршрутизацией
источника, в то время как некоторые
маршрутизаторы могут быть
сконфигурированы таким образом, что будут
блокировать такие пакеты.
·
легкость
наблюдения за каналами -
большинство трафика Интернета
незашифрованно; электронная почта, пароли и
передаваемые файлы могут быть перехвачены,
используя легкодоступные программы, затем
злоумышленники могут использовать пароли
для проникновения в системы
Группы
улаживания инцидентов считают, что
большинство инцидентов произошло из-за
использования слабых, статических паролей.
Пароли в Интернете могут быть “взломаны”
рядом способов, но двумя самыми
распространенными являются взлом
зашифрованной формы пароля и наблюдение за
каналами передачи данных с целью перехвата
пакетов с паролями. ОС Unix обычно хранит
пароли в зашифрованной форме в файле,
который может быть прочитан любым
пользователем. Этот файл паролей может быть
получен простым копированием его или одним
из других способов, используемых
злоумышленниками. Как только файл получен,
злоумышленник может запустить
легкодоступные программы взлома паролей
для этого файла. Если пароли слабые, то есть
меньше, чем 8 символов, являются словами, и т.д.,
то они могут быть взломаны и использованы
для получения доступа к системе.
Другая
проблема с аутентификацией возникает из-за
того, что некоторые службы TCP и UDP могут
аутентифицировать только отдельный хост,
но не пользователя. Например, сервер NFS (UDP)
не может дать доступ отдельному
пользователю на хосте, он может дать его
всему хосту. Администратор сервера может
доверять отдельному пользователю на хосте
и дать ему доступ, но администратор не может
запретить доступ других пользователей на
этом хосте и поэтому автоматически должен
предоставить его всем пользователям или не
давать его вообще.
·
отсутствие
политики
- многие сети могут быть сконфигурированы
по незнанию таким образом, что будут
позволять доступ к ним со стороны Интернета,
не подозревая при этом о возможных
злоупотреблениях этим; многие сети
допускают использование большего числа
сервисов TCP/IP, чем это требуется для
деятельности их организации, и не пытаются
ограничить доступ к информации об их
компьютерах, которая может помочь
злоумышленникам проникнуть в сеть
Политика
брандмауэра:
1.
разрешить доступ для сервиса, если он явно не запрещен.
2.
запретить доступ для сервиса, если он явно не разрешен.
·
сложность
конфигурирования -
средства управления доступом в хостах
зачастую являются сложными в настройке и
контроле за ними; неправильно
сконфигурированные средства часто
приводят к неавторизованному доступу.
2.
Анализ ОУ и обзор известных решений.
К счастью, существуют
простые и надежные решения, которые могут
быть использованы для улучшения
безопасности сети организации. Это такие
меры как экранирование кабеля для передачи
трафика (для защиты от внешнего
проникновения на физическом уровне),
ведение паролей для клиентов сети,
использование криптографии для
кодирования сообщений, и наконец
использование межсетевого экрана,
брандмауэра или firewall как его еще называют.
Система брандмауэра является одним из
способов, который доказал свою высокую
эффективность при повышении общей
безопасности сети. Система брандмауэра -
это набор систем и маршрутизаторов,
добавленных в сеть в местах ее соединения с
Интернетом и политики доступа,
определяющей правила их работы. Брандмауэр
заставляет все сетевые соединения
проходить через шлюз, где они могут быть
проанализированы и оценены с точки зрения
безопасности, и предоставляет другие
средства, такие как меры усиленной
аутентификации вместо паролей. Кроме того,
брандмауэр может ограничить доступ к тем
или иным системам или доступ к Интернету от
них, блокировать определенные сервисы TCP/IP,
или обеспечить другие меры безопасности.
Хорошо сконфигурированная система
брандмауэра может исполнять роль пресс-службы
организации и помочь сформировать у
пользователей Интернета хорошее
впечатление об организации.
3.
Обоснование принятого направления
работы.
Теперь, мы дадим ряд примеров различных
конфигураций брандмауэров для того, чтобы
позволить вам глубже понять, как создаются
брандмауэры. Здесь мы опишем следующие
примеры брандмауэров:
·
брандмауэр с пакетной фильтрацией
·
брандмауэр с шлюзом
с двумя адресами
·
брандмауэр с экранированным хостом
·
брандмауэр с экранированной сетью
Кроме того, в данном
разделе рассматриваются
методы сочетания
удаленного доступа с помощью модемов
с брандмауэрами.
3.1
Брандмауэр с фильтрацией пакетов
Брандмауэр с фильтрацией пакетов
является, наверное, самым распространенным
и самым простым при реализации для
маленьких сетей с простой
структурой.
Обычно машинам
внутренней сети предоставляется полный
доступ к Интернету, а доступ со стороны
Интернета ко всем или почти ко всем
системам внутренней сети блокируется. Тем
не менее, маршрутизатор может допускать
выборочный доступ к системам и сервисам.
Обычно блокируются такие потенциально
опасные сервисы, как NIS, NFS и X Windows.
Рисунок
3.1 - Брандмауэр с фильтрацией пакетов
Брандмауэр с фильтрацией
пакетов имеет недостатки:
· отсутствует (или имеется в крайне ограниченном
размере) возможность протоколирования,
поэтому администратору будет нелегко
выявить компрометацию маршрутизатора или
атаку на сеть.
·
правила фильтрации часто тяжело
протестировать, что может привести к
возникновению уязвимых мест. При
необходимости введения сложных правил
фильтрации они часто становятся
неуправляемыми
· каждый
хост, к которому требуется обеспечить
доступ из Интернета, будет требовать свою
реализацию мер усиленной аутентификации.
3.2 Брандмауэр на основе машины,
подключенной к двум сетям
Брандмауэр
данного типа – более лучшая альтернатива,
чем брандмауэр на базе маршрутизатора с
фильтрацией пакетов. Он состоит из хоста,
имеющего два сетевых интерфейса, в котором
отключена функция маршрутизации IP-пакетов
с одного интерфейса на другой ( то есть хост
не может маршрутизировать пакеты между
двумя сетями). Кроме того, можно поместить
маршрутизатор с фильтрацией пакетов между
сетью и этим хостом для обеспечения
дополнительной защиты.
Это поможет создать внутреннюю
изолированную подсеть, которая может быть
использована для размещения
специализированных систем, таких как
информационные сервера и модемные пулы.
Рисунок
3.2 – Брандмауэр на основе машины,
подключенной к двум сетям
Этот тип
брандмауэра реализует политику второго
типа, то есть запрет доступа ко всем
сервисам, кроме тех, которые явно разрешены.
С его помощью может быть достигнута высокая
конфиденциальность, так как маршрут до
машины в защищаемой сети
должен знать только брандмауэр, а не
системы в Интернете (так как машины в
Интернете не могут посылать пакеты
напрямую защищаемым системам). Имена и IP-адреса
систем внутренней сети будут неизвестны
для Интернета, так как брандмауэр не будет
передавать эту информацию DNS. Как минимум
простой брандмауэр этого типа должен
обеспечивать прокси-сервисы
для TELNET, FTP и центральный почтовый
сервер, с помощью которого брандмауэр будет
принимать всю почту для внутренней сети,
и передавать ее системам. Так как
брандмауэр использует хост, то на нем могут
быть установлены программы для усиленной
аутентификации пользователей . Также
брандмауэр может протоколировать попытки
доступа и зондирования систем, что поможет
выявить действия злоумышленников.
Брандмауэр
на основе хоста, соединенного с двумя
сетями, обеспечивает возможность отделить
трафик, связанный с информационным
сервером, от трафика других систем сайта.
Информационный сервер может быть размещен
в подсети между шлюзом и маршрутизатором.
Жесткость
шлюза с двумя интерфейсами может оказаться
неудобной для некоторых сетей. Так как все
сервисы по умолчанию заблокированы, кроме
тех, для которых имеются прокси-сервера,
доступ к другим сервисам не может
быть организован. Системы, к которым
требуется доступ, должны быть размещены
между шлюзом и Интернетом.
3.3 Брандмауэр с изолированным хостом
Брандмауэр
с изолированным хостом более гибкий
брандмауэр, чем тот, который построен на
основе шлюза с двумя интерфейсами, хотя
гибкость достигается ценой некоторого
уменьшения безопасности. Брандмауэр такого
вида уместен для сетей, которым нужна
большая гибкость, чем та, которую может
предоставить брандмауэр на основе шлюза с
двумя интерфейсами. Брандмауэр данного
типа состоит из маршрутизатора с
фильтрацией пакетов и прикладного шлюза,
размещенного в защищенной
подсети.
Рисунок 3.3 –
Брандмауэр с изолированным хостом
Он
отвергает или пропускает трафик в
соответствии со следующими правилами:
· трафик
от систем в Интернете к прикладному шлюзу
пропускается
· другой
трафик от систем в Интернете блокируется
·
маршрутизатор блокирует любой трафик
изнутри, если он не идет от прикладного
шлюза.
3.4 Брандмауэр с изолированной подсетью
Брандмауэр
с изолированной подсетью – это объединение
шлюза с двумя интерфейсами
и брандмауэра с изолированным хостом.
Он может быть использован для того, чтобы
разместить каждую компоненту брандмауэра
в отдельной системе, обеспечив, таким
образом, большую пропускную способность и
гибкость, хотя за это приходится платить
некоторым усложнением. Но зато каждая
компонента брандмауэра будет
реализовывать одну задачу, что делает более
простым конфигурирование системы.
Рисунок
3.4 – Брандмауэр с изолированной подсетью
На
рисунке для создания внутренней
изолированной подсети используются два
маршрутизатора. В этой подсети (иногда
называемой DMZ – «демилитаризованная зона»)
находится прикладной шлюз, но в ней
также могут размещаться информационные
сервера, модемные пулы, и другие системы,
для которых требуется управление доступом.
Маршрутизатор, изображенный в месте
соединения с Интернетом, может
маршрутизировать трафик согласно
следующим правилам:
·
пропускать прикладной трафик от
прикладного шлюза в Интернет
·
пропускать почтовый трафик от почтового
сервера в Интернет
·
пропускать прикладной трафик из Интернета
к прикладному шлюзу
·
пропускать почтовый трафик из Интернета к
почтовому серверу
·
пропускать трафик из Интернета к
информационному серверу
· все
остальные виды трафика блокировать
Внешний
маршрутизатор предоставляет
возможность взаимодействия с Интернетом
только конкретным системам в изолированной
подсети, и блокирует весь другой трафик в
Интернет, от других систем в изолированной
подсети, которые не имеют права
инициировать соединения.
Внутренний
маршрутизатор передает трафик к/от систем в
изолированной подсети согласно следующим
правилам:
·
прикладной трафик от прикладного шлюза к
внутренним системам пропускается
·
почтовый трафик от почтового сервера к
внутренним системам пропускается
·
прикладной трафик к прикладному шлюзу от
внутренних систем пропускается
·
почтовый трафик от внутренних систем к
почтовому серверу пропускается
·
пропускать трафик от внутренних систем к
информационному серверу
· все
остальные виды трафика блокировать
3.5 Интеграция модемных пулов с
брандмауэрами
Многие
сети имеют возможность подключения через
модем к ним, это потенциальное место для
организации "черного входа " в сеть и
может свести на нет всю защиту,
обеспечиваемую брандмауэром. Гораздо более
лучшим методом организации работы через
модем является объединение их в модемный
пул и последующее обеспечение безопасности
соединений из этого пула. Как правило
модемный пул состоит из сервера доступа,
который является специализированным
компьютером, предназначенным для
соединения модемов с сетью. Пользователь
устанавливает соединение через модем с
сервером доступа, а затем соединяется (например,
через telnet) оттуда с другими машинами сети.
Некоторые серверы доступа имеют средства
безопасности, которые могут ограничить
соединения только определенными системами,
или потребовать от пользователя
аутентификации. Или же сервер доступа может
быть обычной машиной с присоединенными к
ней модемами.
Рисунок
3.5 – Интеграция модемных пулов с
брандмауэрами
Рисунок
3.5 показывает модемный пул, размещенный со
стороны Интернета в брандмауэре с
изолированным хостом. Так как соединения от
модемов должны обрабатываться так же, как
соединения из Интернета, то размещение
модемов с наружной стороны брандмауэра
заставляет модемные соединения проходить
через брандмауэр.
Недостатком
такого подхода является то, что модемный
пул напрямую соединен с
Интернетом и поэтому более уязвим к атакам.
Если злоумышленник хочет проникнуть в
модемный пул, то он может использовать его
как точку начала атаки на другие системы в
Интернете. Поэтому должны использоваться
сервер доступа со встроенными средствами
защиты, позволяющими блокировать
установление соединения с системами, кроме
прикладного шлюза.
Рисунок
3.6 –Размещение
сервера доступа во внутренней подсети.
Брандмауэры
на основе шлюза с двумя интерфейсами и с
изолированной подсетью обеспечивают более
безопасный способ использования модемного
пула. На рисунке 3.6 сервер доступа размещен
во внутренней, изолированной подсети, в
которой доступ к модемному пулу и от него
может быть проконтролирован
маршрутизаторами и прикладными шлюзами.
Маршрутизатор со стороны Интернета
предотвращает прямой доступ к модемному
пулу из Интернета для всех машин, кроме
прикладного шлюза.
Читатели,
которым нужна дополнительная информация о
брандмауэрах, безопасности в Интернет и
политике безопасности могут посмотреть
книги, указанные в этом приложении (но на
английском языке).
Читателям
очень рекомендуется посетить ftp.greatcircle.com
для получения дополнительной информации о
брандмауэрах. Этот сайт содержит
информацию о производителях брандмауэров,
публикациях о брандмауэрах, и
упорядоченный по темам архив переписки в
списках рассылки о брандмауэрах. Кроме
того, на нем имеется список рассылки о
брандмауэрах.
Помимо
этого сайта ряд производителей
маршрутизаторов и брандмауэров ведут
списки рассылки и ftp-сайты, на которых
содержится информация о брандмауэрах и
безопасности в Интернете.
NIST
создал и ведет специальный информационный
сервер по проблемам компьютерной
безопасности. Этот сервер содержит
информацию по широкому спектру вопросов,
включая сообщения
групп по борьбе с компьютерными
преступлениями, статьи о безопасности в
Интернете, и курсы обучения. Для
подключения к нему по ftp
Используйте
адрес csrc.ncsl.nist.gov , а для подключения по WWW –
URL http://csrc.ncsl.nist.gov.
Форум
групп борьбы с компьютерными
преступлениями (The Forum of Incident Response and Security Teams
- FIRST) – это организация, члены которой
работают вместе на добровольной основе для
решения проблем, связанных с компьютерной
безопасностью. Эта организация состоит из
большого числа групп компьютерной
безопасности, консультативного комитета и
секретариата, роль которого сейчас
выполняет NIST, и рабочих групп. В-основном
они решают проблемы, связанные с угрозами
из Интернета. Этот форум
проводит ежегодные совещания по борьбе
с компьютерными преступлениями.
Большое
число коммерческих организаций,
университетов и правительственных
агентств являются членами FIRST. Список
членов и информация о вступлении доступны
в онлайновом режиме. Для соединения
по ftp используйте адрес ftp.first.org.
Для доступа к информационным ресурсам
через WWW используйте URL http://www.first.org/first.