К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 205
Текст из файла (страница 205)
Существует несколько различных методов обеспечения разных степеней защиты сетевых систем. Натщпмер, требования к защите рабочих станций и %еЬ-серверов отличахпся довольно сущесп1енно. В зависимости от размера сети, выполняемых еистемамн функций и степени риска межсетевая защита может принимать множество форм. По существу, этот термин появился для обозиэчения любого вила защиты ат внешнего воздействия.
Фактически, настоящая межсетевая защита —, эта, камцлшъс защитных действий, элементы которого могуг быть реализовайы разлйчными сетевыми компонентами. Эти компоненты, работая вместе, могут регулировать не талька трафик, допускаемый в сеть, но и исходящий трафик. Например, в дополнение к предотвращению доступа внешних полъзоваталей Интернета к компьютерам локалъной сети, можно испалъзовать межсетевую защиту лля запрещения %еЬ-серфинга некоторым внутренним пользователям, но при этом оставить им возможность исцолъзования электронной почты Интернета. Недорогой программный маршрутизатор применяхп ХАТ, чтобы дать вазможность рабочим станциям небольшой сети использовать незарегистрированные адреса, и в некотором смысле это тоже форма.Межсетевой защиты.
Большая корпорация с многоканальным подключением Т1 к Интернету, скорее всего, будет иметь компьютер между внугренней сетью и маршрутизаторами, соединенными с Интернетом, на котором будет усгайовлено прбгриимное обеспечение межсетевой защиты. Некоторые функции межсетевой защиты встроены в маршрутизатор, остальные выполняются отдельными программами, которые необходимо установить на компьютер.
Межсетевая зашита мажет устанавливать преграду по любому иэ двух принципоэ, выбор которых, в основном, зависит ат степени риска, дапуапамага лля данной сети, и потребностей сетевых пальзователей: П все, что специально не разрешено — запрещено; гз все„что специалъно не запрещено — разрешено.
Зти два принципа — по существу„отражение явления, кама стакан видится или наполовийу полным илн полупустым. Можно начать с сети, которая полностью залппцена, н постепенно открывать партавы, разрешающие прохождение определенных видов трафика, или же начать с полностью открытой сетя и постепенно блокировать виды трафикв, которые мо1уг быть подазрительнмми. Первый метод намного безопаснее,: и вообще рекомендуется во все~иззедах. Однако при этом придавпвг особое значение защите, а не легкости работы с сетью.
Последний метан менее безопасен. но делает использование сети более леткой залжей. Працха, в этаМ случае администратору прндепзг предвпдезь способы айхапа межсетевой залциты и принимать меры против таких цапыток. О хакерах дацоданнно известно талька одно — они бесконечно изобретательны, и не откшаать от их дьявольских ухшцрений бывает.доволыю трудна. Сетевые админиаграторы могут использовать разнообразные технологии, чтобы заплатить вти принципы и запштить различные системы в сети. Следующие разделы рассматривают некоторые из этих технологий и ззбласти их применения; Фильтрация пакетов чзизьиуаниа лазилам — это функция, реализуемая и маршрутизаторах н межсетевых защитах, которая разрешает наи запрепыет,:щиънейпни щхицакдение пакета в соответствии с заданными администратором правилами.
Зтв правила опираются на инфармашпо„имеющуюся в заказике квлдага пакета: О 1Р-азрес источника и назначения; О ' протокол; П порт источника и ншначения; П ти б анги 1СМР; П входящий и нсходяший интерфейс. Используя комбинации значений этих критериев, можете задать точные условия, при которых пакеты окажутся пропущенными через мелкетевую защиту Иапрнъвцз чкскно задать 1Р-адреса юзмпыотерав в' Интернете, которые могут связатмзг с определеннымн машннамв в локальной сети, иснааьзуя протокол Те1аег." 3 результате, все пакеты„направленные в локальную сеть и использующие йорг 23 (порт для протокола те1пегу, будут отвергнуты, кроме тех, 1Р-адреса источников которых указаны: в правилах.; Исгпвгьзуя такие правила, сетевые'администраторы могут разрешать Те1пег-люступ к локальным системам определенным внешним пользователям (например, другим азминнстратарам), в то время как все остальные будут, лишены такого доступа.
Зто назъгвается щювс"зяевскяая фиыщизцлм цатому что ана управляет графиком определенного вила сервиса, например Те1пег. Глава ЯЮ. Организация доступа в Интернат йувис-независимое фматрвяив используется для предотвращения определенных типов вторжений, которые не основаны на какой-либо специфической службе. Например, хакер может пытаться получить доступ к компьгатеру в частной локальной сети, маскируя свои пакеты так, как если бы ани были созданы системой, принадлежащей этой локальной сети.
Это называется зреем (зрааà — обман). Хотя пакеты и могут иметь |Р-адрес внутренней системы, но они приходят на маршрутизатор через интерфейс, которьщ не связан с Интернетам. Должным образом сконфигурированный фильтр может увязать гР-адреса внутренних систем с интерфейсом внутренней сети, так, чтобы пакеты, прибывающие из Интернета с аналогичным 1Р-адресом, могли бы быть обнаружены и отброшены.
Фильтрации пакетов — эта функция, встраиваемая во многие маршрутизаторы, поэтому прн организации этого вида защиты дополнительных расходов не будет, плюс к этому, не нужна никакая мсдификзция пользовательского программного обеспечения. Однако создание совокупности фильтров, которые обеспечаг адекватную защиту сети против большинства типов нападения, требует детального знания работы служб и протоколов, и даже в этом случае фильтры не смогуг предотвратить некоторые типы вторжения.
Фильтрация пакетов также создаст дополнительную нагрузку по обработке графика на марщруппатор, которая увеличивается с ростом сложности и количества фильтров. Прокси-серверы . Проков-серверы Гргоху гегуетз), известные так жс, кзк иовозм прикладного. уровня илн хосты-бастионы ~Ьаюггол Лоза), обеспечивают более высокий уровень защиты, чем фильтрация пакетов, но ани предназначены регулировать доступ только для определенного приложения. В сущности, прокоп-сервер выступает в роли посредника между клиентом н сервером определенной службы.
Фильтрация пакетов используется для исключения прямой связи между клиентами и серверами определенной службы, вместо этого весь график направляется через прокоп-сервер (рис. 2б.2). риа, 26Л. Прскси-серверы коммутнруют трафик приложения мамду клиентами и серверами Поскпльку прокоп-сервер "знает'" в деталях определенное приложение и его функции, он ма;кет более точно регулировать связи этого приложения с внешним 'миром;" Ддя кюхдого из прилохгений, необходимых поаьзователям локальной сети, в межсетевой защите монет быть предусмотрен'индивидуальный прокоп-'сервер, как показано на рис. 26З; рис.
26.3. Один иронси-сервер может предоставлять индивидуальные шпоеы дни нюсхольхих приложений Наиболыаес распространение на сегодняшний день получилн происк-серверы для %еЬ Программы %еЬ-браузеров в локальной сети сконфитурированы так, чтобы посылать все запросы прокси-серверу, вместо сервера в Интернет, к которому они хотят обратиться. Происк-сервер (который имеет доступ в Интернет), в свою очередь, передает запрос соответствующему серверу в Интернет, используя собственный 1Р-адрес как адрес источника запроса„принимает ответ от сервера и пересталжт его 'Ййенту, который изначально делал запрос.
Поскольку в Интернете вилен только адрес прокоп-сервера, у внешних пользователей нет всоможности получить доступ к пользовательским системам в этой локальной сети. Кроме того, проков-сервер 'анализирует кюкдый пакет„пришедший из Интернета, и только пакеты, которые яМяютсл ответом на определенный запрос, пересылаются дальше.
Таике прокоп-сервер мгякст самоспзятельно исследовать данные на предмет наличия в них опас- '» лала Ж Органная»л»лдаступа а Интернат нога кода или подозрительнап» содержания Прокоп-сервер имеет уникальные возможности регулирования графика пользователя с большой точностью. Типичный прокси-сервер %еЬ, например, дает вожожносп,сетевому администратору регистрировать все действия пгяпаава»елей в Интернете, ограничивать доступ к некоторым сайтам влн ввалить временные ограничения на доступ, а та»оке кзп»ировать непосредственно на проков-дервере часта посещаемые сайты, что позволяет остальным пользователям получать ту же самую информацию намного быстрее. К недостаткам прокси-серверов можно отнести то, что для ввхагой службы необходимы свой прокоп-сервер и коррекция пользовательского программного обеспечения.
Например, прежде чем использовать %еЬ-браузср,, следует еп» сконфигурировать дяя работы с прокоп-сервером. Раньше т»ребовалось конфигурировать %еЬ-браузер каждого пользоваге»ш вручную, на сейчас появились протоколы, которые позволяют программе %еЬ-браузера автоматически обнаруживать прокси-сервер и выбирать .соответствующую конфигурацию. Шлюзы уровня канала ша»аз уроаил канала ~сиеигг-йюе1 гам»»»69 — это функция, которая обычно обеспечивается шлюзами Прию»ляного уровни. Она позволяет надежным пользователям локальной сети обращаться к службам Интернета, используя защиту прокоп-сервера без обработки и фильтрации пакетов.
Шлюз создает мост между интерфейсам локальной сети и интерфейсом сетя Интернет, который дает возмолгнасть пользова»ельскай системе посылать график сквозь межсетевую защиту. Ш»паз по-прежнему заменяет !Р-адрес сна»вмы локзль ной сети на свой, чтобы клиент был невидим для пользователей Интернета. Обьедикение технолопйй межсетевой защиты Существуют различные варианты обьединения вышеописанных видов межсетевой защиты. В относительна простом случае, когда требуется только дос»уп пользовагелей в Интернет, фильтрация пакетов одна нли в комбинации с пракси-серверам, мажет обеспечить достаточный уровень ззцпгж Добавление' црокси-сервера к фильтрации пакетов дополнительно усилит защиту сети, потому что потенциальному взломщику будет необходимо проникнуть уже через лва уровня зз»питы.
Однако, если в локальной сети есть серверы, кото рые должны быть видны из Интернета, то проблема значительно услажнясиж. Одна из"наиболее безопасных мер межсетевой зашиты, которую можно использовать при такой конфигурации, называется акранируа»иагя яадсал»ь гизваг»аХ'зиалаг гйв»»»а5 Она включает дамилитаризираааниую золу (ОМХ, беш»йшг»зеб золе) — подсеть, расположенную между локальной сетио и Ин- ' -, ЧасГь"ха Сетевые службы тернетом С помопнао двух маршрутизаторов с функцией фильтрации нали- тое создается сеть ВМУ., в которой наряду с прок~ь-сервером распсиозхены %еб-, Р1 Р- и почтовый серверы, а также лхзбые другие машины, которые должны быль видны из Интернета, как показано парие 26.4 уе ф6$ инте~ей:ичаеии Оси$йихвн ВО юнйюнбы ычхищчпв1чюв Р~е~чййеыыыя тзвеихчжтнох -4~ Олн сстВнОВПЮн ~ю юфвфююм апРОнфбизВтОдВ Зги два мартлрутнзатара сконфигурированы так, чтобы обеспечить системам из локальной сети н из Интернета доступ с определенным уровнем к некоторым системам, расположенным в сети ЮМХ, но при этом график нанрямухз через ОМХ не проходит.
Пользователь из ИпгЕрйстадрджен пройтн уже через три отдельных уровня защиты (маршрутизатор — '' прокси-сервер — 'маршрутизатор), прежде чем получит доступ к системе в ловильной сетя. Межсетевая зашита данного типа — это целый комплекс устройств, которые должны быть сконфигурированы под конкретнухз сеть, и может потребовать много времени н денег. цены на серьезные Программпые дродукзы дхя защиты сетей предприятия могут легко достигать пятизначных чисел, н процесс их установки закшочаегся не просю в запуске программы инсталляции.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
