2.9. Стратегии брандмауэра
Завершив определение требований к безопасности сети и формулирование политики безопасности, следует приступить к проектированию брандмауэра.
Выбор компонентов зависит от типа служб, которые необходимо предоставить пользователям локальной сети, а выбор служб - от того, как они соотносятся с действиями, разрешенными политикой безопасности.
Два основных компонента для создания межсетевого экрана:
Можно использовать оба или только один из них. Эти компоненты реализуются различными способами и обеспечивают разный уровень защиты. Способ стройки компонентов межсетевого экрана называется его архитектурой.
Ha выбор предоставляется одна из следующих архитектур:
2.9.1. Применение пакетного фильтра
Межсетевой экран может состоять из одного или нескольких маршрутизаторов или компьютеров с соответствующим программным обеспечением использующих различные методы для разрешения или запрета доступа в локальную сеть или из нее. Но первым типом межсетевых экранов, который на чал широко применяться, стал простой экранирующий маршрутизатор (screening router), сейчас обычно называемый пакетным фильтром (packet filter).
Маршрутизатор (router) - это сетевое устройство с несколькими интерфейса ми, подключенное к нескольким сетям. Когда компьютеру или сети необходимо переслать пакет компьютеру в другой сети, он передает пакет маршрутизатору, который затем определяет наилучший метод доставки данных к месту назначения. Маршрутизатор принимает решение на основе адресной информации в заголовке пакета.
Когда маршрутизатор способен определить, что пакет предназначается для узла в одной из подсетей, непосредственно подключенных к одному из его сетевых интерфейсов, пакет быстро пересылается в нужную подсеть. Если маршрутизатор обнаруживает, что необходимо доставить пакет в какую-то другую сеть, он передает его следующему маршрутизатору (в следующий «hop» - сегмент маршрута), который может знать, как доставить пакет к месту назначения. Если же маршрутизатору не удастся найти следующий сегмент, в который можно отправить пакет, он просто отбросит его и вернет источнику соответствующее сообщение ICMP «адресат недоступен».
Экранирующий маршрутизатор - это маршрутизатор, в котором задан набор правил, устанавливающих разрешенные типы сетевого трафика, которые имеют право проходить через подключенные к нему сетевые интерфейсы. Другими словами, после того, как маршрутизатор определит, может ли он доставить пакет (в следующий сегмент или конечному адресату), он сверяется с набором правил, проверяя, должен ли он его передавать.
Предположим, например, что маршрутизатор получает от какого-либо узла Internet пакет с запросом на создание сеанса Telnet с узлом внутренней локальной сети. Маршрутизатор сразу же определяет, что он может доставить па кет - для этого достаточно просто передать его в интерфейс, к которому подключен адресат, поместив в пакет МАС-адрес соответствующего узла. Но экранирующему маршрутизатору необходимо предварительно проверить пакет на соответствие правилам. В данном случае входящие Telnet-соединения должны блокироваться. Поэтому, узлы во внутренней локальной сети защищены от возможного проникновения нарушителя при помощи Telnet.
Основной метод фильтрации пакетов называется фильтрацией без памяти(stateless packet filtering), поскольку каждый пакет обрабатывается по отдельности - только на основе информации в его заголовке. При новом методе фильтрации пакетов, который называется фильтрацией с памятью(stateful packet filtering или stateful inspection), в памяти сохраняются сведения о состоянии текущих сеансов.
Если полученный пакет якобы является ответом на пакет, переданный из локальной сети, пакетный фильтр с памятью проверяет, действительно ли был сделан соответствующий запрос. Таким образом, при наличии фильтра с памятью потенциальному нарушителю будет сложнее проникнуть в сеть путем подмены адресов пакетов.
Пакетный фильтр работает с информацией из заголовка сетевого пакета, и различные продукты могут выполнять фильтрацию на основе одного или не скольких из следующих параметров:
Кроме того, важны не только сведения, содержащиеся в самом пакете, - имеет значение и интерфейс, по которому он прибывает. Например, если фильтр получает пакет по интерфейсу, подключенному к внешней сети, а адрес от правителя соответствует локальной сети, этот пакет должен быть отброшен фильтром, поскольку такое сочетание для обычных пакетов невозможно.
Часто оказывается, что фильтрацию пакетов предпочтительнее выполнять на компьютере, а не на маршрутизаторе, благодаря простоте работы с ним и возможностям регистрации. Настройка маршрутизатора бывает достаточно сложной задачей, в особенности если при этом необходимо задавать большое число правил.
Изменение длинного набора правил может занять много времени, поскольку придется проверить каждое из старых правил, чтобы убедиться, что оно не противоречит новому. Маршрутизаторы обычно не имеют развитых средств для регистрации событий. Хороший брандмауэр обеспечивает отличные возможности для этого для выдачи предупреждений, а иногда даже и программы для анализа log-файлов.
2.9.2. Применение proxy - сервера
Пакетному фильтру приходится принимать решения только на основе информации в заголовке пакета. К сожалению, заголовок содержит в основном адреса другие данные, необходимые протоколу для доставки пакета к месту назначения через лабиринт сетей. В заголовок пакета не включены детали, которые мог ли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Например, маршрутизатор может определить, что пакет предназначен для какого-то протокола, скажем, FTP. Но он не в состоянии распознать, какой это запрос получить или передать. При этом не исключено, что запросы одного типа окажутся вполне допустимыми, а запросы другого типа для данного узла должны будут блокироваться.
Шлюз приложений(applicationgateway), или proxy-сервер(application proxy), - это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Она может, например, перехватить запрос пользователя из локальной сети, а затем подключиться к внешнему серверу от его имени. При этом внутренние узлы никогда не будут напрямую присоединяться к удаленным серверам. Вместо этого в качестве посредника между клиентом и сервером выступит proxy-сер вер, передающий информацию между ними. Преимущество такого подхода состоит в том, что proxy-сервер способен пропускать или блокировать трафик на основе ин формации в области данных пакета, а не только в его заголовке.
В настоящее время широко распространена одна из форм proxy-сервера - так называемые трансляторы сетевых адресов (Network Address Translator, NAT). Серверы этого типа повышают безопасность внутренней локальной сети, скрывая настоящие IP-адреса в ней. В запросах к внешним серверам используется IР-адрес proxy-сервера. Еще одно преимущество трансляции адресов, которым обусловлена ее популярность, - зарегистрированный IP-адрес должен иметь только proxy-сервер, а адреса клиентов во внутренней сети могут быть произвольными. Поскольку пространство свободных IP-адресов Internet быстро уменьшается, такой метод очень удобен для расширения локальной сети, по скольку не требует получения нового диапазона адресов от провайдера.
Недостатком proxy-серверов является их привязка к конкретному приложению. Для каждого приложения или сервиса, поддержку которых нужно реализовать в межсетевом экране, понадобится отдельный proxy-сервер. Кроме того, необходимо, чтобы клиентское программное обеспечение могло работать через proxy-сервер. Большинство современных программ обладают такой возможностью, поэтому обычно это не представляет проблемы. Например, Netscape Navigator и Microsoft, Internet Explorer позволяют задавать используемые proxy-серверы.
Существуют способы добиться работоспособности и старых программ, не знающих о существовании proxy-серверов. Например, при помощи Telnet пользователь может вначале зарегистрироваться на proxy-сервере, а затем создать сеанс связи с внешним компьютером. Такой двухступенчатый метод менее удобен, чем прозрачный доступ, обеспечиваемый программами, которые умеют работать через proxy-сервер. Чтобы приложения функционировали через proxy-серверы, применяются паке ты Trusted Information Systems Firewall Toolkit (FWTK) или SOCKS. SOCKS - это библиотека, с помощью которой создаются или модифицируются клиенты с целью реализации их взаимодействия с proxy-сервером SOCKS. Пакет TIS Firewall Toolkit также содержит proxy-серверы для большинства стандартных служб, таких как Telnet, FTP и HTTP,
3. Практическая часть
3.1. Политика безопасности ЛВС ОК «БОР»
Информация, используемая в ЛВС ОК «БОР», является критической для выполнения организацией своих задач. Размер и сложность ЛВС в пределах ОК «БОР» увеличилась и теперь она обрабатывает критическую информацию. Из-за этого должны быть реализованы определенные меры и процедуры безопасности для защиты информации, обрабатываемой в ЛВС ОК «БОР». ЛВС ОК «БОР», обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих ПК. Эти усиленные требования к защите в вычислительной среде ОК «БОР» послужили причиной появления этой политики, которая касается использования ЛВС в ОК «БОР».
Эта политика имеет две цели. Первая - подчеркнуть для всех служащих ОК «БОР» важность безопасности в среде ЛВС ОК «БОР» и явно указать их роли при поддержании этой безопасности. Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой ЛВС ОК «БОР».