tanenbaum_seti_all.pages (525408), страница 236
Текст из файла (страница 236)
В общем случае настроек ТСР/1Р информация о получателе или отправителе состоит из 1Р-адреса и номера порта. Номера портов определяют требуемую службу. Например, порт 23 используется для программы Те!пей порт 79 — для Р1пяег, а порт 119 — для новостей сети ПБЕХЕТ. Компания может заблокировать все входящие пакеты для комбинаций всех 1Р-адресов с одним из этих но- 378 Глава 8, Безопасность в сетях меров портов. Таким образом, никто посторонний не сможет войти в сеть через Те1пег или просмотреть список текущих пользователей сети с помошью программы Р!пясг.
Кроме того, компания может таким образом не допустить, чтобы ее сотрудники весь день читали новости (ЛЕНЕТ. Блокирование исходящих пакетов сложнее, Несмотря на то что названия большинства сайтов чаше всего соответствуют стандартным соглашениям об именах, никто не обязывает их придерживаться. Кроме того, для некоторых важных служб, таких как РТР (Ейе Тгапз(ег Ргогосо1 — протокол передачи файлов), номера портов назначаются динамически. Более того, хотя блокирование ТСР- соединения является непростым делом, блокировать (Л)Р-пакеты еше тяжелее, так как почти ничего нельзя сказать заранее о том, что они собираются лелать.
Многие пакетные фильтры по этой причине просто запрещают 131)Р-график совсем. Вторая составляюшая механизма брандмауэра представляет собой шлюз прикладного уровня. Вместо того чтобы просто разглядывать пакеты, этот шлюз работает на приклалном уровне. Например, может быть установлен почтовый шлюз, просматриваюппгй каждое входяшее и выходящее сообщение.
Каждое сообщение пропускается или отвергается в зависимости от содержимого полей заголовков, размера сообщения и лаже содержимого (например, шлюз, работающий на военном объекте, может реагировать особым образом иа ключевые слова вроде «атомная» или «бомба»). Может быть одновременно установлено несколько шлюзов для специфических приложений, тем не менее, осторожные организации нерелко разрешают обмен электронной почтой и даже %%%, олнако запрещают все остальное как слишком рискованное.
В сочетании с шифрованием и фильтрацией пакетов подобные меры обеспечивают некоторый уровень безопасности ценой некоторого неулобства. Даже в случае илеальпо настроенного брандмауэра остается множество проблем, связанных с безопасностью. Например, если входящие пакеты пропускаются только со стороны конкретных сетей (например, со стороны ЛВС дочерней фирмы компании), взломп!ик, нахолящийся вие зоны действия бранлмауэра, может просто фальсифицировать адрес отправителя и тем самым преодолеть барьер. Если же нечестный сотрудник компании решит переслать секретную документацию, ои может зашифровать сс или вообше сфотографировать, и тогла зти данные смогут проникнуть через любые лингвистические анализаторы. Мы даже не обсуждаем тот факт, что в 70 Ж случаен мошенники находятся в зоне действия брандмауэра.
Очень часто ими являются недовольные сотрудники (ЯсЬпе1ег, 2000). К тому жс, существует целый класс атак, с которыми не способны справиться никакие брандмауэры. Идея, лежащая в основе брандмауэров, заключается в том, чтобы нс лавать взломщикам проникнуть в систему, а секретным ланным— уходить наружу. К сожалению, в мире есть много люлей, которые не могут найти себе лучшего занятия, нежели препятствовать работоспособности сайтов.
Они отправляют вполне легитимные сообщения до тех пор, пока сайт ие перестанет функционировать из-за чрезмерной нагрузки. Например, такое хулиганство может заключаться в рассылке пакетов 5уйг для установки соединений. Сайт выде- Защита соединений 879 лит часть таблицы пол это соединение и пошлет в ответ пакеты 5УУ е АСК. Если взломщик не ответит, табличная запись булет продолжать оставаться зарезервированной в течение нескольких секунд ло наступления тайм-аута.
Если одновременно посылаются тысячи запросов на соединение, никакие запросы от честных граждан просто не пробьются к серверу, так все ячейки таблицы окажутся заняты. Атаки, целью которых является нарушение деятельности объекта, а не получение секретных ланных, называются атаками типа РоВ (реп)а! о( Вегу(се — отказ в обслуживании (запроса) — сравните с сокрашением Яо8 — качество обслуживания). Обычно адрес отправителя в пакетах с запросами фальсифицирован, поэтому найти вандала не так просто.
Существует и более жестокий вариант такой атаки. Если сетевому хулигану уже удалось взломать несколько сотен компьютеров, расположенных по всему миру, он может приказать им всем забивать запросами один и тот же сервер. Тем самым не только повышается «убойная сила», но и уменьшаются шансы на обнаружение неголяя, так как пакеты приходят с самых разных компьютеров, ничем плохим себя ранее не зарекомендовавших.
Этот тип атаки носит название 1)ооВ (О)эгг)Ьпге(! Пеп)а! от Вегу)се — распределенный отказ в обслуживании). С втой напастью бороться трудно. Даже если атакуемая машина сможет быстро распознать поддельный запрос, на его обработку и отвержение потребуется некоторое время, в течение которого прйдут другие запросы, и в итоге центральный процессор будет постоянно занят их обработкой. Виртуапьные частные сети Многие компании владеют множеством подразлелений, расположенных в разных городах, иногла лаже в разных странах. До появления общелоступпых сетей передачи данных обычным полом было арендовать выделенную телефонную линию лля организации связи между некоторыми или всеми парами полразлелений.
В некоторых компаниях такой подход применяется ло сих пор. Сеть, состоящая из компьютеров, принадлежащих компании, и выделенных телефонных линий, называется частной сетью. Пример частной сети, соелиняющсй три полразлслсния, показан на рис. 8.26, а. Брандмауэр Офис т Вмлеленнви Офис 3 Офис 3 Офис 3 Рис. 8.26. Частная сеть нв основе вьщеленной линии (в); виртуальная частная сеть (б) 880 Глава 8. Безопасность в сетях Частные сети работают хорошо и обладают высокой защищенностью. Если бы были доступны только выделенные линии, то отсутствовала бы проблема утечки трафика, и взломщикам пришлось бы физически подключаться к линиям, чтобы перехватить данные, а это не так просто.
Беда в том, что стоимость аренды одного выделенного канала Т! составляет тысячи долларов (в месяц!), а аренда линии ТЗ во много раз дороже. Когда появились общедоступные сети передачи данных, у компаний возникло естественное желание воспользоваться ими для передачи данных (а может, и голоса). При этом, правда, не хотелось терять свойства защищенности, присущие частной сети. Это соображение вскоре привело к изобретению виртуальных частных сетей (ЧРН вЂ” Ч!ггва! Рг!чагс Нети ог!гз), которые являются оверлейными сетями, работающими поверх обычных общедоступных сетей, но обладающими свойствами частных сетей.
Они называются «виртуальными», потому что такие сети — это почти иллюзия; аналогичным образом виртуальные каналы — это не реальные каналы, а виртуальная память — это не реальная память. Хотя виртуальные частныс сети могут строиться на основе АТМ (или сетей с коммутацией калров — !гаво ге1ау), все более популярным становится организация ЧРХ прямо в Интернете. При этом обычно каждый офис оборудуется брандмауэром и создаются интернет-туннели между всеми парами офисов, как показало на рис, 8.26, б. Если !Рзес работает в режиме тунпелирования, можно собрать весь трафик между любыми двумя парами офисов в один палежный поток и установить защищающую связь, обеспечив тем самым контроль целостности, секретности и даже определенный иммунитет против анализа трафика. При запуске системы каждая пара брандмауэров должна договориться о параметрах защищающей связи, таких как набор услуг, режимов, алгоритмов и ключей.
Во многие брандмауэры встроен специальный инструментарий для работы с виртуальными частными сетями, но можно построить систему и на обычных маршрутизаторах. Тем не менее, поскольку брандмауэры — это почти неотъемлемая часть систем сетевой безопасности, вполне естественно начинать и заканчивать туннели именно на брандмауэрах, проводя четкую границу между компанией и Интернетом. Таким образом, наиболес распространенная комбинация подразумевает наличие брандмауэров, виртуальных частных сетей и 1Рзес с ЕБР в режиме туннелирования. После установки защищающей связи начинается передача данных.
С точки зрения маршрутизатора, работающего в Интернете, пакет, проходяпп«й по туннелю ЧРН, — это самый обычный пакет, Единственное, что его отличает от остальных, это наличие заголовка 1рзес после заголовка 1Р, Но поскольку дополнительные заголовки на процесс пересылки никак не влияют, маршрутизаторы не сильно беспокоит заголовок !Рзес. Основное преимушество такой организации виртуальной частной сети состоит в том, что она совершенно прозрачна для всего пользовательского ПО.
Установкой и управлением защищающих связей занимаются брандмауэры. Единственный человек, которому есть дело до настройки сети, — это системный администратор, который обязан сконфигурировать и поддерживать брандмауэры. Для всех остальных виртуальная частная сеть мало чем отличается от частной Защита соединений ВВ1 сети на основе выделенной линии.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
