Серверы - посредники (Proxy)
Серверы - посредники (Proxy)
Прокси-серверы не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с прокси-сервером, работающим на межсетевом экране. Прокси устанавливает отдельное соединение с реальным прикладным сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.
Для каждого сервиса необходима специальная программа прокси-сервера. Обычно, защитный экран включает прокси для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания прокси-программ для других сервисов. Некоторые реализации прокси требуют наличия на клиенте специального программного обеспечения. Прокси-серверы не только пересылают запросы на услуги, но и могут накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с меньшим временем доступа.
Журналы событий, поддерживаемые прокси, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Важным свойством является то, что при отказе межсетевого экрана защищаемый посредником прикладной процесс остается недоступным.
Рекомендуем посмотреть лекцию "4. Сглаживающие фильтры".
Новым видом сервиса защиты является трансляция сетевых адресов. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает следующее преимущество - позволяет иметь внутри сети собственную систему адресации, что снимает проблему дефицита IP-адресов. Прокси-серверы надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, а также не обладают той необходимой степенью прозрачности для приложений и конечных пользователей.
Обеспечение безопасности компьютера связано с управлением системой портов. На компьютере постоянно запущено множество прикладных сервисов. При обращении к какому-либо порту сервис может ответить на запрос, проигнорировав авторизацию доступа. Это так называемая "дыра" в программе. В другом случае операционная система, воспринимая данные по какому-либо порту, может "зависнуть".
Порты у компьютера можно "прослушать", т. е. послать на него пакеты данных, адресованные на все порты подряд, и ждать ответа. Если с какого-то порта придет ответ, то это значит, что через него можно попытаться заставить работать программу, заведующую этим портом, в своих целях. Просканировать порты можно с помощью программ-сканеров. Со сканирования портов и поиска "дыр" в программном обеспечении начинается хакерская атака, поэтому многие провайдеры отслеживают подобные действия и принимают меры.
Использование прокси сервера позволяет в определенной степени защитить от сканирования портов, но не помогает в том случае, когда атака ведется с помощью законного доступа, например при приходе письма, содержащего программы-трояны. Прокси-сервер используется, когда необходимо обеспечить доступ в Интернет с компьютеров локальной сети.
Обмен данными между компьютерами локальной сети и прокси-сервером происходит по протоколу TCP/IP. В сети прокси-сервер имеет два IP-адреса: внутренний, который присвоен ему в локальной сети, и внешний, который присвоен ему провайдером. Прокси-сервер можно назвать шлюзом между Интернет и локальной сетью. Для работы с прокси-сервером необходимо указать его «координаты» в настройках программ работы с Интернет. В браузере Internet Explorer это делается в свойствах обозревателя по настройке локальной сети. К прокси-серверу компьютеры должны обращаться по какому-либо порту. По умолчанию для такой работы выделяется порт 80. Однако если на компьютере с прокси-сервером, запущен Web-сервер для доступа из Интернет к сайту, расположенному на компьютере, то 80-й порт будет использоваться для Web-сервера, и прокси-сервер придется настраивать для работы по другому порту. Соответственно надо настроить и программы для работы с прокси на всех компьютерах сети.
Прокси-сервер выполняет еще две задачи. Во-первых, он кэширует данные, т.е. Web-страницы, запрошенные с компьютеров сети, на прокси-сервере сохраняются некоторое время. Поэтому работа через прокси-сервер может идти несколько быстрее, чем без него. Также прокси-сервер обеспечивает защиту от взлома. C другой стороны, при работе в Интернет из локальной сети через прокси-сервер невозможно отследить компьютер, можно только узнать адрес прокси-сервера.