Э. Таненбаум - Компьютерные сети. (4-е издание) (DJVU) (1130092), страница 236
Текст из файла (страница 236)
Они напоминают ров, вырытый вокруг замка. Суть конструкции заключается в том, что все входящие и выходящие из замка должны проходить по одному подъемному мосту, где полиция ввода-вывода сможет проверить их личность. Тот же принцип может быть применен и в сетях: Защита соединений 877 у компании может быть несколько локальных сетей, соединенных произволь. ным образом, по весь внешний график должен проходить через электронный подьемный мост (брандмауэр), как показано на рис. 8.25. Нттр- р РТР-запрос нттр- браузер ГТР- прокси ГТР- сервер НТТР-ответ РТР-ответ Рис. 8.2Б. Брандмауэр, состоящий из двух пакетных фильтров и шлюза прикладного уровня Брандмауэр в данной конфигурации состоит из двух компонентов: двух маршрутизаторов, фильтруюших пакеты, и шлюза прикладного уровня. Существуют также и более простые конструкции, но преимущество такой разработки состоит в том, что каждый пакет, желающий войти или выйти, должен пройти через два фильтра и один шлюз прикладного уровня.
Других путей нет. Читатели, полагающие, что достаточно одного контрольно-пропускного пункта, видимо, давно не летали международными авиалиниями. Каждый пакетный фильтр представляет собой стандартный маршрутизатор с расширенными функциями, позволяюШими анализировать входящие и выходяшие пакеты. Пакеты, удовлетворяющие определенным критериям, пропускаются сквозь фильтр. Не сумевшие пройти проверку пакеты удаляются. Показанный на рис. 8.25 пакетный фильтр внутренней локальной сети пронеряет выходящие пакеты, а пакетный фильтр внешней локальной сети проверяет входящие пакеты.
Пакеты, преодолевшие первый барьер, проходят к шлюзу прикладного уровня для дальнейшего исследования. Размещение двух фильтров в разных локальных сетях позволяет гарантировать, что ни олин пакет не попадет из одной сети в другую, не пройдя через шлюз прикладного уровня. Обходного пути вокруг него нет. Пакетные фильтры обычно управляются таблицами, настраиваемыми системным администратором. В этих таблицах перечислены допустимые и блокируемые отправители и получатели, а также правила, описывающие действия над исходящими и входящими пакетами. В обшем случае настроек ТСР/1 Р информация о получателе или отправителе состоит из 1Р-адреса и номера порта.
Номера портов определяют требуемую службу. Например, порт 23 используется для программы Те1пеГ, порт 79 — для Р1пяег, а порт 119 — для новостей сети 1)БЕНЕТ. Компания может заблокировать все входяшие пакеты для комбинаций всех 1Р-адресов с одним из этих но- 878 Глава 8. Безопасность в сетях меров портов. Таким образом, никто посторонний не сможет войти в сеть через Те1пег или просмотреть список текуьцих пользователей сети с помощью программы Р1пяег.
Кроме того, компания может таким образом не допустить, чтобы ее сотрудники весь день читали новости 1)эЕХЕТ. Блокирование исходящих пакетов сложнее. Несмотря на то что названия большинства сайтов чаще всего соответствуют стандартным соглашениям об именах, никто не обязывает их прилерживаться. Кроме того, для некоторых важных служб, таких как ГТР (Р1! е Тгапз(ег Ргогосо1 — протокол передачи файлов), номера портов назначаются динамически. Более того, хотя блокирование ТСР- соединения является непростым делом, блокировать (Н)Р-пакеты еще тяжелее, так как почти ничего нельзя сказать заранее о том, что они собираются делать. Многие пакетные фильтры по этой причине просто запрещают (ЗРР-график совсем.
Вторая составляющая механизма брандмауэра представляет собой шлюз прикладного уровня. Вместо того чтобы просто разглялывать пакеты, этот шлюз работает на прикладном уровне. Например, может быть установлен почтовый шлюз, просматриваюший каждое вхолящее и выходящее сообщение.
Каждое сообшение пропускается или отвергается в зависимости от солержимого полей заголовков, размера сообщения и даже содержимого (например, шлюз, работающий на военном объекте, может реагировать особым образом на ключевые слова вроде «атомная» или «бомба»). Может быть одновременно установлено несколько шлюзов для специфических приложений, тем не менее, осторожные организации нерепко разрешают обмен электронной почтой и даже ~Ч~ЧЪЧ, однако запрещают все остальное как слишком рискованное. В сочетании с шифрованием и фильтрацией пакетов подобные меры обеспечивают некоторый уровень безопасности ценой некоторого неудобства.
Даже в случае идеально настроенного брандмауэра остается множество проблем, связанных с безопасностью. Например, если входящие пакеты пропускаются только со стороны конкретных сетей (например, со стороны ЛВС дочерней фирмы компании), взломщик, находящийся вне зоны действия брандмауэра, может просто фальсифицировать адрес отправителя и тем самым преодолеть барьер. Если же нечестный сотрулннк компании решит переслать секретную документацию, он может зашифровать ее или вообще сфотографировать, и тогда эти данные смогут проникнуть через любые лингвистические анализаторы.
Мы даже не обсуждаем тот факт, что в 70 Ж случаев мошенники находятся в зоне действия брандмауэра. Очень часто ими являются недовольные сотрудники (Бсппе(ег, 2000). К тому же, существует целый класс атак, с которыми не способны справиться никакие брандмауэры. Идея, лежащая в основе брандмауэров, заключается в том, чтобы не давать взломщикам проникнуть в систему, а секретным данным— уходить наружу. К сожалению, в мире есть много людей, которые не могут найти себе лучшего занятия, незкели препятствовать работоспособности сайтов.
Онн отправляют вполне легитимные сообщения до тех пор, пока сайт не перестанет функционировать из-за чрезмерной нагрузки. Например, такое хулиганство может заключаться в рассылке пакетов ЯУЖ для установки соединений. Сайт выде- Защита соединений 87д лит часть таблицы под это соединение и пошлет в ответ пакеты ЯКУ + АСК. Если взломщик не ответит, табличная запись будет продолжать оставаться зарезервированной в течение нескольких секунд до наступления тайм-аута. Если одновременно посылаются тысячи запросов на соединение, никакие запросы от честных граждан просто не пробьются к серверу, так все ячейки таблицы окажутся заняты.
Атаки, целью которых является нарушение деятельности обьекта, а не получение секретных данных, называются атаками типа ):)оЯ (1)еп1а1 о18егу1се — отказ в обслуживании (запроса) — сравните с сокращением ЯоЯ вЂ” качество обслуживания). Обычно адрес отправителя в пакетах с запросами фальсифицирован, поэтому найти вандала не так просто. Существует и более жестокий вариант такой атаки. Если сетевому хулигану уже удалось взломать несколько сотен компьютеров, расположенных по всему миру, он может приказать им всем забивать запросами один и тот же сервер.
Тем самым не только повышается «убойттая сила», но и уменьшаются шансы на обнаружение негодяя, так как пакеты прихолят с самых разных компьютеров, ничем плохим себя ранее не зарекомендовавших. Этот тип атаки носит название 1)1)оЯ 1013(г)Ъпгед Е)еп)а1 о( 8егу(се — распределенный отказ в обслуживании). С этой напастью бороться трудно.
Даже если атакуемая машина сможет быстро распознать поддельный запрос, на его обработку и отвержение потребуется некоторое время, в течение которого придут другие запросы, и в итоге центральный процессор будет постоянно занят их обработкой. Виртуальные частные сети Многие компании владеют множеством подразделений, расположенных в разных городах, иногда даже в разных странах. До появления общедоступных сетей передачи данных обычным делом было арендовать выделенную телефонную линию для организации связи между некоторыми или всеми парами подразделений.
В некоторых компаниях такой подход применяется до сих пор. Сеть, состоящая из компьютеров, принадлежащих компании, и выделенных телефонных линий, называется частной сетью. Пример частной сети, соединяющей три подразделения, показан на рис. 8.26, а. Брандмауэр Офис ( Вь'Делвннвл Офис 2 л ния Офис 3 Офис 3 Рис.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
