МИНИСТЕРСТВО ОБРАЗОВАНИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
Воронежский государственный технический университет
Кафедра Систем информационной безопасности
РЕФЕРАТ
Тема: ” Безопасность
Internet: брандмауэры. ”
Выполнил: Студент группы ЗИ-991
Горбунов
Никита Александрович.
Принял:______________________
Воронеж 2000
Содержание
1) Актуальность темы……………………………………………………3
2) Щит от несанкционированного доступа……………………………4
3) Конструктивные решения…………………………………………….5
4) Уровень опасности…………………………………………………….6
5) Почему брандмауэр?………………………………………………….7
6) Межсетевой экран как средство от вторжения из
Internet……...8
7) Основные компоненты межсетевых экранов…………………….13
А) Фильтрующие маршрутизаторы…………………………...13
Б) Шлюзы сетевого уровня…………………………………….16
В) Шлюзы прикладного уровня………………………………..18
Г) Усиленная аутентификация…………………………………21
8) Основные схемы сетевой защиты на базе межсетевого
экрана………………………………………………………………………23
А) Межсетевой экран – фильтрующий маршрутизатор……23
Б) Межсетевой экран – на базе двупортового шлюза……..24
В) Межсетевой экран на основе экранирования шлюза………………………………………………………………..25
Г) Межсетевой экран – экранированная подсеть ………….27
Д) Применение межсетевых экранов для организации виртуальных корпоративных ……………………….29
9)Программные методы защиты………………………………………29
10)Заключение……………………………………………………………33
11)Список используемой литературы………………………………..34
Актуальность темы
Интенсивное развитие глобальных компьютерных
сетей. появление новых технологий поиска информации
привлекают все больше внимания к сети Internet со
стороны частных лиц и различных организаций. Многие
организации принимают решение об интеграции своих
локальных и корпоративных сетей в глобальную сеть.
Использование глобальных сетей в коммерческих целях, а
также при передаче информации, содержащей сведения
конфиденциального характера, влечет за собой
необходимость построения эффективной системы защиты
информации. В настоящее время в России глобальные сети
применяются для передачи коммерческой информации
различного уровня конфиденциальности, например для связи
с удаленными офисами из головной штаб квартиры
организации или создания Web-страницы организации с
размещенной на ней рекламой и деловыми предложениями.
Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия. Развитие глобальных сетей привело к многократному увеличению количества пользователей и увеличению количества атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет для злоумышленников значительно большие возможности по сравнению с традиционными информационными системами. По этому вопрос о проблеме защиты сетей и её компонентов становиться достаточно важным и актуальным и это время, время прогресса и компьютерных технологий. Многие страны наконец-то поняли важность этой проблемы. Происходит увеличение затрат и усилий направленных на производство и улучшение различных средств защиты. Основной целью реферата является рассмотрение, и изучение функционирования одного из таких средств сетевой защиты как брандмауэр или межсетевой экран. Который в настоящее время является наиболее надежным в плане защиты из предлагаемых средств.
Щит от несанкционированного доступа
С целью избежания несанкционированного доступа к своим сетям, многие компании, подключенные к Internet, полагаются на брандмауэры. Однако, достигая при этом своей основной цели, пользователь брандмауэра столкнётся с необходимостью выбора между простой работой и безопасностью системы.
Брандмауэр – это один из нескольких путей защиты вашей сети, от другой, которой вы не доверяете. Вообще существует множество вариантов обеспечения такой защиты, но в принципе брандмауэр можно представить как пару механизмов: один – для блокировки, второй – для разрешения трафика.
Основной причиной для установки в частной сети
брандмауэра практически всегда является стремление
пользователя защитить сеть от несанкционированного
вторжения. В большинстве случаев сеть защищают от
нелегального доступа к системным ресурсам, а также от
отправки какой либо информации вовне баз ведома её
владельца. В некоторых случаях экспорт информации не
рассматривается как особо важная проблема, однако, для
многих корпораций, подключение к Internet, это вопрос
первостепенной важности. Многие организации прибегают к
самому простому пути, чтобы избежать подобных
неприятностей: они просто не подключаются к Internet.
Однако это не такое уж удачное решение. Если такая сеть
децентрализована или плохо управляема, любой сотрудник
компании, имеющий доступ к скоростному модему, может без
особого труда подключится к Internet с помощью SLIP,
что может привести к нарушению безопасности всей сети.
Во многих случаях можно сказать, что для защиты
сети лучше всего установить брандмауэр. Хотя любой ваш
сотрудник может вынести из офиса любую доступную ему
информацию на кассетах и дискетах. Internet , кишащий
опасными вандалами , таит в себе неизмеримо большую
угрозу. Их прорыв в локальную сеть компании,
вследствие плохой организации защиты, вполне может
стоить менеджеру сети места работы, даже если ущерб при
этом не будет больше, чем мог бы быть в случае
непосредственного подключения к Internet через модем
либо в результате мести рассерженного сотрудника. Чаще
всего в организациях, прибегающих к услугам Internet,
проблема убедить руководство в необходимости
брандмауэрной защиты неизмеримо сложнее тех забот, с
которыми приходится сталкиваться в процессе ее
установки. Вследствие того, что услуги, предоставляемые
Internet, очевидны для всех, весьма вероятно, что они
потребуют всесторонней официальной проверки.
Конструктивные решения
В процессе конфигурирования брандмауэра
конструктивные решения зачастую диктуются корпоративной
и организационной политикой компании в области
обеспечения защиты сетей. В частности, любая фирма
должна сделать очень серьезный выбор: что для нее важнее
— высокая степень защиты или простота в использовании.
Существует два подхода к решению этой дилеммы.
. Что не было специально разрешено, то запрещено;
. Что не было специально запрещено, то разрешено.
Важность данного разграничения переоценить
невозможно. В первом случае брандмауэр должен будет
блокировать все, а системные службы будут доступны
пользователям лишь после тщательной оценки их
потребности в этих службах, а также степени риска.
Подобный подход непосредственно осложняет пользователям
жизнь, в результате чего многие из них считают
брандмауэры помехой в работе.
Во втором случае эту же реакционную роль играет
системный администратор, который обязан уметь
предвидеть, какие действия, сетевых пользователей
способные ослабить надежность брандмауэра, и принять
соответствующие меры для предотвращения таких попыток. В
результате данного подхода конфликт между
администратором брандмауэра и пользователями развивается
по нарастающей и может стать действительно серьезным.
Если пользователи не осознают важности мер
предосторожности в плане обеспечения безопасности сети и
не выполняют их, они зачастую способны подвергнуть риску
всю сеть. Если пользователи при входе в систему (login)
будут получать неограниченный доступ к брандмауэру, в
системе безопасности сети может возникнуть большая
брешь. Вообще говоря, наличие пользовательских входов в
брандмауэрную систему имеет тенденцию в значительной
мере увеличивать проблему сохранности системы.
Вторая важнейшая формулировка в области политики безопасности гласит: "Что не было специально запрещено, то разрешено" Такой подход наиболее надежен, ибо он освобождает системного администратора от необходимости принимать решения, какие TCP—порты безопасны или какие еще бреши оставили в системе производители ядра или программ. (TCP — протокол транспортного уровня, применяемый в Internet для организации надежной двусторонней доставки данных, используемый многими прикладными программами TCP/IP). Поскольку продавцы вовсе не спешат обнародовать изъяны своего программного обеспечения, данный подход более эффективен, ибо, в сущности, в основе его лежит утверждение, что абсолютно все, чего вы не знаете, может нанести вам вред.
Уровень опасности
Существует несколько путей свести на нет либо
подвергнуть риску брандмауэрную защиту. И хотя они все
плохи, о некоторых можно с уверенностью говорить как о
самых неприятных. Исходя из того, что основной целью
установки большинства брандмауэров является блокирование
доступа, очевидно, что обнаружение кем-либо лазейки,
позволяющей проникнуть в систему, ведет к полному краху
всей защиты данной системы. Если же несанкционированному
пользователю удалось проникнуть в брандмауэр и
переконфигурировать его, ситуация может принять еще
более угрожающий характер. В целях разграничения
терминологии примем, что в первом случае мы имеем дело
со взломом брандмауэрной защиты, а во втором — с полным
ее разрушением. Степень ущерба, который может повлечь за
собой разрушение брандмауэрной защиты, определить
невероятно сложно. Наиболее полные сведения о надежности
такой защиты может дать только информация о предпринятой
попытке взлома, собранная этим брандмауэром. Самое
плохое происходит с системой защиты именно тогда, когда
при полном разрушении брандмауэра не остается ни
малейших следов, указывающих на то, как это происходило.
В лучшем же случае брандмауэр сам выявляет попытку
взлома и вежливо информирует об этом администратора.
Попытка при этом обречена на провал.
Один из способов определить результат попытки
взлома брандмауэрной защиты — проверить состояние вещей
в так называемых зонах риска. Если сеть подсоединена к
Internet без брандмауэра, объектом нападения станет вся
сеть. Такая ситуация сама по себе не предполагает, что
сеть становится уязвимой для каждой попытки взлома.
Однако если она подсоединяется к общей небезопасной
сети, администратору придется обеспечивать безопасность
каждого узла отдельно. В случае образования бреши в
брандмауэре зона риска расширяется и охватывает всю
защищенную сеть. Взломщик, получивший доступ к входу в
брандмауэр, может прибегнуть к методу "захвата островов"
и, пользуясь брандмауэром как базой, охватить всю
локальную сеть. Подобная ситуация все же даст слабую
надежду, ибо нарушитель может оставить следы в
брандмауэре, и его можно будет разоблачить. Если же
брандмауэр полностью выведен из строя, локальная сеть
становится открытой для нападения из любой внешней
системы, и определение характера этого нападения
становится практически невозможным.
В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения. В определенном смысле это может показаться совсем не такой уж удачной идеей, ведь такой подход напоминает складывание яиц в одну корзину. Однако практикой подтверждено, что любая довольно крупная сеть включает, по меньшей мере, несколько узлов, уязвимых при попытке взлома даже не очень сведущим нарушителем, если у него достаточного для этого времени. Многие крупные компании имеют на вооружении организационную политику обеспечения безопасности узлов, разработанную с учетом этих недостатков. Однако было бы не слишком разумным целиком полагаться исключительно на правила. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Подобно тому, как средневековые замки обносили несколькими стенами, в нашем случае создается взаимоблокирующая защита.
Почему брандмауэр?
Через Internet нарушитель может:
. вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;
. незаконно скопировать важную и ценную для предприятия информацию;
. получить пароли, адреса серверов, а подчас и их содержимое;
. входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.
С помощью полученной злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов.
Существует много видов защиты в сети, но наиболее эффективный способ зашиты объекта от нападения, одновременно позволяющий пользователям иметь некоторый доступ к службам Internet, заключается в построении брандмауэра. Чтобы брандмауэр был достаточно эффективным, необходимо тщательно выбрать его конфигурацию, установить и поддерживать.
Брандмауэры представляют собой аппаратно - программный подход, который ограничивает доступ за счет принудительного прокладывания всех коммуникаций, идущих из внутренней сети в Internet, из Internet во внутреннюю сеть, через это средство защиты. Брандмауэры позволяют также защищать часть вашей внутренней сети от остальных её элементов. Аппаратные средства и программное обеспечение, образующие брандмауэр, фильтруют весь трафик и принимают решение: можно ли пропустить этот трафик – электронную почту, файлы, дистанционную регистрацию и другие операции. Организации устанавливают конфигурацию брандмауэров разными способами. На некоторых объектах брандмауэры полностью блокируют доступ в Internet и из неё, а на других ограничивают доступ таким образом, что только одна машина или пользователь может соединяться через Internet с машинами за пределами внутренней сети. Иногда реализуются более сложные правила, которые включают проверку каждого сообщения, направленного из внутренне сети во внешнюю, чтобы убедится в соответствии конкретным требованиям стратегии обеспечения безопасности на данном объекте. Несмотря на эффективность в целом, брандмауэр не обеспечивает защиту от собственного персонала или от злоумышленника, уже преодолевшего это средство сетевой защиты.
Межсетевой экран как средство от вторжения из
Internet
Ряд задач по отражению наиболее вероятных угроз
для внутренних сетей способны решать межсетевые экраны,
В отечественной литературе до последнего времени
использовались вместо этого термина другие термины
иностранного происхождения: брандмауэр и firewall. Вне
компьютерной сферы брандмауэром (или firewall) называют
стену, сделанную из негорючих материалов и
препятствующую распространению пожара. В сфере
компьютерных сетей межсетевой экран представляет собой
барьер, защищающий от фигурального пожара - попыток
злоумышленников вторгнуться во внутреннюю сеть для того,
чтобы скопировать, изменить или стереть информацию либо
воспользоваться памятью или вычислительной мощностью
работающих в этой сети компьютеров. Межсетевой экран
призван обеспечить безопасный доступ к внешней сети и
ограничить доступ внешних пользователей к внутренней
сети.
Межсетевой экран (МЭ) - это система межсетевой защиты. позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации.
Обычно межсетевые экраны защищают внутреннюю сеть
предприятия от "вторжений" из глобальной сети Internet,
однако они могут использоваться и для защиты от
"нападений" из корпоративной интрасети, к которой
подключена локальная сеть предприятия. Ни один
межсетевой экран не может гарантировать полной защиты
внутренней сети при всех возможных обстоятельствах.
Однако для большинства коммерческих организаций
установка межсетевого экрана является необходимым
условием обеспечения безопасности внутренней сети.
Главный довод в пользу применения межсетевого экрана
состоит в том, что без него системы внутренней сети
подвергаются опасности со стороны слабо защищенных служб
сети Internet, а также зондированию и атакам с каких-
либо других хост-компьютеров внешней сети.
Локальная сеть Локальная сеть. Схема установления межсетевого экрана
Проблемы недостаточной информационной безопасности
являются "врожденными" практически для всех протоколов и
служб Internet. Большая часть этих проблем связана с
исторической зависимостью Internet от операционной
системы UNIX. Известно, что сеть Arpanet (прародитель
Internet) строилась как сеть, связывающая
исследовательские центры, научные, военные и
правительственные учреждения, крупные университеты США.
Эти структуры использовали операционную систему UNIX в
качестве платформы для коммуникаций и решения
собственных задач. Поэтому особенности методологии
программирования в среде UNIX и ее архитектуры наложили
отпечаток на реализацию протоколов обмена и политики
безопасности в сети. Из-за открытости и
распространенности система UNIX стала любимой добычей
хакеров. Поэтому совсем не удивительно, что набор
протоколов TCP/IP, который обеспечивает коммуникации в
глобальной сети Internet и в получающих все большую
популярность интрасетях, имеет "врожденные" недостатки
защиты. То же самое можно сказать и о ряде служб
Internet.
Набор протоколов управления передачей сообщений в
Internet (Transmission Control Protocol/Internet
Protocol - TCP/IP) используется для организации
коммуникаций в неоднородной сетевой среде, обеспечивая
совместимость между компьютерами разных типов.
Совместимость - одно из основных преимуществ TCP/IP,
поэтому большинство локальных компьютерных сетей
поддерживает эти протоколы. Кроме того, протоколы TCP/IP
предоставляют доступ к ресурсам глобальной сети
Internet. Поскольку TCP/IP поддерживает маршрутизацию
пакетов, он обычно используется в качестве межсетевого
протокола. Благодаря своей популярности TCP/IP стал
стандартом де фактора для межсетевого взаимодействия.
В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих "вредоносных" пакетах, после чего они будут выглядеть, как пакеты, передаваемые авторизированным клиентом.
Отмечу "врожденные слабости" некоторых распространенных служб Internet.
Простой протокол передачи электронной почты
(Simple Mail Transfer Protocol - SMTP) позволяет
осуществлять почтовую транспортную службу Internet. Одна
из проблем безопасности, связанная с этим протоколом,
заключается в том, что пользователь не может проверить
адрес отправителя в заголовке сообщения электронной
почты. В результате хакер может послать во внутреннюю
сеть большое количество почтовых сообщений, что приведет
к перегрузке и блокированию работы почтового сервера.
Популярная в Internet программа электронной почты
Sendmail использует для работы некоторую сетевую
информацию - IP-адрес отправителя. Перехватывая
сообщения, отправляемые с помощью Sendmail, хакер может
употребить эту информацию для нападений, например для
спуфинга (подмены адресов).
Протокол передачи файлов (File Transfer Protocol -
FTP) обеспечивает передачу текстовых и двоичных файлов,
поэтому его часто используют в Internet для организации
совместного доступа к информации. Его обычно
рассматривают как один из методов работы с удаленными
сетями. На FTP-серверах хранятся документы, программы,
графика и другие виды информации. К данным этих файлов
на FTP-серверах нельзя обратиться напрямую. Это можно
сделать, только переписав их целиком с FTP-сервера на
локальный сервер. Некоторые FTP-серверы ограничивают
доступ пользователей к своим архивам данных с помощью
пароля, другие же предоставляют свободный доступ (так
называемый анонимный FTP-сервер). При использовании
опции анонимного FTP для своего сервера пользователь
должен быть уверен, что на нем хранятся только файлы,
предназначенные для свободного распространения.
Служба сетевых имен (Domain Name System - DNS)
представляет собой распределенную базу данных, которая
преобразует имена пользователей и хост-компьютеров в IP-
адреса, указываемые в заголовках пакетов, и наоборот.
DNS также хранит информацию о структуре сети компании,
например количестве компьютеров с IP-адресами в каждом
домене. Одной из проблем DNS является то, что эту базу
данных очень трудно "скрыть" от неавторизированных
пользователей. В результате DNS часто используется
хакерами как источник информации об именах доверенных
хост-компьютеров.
Служба эмуляции удаленного терминала (TELNET)
употребляется для подключения к удаленным системам,
присоединенным к сети, применяет базовые возможности по
эмуляции терминала. При использовании этого сервиса
Internet пользователи должны регистрироваться на сервере
TELNET, вводя свои имя и пароль. После аутентификации
пользователя его рабочая станция функционирует в режиме
"тупого" терминала, подключенного к внешнему хост-
компьютеру. С этого терминала пользователь может вводить
команды, которые обеспечивают ему доступ к файлам и
запуск программ. Подключившись к серверу TELNET, хакер
может сконфигурировать его программу таким образом,
чтобы она записывала имена и пароли пользователей.
Всемирная паутина (World Wide Web - WWW) - это
система, основанная на сетевых приложениях, которые
позволяют пользователям просматривать содержимое
различных серверов в Internet или интрасетях. Самым
полезным свойством WWW является использование
гипертекстовых документов, в которые встроены ссылки на
другие документы и Web-узлы, что дает пользователям
возможность легко переходить от одного узла к другому.
Однако это же свойство является и наиболее слабым местом
системы WWW, поскольку ссылки на Web-узлы, хранящиеся в
гипертекстовых документах, содержат информацию о том,
как осуществляется доступ к соответствующим узлам.
Используя эту информацию, хакеры могут разрушить Web-
узел или получить доступ к хранящейся в нем
конфиденциальной информации.
К уязвимым службам и протоколам Internet относятся
также протокол копирования UUCP, протокол маршрутизации
RIP, графическая оконная система Х Windows и др.
Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран является набором компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, необходимо решить, будет ли ограничен доступ пользователей к определенным службам Internet на базе протоколов TCP/IP и если будет, то до какой степени.
Политика сетевой безопасности каждой организации
должна включать две составляющие:
. политику доступа к сетевым сервисам;
. политику реализации межсетевых экранов.
В соответствии с политикой доступа к сетевым
сервисам определяется список сервисов Internet, к
которым пользователи должны иметь ограниченный доступ.
Задаются также ограничения на методы доступа, например,
на использование протоколов SLIP (Serial Line Internet
Protocol) и РРР (Point-to-Point Protocol). Ограничение
методов доступа необходимо для того, чтобы пользователи
не могли обращаться к "запрещенным" сервисам Internet
обходными путями. Например, если для ограничения доступа
в Internet сетевой администратор устанавливает
специальный шлюз, который не дает возможности
пользователям работать в системе WWW, они могли бы
установить РРР-соединения с Web-серверами по
коммутируемой линии.
Политика доступа к сетевым сервисам обычно
основывается на одном из следующих принципов:
1) запретить доступ из Internet во внутреннюю сеть, но
разрешить доступ из внутренней сети в Internet;
2) разрешить ограниченный доступ во внутреннюю сеть из
Internet, обеспечивая работу только отдельных
"авторизированных" систем, например почтовых серверов.
В соответствии с политикой реализации межсетевых
экранов определяются правила доступа к ресурсам
внутренней сети. Прежде всего, необходимо установить,
насколько "доверительной" или "подозрительной" должна
быть система защиты. Иными словами, правила доступа к
внутренним ресурсам должны базироваться на одном из
следующих принципов:
1) запрещать все, что не разрешено в явной форме;
2) разрешать все, что не запрещено в явной форме.
Реализация межсетевого экрана на основе первого принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.
Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам
включают:
. требования к фильтрации на сетевом уровне;
. требования к фильтрации на прикладном уровне;
. требования по настройке правил фильтрации и администрированию;
. требования к средствам сетевой аутентификации;
. требования по внедрению журналов и учету.
Основные компоненты межсетевых экранов
Большинство компонентов межсетевых экранов можно
отнести к одной из трех категорий:
. фильтрующие маршрутизаторы;
. шлюзы сетевого уровня;
. шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.
Фильтрующие маршрутизаторы
Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов .
Фильтрующие маршрутизаторы обычно может
фильтровать IP-пакет на основе группы следующих полей
заголовка пакета:
. IP- адрес отправителя (адрес системы, которая послала пакет);
. IP-адрес получателя (адрес системы которая принимает пакет);
. Порт отправителя (порт соединения в системе отправителя );
. Порт получателя (порт соединения в системе получателя
);
Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.
В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP – порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.
Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех хост-компьютеров и сетей. которые считаются враждебными или ненадежными.
Добавление фильтрации по портам TCP и UDP к
фильтрации по IP-адресам обеспечивает большую гибкость.
Известно, что такие серверы, как демон TELNET, обычно
связаны с конкретными портами (например, порт 23
протокола TELNET). Если межсетевой экран может
блокировать соединения TCP или UDP с определенными
портами или от них, то можно реализовать политику
безопасности, при которой некоторые виды соединений
устанавливаются только с конкретными хост-компьютерами.
Например, внутренняя сеть может блокировать все входные соединения со всеми хост-компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта политика может быть реализована фильтрующим маршрутизатором или хост- компьютером с возможностью фильтрации пакетов.
В качестве примера работы фильтрующего
маршрутизатора рассмотрю реализацию политики
безопасности, допускающей определенные соединения с
внутренней сетью с адресом 123.4.*.* Соединения TELNET
разрешаются только с одним хост-компьютером с адресом
123.4.5.6, который может быть прикладным TELNET-шлюзом,
а SMTP-соединения - только с двумя хост-компьютерами с
адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя
шлюзами электронной почты. Обмен по NNTP (Network News
Transfer Protocol) разрешается только от сервера
новостей с адресом 129.6.48.254 и только с NNTP-сервером
сети с адресом 123.4.5.9, а протокол NTP (сетевого
времени)-для всех хост-компьютеров. Все другие серверы и
пакеты блокируются. рации
Первое правило позволяет пропускать пакеты TCP из
сети Internet от любого источника с номером порта
большим, чем 1023, к получателю с адресом 123.4.5.6 в
порт 23. Порт 23 связан с сервером TELNET, а все клиенты
TELNET должны иметь непривилегированные порты с номерами
не ниже 1024.
Второе и третье правила работают аналогично и
разрешают передачу пакетов к получателям с адресами
123.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP.
Четвертое правило пропускает пакеты к NNTP-серверу
сети, но только от отправителя с адресом 129.6.48.254 к
получателю с адресом 123.4.5.9 с портом назначения 119
(129.6.48.254 -единственный NNTP-сервер, от которого
внутренняя сеть получает новости, поэтому доступ к сети
для выполнения протокола NNTP ограничен только этой
системой).
Пятое правило разрешает трафик NTP, который использует протокол UDP вместо TCP. от любого источника к любому получателю внутренней сети.
Наконец, шестое правило блокирует все остальные пакеты. Если бы этого правила не было, маршрутизатор мог бы блокировать, а мог бы и не блокировать другие типы пакетов. Выше был рассмотрен очень простой пример фильтрации пакетов. Реально используемые правила позволяют осуществить более сложную фильтрацию и являются более гибкими.
Правила фильтрации пакетов формулируются сложно, и
обычно нет средств для тестирования их корректности,
кроме медленного ручного тестирования. У некоторых
фильтрующих маршрутизаторов нет средств
протоколирования, поэтому, если правила фильтрации
пакетов все-таки позволят опасным пакетам пройти через
маршрутизатор, такие пакеты не смогут быть выявлены до
обнаружения последствий проникновения. Даже если
администратору сети удастся создать эффективные правила
фильтрации, их возможности остаются ограниченными.
Например, администратор задает правило, в соответствии
с которым маршрутизатор будет отбраковывать все пакеты
с неизвестным адресом отправителя. Однако хакер может
использовать в качестве адреса отправителя в своем
"вредоносном" пакете реальный адрес доверенного
(авторизированного) клиента. В этом случае фильтрующий
маршрутизатор не сумеет отличить поддельный пакет от
настоящего и пропустит его. Практика показывает, что
подобный вид нападения, называемый подменой адреса,
довольно широко распространен в сети Internet и часто
оказывается эффективным.
Межсетевой экран с фильтрацией пакетов, работающий только на сетевом уровне эталонной модели взаимодействия открытых систем OSI-ISO, обычно проверяет информацию, содержащуюся только в IP-заголовках пакетов. Поэтому обмануть его несложно: хакер создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Кроме заголовка пакета, никакая другая содержащаяся в нем информация межсетевыми экранами данной категории не проверяется.
К положительным качествам фильтрующих
маршрутизаторов следует отнести:
. сравнительно невысокую стоимость;
. гибкость в определении правил фильтрации;
. небольшую задержку при прохождении пакетов.
Недостатками фильтрующих маршрутизаторов
являются:
. внутренняя сеть видна (маршрутизируется) из сети
Internet;
. правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
. при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
. аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
. отсутствует аутентификация на пользовательском уровне.
Шлюзы сетевого уровня
Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост- компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.
Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост- компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.
Когда авторизированный клиент запрашивает
некоторый сервис, шлюз принимает этот запрос, проверяя,
удовлетворяет ли этот клиент базовым критериям
фильтрации (например, может ли DNS-сервер определить IP-
адрес клиента и ассоциированное с ним имя). Затем,
действуя от имени клиента, шлюз устанавливает соединение
с внешним хост-компьютером и следит за выполнением
процедуры квитирования связи по протоколу TCP. Эта
процедура состоит из обмена TCP-пакетами, которые
помечаются флагами SYN (синхронизировать) и АСК
(подтвердить).
Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 1000. является запросом клиента на открытие сеанса. Внешний хост- компьютер, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете подтверждая, тем самым прием пакета SYN от клиента.
Далее осуществляется обратная процедура: хост-
компьютер посылает клиенту пакет SYN с исходным числом
(например, 2000), а клиент подтверждает его получение
передачей пакета АСК, содержащего число 2001. На этом
процесс квитирования связи завершается.
Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.
После того как шлюз определил, что доверенный
клиент и внешний хост-компьютер являются
авторизированными участниками сеанса TCP, и проверил
допустимость этого сеанса, он устанавливает соединение.
Начиная с этого момента, шлюз копирует и перенаправляет
пакеты туда и обратно, не проводя никакой фильтрации. Он
поддерживает таблицу установленных соединений, пропуская
данные, относящиеся к одному из сеансов связи,
зафиксированных в этой таблице. Когда сеанс завершается,
шлюз удаляет соответствующий элемент из таблицы и
разрывает цепь. использовавшуюся в данном сеансе.
Для копирования и перенаправления пакетов в шлюзах
сетевого уровня применяются специальные приложения,
которые называют канальными посредниками, поскольку они
устанавливают между двумя сетями виртуальную цепь или
канал, а затем разрешают пакетам, которые генерируются
приложениями TCP/IP, проходить по этому каналу.
Канальные посредники поддерживают несколько служб
TCP/IP, поэтому шлюзы сетевого уровня могу