МІНІСТЕРСТВО ОСВІТИ

РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

Воронезький державний технічний університет

Кафедра Систем інформаційної безпеки

РЕФЕРАТ

Тема: "Безпека Internet: брандмауери. "

Виконав: Студент групи ЗИ-991

Горбунов Микита Олександрович.

Прийняв :______________________

Воронеж 2000

Зміст

1. Актуальність теми ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 3

2. Щит від несанкціонованого доступу ... ... ... ... ... ... ... ... ... ... ... 4

3. Конструктивні рішення ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .5

4. Рівень небезпеки ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .6

5. Чому брандмауер? ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .7

6. Міжмережевий екран як засіб від вторгнення з Internet ... ... ... 8

7. Основні компоненти міжмережевих екранів ... ... ... ... ... ... ... ... .13

А) Фільтруючі маршрутизатори ... ... ... ... ... ... ... ... ... ... ... 13

Б) Шлюзи мережевого рівня ... ... ... ... ... ... ... ... ... ... ... ... ... ... .16

В) Шлюзи прикладного рівня ... ... ... ... ... ... ... ... ... ... ... ... .. 18

Г) Посилена аутентифікація ... ... ... ... ... ... ... ... ... ... ... ... ... 21

8. Основні схеми мережевого захисту на базі міжмережевого

екрана ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 23

А) Міжмережевий екран - фільтруючий маршрутизатор ... ... 23

Б) Міжмережевий екран - на базі двупортового шлюзу ... ... .. 24

В) Міжмережевий екран на основі екранування

шлюзу ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 25

Г) Міжмережевий екран - екранована підмережа ... ... ... ... .27

Д) Застосування міжмережевих екранів для

організації віртуальних корпоративних ... ... ... ... ... ... ... ... ... .29

9) Програмні методи захисту ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 29

10) Висновок ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 33

11) Список використаної літератури ... ... ... ... ... ... ... ... ... ... ... ... .. 34

Актуальність теми

Інтенсивний розвиток глобальних комп'ютерних мереж. поява нових технологій пошуку інформації привертають все більше уваги до мережі Internet з боку приватних осіб і різних організацій. Багато організацій приймають рішення про інтеграцію своїх локальних і корпоративних мереж в глобальну мережу. Використання глобальних мереж у комерційних цілях, а також при передачі інформації, яка містить відомості конфіденційного характеру, тягне за собою необхідність побудови ефективної системи захисту інформації. В даний час в Росії глобальні мережі застосовуються для передачі комерційної інформації різного рівня конфіденційності, наприклад для зв'язку з віддаленими офісами з головної штаб квартири організації або створення Web-сторінки організації з розміщеною на ній рекламою і діловими пропозиціями.

Навряд чи потрібно перераховувати всі переваги, які отримує сучасне підприємство, маючи доступ до глобальної мережі Internet. Але, як і багато інші нові технології, використання Internet має і негативні наслідки. Розвиток глобальних мереж призвело до багаторазового збільшення кількості користувачів і збільшення кількості атак на комп'ютери, підключені до мережі Internet. Щорічні втрати, зумовлені недостатнім рівнем захищеності комп'ютерів, оцінюються десятками мільйонів доларів. При підключенні до Internet локальної або корпоративної мережі необхідно подбати про забезпечення інформаційної безпеки цієї мережі. Глобальна мережа Internet створювалася як відкрита система, призначена для вільного обміну інформацією. У силу відкритості своєї ідеології Internet надає для зловмисників значно більші можливості в порівнянні з традиційними інформаційними системами. За цим питання про проблему захисту мереж і її компонентів ставати досить важливим та актуальним і цей час, час прогресу і комп'ютерних технологій. Багато країн нарешті зрозуміли важливість цієї проблеми. Відбувається збільшення витрат і зусиль спрямованих на виробництво і поліпшення різних засобів захисту. Основною метою реферату є розгляд, і вивчення функціонування одного з таких засобів мережевого захисту як брандмауер або міжмережевий екран. Який в даний час є найбільш надійним в плані захисту з пропонованих засобів.

Щит від несанкціонованого доступу

З метою уникнення несанкціонованого доступу до своїх мереж, багато компаній, підключені до Internet, покладаються на брандмауери. Однак, досягаючи при цьому своєї основної мети, користувач брандмауера зіткнеться з необхідністю вибору між простою роботою та безпекою системи.

Брандмауер - це один з декількох шляхів захисту вашої мережі, від іншої, якої ви не довіряєте. Взагалі існує безліч варіантів забезпечення такого захисту, але в принципі брандмауер можна уявити як пару механізмів: один - для блокування, другий - для дозволу трафіку.

Основною причиною для установки в приватної мережі брандмауера практично завжди є прагнення користувача захистити мережу від несанкціонованого вторгнення. У більшості випадків мережа захищають від нелегального доступу до системних ресурсів, а також від відправки будь-якої інформації зовні баз відома її власника. У деяких випадках експорт інформації не розглядається як особливо важлива проблема, однак, для багатьох корпорацій, підключення до Internet, це питання першорядної важливості. Багато організацій вдаються до найпростішого шляху, щоб уникнути подібних неприємностей: вони просто не підключаються до Internet. Однак це не таке вже вдале рішення. Якщо така мережа децентралізована або погано керована, будь-який співробітник компанії, що має доступ до швидкісного модему, може без особливих зусиль підключиться до Internet за допомогою SLIP, що може призвести до порушення безпеки всієї мережі.

У багатьох випадках можна сказати, що для захисту мережі краще за все встановити брандмауер. Хоча будь-який ваш співробітник може винести з офісу будь-яку доступну йому інформацію на касетах і дискетах. Internet, що кишить небезпечними вандалами, таїть у собі набагато більшу загрозу. Їх прорив в локальну мережу компанії, внаслідок поганої організації захисту, цілком може коштувати менеджеру мережі місця роботи, навіть якщо збитки при цьому не буде більше, ніж міг би бути в разі безпосереднього підключення до Internet через модем або в результаті помсти розсердженого співробітника. Найчастіше в організаціях, що вдаються до послуг Internet, проблема переконати керівництво в необхідності брандмауерних захисту незмірно складніше тих турбот, з якими доводиться стикатися в процесі її встановлення. Внаслідок того, що послуги, що надаються Internet, очевидні для всіх, досить імовірно, що вони зажадають всебічної офіційної перевірки.

Конструктивні рішення

У процесі конфігурування брандмауера конструктивні рішення часто диктуються корпоративної та організаційної політикою компанії в галузі забезпечення захисту мереж. Зокрема, будь-яка фірма повинна зробити дуже серйозний вибір: що для неї важливіше - високий ступінь захисту чи простота у використанні. Існує два підходи до вирішення цієї дилеми.

• Що не було спеціально дозволено, те заборонено;

• Що не було спеціально заборонено, те дозволено.

Важливість даного розмежування переоцінити неможливо. У першому випадку брандмауер повинен буде блокувати всі, а системні служби будуть доступні користувачам лише після ретельної оцінки їх потреби в цих службах, а також ступеня ризику. Подібний підхід безпосередньо ускладнює користувачам життя, в результаті чого багато хто з них вважають брандмауери перешкодою в роботі.

У другому випадку цю ж реакційну роль відіграє системний адміністратор, який зобов'язаний уміти передбачити, які дії, мережевих користувачів здатні послабити надійність брандмауера, і вжити відповідних заходів для запобігання таких спроб. У результаті даного підходу конфлікт між адміністратором брандмауера і користувачами розвивається по висхідній і може стати дійсно серйозним. Якщо користувачі не усвідомлюють важливості запобіжних заходів у плані забезпечення безпеки мережі і не виконують їх, вони часто здатні піддати ризику всю мережу. Якщо користувачі при вході в систему (login) будуть отримувати необмежений доступ до брандмауеру, в системі безпеки мережі може виникнути велика пролом. Взагалі кажучи, наявність користувальницьких входів в брандмауерних систему має тенденцію значною мірою збільшувати проблему збереження системи.

Друга найважливіша формулювання в області політики безпеки записано: "Що не було спеціально заборонено, те дозволено" Такий підхід найбільш надійний, бо він звільняє системного адміністратора від необхідності приймати рішення, які TCP-порти безпечні вони чи які ще проломи залишили в системі виробники ядра або програм . (TCP - протокол транспортного рівня, застосовуваний в Internet для організації надійної двосторонньої доставки даних, використовуваний багатьма прикладними програмами TCP / IP). Оскільки продавці зовсім не поспішають оприлюднювати вади свого програмного забезпечення, даний підхід більш ефективний, бо, по суті, в основі його лежить твердження, що абсолютно все, чого ви не знаєте, може завдати вам шкоди.

Рівень небезпеки

Існує кілька шляхів звести нанівець або піддати ризику брандмауерних захист. І хоча вони всі погані, про деяких можна з упевненістю говорити як про самих неприємних. Виходячи з того, що основною метою встановлення більшості брандмауерів є блокування доступу, очевидно, що виявлення будь-ким лазівки, що дозволяє проникнути в систему, веде до повного краху всієї захисту даної системи. Якщо ж несанкціонованому користувачеві вдалося проникнути в брандмауер і переконфігурувати його, ситуація може прийняти ще більш загрозливого характеру. З метою розмежування термінології приймемо, що в першому випадку ми маємо справу зі зломом брандмауерних захисту, а в другому - з повним її руйнуванням. Ступінь впливу, який може спричинити за собою руйнування брандмауерних захисту, визначити неймовірно складно. Найбільш повні відомості про надійність такого захисту може дати тільки інформація про діяльність, спробі злому, зібрана цим брандмауером. Найгірше відбувається із системою захисту саме тоді, коли при повному руйнуванні брандмауера не залишається жодних слідів, що вказують на те, як це відбувалося. У кращому ж випадку брандмауер сам виявляє спробу злому і ввічливо інформує про це адміністратора. Спроба при цьому приречена на провал.

Один зі способів визначити результат спроби злому брандмауерних захисту - перевірити стан речей в так званих зонах ризику. Якщо мережа підключена до Internet без брандмауера, об'єктом нападу стане вся мережа. Така ситуація сама по собі не передбачає, що мережа стає вразливою для кожної спроби злому. Однак якщо вона приєднується до загальної незахищеної мережі, адміністраторові доведеться забезпечувати безпеку кожного вузла окремо. У разі утворення проломи в брандмауері зона ризику розширюється і охоплює всю захищену мережу. Зломщик, що отримав доступ до входу в брандмауер, може вдатися до методу "захоплення островів" і, користуючись брандмауером як базою, охопити всю локальну мережу. Подібна ситуація все ж дасть слабку надію, бо порушник може залишити сліди в брандмауері, і його можна буде викрити. Якщо ж брандмауер повністю виведений з ладу, локальна мережа стає відкритою для нападу з будь-якої зовнішньої системи, і визначення характеру цього нападу стає практично неможливим.

Загалом, цілком можливо розглядати брандмауер як засіб звуження зони ризику до однієї точки пошкодження. У певному сенсі це може здатися зовсім не такою вже вдалою ідеєю, адже такий підхід нагадує складання яєць в один кошик. Однак практикою підтверджено, що будь-яка досить велика мережа включає, щонайменше, декілька вузлів, уразливих при спробі злому навіть не дуже досвідченим порушником, якщо у нього достатнього для цього часу. Багато великих компаній мають на озброєнні організаційну політику забезпечення безпеки вузлів, розроблену з урахуванням цих недоліків. Однак було б не надто розумним цілком покладатися виключно на правила. Саме за допомогою брандмауера можна підвищити надійність вузлів, направляючи порушника в такий вузький тунель, що з'являється реальний шанс виявити і вистежити його, до того як він наробить бід. Подібно до того, як середньовічні замки обносили кількома стінами, в нашому випадку створюється взаімоблокірующая захист.

Чому брандмауер?

Через Internet порушник може:

• вторгнутися у внутрішню мережу підприємства та отримати несанкціонований доступ до конфіденційної інформації;

• незаконно скопіювати важливу і цінну для підприємства інформацію;

• отримати паролі, адреси серверів, а часом і їх вміст;

• входити в інформаційну систему підприємства під ім'ям зареєстрованого користувача і т.д.

За допомогою отриманої зловмисником інформації може бути серйозно підірвана конкурентоспроможність підприємства і довіру його клієнтів.

Існує багато видів захисту в мережі, але найбільш ефективний спосіб захисту об'єкта від нападу, одночасно дозволяє користувачам мати деякий доступ до служб Internet, полягає в побудові брандмауера. Щоб брандмауер був досить ефективним, необхідно ретельно вибрати його конфігурацію, встановити і підтримувати.

Брандмауери представляють собою апаратно - програмний підхід, який обмежує доступ за рахунок примусового прокладання всіх комунікацій, що йдуть із внутрішньої мережі в Internet, з Internet у внутрішню мережу, через це засіб захисту. Брандмауери дозволяють також захищати частина вашої внутрішньої мережі від інших її елементів. Апаратні засоби і програмне забезпечення, що утворюють брандмауер, фільтрують весь трафік і приймають рішення: чи можна пропустити цей трафік - електронну пошту, файли, дистанційну реєстрацію та інші операції. Організації встановлюють конфігурацію брандмауерів різними способами. На деяких об'єктах брандмауери повністю блокують доступ в Internet і з неї, а на інших обмежують доступ таким чином, що тільки одна машина або користувач може з'єднуватися через Internet з машинами за межами внутрішньої мережі. Іноді реалізуються більш складні правила, які включають перевірку кожного повідомлення, направленого з внутрішньо мережі в зовнішню, щоб переконається у відповідності конкретним вимогам стратегії забезпечення безпеки на даному об'єкті. Незважаючи на ефективність у цілому, брандмауер не забезпечує захист від власного персоналу або від зловмисника, вже подолав цей засіб мережевого захисту.

Міжмережевий екран як засіб від вторгнення з Internet

Ряд завдань по віддзеркаленню найбільш ймовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани, У вітчизняній літературі до останнього часу використовувалися замість цього терміна інші терміни іноземного походження: брандмауер і firewall. Поза комп'ютерної сфери брандмауером (або firewall) називають стіну, зроблену з негорючих матеріалів і перешкоджає поширенню пожежі. У сфері комп'ютерних мереж міжмережевий екран є бар'єр, що захищає від фігурального пожежі - спроб зловмисників вторгнутися у внутрішню мережу для того, щоб скопіювати, змінити або стерти інформацію або скористатися пам'яттю чи обчислювальною потужністю працюють у цій мережі комп'ютерів. Міжмережевий екран покликаний забезпечити безпечний доступ до зовнішньої мережі та обмежити доступ зовнішніх користувачів до внутрішньої мережі.

Міжмережевий екран (МЕ) - це система міжмережевого захисту. дозволяє розділити загальну мережу на дві частини або більше і реалізувати набір правил, що визначають умови проходження пакетів з даними через кордон з однієї частини загальної мережі в іншу. Як правило, ця межа проводиться між корпоративною (локальної) мережею підприємства і глобальною мережею Internet, хоча її можна провести і усередині корпоративної мережі підприємства. МЕ пропускає через себе весь трафік, приймаючи для кожного проходить пакету рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це йому необхідно визначити набір правил фільтрації.

Зазвичай міжмережеві екрани захищають внутрішню мережу підприємства від "вторгнень" з глобальної мережі Internet, однак вони можуть використовуватися і для захисту від "нападів" з корпоративної інтрамережі, до якої підключена локальна мережа підприємства. Жоден міжмережевий екран не може гарантувати повного захисту внутрішньої мережі при всіх можливих обставин. Однак для більшості комерційних організацій установка міжмережевого екрану є необхідною умовою забезпечення безпеки внутрішньої мережі. Головний аргумент на користь застосування міжмережевого екрану полягає в тому, що без нього системи внутрішньої мережі наражаються на небезпеку з боку слабо захищених служб мережі Internet, а також зондування і атакам з будь-яких інших хост-комп'ютерів зовнішньої мережі.

Міжмережевий

екран

Локальна мережа Локальна мережа. Схема встановлення міжмережевого екрану

Проблеми недостатньої інформаційної безпеки є "вродженими" практично для всіх протоколів і служб Internet. Велика частина цих проблем пов'язана з історичною залежністю Internet від операційної системи UNIX. Відомо, що мережа Arpanet (прабатько Internet) будувалася як мережа, що зв'язує дослідні центри, наукові, військові та урядові установи, великі університети США. Ці структури використовували операційну систему UNIX в якості платформи для комунікацій і вирішення власних завдань. Тому особливості методології програмування в середовищі UNIX та її архітектури наклали відбиток на реалізацію протоколів обміну і політики безпеки в мережі. Через відкритості та поширеності система UNIX стала улюбленою здобиччю хакерів. Тому зовсім не дивно, що набір протоколів TCP / IP, який забезпечує комунікації в глобальній мережі Internet і в які отримують все більшу популярність інтрамережі, має "вроджені" недоліки захисту. Те ж саме можна сказати і про ряд служб Internet.

Набір протоколів управління передачею повідомлень в Internet (Transmission Control Protocol / Internet Protocol - TCP / IP) використовується для організації комунікацій в неоднорідному мережевому середовищі, забезпечуючи сумісність між комп'ютерами різних типів. Сумісність - одна з основних переваг TCP / IP, тому більшість локальних комп'ютерних мереж підтримує ці протоколи. Крім того, протоколи TCP / IP надають доступ до ресурсів глобальної мережі Internet. Оскільки TCP / IP підтримує маршрутизацію пакетів, він зазвичай використовується в якості міжмережевого протоколу. Завдяки своїй популярності TCP / IP став стандартом де фактора для міжмережевого взаємодії.

У заголовках пакетів TCP / IP зазначається інформація, яка може піддатися нападам хакерів. Зокрема, хакер може підмінити адресу відправника у своїх "шкідливих" пакетах, після чого вони будуть виглядати, як пакети, що передаються авторизованим клієнтом.

Відзначу "вроджені слабкості" деяких поширених служб Internet.

Простий протокол передачі електронної пошти (Simple Mail Transfer Protocol - SMTP) дозволяє здійснювати поштову транспортну службу Internet. Одна з проблем безпеки, пов'язана з цим протоколом, полягає в тому, що користувач не може перевірити адресу відправника в заголовку повідомлення електронної пошти. У результаті хакер може послати у внутрішню мережу велика кількість листів, що призведе до перевантаження і блокування роботи поштового сервера.

Популярна в Internet програма електронної пошти Sendmail використовує для роботи деяку мережеву інформацію - IP-адреса відправника. Перехоплюючи повідомлення, відправлені з допомогою Sendmail, хакер може спожити цю інформацію для нападів, наприклад для спуфінга (підміни адрес).

Протокол передачі файлів (File Transfer Protocol - FTP) забезпечує передачу текстових і двійкових файлів, тому його часто використовують в Internet для організації спільного доступу до інформації. Його зазвичай розглядають як один з методів роботи з віддаленими мережами. На FTP-серверах зберігаються документи, програми, графіка та інші види інформації. До даних цих файлів на FTP-серверах можна звернутися безпосередньо. Це можна зробити, тільки переписавши їх цілком з FTP-сервера на локальний сервер. Деякі FTP-сервери обмежують доступ користувачів до своїх архівів даних за допомогою пароля, інші ж надають вільний доступ (так званий анонімний FTP-сервер). При використанні опції анонімного FTP для свого сервера користувач повинен бути впевнений, що на ньому зберігаються тільки файли, призначені для вільного розповсюдження.

Служба мережевих імен (Domain Name System - DNS) являє собою розподілену базу даних, яка перетворює імена користувачів і хост-комп'ютерів в IP-адреси, вказані в заголовках пакетів, і навпаки. DNS також зберігає інформацію про структуру мережі компанії, наприклад кількості комп'ютерів з IP-адресами в кожному домені. Однією з проблем DNS є те, що цю базу даних дуже важко "приховати" від неавторизованих користувачів. У результаті DNS часто використовується хакерами як джерело інформації про імена довірених хост-комп'ютерів.

Служба емуляції віддаленого термінала (TELNET) вживається для підключення до віддалених систем, приєднаним до мережі, застосовує базові можливості по емуляції терміналу. При використанні цього сервісу Internet користувачі повинні реєструватися на сервері TELNET, вводячи свої ім'я та пароль. Після аутентифікації користувача його робоча станція функціонує в режимі "тупого" терміналу, підключеного до зовнішнього хост-комп'ютера. З цього термінала користувач може вводити команди, які забезпечують йому доступ до файлів і запуск програм. Підключившись до сервера TELNET, хакер може налаштувати його програму таким чином, щоб вона записувала імена та паролі користувачів.

Всесвітня павутина (World Wide Web - WWW) - це система, заснована на мережевих додатках, які дозволяють користувачам переглядати вміст різних серверів в Internet або інтрамережі. Найкориснішим властивістю WWW є використання гіпертекстових документів, в які вбудовані посилання на інші документи і Web-вузли, що дає користувачам можливість легко переходити від одного вузла до іншого. Однак це ж властивість є і найбільш слабким місцем системи WWW, оскільки посилання на Web-вузли, що зберігаються в гіпертекстових документах, містять інформацію про те, як здійснюється доступ до відповідних сайтів. Використовуючи цю інформацію, хакери можуть зруйнувати Web-вузол або отримати доступ до зберігається в ньому конфіденційної інформації.

До вразливим службам і протоколам Internet відносяться також протокол копіювання UUCP, протокол маршрутизації RIP, графічна віконна система Х Windows і ін

Рішення про те, фільтрувати чи за допомогою брандмауера конкретні протоколи та адреси, залежить від прийнятої в мережі, що захищається політики безпеки. Міжмережевий екран є набором компонентів, що настроюються таким чином, щоб реалізувати обрану політику безпеки. Зокрема, необхідно вирішити, чи буде обмежений доступ користувачів до певних служб Internet на базі протоколів TCP / IP і якщо буде, то до якої міри.

Політика мережевої безпеки кожної організації повинна включати дві складові:

• політику доступу до мережевих сервісів;

• політику реалізації міжмережевих екранів.

Відповідно до політики доступу до мережевих сервісів визначається список сервісів Internet, до яких користувачі повинні мати обмежений доступ. Задаються також обмеження на методи доступу, наприклад, на використання протоколів SLIP (Serial Line Internet Protocol) і РРР (Point-to-Point Protocol). Обмеження методів доступу необхідно для того, щоб користувачі не могли звертатися до "заборонених" сервісів Internet обхідними шляхами. Наприклад, якщо для обмеження доступу в Internet мережевий адміністратор встановлює спеціальний шлюз, який не дає можливості користувачам працювати в системі WWW, вони могли б встановити РРР-з'єднання з Web-серверами по комутованій лінії.

Політика доступу до мережевих сервісів звичайно грунтується на одному з наступних принципів:

1) заборонити доступ з Internet у внутрішню мережу, але дозволити доступ з внутрішньої мережі в Internet;

2) дозволити обмежений доступ у внутрішню мережу з Internet, забезпечуючи роботу тільки окремих "авторизованих" систем, наприклад поштових серверів.

Відповідно до політики реалізації міжмережевих екранів визначаються правила доступу до ресурсів внутрішньої мережі. Перш за все, необхідно встановити, наскільки "довірчої" або "підозрілою" повинна бути система захисту. Іншими словами, правила доступу до внутрішніх ресурсів повинні базуватися на одному з наступних принципів:

1) забороняти все, що не дозволено в явній формі;

2) дозволяти все, що не заборонено в явній формі.

Реалізація міжмережевого екрану на основі першого принципу забезпечує значну захищеність. Однак правила доступу, сформульовані у відповідності з цим принципом, можуть доставляти великі незручності користувачам, а крім того, їх реалізація обходиться досить дорого. При реалізації другого принципу внутрішня мережа виявляється менш захищеною від нападів хакерів, проте, користуватися їй буде зручніше і буде потрібно менше витрат.

Ефективність захисту внутрішньої мережі з допомогою міжмережевих екранів залежить не тільки від обраної політики доступу до мережевих сервісів і ресурсів внутрішньої мережі, але і від раціональності вибору і використання основних компонентів міжмережевого екрану.

Функціональні вимоги до міжмережевих екранів включають:

• вимоги до фільтрації на мережевому рівні;

• вимоги до фільтрації на прикладному рівні;

• вимоги по налаштуванню правил фільтрації та адміністрування;

• вимоги до засобів мережевої аутентифікації;

• вимоги щодо впровадження журналів та обліку.

Основні компоненти міжмережевих екранів

Більшість компонентів міжмережевих екранів можна віднести до однієї з трьох категорій:

• фільтруючі маршрутизатори;

• шлюзи мережевого рівня;

• шлюзи прикладного рівня.

Ці категорії можна розглядати як базові компоненти реальних міжмережевих екранів. Лише деякі міжмережеві екрани включають тільки одну з перерахованих категорій. Тим не менше, ці категорії відображають ключові можливості, що відрізняють міжмережеві екрани один від одного.

Фільтруючі маршрутизатори

Фільтруючий маршрутизатор являє собою маршрутизатор або працює на сервері програму, сконфігуровані таким чином, щоб фільтрувати входить і вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-і IP-заголовках пакетів.

Фільтруючі маршрутизатори звичайно може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:

• IP-адреса відправника (адреса системи, яка послала пакет);

• IP-адресу одержувача (адреса системи яка приймає пакет);

• Порт відправника (порт з'єднання в системі відправника);

• Порт одержувача (порт з'єднання в системі одержувача);

Порт - це програмне поняття, яке використовується клієнтом або сервером для здійснення та отримання повідомлень; порт ідентифікується 16 - бітовим числом.

В даний час не всі фільтруючі маршрутизатори фільтрують пакети по TCP / UDP - порт відправника, однак багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації.

Фільтрація може бути реалізована в різний спосіб для блокування сполук з певними хост-комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж. які вважаються ворожими або ненадійними.

Додавання фільтрації по портів TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість. Відомо, що такі сервери, як демон TELNET, зазвичай пов'язані з конкретними портами (наприклад, порт 23 протоколу TELNET). Якщо міжмережевий екран може блокувати з'єднання TCP або UDP з певними портами або від них, то можна реалізувати політику безпеки, при якій деякі види з'єднань встановлюються лише з конкретними хост-комп'ютерами.

Наприклад, внутрішня мережа може блокувати всі вхідні з'єднання з усіма хост-комп'ютерами за винятком декількох систем. Для цих систем можуть бути дозволені тільки певні сервіси (SMTP для однієї системи і TELNET або FTP-для іншої). При фільтрації по портів TCP і UDP ця політика може бути реалізована фільтруючим маршрутизатором або хост-комп'ютером з можливістю фільтрації пакетів.

Як приклад роботи фільтруючого маршрутизатора розгляну реалізацію політики безпеки, що допускає певні з'єднання з внутрішньою мережею з адресою 123.4 .*.* З'єднання TELNET дозволяються тільки з одним хост-комп'ютером з адресою 123.4.5.6, який може бути прикладним TELNET-шлюзом, а SMTP- з'єднання - тільки з двома хост-комп'ютерами з адресами 123.4.5.7 і 123.4.5.8, які можуть бути двома шлюзами електронної пошти. Обмін по NNTP (Network News Transfer Protocol) дозволяється тільки від сервера новин з адресою 129.6.48.254 і тільки з NNTP-сервером мережі з адресою 123.4.5.9, а протокол NTP (мережевого часу)-для всіх хост-комп'ютерів. Всі інші сервери і пакети блокуються. рації

Перше правило дозволяє пропускати пакети TCP з мережі Internet від будь-якого джерела з номером порту більшим, ніж 1023, до одержувача з адресою 123.4.5.6 в порт 23. Порт 23 пов'язаний з сервером TELNET, а всі клієнти TELNET повинні мати непривілейованих порти з номерами не нижче 1024.

Друге і третє правила працюють аналогічно і дозволяють передачу пакетів до одержувачів з адресами 123.4.5.7 і 123.4.5.8 в порт 25, використовуваний SMTP.

Четверте правило пропускає пакети до NNTP-сервера мережі, але тільки від відправника з адресою 129.6.48.254 до одержувача з адресою 123.4.5.9 з портом призначення 119 (129.6.48.254-єдиний NNTP-сервер, від якого внутрішня мережа отримує новини, тому доступ до мережі для виконання протоколу NNTP обмежений тільки цією системою).

П'яте правило дозволяє трафік NTP, який використовує протокол UDP замість TCP. від будь-якого джерела до будь-якому одержувачу внутрішньої мережі.

Нарешті, шосте правило блокує всі інші пакети. Якби цього правила не було, маршрутизатор міг би блокувати, а міг би і не блокувати інші типи пакетів. Вище було розглянуто дуже простий приклад фільтрації пакетів. Реально використовуються правила дозволяють здійснити більш складну фільтрацію і є більш гнучкими.

Правила фільтрації пакетів формулюються складно, і зазвичай немає коштів для тестування їх коректності, крім повільного ручного тестування. У деяких фільтруючих маршрутизаторів немає коштів протоколювання, тому, якщо правила фільтрації пакетів все-таки дозволять небезпечним пакетів пройти через маршрутизатор, такі пакети не зможуть бути виявлені до виявлення наслідків проникнення. Навіть якщо адміністратору мережі вдасться створити ефективні правила фільтрації, їх можливості залишаються обмеженими. Наприклад, адміністратор задає правило, відповідно до якого маршрутизатор буде відбраковувати всі пакети з невідомим адресою відправника. Однак хакер може використовувати в якості адреси відправника у своєму "шкідливий" пакеті реальну адресу довіреної (авторизованого) клієнта. У цьому випадку фільтруючий маршрутизатор не зуміє відрізнити підроблений пакет від сьогодення і пропустить його. Практика показує, що подібний вид нападу, званий підміною адреси, досить широко поширений в мережі Internet і часто виявляється ефективним.

Міжмережевий екран з фільтрацією пакетів, що працює тільки на мережному рівні еталонної моделі взаємодії відкритих систем OSI-ISO, зазвичай перевіряє інформацію, що міститься тільки в IP-заголовках пакетів. Тому обдурити його нескладно: хакер створює заголовок, який задовольняє дозволяючим правилами фільтрації. Крім заголовка пакету, ніяка інша міститься в ньому інформація міжмережевими екранами даної категорії не перевіряється.

До позитивних якостей фільтруючих маршрутизаторів слід віднести:

• порівняно невисоку вартість;

• гнучкість у визначенні правил фільтрації;

• невелику затримку при проходженні пакетів.

Недоліками фільтруючих маршрутизаторів є:

• внутрішня мережа видно (маршрутизується) з мережі Internet;

• правила фільтрації пакетів важкі в описі і вимагають дуже хороших знань технологій TCP і UDP;

• при порушенні працездатності брандмауера з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними;

• аутентифікацію з використанням IP-адреси можна обдурити шляхом підміни IP-адреси (атакуюча система видає себе за іншу, використовуючи її IP-адреса);

• відсутня аутентифікація на рівні користувача.

Шлюзи мережевого рівня

Шлюз мережевого рівня іноді називають системою трансляції мережевих адрес або шлюзом сеансового рівня моделі OSI. Такий шлюз виключає, пряма взаємодія між авторизованим клієнтом і зовнішнім хост-комп'ютером. Шлюз мережевого рівня приймає запит довіреної клієнта на конкретні послуги, і після перевірки допустимості запитаного сеансу встановлює з'єднання із зовнішнім хост-комп'ютером. Після цього шлюз копіює пакети в обох напрямках, не здійснюючи їх фільтрації.

Шлюз стежить за підтвердженням (квітірованіем) зв'язку між авторизованим клієнтом і зовнішнім хост-комп'ютером, визначаючи, чи є запитуваний сеанс зв'язку допустимим. Щоб виявити допустимість запиту на сеанс зв'язку, шлюз виконує наступну процедуру.

Коли авторизований клієнт запитує деякий сервіс, шлюз приймає цей запит, перевіряючи, чи задовольняє цей клієнт базовим критеріям фільтрації (наприклад, чи може DNS-сервер визначити IP-адресу клієнта і асоційоване з ним ім'я). Потім, діючи від імені клієнта, шлюз встановлює з'єднання із зовнішнім хост-комп'ютером і стежить за виконанням процедури квитирования зв'язку по протоколу TCP. Ця процедура складається з обміну TCP-пакетами, які позначаються прапорами SYN (синхронізувати) і АСК (підтвердити).

Перший пакет сеансу TCP, позначений прапором SYN і містить довільне число, наприклад 1000. є запитом клієнта на відкриття сеансу. Зовнішній хост-комп'ютер, який отримав цей пакет, посилає у відповідь пакет, позначений прапором АСК і містить число, на одиницю більше, ніж у прийнятому пакеті підтверджуючи, тим самим прийом пакета SYN від клієнта.

Далі здійснюється зворотна процедура: хост-комп'ютер посилає клієнту пакет SYN з вихідним числом (наприклад, 2000), а клієнт підтверджує його отримання передачею пакету АСК, що містить число 2001. На цьому процес квитирования зв'язку завершується.

Шлюз мережевого рівня визнає запитане з'єднання припустимим тільки в тому випадку, якщо при виконанні процедури квитирования зв'язку прапори SYN і АСК, а також числа, що містяться в TCP-пакетах, виявляються логічно пов'язаними між собою.

Після того як шлюз визначив, що довірений клієнт і зовнішній хост-комп'ютер є авторизованими учасниками сеансу TCP, і перевірив допустимість цього сеансу, він встановлює з'єднання. Починаючи з цього моменту, шлюз копіює і перенаправляє пакети туди і назад, не проводячи ніякої фільтрації. Він підтримує таблицю встановлених з'єднань, пропускаючи дані, що відносяться до одного з сеансів зв'язку, зафіксованих у цій таблиці. Коли сеанс завершується, шлюз видаляє відповідний елемент з таблиці і розриває ланцюг. використалася в даному сеансі.

Для копіювання і перенаправлення пакетів в шлюзах мережевого рівня застосовуються спеціальні програми, які називають канальними посередниками, оскільки вони встановлюють між двома мережами віртуальну ланцюг або канал, а потім дозволяють пакетів, які генеруються додатками TCP / IP, проходити по цьому каналу. Канальні посередники підтримують кілька служб TCP / IP, тому шлюзи мережевого рівня можуть використовуватися для розширення можливостей шлюзів прикладного рівня, робота яких грунтується на програмах-посередниках конкретних програм.

Фактично більшість шлюзів мережевого рівня не є самостійними продуктами, а поставляються в комплекті зі шлюзами прикладного рівня. Прикладами таких шлюзів є Gauntlet Internet Firewall компанії Trusted Information Systems, Alta Vista Firewall компанії DEC і ANS Interlock компанії ANS. Наприклад, Alta Vista Firewall використовує канальні посередники прикладного рівня для кожної з шести служб TCP / IP, до яких належать, зокрема, FTP, HTTP (Hyper Text Transport Protocol) і telnet. Крім того, міжмережевий екран компанії DEC забезпечує шлюз мережевого рівня, що підтримує інші загальнодоступні служби TCP / IP, такі як Gopher і SMTP, для яких міжмережевий екран не надає посередників прикладного рівня.

Шлюз мережевого рівня виконує ще одну важливу функцію захисту: він використовується в якості сервера-посередника. Цей сервер-посередник виконує процедуру трансляції адрес, при якій відбувається перетворення внутрішніх IP-адрес в один "надійний" IP-адресу. Ця адреса асоціюється з міжмережевим екраном, з якого передаються всі вихідні пакети. У результаті в мережі зі шлюзом мережевого рівня всі вихідні пакети виявляються відправленими з цього шлюзу, що виключає прямий контакт між внутрішньою (авторизованої) мережею і потенційно небезпечної зовнішньої мережі. IP-адреса шлюзу мережевого рівня стає єдино активним IP-адресою, який потрапляє в зовнішню мережу. Таким чином шлюз мережевого рівня та інші сервери-посередники захищають внутрішні мережі від нападів типу підміни адрес.

Після встановлення зв'язку шлюзи мережевого рівня фільтрують пакети тільки на сеансовому рівні OSI, тобто не можуть перевіряти вміст пакетів, що передаються між внутрішньою і зовнішньою мережею на рівні прикладних програм. І оскільки ця передача здійснюється "наосліп", хакер, що знаходиться у зовнішній мережі, може "проштовхнути" свої "шкідливі" пакети через такий шлюз. Після цього хакер звернеться безпосередньо до внутрішнього Web-сервера, який сам по собі не може забезпечувати функції міжмережевого екрану. Іншими словами, якщо процедура квитирования зв'язку успішно завершена, шлюз мережевого рівня встановить з'єднання і буде "сліпо" копіювати і перенаправляти всі наступні пакети незалежно від їх вмісту.

Щоб фільтрувати пакети, що генеруються певними мережевими службами, відповідно до їх вмістом необхідний шлюз прикладного рівня.

Шлюзи прикладного рівня

Для усунення ряду недоліків, властивих фільтруючим маршрутизаторам, міжмережеві екрани повинні використовувати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET і FTP. Такі програмні засоби називаються повноважними серверами (серверами-посередниками), а хост-комп'ютер, на якому вони виконуються, - шлюзом прикладного рівня.

Шлюз прикладного рівня виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хост-комп'ютером. Шлюз фільтрує всі вхідні і вихідні пакети на прикладному рівні. Пов'язані з додатком сервери - посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами.

Для досягнення більш високого рівня безпеки та гнучкості шлюзи прикладного рівня і фільтруючі маршрутизатори можуть бути об'єднані в одному межсетевом екрані. Як приклад розгляну мережу, в якій за допомогою фільтруючого маршрутизатора блокуються вхідні з'єднання TELNET і FTP. Цей маршрутизатор допускає проходження пакетів TELNET або FTP тільки до одного хост-комп'ютера - шлюзу прикладного рівня TELNET / FTP. Зовнішній користувач, який хоче з'єднатися з деякою системою в мережі, повинен спочатку з'єднатися зі шлюзом прикладного рівня, а потім вже з потрібним внутрішнім хост-комп'ютером. Це здійснюється наступним чином:

1) спочатку зовнішній користувач встановлює TELNET-з'єднання зі шлюзом прикладного рівня за допомогою протоколу TELNET і вводить ім'я цікавить його внутрішнього хост-комп'ютера;

2) шлюз перевіряє IP - адреса відправника та дозволяє або забороняє з'єднання у відповідності з тим чи іншим критерієм доступу

3) користувачеві може знадобитися аутентифікація (можливо, за допомогою одноразових паролів);

4) сервер-посередник встановлює TELNET-з'єднання між шлюзом та внутрішнім хост-комп'ютером;

5) сервер посередник здійснює передачу інформації між цими двома з'єднаннями;

6) шлюз прикладного рівня реєструє з'єднання.

Цей приклад наочно показує переваги використання повноважних серверів-посередників.

• Повноважні сервери - посередники пропускають тільки ті служби, які їм доручено обслуговувати. Інакше кажучи, якщо шлюзи прикладного рівня наділений повноваженнями для служб FTP і TELNET, то в мережі, що захищається будуть дозволені тільки FTP і TELNE, а всі інші служби будуть повністю блоковані. Для деяких організацій такий вид безпеки має велике значення, так як він гарантує, що через міжмережевий екран будуть пропускатися тільки ті служби, які вважаються безпечними.

• Повноважні сервери-посередники забезпечують можливість фільтрації протоколу. Наприклад, деякі міжмережеві екрани, які використовують шлюзи прикладного рівня, можуть фільтрувати FTP - з'єднання і забороняти використання команди FTP put, що гарантовано не дозволяє ползователям записувати інформацію на анонімне FTP-сервер.

На додаток до фільтрації пакетів багато шлюзи прикладного рівня реєструють всі виконувані сервером дії і, що особливо важливо, попереджають мережевого адміністратора про можливі порушення захисту. Наприклад, при спробах проникнення в мережу ззовні BorderWare Firewall Server компанії Secure Computing дозволяє фіксувати адреси відправника і одержувача пакетів, час, в який ці спроби були зроблені, і використовуваний протокол. Міжмережевий екран Black Hole компанії Milkyway Networks реєструє всі дії сервера і попереджає адміністратора про можливі порушення, посилаючи йому повідомлення по електронній пошті або на пейджер. Аналогічні функції виконують і ряд інших шлюзів прикладного рівня.

Шлюзи прикладного рівня дозволяють забезпечити найбільш високий рівень захисту, оскільки взаємодія із зовнішнім світом реалізується через мало прикладних повноважних програм-посередників, повністю контролюють весь вхідний і вихідний трафік.

Шлюзи прикладного рівня мають ряд переваг у порівнянні зі звичайним режимом, при якому прикладної трафік пропускається безпосередньо до внутрішніх хост-комп'ютерів. Перерахую ці переваги.

• Невидимість структури мережі, що захищається з глобальної мережі Internet. Імена внутрішніх систем можна не повідомляти зовнішнім системам через DNS, оскільки шлюз прикладного рівня може бути єдиним хост-комп'ютером, ім'я якого повинно бути відомо зовнішнім системам.

• Надійна аутентифікація та реєстрація. Прикладної трафік може бути аутентифікований, перш ніж він досягне внутрішніх хост-комп'ютерів, і може бути зареєстрований більш ефективно, ніж за допомогою стандартної. Реєстрації.

• Оптимальне співвідношення між ціною і ефективністю. Додаткові або апаратні засоби для аутентифікації або реєстрації потрібно встановлювати тільки на шлюзі прикладного рівня.

• Прості правила фільтрації. Правила на фільтруючому маршрутизаторі виявляються менш складними, ніж вони були б, якщо б маршрутизатор сам фільтрував прикладної трафік і відправляв його великому числу внутрішніх систем. Mapшрутізатор повинен пропускати прикладної трафік, призначений тільки для шлюзу прикладного рівня, і блокувати весь інший трафік.

• Можливість організації великого числа перевірок. Захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, що знижує ймовірність злому з використанням "дірок" у програмному забезпеченні.

До недоліків шлюзів прикладного рівня відносяться:

• більш низька продуктивність у порівнянні з фільтруючими маршрутизаторами; зокрема, при використанні клієнт-серверних протоколів, таких як TELNET, потрібно двокрокова процедура для вхідних та вихідних з'єднань;

• Більш висока вартість у порівнянні з фільтруючим маршрутизатором

Крім TELNET і FTP шлюзи прикладного рівня зазвичай використовуються для електронної пошти, Х Windows і деяких інших служб.

Посилена аутентифікація

Одним з важливих компонентів концепції міжмережевих екранів є автентифікація (перевірка дійсності користувача). Перш ніж користувачеві буде надано право скористатися, тим чи іншим сервісом, необхідно переконатися, що він дійсно той, за кого себе видає.

Одним із способів аутентифікації є використання стандартних UNIX-паролів. Однак ця схема найбільш вразливе з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Багато інциденти в мережі Internet відбулися почасти через уразливість традиційних паролів. Зловмисники можуть спостерігати за каналами в мережі Internet і перехоплювати що передаються в них відкритим текстом паролі, тому схему аутентифікації з традиційними паролями слід визнати застарілою.

Для подолання цього недоліку розроблено ряд засобів посиленою аутентифікації; смарт-карти, персональні жетони, біометричні механізми і т.п. Хоча в них задіяні різні механізми аутентифікації, загальним для них є те, що паролі, які генеруються цими пристроями, не можуть бути повторно використані порушником, що спостерігає за встановленням зв'язку. Оскільки проблема з паролями в мережі Internet є постійною, міжмережевий екран для з'єднання з Internet, не має в своєму розпорядженні засобами посиленою аутентифікації або не використовує їх, втрачає всякий сенс.

Ряд найбільш популярних засобів посиленою аутентифікації, що застосовуються в даний час, називаються системами з одноразовими паролями. Наприклад, смарт-карти або жетони аутентифікації генерують інформацію, яку хост-комп'ютер використовує замість традиційного пароля Результатом є одноразовий пароль, який, навіть якщо він буде перехоплений, не може бути використаний зловмисником під виглядом користувача для встановлення сеансу з хост-комп'ютером.

Так як міжмережеві екрани можуть централізувати управління доступом в мережі, вони є підходящим місцем для установки програм або пристроїв посиленою аутентифікації. Хоча кошти посиленою аутентифікації можуть використовуватися на кожному хост-комп'ютері, більш практично їх розміщення на межсетевом екрані. На рис. показано, що в мережі без міжмережевого екрану, що використовує заходи посиленої аутентифікації, нерозпізнаних трафік таких додатків, як TELNET або FTP, може безпосередньо проходити до систем в мережі. Якщо хост-комп'ютери не застосовують заходів посиленої аутентифікації, зловмисник може спробувати зламати паролі або перехопити мережевий трафік з метою знайти в ньому сеанси, в ході яких передаються паролі.

Нерозпізнаних Аутентифіковані

Трафік TELNET і FTP трафік TELNET і FTP

Міжмережевий екран

з посиленою

аутентифікацією

На малюнку показана також мережа з міжмережевим екраном, що використовує посилену аутентифікацію. У цьому випадку сеанси TELNET або FTP, що встановлюються з боку мережі Internet з системами мережі, повинні проходити перевірку за допомогою засобів посиленою аутентифікації, перш ніж вони будуть дозволені, Системи мережі можуть запитувати для дозволу доступу і статичні паролі, але ці паролі, навіть якщо вони будуть перехоплені зловмисником, не можна буде використовувати, тому що кошти посиленою аутентифікації та інші компоненти міжмережевого екрану запобігають проникнення зловмисника або обхід ними міжмережевого екрану.

Основні схеми мережевого захисту на базі міжмережевих екранів

При підключенні корпоративної або локальної мережі до глобальних мереж адміністратор мережевої безпеки має вирішувати такі завдання:

• захист корпоративної або локальної мережі від несанкціонованого доступу з боку глобальної мережі;

• приховування інформації про структуру мережі та її компонентів від користувачів глобальної мережі,

• розмежування доступу в мережу, що захищається з глобальної мережі і з мережі, що захищається в глобальну мережу.

Необхідність роботи з віддаленими користувачами вимагає встановлення жорстких обмежень доступу до інформаційних ресурсів мережі, що захищається. При цьому часто виникає потреба в організації у складі корпораціонний мережі декількох сегментів з різними рівнями захищеності

• вільно доступні сегменти (наприклад, рекламний WWW-сервер),

• сегмент з обмеженим доступом (наприклад, для доступу співробітникам організації з віддалених вузлів),

• закриті сегменти (наприклад, локальна фінансова мережа організації).

Для захисту корпоративної або локальної мережі застосовуються такі основні схеми організації міжмережевих екранів:

• міжмережевий екран - фільтруючий маршрутизатор;

• міжмережевий екран на основі двупортового шлюзу;

• міжмережевий екран на основі екранованого шлюзу;

• міжмережевий екран - екранована підмережа.

Міжмережевий екран - фільтруючий маршрутизатор

Міжмережевий екран, заснований на фільтрації пакетів, є поширеним і найбільш простим в реалізації. Він складається з фільтруючого маршрутизатора, розташованого між що захищається мережею і мережею Internet (рис. 8.6). Фільтруючий маршрутизатор налаштований для блокування або фільтрації вхідних і вихідних пакетів на основі аналізу їх адрес і портів. Комп'ютери, що знаходяться в мережі, що захищається, мають прямий доступ в мережу Internet, в той час як більша частина доступу до них з Internet блокується. Часто блокуються такі небезпечні служби, як Х Windows, NIS і NFS. У принципі фільтруючий маршрутизатор може реалізувати будь-яку з політик безпеки, описаних раніше. Однак якщо маршрутизатор не фільтрує пакети по порту джерела та номером вхідного і вихідного порту, то реалізація політики "заборонено все, що не дозволено в явній формі" може бути проблематичним.

Локальна мережа

ЕОМ

ЕОМ

Фільтруючий маршрутизатор

ЕОМ

Міжмережеві екрани, засновані на фільтрації пакетів, мають такі ж вади, що і фільтруючі маршрутизатори, причому ці недоліки стають більш відчутними при жорсткості вимог до безпеки мережі, що захищається. Відзначимо деякі з них:

• складність правил фільтрації, в деяких випадках сукупність цих правил може стати некерованою;

• неможливість повного тестування правил фільтрації; це призводить до незахищеності мережі від не протестованих атак;

в результаті адміністратору важко визначити, чи піддавався маршрутизатор атаці і скомпрометований він;

• кожен хост-комп'ютер, пов'язаний з мережею Internet, потребує своїх засобах посиленою аутентифікації.

Міжмережевий екран на базі двупортового шлюзу

Міжмережевий екран на базі двупортового прикладного шлюзу включає дводомний хост-комп'ютер з двома мережевими інтерфейсами. При передачі інформації між цими інтерфейсами і здійснюється основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом та мережею Internet зазвичай розміщують фільтруючий маршрутизатор (малюнок). У результаті між прикладним шлюзом та маршрутизатором утворюється внутрішня екранована підмережа. Цю підмережа можна використовувати для розміщення доступних ззовні інформаційних серверів.

Ф

Інформаційний

сервер

ільтрующій

м аршрутізатор

Прикладної

шлюз

На відміну від схеми міжмережевого екрану з фільтруючим маршрутизатором прикладної шлюз повністю блокує трафік IР між мережею internet і захищається мережею. Тільки повноважні сервера - посередники, які розміщуються на прикладному шлюзі, можуть надавати послуги та доступ користувачам.

Даний варіант міжмережевого екрану реалізує політику безпеки, засновану на принципі "заборонено все, що не дозволено в явній формі", при цьому користувачеві недоступні всі служби, крім тих, для яких визначено відповідні повноваження. Такий підхід забезпечує високий рівень безпеки, тільки маршрути до захищеної підмережі відомі тільки межсетевому екрану і приховані від зовнішніх систем.

Розглянута схема організації міжмережевого екрану є досить простою і досить ефективною.

Слід зазначити, що безпека дводомної хост-комп'ютера, що використовується як прикладного шлюзу, повинна підтримуватися на високому рівні. Будь-яка пролом в його захист, може серйозно послабити безпеку мережі, що захищається. Якщо шлюз виявиться скомпрометованим, у зловмисника з'явиться можливість проникнути в мережу, що захищається.

Цей міжмережевий екран може вимагати від користувачів застосування засобів посиленою аутентифікації, а також реєстрації доступу, спроб зондування і атак системи порушником.

Для деяких мереж може виявитися неприйнятною недостатня гнучкість схеми міжмережевого екрану з прикладним шлюзом.

Міжмережевий екран на основі екранованого шлюзу

Міжмережевий екран на основі екранованого шлюзу об'єднує фільтруючий маршрутизатор і прикладної шлюз, дозволяються з боку внутрішньої мережі. Прикладної шлюз реалізується на хост - комп'ютері і має тільки один мережевий інтерфейс (малюнок).

Інформаційний

сервер

Фільтруючий

маршрутизатор

Прикладної

шлюз

У цій схемі первинна безпека забезпечується фільтруючим маршрутизатором. Пакетна фільтрація в фільтруючому маршрутизаторі може бути реалізована одним з таких способів:

• дозволяти внутрішнім хост - комп'ютерів відкривати з'єднання з хост - комп'ютерами в мережі Internet для визначення сервісів

• забороняти всі з'єднання від внутрішніх хост-комп'ютерів (змушуючи їх використовувати повноважні сервери-посередники на прикладному шлюзі).

Ці підходи можна комбінувати для різних сервісів, дозволяючи деяких сервісів з'єднання безпосередньо через пакетну фільтрацію, в той час як іншим тільки непряме з'єднання через повноважні сервери-посередники. Все залежить від конкретної політики безпеки, прийнятої у внутрішній мережі. Зокрема, пакетна фільтрація на фільтруючому маршрутизаторі може бути організована таким чином, щоб прикладної шлюз, використовуючи свої повноважні сервери-посередники, забезпечував для систем мережі, що захищається такі сервіси, як TELNET, FTP, SMTP.

Міжмережевий екран виконаний за даною схемою, виходить більш глибоким, але менш безпечним порівняно з міжмережевим екраном з прикладним шлюзом на базі дводомної хост - комп'ютера. Це обумовлено тим, що в схемі міжмережевого екрану з екранованим шлюзом існує потенційна можливість передачі трафіку в обхід прикладного шлюзу безпосередньо до системи локальної мережі.

Основний недолік схеми міжмережевого екрану з екранованим шлюзом полягає в тому, що якщо атакуючий порушник зуміє проникнути в хост-комп'ютер, то перед ним виявляться незахищені системи внутрішньої мережі. Інший недолік пов'язаний з можливою компрометацією маршрутизатора. Якщо маршрутизатор виявиться скомпрометованим, внутрішня мережа стане доступна атакуючому порушнику.

З цих причин в даний час все більш популярною стає схема міжмережевого екрану з екранованим підмережею.

Міжмережевий екран - екранована підмережа

Міжмережевий екран, що складається з екранованої підмережі, являє собою розвиток схеми міжмережевого екрану на основі екранованого шлюзу. Для створення екранованої підмережі використовуються два екрануючих маршрутизатора (малюнок). Зовнішній маршрутизатор розташовується між мережею internet і екраніруемой підмережею, а внутрішній - між екраніруемой підмережею і захищається внутрішньою мережею. Екраніруемая підмережа містить прикладної шлюз, а також може включати інформаційні сервери та інші системи, що вимагають контрольованого доступу. Ця схема міжмережевого екрану забезпечує хорошу безпеку завдяки організації екранованої підмережі, яка ще краще ізолює внутрішню мережу, що захищається від Internet.

Інформаційний

сервер

Зовнішній Внутрішній

Маршрутизатор маршрутизатор

Екранована

підмережа

Сервер електронної пошти

Прикладної шлюз

Зовнішній маршрутизатор захищає від мережі internet як екрановану підмережа, так і внутрішню мережу. Він повинен пересилати трафік згідно з такими правилами:

• дозволяється трафік від об'єктів internet до прикладного шлюзу;

• дозволяється трафік від прикладного шлюзу до internet;

• дозволяється трафік електронної пошти від internet до сервера електронної пошти;

• дозволяється трафік електронну пошту від сервера електронної пошти до internet;

• дозволяється трафік FTP, Gopher і т.д. від internet до інформаційного серверу;

• забороняється решті трафік.

Зовнішній маршрутизатор забороняє доступ з internet до систем внутрішньої мережі і блокує весь трафік до internet, що йде від систем, які не повинні бути ініціаторами сполук (зокрема, інформаційний сервер та ін.) Цей маршрутизатор може бути використаний також для блокування інших уразливих протоколів, які не повинні передаватися до хост-комп'ютерів внутрішньої мережі або від них.

Внутрішній маршрутизатор захищає внутрішню мережу як від Internet, так і від екранованої підмережі. Внутрішній маршрутизатор здійснює велику частину пакетної фільтрації. Він керує трафіком до систем внутрішньої мережі і від них у відповідності з наступними правилами:

• дозволяється трафік від прикладного шлюзу до систем мережі;

• дозволяється прикладної трафік від систем мережі до прикладного шлюзу;

• дозволяє трафік електронну пошту від сервера електронної пошти до систем мережі;

• дозволяється трафік електронної пошти від систем мережі до сервера електронної пошти;

• дозволяється трафік FTP, Gopher і т.д. від систем мережі до інформаційного серверу;

• забороняє решті трафік;

Щоб проникнути у внутрішню мережу при такій схемі міжмережевого екрану, атакуючому потрібно пройти два фільтруючих маршрутизатора. Навіть якщо атакуючий якимось чином проник в хост-комп'ютер прикладного шлюзу, він повинен ще подолати внутрішній фільтруючий маршрутизатор. Таким чином, жодна система внутрішньої мережі не досяжна безпосередньо з Internet, і навпаки. Крім того, чіткий розподіл функцій між маршрутизаторами і прикладним шлюзом дозволяє досягти більш високої пропускної здатності.

Прикладної шлюз може включати програми посиленою аутентифікації.

Міжмережевий екран з екранованим підмережею має і недоліки;

• пара фільтруючих маршрутизаторів потребує великої уваги для забезпечення необхідного рівня безпеки. оскільки через помилки при їх конфігуруванні можуть виникнути провали в безпеці всієї мережі;

• існує принципова можливість доступу в обхід прикладного шлюзу.

Застосування міжмережевих екранів для організації віртуальних корпоративних мереж

Деякі міжмережеві екрани дозволяють організувати віртуальні корпоративні мережі. Кілька локальних мереж, підключених до глобальної мережі, об'єднуються в одну віртуальну корпоративну мережу. Передача даних між цими локальними мережами проводитися прозорим чином для користувачів локальних мереж. Конфіденційність і цілісність передаваної інформації повинні забезпечуватися за допомогою засобів шифрування, використання цифрових підписів. При передачі даних може шифруватися не тільки вміст пакета, а й деякі поля заголовка.

Міжмережевий

екран

Міжмережевий

екран

Міжмережевий

екран

Міжмережевий

екран

Програмні засоби захисту

До програмних методів захисту в мережі Internet можуть бути віднесені захищені криптопротоколів, які дозволяють надійно захищати з'єднання. У процесі розвитку Internet були створені різні захищені мережні протоколи, що використовують як симетричну криптографію з закритим ключем, так і асиметричну криптографію з відкритим ключем. До основних на сьогоднішній день підходам і протоколами, які забезпечують захист з'єднань, відносяться SKIP-технологія і протокол захисту з'єднання SSL.

SKIP (Secure Key Internet Ргоtосоl)-технологією називається стандарт захисту трафіку IP-пакетів, що дозволяє на мережному рівні забезпечити захист з'єднання і переданих по ньому даних.

Можливі два способи реалізації SKIP-захисту трафіку IP-пакетів:

• шифрування блоку даних IP-ракета;

• інкапсуляція IP-пакета в SKIP-пакет.

Шифрування блоку даних IP-пакета ілюструється. У цьому випадку шифруються методом симетричної криптографії тільки дані IP-пакета, а його заголовок, що містить крім іншого адреси відправника і одержувача, залишається відкритим, і пакет маршрутизується відповідно до істинними адресами. Закритий ключ K (i, j), розділяється парою вузлів мережі i і j, обчислюється за схемою Діффі-Хеллмана. SKIP-пакет зовні схожий на звичайний IP-пакет. У поле даних SKIP-пакета повністю розміщується в зашифрованому вигляді вихідний IP-пакет. У цьому випадку в новому заголовку замість справжніх адрес можуть бути поміщені деякі інші адреси. Така структура SKIP-пакета дозволяє безперешкодно направляти його будь-якому хост-комп'ютера в мережі Internet, при цьому міжмережний адресація здійснюється за звичайним IP-заголовку в SKIP - пакеті. Кінцевий одержувач SKIP - пакета за заздалегідь визначеним розробниками алгоритмом розшифровує криптограму і формує звичайний TCP - або UDP-пакет, який і передає відповідному модулю (TCP або UDP) ядра операційної системи. Універсальний протокол захисту з'єднання SSL (Secure Socket Layer) функціонує на сеансовому рівні еталонної моделі OSI. Протокол SSL, розроблений компанією Netscape, використовує криптографію з відкритим ключем. Цей протокол є дійсно універсальним засобом, що дозволяє динамічно захищати з'єднання при використанні будь-якого прикладного протоколу (FTP, TELNET, SMTP, DNS і т.д.). Протокол SSL підтримують такі провідні компанії, як IBM, Digital Equipment Corporation, Microsoft Corporation, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. та ін

Слід відзначити також функціонально закінчений вітчизняний криптографічний комплекс "Шифратор IP потоків". розроблений московським відділенням Пензенського науково-дослідного електротехнічного інституту. Криптографічний комплекс "Шифратор IP потоків" представляє собою розподілену систему криптографічних шифраторів, засобів управління криптографічними шифратора, засобів зберігання, поширення та передачі криптографічного інформації, а також засобів оперативного моніторингу та реєстрації подій, що відбуваються. Криптографічний комплекс "Шифратор IP потоків" призначений для виконання наступних функцій:

• створення захищених підмереж передачі конфіденційної інформації;

• об'єднання локальних мереж в єдину захищену мережу;

• організації єдиного центру управління захищеної підмережею.

Комплекс забезпечує:

• контроль цілісності переданої інформації;

• аутентифікацію абонентів (вузлів мережі);

• передачу контрольної інформації до Центру управління ключовою системою захищеної IP мережі;

• підтримку протоколів маршрутизації PIP II, OSPF, BGP;

• підтримку інкапсуляції IPX в IP (відповідно до RFC-1234);

• підтримку інкапсуляції IP в Х.25 і Frame Relay;

Криптографічний комплекс "Шифратор IP потоків" має модульну структуру і складається з розподіленої мережі шифраторів IP потоків та єдиного центру управління ключовою системою.

Шифратор IP протоколів (ШИП) складається з:

• криптографічного модуля, безпосередньо вбудованого в ядро ​​операційної системи

• модуля підтримки клієнтської частини ключової системи;

• модуля перевірки цілісності системи при завантаження.

• модуля запису протоколів роботи криптографічного системи;

ШИП містить також плату з інтерфейсом ISA, використовувану для захисту від НСД при завантаженні системи і для отримання від сертифікованого фізичного датчика випадкових чисел, необхідних для реалізації процедури шифрування.

Центр управління ключовою системою (ЦУКС) складається з:

• автоматизованого робочого місця управління ключовою системою, що працює в середовищі X Windows;

• модуля серверної частини ключової системи;

• сервісної програми перегляду протоколів роботи криптографічного комплексу "Шифратор IP потоків".

Управління ключами виконується за допомогою ЦУКС і полягає в наступному:

• Періодична зміна пари ключів шифрування зареєстрованих вузлів захищеної мережі;

• формування та розсилання по мережі довідників відповідності, що визначають можливість абонентів працювати один з одним;

• збір та зберігання в базі даних інформації про всіх критичних події в мережі, що виникають як при аутентифікації абонентів, так і при передачі між ними зашифрованої інформації.

У разі виникнення нештатних ситуацій, що створюють загрозу порушення захисту інформації, адміністратор ЦУКС робить дії, спрямовані на відновлення цілісності системи захисту інформації.

л

ЦУКС

оло

Шит 1

Шит 3

Шит 2

Схема організації віртуальної корпоративної мережі з застосуванням криптографічного комплексу "Шифратор IP потоків" показана на малюнку. При організації віртуальної корпоративної мережі невеликого розміру без жорстких вимог до часу сповіщення абонентів про компрометацію будь-якого абонента і без жорстких вимог до повноти зібраних протоколів про помилки доступу можливе використання одного ЦУКС. При організації віртуальної корпоративної мережі середнього розміру або з жорсткими вимогами до часу сповіщення абонентів компрометації будь-якого абонента і до повноти зібраних протоколів про помилки доступу слід використовувати кілька ЦУКС. При цьому бажано, щоб ЦУКС мали незалежні один від одного канали підключення до глобальної мережі.

Висновок

Після всього викладеного матеріалу можна зробити висновок наступне.

На сьогоднішній день кращим захистом від комп'ютерних злочинців є міжмережевий екран правильно встановлений і підібраний для кожної мережі. І хоча він не гарантує стовідсотковий захист від професійних зломщиків, але зате ускладнює їм доступ до мережевої інформації, що стосується любителів то для них доступ тепер вважається закритим. Також у майбутньому міжмережеві екрани повинні будуть стати кращими захисниками для банків, підприємств, урядів, і інших спецслужб. Також є надія, що коли небудь буде створений міжмережевий екран, який нікому не вдасться обійти. На даному етапі програмування можна також зробити висновок, що розробки по міжмережевих екранів на сьогоднішній день обіцяють в недалекому майбутньому дуже непогані результати.

Список використаної літератури

1. Зашита інформації в комп'ютерних системах та мережах / Под ред. В.Ф. Шаньгіна .- М.: Радіо і зв'язок, 1999.-328 с.

2. Айков Д., Сейгер К., Фонсторх У. Комп'ютерні злочини. Керівництво по боротьбі з комп'ютерними злочинами: Пер. з англ. - М.: Світ, 1999 .- 351с., Іл.

3. Секрети безпеки Internet .- К.: Діалектика, 1997.-512., Іл.

4. Безпека персонального комп'ютера / Пер. з англ.; Худ. обл. М.В. Драко .- Мн.: ТОВ «Попурі», 1997 .- 480 с.: Іл.

5. Конфідент / березень - квітень 1997.