МИСЗКИ книга (1085503), страница 36
Текст из файла (страница 36)
В противном случае, рано или поздно, можно столкнуться с проблемой состыковки продуктов различных производителей. С ство второе — Межсетевой экран (брандмауэр, Йгечгай). редств О межсетевых экранах (МСЭ) организация обычно задумывается в двух случаях: — прн появлении постоянного прямого выхода в Интернет, имеющего соединение с локальной сетью; — при организации взаимодействия со своими удаленны ми филвэлами ф $илаьш в ~л.жиме оп-1ше с использованием сети широкого доступа (выделенных илн коммутируемых телефонных линий, беспроводного или спугникового канала и т.п.).
КлассиЯщщщия МСЭ. Для того чтобы определить, какой МСЭ необходим, нужно знать принципы работы конкретных моделей, на которые можно ориентироваться. Существуют различные классы МСЭ. Выдс лим три наиболее часто встречающиеся в настоящее время. — пакетный фильтр; — с контролем соединения; — посредник приложения. 1. Пакетный иль скег 61гег зсгеешп ййег . Пакетный филътр в чистом виде — это устройство, кото рое фильтрует (пропускает илн отклоняет) сетевые пакеты о; основе предопределенных данных о сетевых (1Р) адресах исто« ника или получателя. Однако в виде независимых программг« аппаркгных комплексов МСЭ этого типа уже давно не встреч: ются в основном по причине недостаточной функциональное~ (например, легкости подмены адресов — спуффннга — для ш токолов без установления соединений: 1Р, (ЛЭР).
В настоящ время пакетным фильтром можно назвать маршрутизатор функциями МСЭ этого уровня (англ. ВгеюаИ орбоп раск, бгевлп Гсашге зе1). При этом, возможно, сам маршрутизатор выполнг« 214 более слою, ф~ « оо1 'оьзлнэ 1шкс1пв на трзпспор1поь уровне с учсп|м и<>ргов ~яйхпцсиий, сокрытие внутренних адресов сети, на гранино ьогорой оп находится, сокрытие поргов об ращений, формп~» канис групп доступа по сетевым адресам с лее сложным разграничением доступа (отдельных адресов к отдельным службам), расширенные возможности аутентификации, разделение сетевых интерфейсов на «опасные» и «безопасные» и т. п.
Иногда в подобный модуль встраиваются дополнительные «узконаправленные» анализаторы для предотвращения , отдельных классов атак, например, на отказ в обслуживании ( (р(пй-оГ-деай, ЯУХ4)оод и т. д.). Перечисленные возможности являются базовыми для современных МСЭ и встречаются в двух других классах МСЭ. Однако для данного уровня (пакетный фильтр) функциональ- ! ность анализа графика ограничивается транспортным уровнем. Фильтр обрабатывает каждый очередной пакет совершенно независимо: он не знает, какие пакеты проходили по каналу до него.
Вся информация, на основе которой принимается решение разрешения/отказа, извлекается только из исследуемого в данный момент пакета: из его сетевого и транспортного заголовков. Это позволяет свести задействованные МСЭ ресурсы оперативной паьопн и процессора к минимуму, но не позволяет излагать в правилах фильтрации законы и логику более высокого уровня. Нельзя однозначно отметать данный тип МСЭ как недос"тато пю функциональный. Во-первых, необходимо проаналмзировать, для каких задач используегся выход в Интернет, возможно, учитывая более низкую стоимость таких МСЭ, его б ет вполне достаточно для работы организации.
Во-вторых, его , его удет можно исполъзовать в качестве первой линии обороны, которая удет предотврапшть наиболее грубые атаки. А уже между ним и локальной сетью устанавливать другой МСЭ, либо принципиной иной класс защитных устройств, которые возьмуг на себя анализ пакетов на более высоких уровнях сетевого стека.
В ислнтелъные ресурсы анализаторов более высокого уровня и ожег защищать нх от атак на отказ в обслуживании. 215 2. МСЭ с ко лем сое ения чпша1 спсн11 соп1го1 . МСЭ данной категории производят более тонкий анализ ходящего трафика, а именно, рассматривают каждый пакет в принадлежности его к конкретному соединению, в том числе с учетом того, кем, когда и как было ииицинро вано соединение и какая активность в рамках данного соединения была перед по- лучением данного пакета.
Причем, учитывая, что ряд протоко- лов работают без установки соединения (например, БОР), МСЭ ного» соединения — потока (англ, Г1оМ и в этом случае рас- сматривая такие пакеты в едином контексте. При этом возможно ь ванне информации не только о текущем соединении, но испол ьзо и предыдущих сосоедннениях. Наименование современн " логии. нсполь зующей этот механизм, — контроль состояния (англ, згаге1п1 1пзресг1оп). Обычно, для усиления контроля более высоких уровней сетевого стека в в МСЭ данного типа используется дополиитель й анализатор содержимого пакетов, исследующий активность данного соединения до уровня приложения.
Таким разо, вачеиным оказывается практически весь стек протоколов от се тевого до прикладного, иклаян, что позволяет предположить высеку~ вероятность щждотвр пре отвращения любой известной на момент пров~ тирования МСЭ атаки. 3. МСЭ вЂ” пес к уложения а йсайоп гох а ой сайоп 1а ег геюа Технология посредника приложения заклю в что компьютеры во внутренней сети и компьютеры во внешн. сети устанавливают соединения между собой не напрямую,, иртут та о о <посредник໠— отдельный сервис нли д~ мон в МСЭ, который общается с клиентом от имени сервера, з се вером от имени клиента.
Таким образом, МСЭ выступает».» соединения и, соответственно, может анализировать ~« происходящие при соединении события, наруэюшая, числе и возможные атаки. Изначально прокоп-службы разрабатывались искл ю тельно для нескольких наиболее популярных протоколов щ» кладного уровня (НТТР, РТР и некоторых др.). В современн. 216 1 изацихх МСЭ данно оса есть возможн посредников для собственных приложений, отличных численных. Общемировым стандарто об ерсальличных от и м под ного «универсального> прокси-сервиса стал протокол БОСКБ.
К ме ол . Кроме того, в ннх присутствуют все возможности пакетного фильтра. Спо ы о том какая о, какая из двух последних технологий ше, продолжаются, П ив ен , По ерж нцы обеих технологий говорят о дослучше, тоинствах своей и не ста до тках противоположной Считается что оба принципа вом МСЭ ко о защиты достаточно надежны. Несовершен ста нтр ля соединения считается возможность ряд атак на уровне приложений. Недостатком и жность прохода ложений — замедление ом посредника прн— замедление прохождения трафика за счет установления двойного соединения к посреднику. Д" зьнеишее совершенствование микроэлектроники по лает оснащать МСЭ л ктроникн позвоть различными дополнительными функциями значительного елич увеличения стоимости н размеров устройства. лее п Из дополнительных функций МСЭ расс отр ассмотрим две н олезных, с точки зрения безопасности: — создание демилитаризованной зоны; — трансляцию сетевых адресов.
1. о . Со ание еми нзованной зоны. Сов -енное ние ес ыог рем развитие бизнеса предполагает что внутрен- Р р урс рганизации не должны быть полность яд компьютеров, таких как веб-сервер, РТР в лностью закрыты. сервер, должны -сервер, почтовый врыть в той или иной степени доступны внешних цользовател ей, в том числе для тех, о ком нет никакой предварительной ин нжормацин. Где следует размещать таки компь ы? югер .
Волн во внешнеи сети (перед межсетевым э такие ном) это значит, что их жсетевым экразащищенность будет зависеть только от схемы безопасности оп ерационной системы и приложения, что, как показывает опыт, недостаточно. Ес лн разместить их во внутреинеи сети, за межсетевым экраном, то тог а кать внешних пользователей во в д придется пропуснебезопасно, аже нутреннюю сеть, а это всегда не логично шивается н езопасно, даже при точной настройке правил досту . В па. полнапрашивается вывод — создать для подобных ре- 217 сурсов отдельную подсеть, свободную от элементов внутреннеи технология получила название демнлни внешней сети.
Данная л таризованной зоны (ДМЗ) (англ. с)епй(1сапхес1 холе — 0Мг., илн зсгеепшк зевес). обычно межсетевые экраны имеют по два сете- Поскольку и о ин во внешнюю), вых интерфейса (один во внутреннюю сеть и один во в то для ДМЗ необходим третий сетевои интерф " . нла, прописанные на межсетевом экране для доступа в ДМЗ, позволят, с одной стороны, обеспечить защиту фср активов широкою д, а оступа, с другой стороны, не предоставят дополнительного доступа в локальную сеть. 2. Т сля сетевых есов англ.
пеолаг(с адс)гезз папз1ай.п ХАт. а,тесов выполняет две полезные Транслятор сетевых а„-„е о функции: — сокрытие схемы всг —.„е сг —.„енней адресации локальной сети н обеспечение частичной анонимности отправителя пакета; пре разо сб азоваине внутренних, т. н. «немаршрутнзируемыхл приватных 1Р-адресов (англ. Рпчасе песчгог)с 1Р-асЫгезз) в р азрешенный внешний интернет-адрес или адреса. Т гия заключается в том, что на МСЭ, которыи в ехнол огня ю сеть данном случае игр ает роль шлюза, при выходе во внепшю в еннего адсетевых пакетах производится подмена внутре е во всех сетевых п ес. П и этом шлюз ведес реса на предопределенный внешний адрес. Ри таб соответствия отправленных пакетов таким образом, что лицу спотк нтся об атнкя для входюшсх дишсх пакетов из внешнен сети производ р замена внепснего адреса на внутренний.
Различают статический ХАТ, когда за одним адресом внутренней сети жестко закреплен одни " ало внешний алвес, н боле« часто используемын дн намическнй ХАТ, когда за множеством внутренних адресов закреплен некоторый, обычно иебольшол, диапазон внешних а«Тесов а, а«Тесов (а, возможно, и всего один 1р-адрес). Пйавссл» досггс~а листы досттпа Эффективность работы МСЭ определяется правилами доступа (англ. ассеях ш1е . Именно оин евно оин определяют поведение при сюлучснии пакета. Обычно правило включает в себя: — направление входа для данного пакета звание сетевого инте ета номер или навого интерфейса, с которою поступил пакет); — направление выхода из шлюза (номер или название сетевого интерфейса, на который направляется пакет); — адрес нли группу принадлежности (группу адресов), куда отнесен источник, породивший пакет; — адрес или группу принадлежности (группу адресов), да отнесен получатель пакета; ~ ку— протокол или порт службы, от которой пришел пакет; — набо е — протокол или порт службы, которой адресо ван пакет; р действий, которые необходимо предпринять данного пакета (про спеть, отв икать для бе пропуспггь, отвергнуть, переслать другой служ, проанализировать дополнительно).