Определение схемы подключения межсетевого экрана. Для чего нужен межсетевой экран

Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 9.1). При этом всœе взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.

Рис. 9.1. Схема подключения межсетевого экрана МЭ

МЭ, защищающий сразу множество узлов внутренней сети, призван решить:

‣‣‣ задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователœей к внутренним ресурсам корпоративной сети. К таким пользователям бывают отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;

‣‣‣ задачу разграничения доступа пользователœей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, к примеру, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.

До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, к примеру, по следующим основным признакам.

По функционированию на уровнях модели OSI: ‣‣‣ пакетный фильтр (экранирующий маршрутизатор - screening router ); ‣‣‣ шлюз сеансового уровня (экранирующий транспорт); ‣‣‣ прикладной шлюз (application gateway ); ‣‣‣ шлюз экспертного уровня (stateful inspection firewall ).

По используемой технологии: ‣‣‣ контроль состояния протокола (stateful inspection ); ‣‣‣ на базе модулей посредников (proxy ).

По исполнению: ‣‣‣ аппаратно-программный; ‣‣‣ программный.

По схеме подключения: ‣‣‣ схема единой защиты сети; ‣‣‣ схема с защищаемым закрытым и не защищаемым открытым сегментами сети; ‣‣‣ схема с раздельной защитой закрытого и открытого сегментов сети.

  • — Функции межсетевых экранов

    Назначение межсетевых экранов Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого… [читать подробнее].

  • Межсетевое экранирование

    На практике часто закрытые корпоративные распределенные и сосредоточенные КС связаны с общедоступными сетями типа Internet. Режимы взаимодействия пользователей закрытой РКС с общедоступной системой могут быть различны:

    — с помощью общедоступной РКС связываются в единую систему закрытые сегменты корпоративной системы или удаленные абоненты;

    — пользователи закрытой РКС взаимодействуют с абонентами общедоступной сети.

    В первом режиме задача подтверждения подлинности взаимодействующих абонентов (процессов) решается гораздо эффективнее, чем во втором режиме. Это объясняется возможностью использования абонентского шифрования при взаимодействии КС одной корпоративной сети.

    Если абоненты общедоступной сети не используют абонентское шифрование, то практически невозможно обеспечить надежную аутентификацию процессов, конфиденциальность информации, защиту от подмены и несанкционированной модификации сообщений.

    Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название межсетевой экран (Firewall) (рис. 34). Как правило, межсетевой экран реализуется на выделенной ЭВМ, через которую защищенная РКС (ее фрагмент) подключается к общедоступной сети.


    Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы.

    Межсетевой экран выполняет четыре функции:

    — фильтрация данных;

    — использование экранирующих агентов;

    — трансляция адресов;

    — регистрация событий.

    Основной функцией межсетевого экрана является фильтрация входного (выходного) трафика. В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

    Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и на прикладном уровнях. Чем большее количество уровней охватывает экран, тем он совершеннее. Межсетевые экраны, предназначенные для защиты информации высокой степени важности, должны обеспечивать:

    — фильтрацию по адресам отправителя и получателя (или по другим эквивалентным атрибутам);

    — фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

    — фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

    — фильтрацию с учетом любых значимых полей сетевых пакетов;

    — фильтрацию на транспортном уровне запросов на установление виртуальных соединений;

    — фильтрацию на прикладном уровне запросов к прикладным сервисам;

    — фильтрацию с учетом даты и времени;

    — возможность сокрытия субъектов доступа защищаемой компьютерной сети;

    — возможность трансляции адресов.

    В межсетевом экране могут использоваться экранирующие агенты (proxy-серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию.

    Тема 3. Базовые технологии сетевой безопасности

    Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта. Действия экранирующего агента являются прозрачными для участников взаимодействия.

    Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных внутренних адресов. Это позволяет скрыть топологию сети и использовать большее число адресов, если их выделено недостаточно для защищенной сети.

    Межсетевой экран выполняет регистрацию событии в специальных журналах. Предусматривается возможность настройки экрана на ведение журнала с требуемой для конкретного применения полнотой. Анализ записей позволяет зафиксировать попытки нарушения установленных правил обмена информацией в сети и выявить злоумышленника.

    Экран не является симметричным. Он различает понятия: «снаружи» и «внутри». Экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал. Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в РКС имеются фрагменты сети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

    В зависимости от степени конфиденциальности и важности информации установлены 5 классов защищенности межсетевых экранов. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности — пятый, а самый высокий -первый. Межсетевой экран первого класса устанавливается при обработке информации с грифом «особой важности».

    Межсетевые экраны целесообразно выполнять в виде специализированных систем. Это должно повысить производительность таких систем (весь обмен осуществляется через экран), а также повысить безопасность информации за счет упрощения структуры. Учитывая важность межсетевых экранов в обеспечении безопасности информации во всей защищенной сети, к ним предъявляются высокие требования по разграничению доступа, обеспечению целостности информации, восстанавливаемости, тестированию и т. п. Обеспечивает работу межсетевого экрана администратор. Желательно рабочее место администратора располагать непосредственно у межсетевого экрана, что упрощает идентификацию и аутентификацию администратора, а также упрощает выполнение функций администрирования.

    В сетях с большой интенсивностью обмена межсетевой экран может быть реализован на двух и более ЭВМ, которые целесообразно размещать на одном объекте. Функции межсетевого экрана и шлюза (моста) могут быть реализованы на одной КС. На практике часто фрагменты защищенной сети связываются между собой через общедоступную сеть. Все фрагменты подключаются к общедоступной сети через межсетевые экраны.

    Научно-технический прогресс сегодня идет семимильными шагами, ведь вчера мы еще с уверенностью не могли сказать, что такое компьютер, а сегодня уже обсуждаем способы его безопасности, и способов этих сейчас существует предостаточно. Однако какие из них более надежны, пользователи обычно узнают из своего собственного, порой отрицательного, опыта. Сегодня мы поговорим об одном из способов, который поможет обезопасить ваш компьютер - межсетевом экране.

    Что такое firewall?

    Год назад 90% пользователей Интернета не могли с уверенностью сказать, что представляет собой межсетевой экран или как он по-другому называется firewall. Сегодня же рынок интернет технологий прямо-таки пестрит разнообразием платных и бесплатных версий данной программы, потому что в условиях постоянного появления вирусов работа компьютера без firewall просто невозможна. Возможно, не все знают, но компьютер, подключенный к Интернету без установленного сетевого экрана, заражается вирусами буквально через пару часов.

    Кстати, одним из бесплатных видов этой программы является Zone Alarm, который вполне подходит для пользователя с домашним компьютером. Он довольно-таки надежен, однако не стоит быть в нем полностью уверенным, потому что профессиональные хакеры находят все больше уязвимых мест в существующих операционных системах.

    Принцип обмена информацией

    Пришло время узнать, как наши компьютеры получают зараженную информацию извне. А все происходит после того, как компьютер подключается к интернету и получает свой IP-адрес. Этот адрес не должен знать никто, кроме вас и вашего провайдера. А затем ваш компьютер посылает запрос другому и сообщает свой адрес. После этого происходит обмен данными, и не известно, какова вероятность, что вы именно в этот момент не получаете зараженные файлы.

    Итак, вы уже поняли, что для того, чтобы взломать ваш компьютер, требуется знать его IP-адрес. Естественно, вы регулярно обмениваетесь адресами с другими компьютерами, это необходимо для работы в Интернете. Однако если вы пользуетесь надежными ресурсами, их хозяева не будут взламывать ваш компьютер или разглашать адреса клиентов другим.

    Хотя для хакеров всегда найдутся свои лазейки: есть специальные программы, отбирающие именно те сетевые адреса, по которым числятся компьютеры. Вот тут-то вам и поможет firewall.

    Необходимость firewall

    Вообще у межсетевого экрана есть две цели. Вот о них мы сейчас и поговорим.

    1. Защита компьютера от утечки информации.

    Сейчас, как известно, очень распространены различные троянские вирусы или, как и называют, «трояны». Если троян попадает на компьютер, он может либо красть пароли и другие важную информацию, либо давать кому-то другому возможность управлять вашим компьютером удаленно. Firewall же предусматривает работу с сетью только для некоторых, известных ему программ, таких как почтовый клиент, браузер и т.д. Если же программа ему не известна, он либо запрашивает у вас разрешение на ее доступ в сеть, либо запрещает доступ без вашего разрешения.

    2. Защита от проникновения на компьютер извне.

    Иногда некоторые операционные системы, например, тот же Windows, держат несколько портов открытыми.

    Студенческий документ № 098756 из ИНТУИТ

    А значит, через них может распространяться различная сетевая зараза. Поэтому порты нужно закрыть и сделать невидимыми. И тогда ваш компьютер станет невидимым, и никто не будет его атаковать.

    При этом опытные хакеры все равно могут получить адрес вашего компьютера, даже если все порты невидимы. Поэтому еще одна задача межсетевого экрана firewall - делать порты невидимыми и закрывать их, тогда вероятность взлома уменьшается.

    Дата публикации: 13-01-2011, 23:53

  • Компьютерная безопасность
  • Бесплатный фаервол от компании Comodo
  • Для чего взламывать ваш компьютер?
  • Особенности антивирусных программ
  • Как установить антивирусное программное обеспечение?
  • Программное обеспечение
  • Как защитить компьютер от вирусов?
  • Как защитить себя в интернете
  • Вышла новая версия брандмауэра Kerio Control Firewall
  • Как защитить компьютер от хакерских атак
  • 123456Следующая ⇒

    Экранирование и межсетевые экраны

    Основные понятия

    По материалам руководящего документа Государственной технической комиссии России межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

    Мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные.

    Формальная постановка задачи экранирования, состоит в следующем. Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис.1а). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.


    Рис.1а. Экран как средство разграничения доступа.

    На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис.1б).


    Рис.1б. Экран как последовательность фильтров

    Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

    Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором – о внутреннем. Межсетевой экран – идеальное место для встраивания средств активного аудита. МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой.

    На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

    В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (рис.2). Первичная фильтрация (например, пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором , за которым располагается так называемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации – Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.

    Рис.2. Двухкомпонентное экранирование с демилитаризованной зоной.

    Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным , однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

    Внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников . Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

    Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Чаще корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Можно считать, что корпоративный внешний межсетевой экран является составным (распределенным), и требуется решать задачу согласованного администрирования всех компонентов.

    Существуют также персональные МЭ, предназначенные для защиты отдельных компьютеров. Главное отличие персонального межсетевого экрана от распределенного — наличие функции централизованного управления.

    Межсетевой экран и его функции

    Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях — персональной (для домашних пользователей) и распределенной (для корпоративных пользователей).

    Принципы работы межсетевых экранов

    Существует два основных способа создания наборов правил межсетевого экрана: »включающий» и »исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

    Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

    Безопасность может быть дополнительно повышена с использованием »межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что оптимально для реальных применений.

    При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от несанкционированного удаленного доступа со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.

    У организации часто возникает потребность иметь в составе корпоративной сети нескольких сегментов с разными уровнями защищенности:

    О свободно доступные сегменты (например, рекламный VWW-cepBep);

    О сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);

    О закрытые сегменты (например, финансовая локальная подсеть организации).

    Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик используемых МЭ. Широкое распространение получили следующие схемы подключения межсетевых экранов:

    О схемы защиты сети с использованием экранирующего маршрутизатора;

    О схемы единой защиты локальной сети;

    О схемы с защищаемой закрытой и не защищаемой открытой подсетями;

    О схемы с раздельной защитой закрытой и открытой подсетей .

    Схема защиты с использованием экранирующего маршрутизатора. Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из экранирующего маршрутизатора, расположенного между защищаемой сетью и потенциально враждебной открытой внешней сетью (рис. 8.10). Экранирующий маршрутизатор (пакетный фильтр) сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

    Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Интернет, в то время как большая часть доступа к ним из Интернета блокируется.

    Часто блокируются такие опасные службы, как X Windows, NIS и NFS. В принципе, экранирующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено в явной форме» может быть затруднена.

    Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и экранирующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети. Отметим некоторые из них:

    О сложность правил фильтрации; в некоторых случаях совокупность этих правил может стать неуправляемой;

    О невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от непротестированных атак;

    О практически отсутствующие возможности регистрации событий; в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он.

    Схемы подключения межсетевых экранов с несколькими сетевыми интерфейсами. Схемы защиты с МЭ с одним сетевым интерфейсом (рис. 8.11) недостаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно, не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены МЭ с одним сетевым интерфейсом на МЭ с двумя или тремя сетевыми интерфейсами. Поэтому далее будут более подробно рассмотрены схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами.

    Защищаемую локальную сеть целесообразно представлять как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-, FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом.

    Среди множества возможных схем подключения МЭ типовыми являются следующие:

    О схема единой защиты локальной сети;

    О схема с защищаемой закрытой и не защищаемой открытой подсетями;

    О схема с раздельной защитой закрытой и открытой подсетей.

    Схема единой защиты локальной сети. Данная схема является наиболее простым решением (рис. 8.12), при котором МЭ целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и МЭ имеется только один путь, по которому идет весь трафик. Данный вариант МЭ реализует политику безопасности, основанную на принципе «запрещено все, что явно не разрешено»; при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Обычно маршрутизатор настраивается таким образом, что МЭ является единственной видимой снаружи машиной.

    Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения МЭ можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

    Поскольку межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволит выявить действия злоумышленников.

    Для некоторых сетей может оказаться неприемлемой недостаточная гибкость схемы защиты на базе межсетевого экрана с двумя интерфейсами.

    Схема с защищаемой закрытой и не защищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, тогда их целесообразно вынести как открытую подсеть до межсетевого экрана (рис. 8.13). Данный


    Рис. 8.11


    Рис. 8.12.


    Рис. 8.13.

    способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана.

    Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой и не защищаемой открытой подсетями целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

    Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

    Схемы с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного МЭ с тремя сетевыми интерфейсами (рис. 8.14) или на основе двухМЭ с двумя сетевыми интерфейсами (рис. 8.15). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой подсети не позволяет осуществить доступ к закрытой подсети.

    Из этих двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя МЭ, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей.

    Обычно экранирующую подсеть конфигурируют таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть по крайней мере две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов позволяют практически всегда обнаружить подобную попытку, и администратор системы может своевременно предпринять необходимые действия по предотвращению несанкционированного доступа.

    Следует обратить внимание на то, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи - установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например терминального сервера Аппех компании Вау Хе1уог1«. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляется только после соответствующей аутентификации внешнего пользователя.

    Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Это позволяет достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно,


    Рис. 8.14.

    с тремя сетевыми интерфейсами


    Рис. 8.15.

    если терминальный сервер включить в состав открытой подсети при использовании схем подключения МЭ с раздельной защитой открытой и закрытой подсетей.

    Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно развитые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов и выполняют следующие функции:

    О использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;

    О использование запроса на аутентификацию с какой-либо машины локальной сети; О использование внешних средств аутентификации;

    О установку списка контроля доступа на порты терминального сервера;

    О протоколирование сеансов связи через терминальный сервер.

    анализ и фильтрацию проходящих через него сетевых пакетов. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.

    Английский термин, используемый для обозначения МЭ - firewall . Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог firewall ).

    Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход "запрещено все, что явно не разрешено". В этом случае, сетевой пакет проверяется на соответствие разрешающим правилам, а если таковых не найдется - отбрасывается. Но в некоторых случаях применяется и обратный принцип: "разрешено все, что явно не запрещено". Тогда проверка производится на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен.

    Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI . По этому признаку МЭ делятся на следующие классы [ , ]:

    • экранирующий маршрутизатор;
    • экранирующий транспорт (шлюз сеансового уровня);
    • экранирующий шлюз (шлюз прикладного уровня).

    Экранирующий маршрутизатор (или пакетный фильтр ) функционирует на сетевом уровне модели OSI , но для выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip-адресам отправителя и получателя и по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота - функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.

    Шлюз сеансового уровня работает на сеансовом уровне модели OSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.

    Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности ) и т.д.

    Рассмотрим теперь вопросы, связанные с установкой МЭ. На рис. 6.1 представлены типовые схемы подключения МЭ. В первом случае ( рис. 6.1), МЭ устанавливается после маршрутизатора и защищает всю внутреннюю сеть . Такая схема применяется, если требования в области защиты от несанкционированного межсетевого доступа примерно одинаковы для всех узлов внутренней сети. Например, "разрешать соединения, устанавливаемые из внутренней сети во внешнюю, и пресекать попытки подключения из внешней сети во внутреннюю". В том случае, если требования для разных узлов различны (например, нужно разместить почтовый сервер , к которому могут подключаться "извне"), подобная схема установки межсетевого экрана не является достаточно безопасной. Если в нашем примере нарушитель, в результате реализации сетевой атаки, получит контроль над указанным почтовым сервером, через него он может получить доступ и к другим узлам внутренней сети.

    В подобных случаях иногда перед МЭ создается открытый сегмент сети предприятия (6.1b), а МЭ защищает остальную внутреннюю сеть . Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует.

    Более предпочтительным в данном случае является использование МЭ с тремя сетевыми интерфейсами (6.1c). В этом случае, МЭ конфигурируется таким образом, чтобы правила доступа во внутреннюю сеть были более строгими, чем в открытый сегмент. В то же время, и те, и другие соединения могут контролироваться МЭ. Открытый сегмент в этом случае иногда называется "демилитаризованной зоной" - DMZ .

    Еще более надежной считается схема, в которой для защиты сети с DMZ задействуются два независимо конфигурируемых МЭ (6.1d). В этом случае, MЭ 2 реализует более жесткий набор правил фильтрации по сравнению с МЭ1. И даже успешная атака на первый МЭ не сделает внутреннюю сеть беззащитной.

    В последнее время стал широко использоваться вариант установки программного МЭ непосредственно на защищаемый компьютер . Иногда такой МЭ называют "персональным". Подобная схема позволяет защититься от угроз исходящих не только из внешней сети, но из внутренней.

    Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра. Брандмауэры с одним сетевым интерфейсом (рис.А.8) не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемую локальную сеть будем рассматривать как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-,FTP- иSMTP-серверы, а также терминальный сервер с модемным пулом.

    Рис. А.8. Защита локальной сети брандмауэром с одним сетевым интерфейсом

    Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие:

      схема единой защиты локальной сети;

      схема с защищаемой закрытой и не защищаемой открытой подсетями;

      схема с раздельной защитой закрытой и открытой подсетей.

    Схема единой защиты локальной сети является наиболее простым решением (рис. А.9), при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

    Рис. А.9. Схема единой защиты локальной сети

    При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экрана (рис. А.10). Данный способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

    Рис. А.10. Схема с защищаемой закрытой и не защищаемой открытой подсетями

    В случае же, когда к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами (рис. А.11) или на основе двух брандмауэров с двумя сетевыми интерфейсами (рис. А.12). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой подсети не позволяет осуществить доступ к закрытой подсети. Из последних двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя брандмауэрами, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть, по крайней мере, две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых эк­ранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.

    Рис. А.11. Схема с раздельной защитой закрытой и открытой подсетей на основе одного брандмауэра с тремя сетевыми интерфейсами

    Рис. А.12. Схема с раздельной защитой закрытой и открытой подсетей на основе двух брандмауэров с двумя сетевыми интерфейсами

    Следует обратить внимание, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи - установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например, терминального сервера AnnexкомпанииBayNetworks. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляет-ся только после соответствующей аутентификации внешнего пользователя. Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Это позволит достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно, если терминальный сервер включить в состав открытой подсети при использовании схем подключения брандмауэра с раздельной защитой открытой и закрытой подсетей (рис.А.11 и А.12). Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно продвинутые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов, выполняя следующие функции:

      использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;

      использование запроса на аутентификацию с какой-либо машины локальной сети;

      использование внешних средств аутентификации; - установку списка контроля доступа на порты терминального сервера; - протоколирование сеансов связи через терминальный сервер.

    Из всего вышесказанного отнюдь не следует, что использование систем Firewall абсолютно бессмысленно. Нет, на данный момент этой методике (именно как методике!) нет альтернативы. Однако надо четко понимать и помнить ее основное назначение. Нам представляется, что применение методики Firewall для обеспечения сетевой безопасности является необходимым, но отнюдь не достаточным условием, и не нужно считать, что, поставив Firewall, вы разом решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных атак из сети Internet. Прогнившую с точки зрения безопасности сеть Internet никаким отдельно взятым Firewall"ом не защитишь!