Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 830 Тема Міжмережеві екрани Навчальний посібник Internet для користувача частина 2, НУДПСУ

Тема Міжмережеві екрани Навчальний посібник Internet для користувача частина 2, НУДПСУ

« Назад

830 Тема Міжмережеві екрани Навчальний посібник Internet для користувача частина 2, НУДПСУ

1.3. Міжмережеві екрани

1.3.1. Загальні відомості

Як вже було зазначено, за допомогою одержання зловмисником закритої інформації може бути серйозно підірвана конкурентноздатність підприємства й довіра його клієнтів. Ряд завдань по відбиттю найбільш і найбільш ймовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани. В загальному випадку міжмережевий екран (брандмауер) - це система захисту, що дозволяє розділити кожну мережу на дві й більше частини й реалізувати набір правил, що визначають умови проходження пакетів з даними через границю з однієї частини загальної мережі в іншу. Як правило, ця границя проводиться між корпоративною (локальної) мережею підприємства й глобальною мережею Internet, хоча її можна провести й в середині корпоративної мережі підприємства. Використання міжмережевих екранів дозволяє організувати внутрішню політику безпеки мережі підприємства, розділивши всю мережу на сегменти.

Міжмережевий екран пропускає через себе весь трафік, приймаючи щодо кожного  пакета, що проходить через нього, рішення: дати йому можливість пройти чи ні. Для того щоб міжмережевий екран міг здійснити цю операцію, йому необхідно визначити набір правил фільтрації. Рішення про те, чи фільтрувати за допомогою міжмережевого екрана конкретні протоколи й адреси, залежить від прийнятої в захищаємій мережі політики безпеки. Міжмережевий екран являє собою набір компонентів, що налаштовуються для реалізації обраної політики безпеки. Ефективність захисту внутрішньої мережі за допомогою міжмережевих екранів залежить не тільки від обраної політики доступу до мережевих сервісів і ресурсів внутрішньої мережі, але й від раціональності вибору й використання основних компонентів міжмережевого екрана. Функціональні вимоги до міжмережевих екранів охоплюють наступні сфери:

- Фільтрація на мережному рівні.

- Фільтрація на прикладному рівні.

- Налаштування правил фільтрації й адміністрування.

- Засоби мережевої аутентифікації.

- Впровадження журналів і обліку.

1.3.2. Класифікація міжмережевих екранів

На даний час не існує єдиної й загальновизнаної класифікації міжмережевих екранів. Виділимо наступні класи міжмережевих екранів:

- Фільтруючі маршрутизатори.

- Шлюзи сеансового рівня.

- Шлюзи рівня додатків.

Ці категорії можна розглядати як базові компоненти реальних міжмережевих екранів. Лише деякі міжмережеві екрани включають лише одну з перерахованих категорій. Проте ці компоненти відбивають ключові можливості, що відрізняють міжмережеві екрани один від одного.

Наведемо головні відмінності основних  класів міжмережевих екранів.

Фільтруючі маршрутизатори -представявляє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідні й вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що знаходиться в TCP- і IP-заголовках пакетів.

Фільтруючий маршрутизатор звичайно може фільтрувати IP-пакети на основі групи наступних полів заголовка пакета:

- IP-адреса відправника;

- IP-адреса одержувача;

- порт відправника;

- порт одержувача.

Деякі маршрутизатори перевіряють, з якого мережного інтерфейсу маршрутизатора прийшов пакет, і потім використають цю інформацію як додатковий критерій фільтрації. Фільтрація може бути реалізована різними способами для блокування з'єднань із певними комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що йдуть від конкретних адрес тих комп'ютерів і мереж, які вважаються ворожими або ненадійними. Правила фільтрації пакетів формулюються складно, до того ж звичайно не існує засобів для перевірки їхньої коректності, крім повільного ручного тестування. При цьому під час відсутності фільтруючого маршрутизатора засобів протоколювання (якщо правила фільтрації пакетів все-таки дозволять небезпечним пакетам пройти через маршрутизатор) такі пакети не зможуть бути виявлені до виявлення наслідків проникнення. Навіть якщо адміністраторові мережі вдасться створити ефективні правила фільтрації, їхні можливості залишаться обмеженими. Наприклад, адміністратор задає правило, відповідно до якого маршрутизатор буде відбраковувати всі пакети з невідомої адресою відправника. Однак у цьому випадку хакер для проникнення усередину захищеної мережі може здійснити атаку, що називають підміною адреси. У таких умовах фільтруючий маршрутизатор не зуміє відрізнити підроблений пакет від сьогодення й пропустить його.

До позитивних якостей фільтруючих маршрутизаторів можна віднести наступні:

  • порівняно невисока вартість;

  • гнучкість у визначенні правил фільтрації;

  • невелика затримка при проходженні пакетів.

Недоліки фільтруючих маршрутизаторів:

  • внутрішню мережу видно з мережі Інтернет;

  • правила фільтрації пакетів важкі в описі й вимагають дуже гарних знань технологій TCP і UDP;

  • при порушенні працездатності міжмережевого екрана з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;

  • відсутня аутентифікація на користувальницькому рівні. 

Шлюзи сеансового рівня. Даний клас маршрутизаторів являє собою транслятор TCP-з'єднання. Шлюз приймає запит авторизованого клієнта на конкретні послуги й після перевірки допустимості запитаного сеансу встановлює з'єднання з місцем призначення (зовнішнім хостом). Після цього шлюз копіює пакети в обох напрямках, не здійснюючи їхньої фільтрації. Як правило, пункт призначення задається заздалегідь, у той час як джерел може бути багато. Використовуючи різні порти, можна створювати різноманітні конфігурації з'єднань. Даний тип шлюзу дозволяє створити транслятор TCP-з'єднання для будь-якого певного користувачем сервісу, що базується на ТСР, здійснювати контроль доступу до цього сервісу й збір статистики по його використанню. Шлюз стежить за підтвердженням зв'язку між авторизованим клієнтом і зовнішнім хостом, визначаючи, чи є запитуваний сеанс зв'язку припустимим. Щоб виявити допустимість запиту на сеанс зв'язку, шлюз виконує наступну процедуру. Коли авторизований клієнт запитує деякий сервіс, шлюз приймає цей запит, перевіряючи, чи задовольняє даний клієнт базовим критеріям фільтрації. Потім, діючи від імені клієнта, шлюз установлює з'єднання із зовнішнім хостом і стежить за виконанням процедури підтвердження зв'язку по протоколу ТСР. Ця процедура складається з обміну ТСР-пакетами, які позначаються прапорами SYN (синхронізувати) і АСК (підтвердити).

Перший пакет сеансу ТСР, позначений прапором SYN і довільним числом, наприклад 500, є запитом клієнта на відкриття сеансу. Зовнішній хост, що одержав цей пакет, посилає у відповідь інший пакет, позначеним прапором АСК і числом на одиницю більшим, ніж у прийнятому пакеті (в нашому випадку 501), підтверджуючи тим самим прийом пакета SYN від клієнта. Далі здійснюється зворотна процедура: хост посилає клієнтові пакет SYN з вихідним числом, наприклад 700, а клієнт підтверджує його одержання передачею пакета АСК, що містить число 701. На цьому процес підтвердження зв'язку завершується.

Шлюз сеансового рівня визнає завершене з'єднання припустимим тільки в тому випадку, якщо при виконанні процедури підтвердження зв'язку прапори SYN і АСК, а також числа, що міститься в ТСР-пакетах, виявляються логічно зв'язаними між собою.

Після того як шлюз визначив, що довірений клієнт і зовнішній хост є авторизованими учасниками сеансу ТСР, і перевірив його допустимість, він встановлює з'єднання. Починаючи із цього моменту, шлюз копіює й перенаправляє пакети туди й назад, не проводячи ніякої фільтрації. Він підтримує таблицю встановлених з'єднань, пропускаючи дані, які ставляться до одному із сеансів зв'язку, зафіксованих у даній таблиці. Коли сеанс завершується, шлюз видаляє відповідний елемент із таблиці й розриває мережу, що використалася в поточному сеансі.

Недоліком шлюзів сеансового рівня є відсутність перевірки вмісту переданих пакетів, що дає можливість порушникові проникнути через такий шлюз.

Шлюзи рівня додатків. З метою захисту ряду вразливих місць, властивим фільтруючим маршрутизаторам, міжмережеві екрани повинні використати прикладні програми для фільтрації з'єднань із такими сервісами, як Telnet і FTP. Подібний додаток називається proxy-службою, а хост, на якому працює proxy-служба, - шлюзом рівня додатків. Такий шлюз виключає пряма взаємодія між авторизованим клієнтом і зовнішнім хостом. Шлюз фільтрує всі вхідні й вихідні пакети на прикладному рівні.

Виявивши мережевий сеанс, шлюз додатків зупиняє його й викликає вповноважений додаток для надання завершальної послуги. Для досягнення більш високого рівня безпеки й гнучкості шлюзи рівня додатків і фільтруючих маршрутизаторів можуть бути об'єднані в міжмережевому екрані.

Шлюзи прикладного рівня дозволяють забезпечити надійний захист, оскільки взаємодія із зовнішнім світом реалізується через невелике число вповноважених додатків, що повністю контролюють весь вхідний і вихідний трафік. Слід зазначити, що шлюзи рівня додатків вимагають наявність окремого додатку для кожного мережного сервісу. В порівнянні із працюючими у звичайному режимі брандмауерами, в яких прикладний трафік пропускається безпосередньо до внутрішніх хостів, шлюзи прикладного рівня мають ряд переваг:

  • Невидимість структури мережі, що захищається, із глобальної мережі Інтернет. Імена внутрішніх систем можна не повідомляти зовнішнім системам через DNS, оскільки шлюз прикладного рівня може бути єдиним хостом, ім'я якого буде відомо зовнішнім системам.

  • Надійна аутентифікація й реєстрація. Прикладний трафік може бути аутентифікований, перш ніж він досягне внутрішніх хостів, і зареєстрований більш ефективно, ніж за допомогою стандартної реєстрації.

  • Прийнятне співвідношення ціни й ефективності. Додаткові програмні або апаратні засоби аутентифікації або реєстрації потрібно встановлювати тільки на шлюзі прикладного рівня.

  • Прості правила фільтрації. Правила на фільтруючому маршрутизаторі виявляються менш складними, ніж на маршрутизаторі, що самостійно фільтрує прикладний трафік і відправляє його великій кількості внутрішніх систем. Маршрутизатор повинен пропускати прикладний трафік, призначений тільки для шлюзу прикладного рівня, і блокувати весь інший.

  • Можливість організації великої кількості перевірок. Захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, що знижує ймовірність злому з використанням «дір» у програмному забезпеченні.

Недоліками шлюзів рівня додатків є:

  • Відносно низька продуктивність у порівнянні з фільтруючими маршрутизаторами. Зокрема, при використанні клієнт-серверних протоколів, таких як Telnet, потрібно двокрокова процедура для вхідних і вихідних з'єднань.

  • Більше висока вартість у порівнянні з фільтруючими маршрутизаторами.

Одним з важливих елементів концепції міжмережевих екранів є використання механізму аутентифікації - користувач одержує право скористатися тим або іншим сервісом тільки після того, як буде встановлено, що він дійсно той, за кого себе видає. При цьому вважається, що сервіс для даного користувача дозволений. Зазначимо, що процес визначення, які сервіси дозволені конкретному користувачеві, називається авторизацією.

При одержанні запиту на використання сервісу від імені якого-небудь користувача міжмережевий екран перевіряє, який спосіб аутентифікації визначений для даного суб'єкта, і передає керування серверу аутентифікації. Після одержання позитивної відповіді від сервера аутентифікації міжмережевий екран здійснює запитуване користувачем з'єднання. Як правило, більшість комерційних міжмережевих екранів підтримує кілька різних схем аутентифікації, надаючи адміністраторові мережевої безпеки можливість зробити вибір найбільш прийнятної в сформованих умовах схеми.

1.3.3. Основні способи розгортання у корпоративних мережах

Для захисту корпоративної або локальної мережі застосовуються наступні основні схеми організації міжмережевих екранів:

  • Міжмережевий екран, представлений як фільтруючий маршрутизатор.

  • Міжмережевий екран на основі двопортового шлюзу.

  • Міжмережевий екран на основі екранованого шлюзу.

  • Міжмережевий екран з екранованою підмережею. 

Наведемо коротку характеристику кожної із зазначених схем.

Міжмережевий екран, представлений як фільтруючий маршрутизатор -є найпоширенішим і найбільш простим у реалізації, представяючи собою фільтруючий маршрутизатор, розташований між мережею, що захищається, і мережею Internet. Фільтруючий маршрутизатор сконфігурований для блокування або фільтрації вхідних і вихідних пакетів на основі аналізу їхніх адрес і портів. Комп'ютери, що перебувають у мережі, яка захищається, мають прямий доступ в Internet, в той час як більша частина доступу до них з Internet блокується. В принципах фільтрації пакетів маршрутизатором можна реалізувати кожну з політик безпеки, описаних раніше. Однак, якщо маршрутизатор не фільтрує пакети на основі аналізу номерів вхідного й вихідного порта джерела та прийомника, то реалізація політики «заборонене все, що не дозволено» у явній формі може бути ускладнена. Міжмережеві екрани, засновані на фільтрації пакетів, мають ті ж недоліки, що й фільтруючі маршрутизатори.

Міжмережевий екран на основі двопортового шлюзу -представляє собою хост із двома мережними інтерфейсами. При передачі інформації між цими інтерфейсами й здійснюється основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом і Інтернетом розміщають фільтруючий маршрутизатор. У результаті між прикладним шлюзом і маршрутизатором утвориться внутрішня екранована підмережа. Її можна використати для розміщення доступного ззовні інформаційного сервера. Розміщення інформаційного сервера збільшує безпеку мережі, оскільки навіть при проникненні на нього зловмисник не зможе одержати доступ до систем мережі через шлюз із двома інтерфейсами. На відміну від схеми міжмережевого екрана з фільтруючим маршрутизатором, прикладний шлюз повністю блокує трафік IP між Internet і мережею, що захищається. Тільки вповноважені додатки, розташовані на прикладному шлюзі, можуть надавати послуги й доступ користувачам. Даний варіант міжмережевого екрана реалізує політику безпеки, засновану на принципі «заборонене все, що не дозволено в явній формі». При цьому користувачеві доступні тільки ті служби, для яких визначені відповідні повноваження. Такий підхід забезпечує високий рівень безпеки, оскільки маршрути до захищенї підмережі відомі лише міжмережевомуу екрану й сховані від зовнішніх систем. Розглянута схема організації міжмережевого екрана відносно проста й досить ефективна. Оскільки міжмережевий екран використає хост, те на ньому можуть бути встановлені програми для посиленої аутентифікації користувачів. Міжмережевий екран може також протоколювати доступ, спроби зондування й атак системи, що дозволяє виявити дії зловмисників.

Міжмережевий екран на основі екранованого шлюзу. В порівнянні з міжмережевим екраном, побудованим на основі шлюзу із двома інтерфейсами має більшу гнучкість. Однак ця гнучкість досягається ціною деякого зменшення безпеки. Міжмережевий екран складається з фільтруючого маршрутизатора й прикладного шлюзу, розташовуваного з боку внутрішньої мережі. Прикладний шлюз реалізується на хосте й має тільки один мережевий інтерфейс. У даній схемі первинна безпека забезпечується фільтруючим маршрутизатором, що фільтрує або блокує потенційно небезпечні протоколи, щоб вони не досягли прикладного шлюзу й внутрішніх систем. Пакетна фільтрація у фільтруючому маршрутизаторі може бути реалізована одним з наступних способів:

  • Внутрішнім хостам дозволяється відкривати з'єднання з хостами в мережі Інтернет для певних сервисов (доступ до них дозволяється середовищу пакетної фільтрації).

  • Забороняються всі з'єднання від внутрішніх хостів (їм слід використати вповноважені додатки на прикладному шлюзі).

У подібній конфігурації міжмережевий екран може використати комбінацію двох політик, співвідношення між якими залежить від конкретної політики безпеки, прийнятої у внутрішній мережі. Зокрема, пакетна фільтрація на фільтруючому маршрутизаторі може бути організована таким чином, щоб прикладний шлюз, використовуючи свого вповноваженого додатка, забезпечував для систем мережі, що захищається, сервіси типу Telnet, FTP, SMTP.

Основний недолік схеми міжмережевого екрана з екранованим шлюзом полягає в тім, що якщо атакуючий порушник зуміє проникнути в хост, перед ним виявляться незахищеними системи внутрішньої мережі. Інший недолік пов'язаний з можливою компрометацією маршрутизатора. Якщо маршрутизатор виявиться скомпрометованим, внутрішня мережа стане доступна атакуючому порушникові. 

Міжмережевий екран з екранованою підмережею -представляє собою розвиток схеми міжмережевого екрана на основі екранованого шлюзу. Для створення екранованої підмережі використаються два екрануючих маршрутизатори. Зовнішній маршрутизатор розташовується між Internet і екранованою підмережею, а внутрішній - між екранованою підмережею й внутрішньою мережею, що захищається. В екрановану підмережу входить прикладний шлюз, а також можуть включатися інформаційні сервери й інші системи, що вимагають контрольованого доступу. Ця схема міжмережевого екрана забезпечує високий рівень безпеки завдяки організації екранованої підмережі, що ще краще ізолює внутрішню мережу, що захищається, від Internet. Зовнішній маршрутизатор захищає від вторгнень із Інтернету як екрановану підмережу, так і внутрішню мережу. Зовнішній маршрутизатор забороняє доступ із глобальної мережі до систем внутрішньої мережі й блокує весь трафік до Internet, що йде від систем, які не повинні бути ініціаторами з'єднань. Цей маршрутизатор може бути використаний також для блокування інших уразливих протоколів, які не повинні передаватися до хост-комп’ютерів внутрішньої мережі або від них. Внутрішній маршрутизатор захищає внутрішню мережу від несанкціонованого доступу як з Internet, так і усередині екранованої підмережі. Крім того, він здійснює більшу частину пакетної фільтрації, а також управляє трафіком до систем внутрішньої мережі й від них. Міжмережевий екран з екранованої підмережею добре підходить для захисту мереж з більшими обсягами трафіка або з високими швидкостями обміну. До його недоліків можна віднести те, що пари фільтруючих маршрутизаторів має потребу у великій увазі для забезпечення необхідного рівня безпеки, оскільки через помилки в їхньому конфігуруванні можуть виникнути провали в системі безпеки всієї мережі. Крім того, існує принципова можливість доступу в обхід прикладного шлюзу.

З повагою ІЦ “KURSOVIKS”!