<< Предыдущая

стр. 26
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

Проблемы недостаточной информационной безопасности являются "врожденными" практиче-
ски для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зави-
симостью Internet от операционной системы UNIX. Известно, что сеть Arpanet (прародитель Internet)
строилась как сеть, связывающая исследовательские центры, научные, военные и правительствен-
ные учреждения, крупные университеты США. Эти структуры использовали операционную систему
UNIX в качестве платформы для коммуникаций и решения собственных задач. Поэтому особенности
методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию
протоколов обмена и политики безопасности в сети. Из-за открытости и распространенности система
UNIX стала любимой добычей хакеров. Поэтому совсем не удивительно, что набор протоколов
TCP/IP, который обеспечивает коммуникации в глобальной сети Internet и в получающих все большую
популярность интрасетях, имеет "врожденные" недостатки защиты. То же самое можно сказать и о
ряде служб Internet.
Набор протоколов управления передачей сообщений в Internet (Transmission Control
Protocol/Internet Protocol – TCP/IP) используется для организации коммуникаций в неоднородной се-
тевой среде, обеспечивая совместимость между компьютерами разных типов. Совместимость – одно
из основных преимуществ TCP/IP, поэтому большинство локальных компьютерных сетей поддержи-
вает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети
Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве
межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де-факто для межсе-
тевого взаимодействия.
В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападе-
ниям хакеров. В частности, хакер может подменить адрес отправителя в своих "вредоносных" паке-
тах, после чего они будут выглядеть, как пакеты, передаваемые авторизированным клиентом.
Отметим "врожденные слабости" некоторых распространенных служб Internet [46].
Простой протокол передачи электронной почты (Simple Mail Transfer Protocol – SMTP) по-
зволяет осуществлять почтовую транспортную службу Internet. Одна из проблем безопасности, свя-
занная с этим протоколом, заключается в том, что пользователь не может проверить адрес отправи-
теля в заголовке сообщения электронной почты. В результате хакер может послать во внутреннюю
сеть большое количество почтовых сообщений, что приведет к перегрузке и блокированию работы
почтового сервера.
Популярная в Internet программа электронной почты Sendmail использует для работы неко-
торую сетевую информацию – IP-адрес отправителя. Перехватывая сообщения, отправляемые с по-
мощью Sendmail, хакер может употребить эту информацию для нападений, например для спуфинга
(подмены адресов).
Протокол передачи файлов (File Transfer Protocol – FTP) обеспечивает передачу текстовых и
двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к
информации. Его обычно рассматривают как один из методов работы с удаленными сетями. На FTP-
серверах хранятся документы, программы, графика и другие виды информации. К данным этих фай-
лов на FTP-серверах нельзя обратиться напрямую. Это можно сделать, только переписав их целиком
с FTP-сервера на локальный сервер. Некоторые FTP-серверы ограничивают доступ пользователей к
своим архивам данных с помощью пароля, другие же предоставляют свободный доступ (так назы-
ваемый анонимный FTP-сервер). При использовании опции анонимного FTP для своего сервера
пользователь должен быть уверен, что на нем хранятся только файлы, предназначенные для
свободного распрост-ранения.
Служба сетевых имен (Domain Name System – DNS) представляет собой распределенную
базу данных, которая преобразует имена пользователей и хост-компьютеров в IP-адреса, указывае-
мые в заголовках пакетов, и наоборот. DNS также хранит информацию о структуре сети компании,
например количестве компьютеров с IP-адресами в каждом домене. Одной из проблем DNS является
то, что эту базу данных очень трудно "скрыть" от неавторизированных пользователей. В результате
DNS часто используется хакерами как источник информации об именах доверенных хост-
компьютеров.
Служба эмуляции удаленного терминала (TELNET) употребляется для подключения к уда-
ленным системам, присоединенным к сети; применяет базовые возможности по эмуляции терминала.
При использовании этого сервиса Internet пользователи должны регистрироваться на сервере
TELNET, вводя свои имя и пароль. После аутентификации пользователя его рабочая станция функ-
ционирует в режиме "тупого" терминала, подключенного к внешнему хост-компьютеру. С этого терми-
нала пользователь может вводить команды, которые обеспечивают ему доступ к файлам и запуск
программ. Подключившись к серверу TELNET, хакер может сконфигурировать его программу таким
образом, чтобы она записывала имена и пароли пользователей.
Всемирная паутина (World Wide Web – WWW) – это система, основанная на сетевых прило-
жениях, которые позволяют пользователям просматривать содержимое различных серверов в Internet
или интрасетях. Самым полезным свойством WWW является использование гипертекстовых доку-
ментов, в которые встроены ссылки на другие документы и Web-узлы, что дает пользователям воз-
можность легко переходить от одного узла к другому. Однако это же свойство является и наиболее
слабым местом системы WWW, поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых доку-
ментах, содержат информацию о том, как осуществляется доступ к соответствующим узлам. Исполь-
зуя эту информацию, хакеры могут разрушить Web-узел или получить доступ к хранящейся в нем
конфиденциальной информации.
К уязвимым службам и протоколам Internet относятся также протокол копирования UUCP, про-
токол маршрутизации RIP, графическая оконная система X Windows и др.
Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и ад-
реса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран является
набором компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безо-
пасности. В частности, необходимо решить, будет ли ограничен доступ пользователей к определен-
ным службам Internet на базе протоколов TCP/IP и если будет, то до какой степени.
Политика сетевой безопасности каждой организации должна включать две составляющие
[20]:
• политику доступа к сетевым сервисам;
• политику реализации межсетевых экранов.
В соответствии с политикой доступа к сетевым сервисам определяется список сервисов
Internet, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения
на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol) и PPP
(Point-to-Point Protocol). Ограничение методов доступа необходимо для того, чтобы пользователи не
могли обращаться к "запрещенным" сервисам Internet обходными путями. Например, если для огра-
ничения доступа в Internet сетевой администратор устанавливает специальный шлюз, который не да-
ет возможности пользователям работать в системе WWW, они могли бы установить PPP-соединения
с Web-серверами по коммутируемой линии.
Политика доступа к сетевым сервисам обычно основыва-ется на одном из следующих прин-
ципов:
1) запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в
Internet;
2) разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только от-
дельных "авторизированных" систем, например почтовых серверов.
В соответствии с политикой реализации межсетевых экранов определяются правила доступа
к ресурсам внутренней сети. Прежде всего необходимо установить, насколько "доверительной" или
"подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ре-
сурсам должны базироваться на одном из следующих принципов:
1) запрещать все, что не разрешено в явной форме;
2) разрешать все, что не запрещено в явной форме.
Реализация межсетевого экрана на основе первого принципа обеспечивает значительную
защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут
доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно
дорого. При реализации второго принципа внутренняя сеть оказывается менее защищенной от напа-
дений хакеров, однако пользоваться ей будет удобнее и потребуется меньше затрат.
Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только
от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональ-
ности выбора и использования основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам
включают:
• требования к фильтрации на сетевом уровне;
• требования к фильтрации на прикладном уровне;
• требования по настройке правил фильтрации и администрированию;
• требования к средствам сетевой аутентификации;
• требования по внедрению журналов и учету.


8.2. Основные компоненты межсетевых экранов
Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:
• фильтрующие маршрутизаторы;
• шлюзы сетевого уровня;
• шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов.
Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не ме-
нее эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

Фильтрующие маршрутизаторы
Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сер-
вере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие
пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-
заголовках пакетов. Процесс инкапсуляции передаваемых данных и формирования TCP- и IP-
заголовков пакетов с данными в стеке протоколов TCP/IP показан на рис. 8.2.


Прикладной уровень Данные
(SMTP, Telnet, FTP, …)




Транспортный уровень Данные
TCP-
(TCP, UDP, ICMP) заголовок




Уровень Internet (IP) Данные
IP- TCP-
заголовок заголовок




Данные
Ethernet- IP- TCP-
Уровень сетевого доступа
заголовок заголовок заголовок
(Ethernet, FDDI, ATM, …)



Отправление- Получение
пакета пакета


Рис.8.2. Схема инкапсуляции данных в стеке протоколов TCP/IP


Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы
следующих полей заголовка па-кета [20]:
• IP-адрес отправителя (адрес системы, которая послала пакет);
• IP-адрес получателя (адрес системы, которая принимает пакет);
• порт отправителя (порт соединения в системе-отправителе);
• порт получателя (порт соединения в системе-получателе).
Порт – это программное понятие, которое используется клиентом или сервером для посылки
или приема сообщений; порт идентифицируется 16-битовым числом.
В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP-
порту отправителя, однако многие производители маршрутизаторов начали обеспечивать такую воз-
можность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора
пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.
Фильтрация может быть реализована различным образом для блокирования соединений с
определенными хост-компьютерами или портами. Например, можно блокировать соединения, идущие
от конкретных адресов тех хост-компьютеров и сетей, которые считаются враждебными или нена-
дежными.
Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает
большую гибкость. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными
портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соеди-
нения TCP или UDP с определенными портами или от них, то можно реализовать политику безопас-
ности, при которой некоторые виды соединений устанавливаются только с конкретными хост-
компьютерами.
Например, внутренняя сеть может блокировать все входные соединения со всеми хост-
компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только
определенные сервисы (SMTP для одной системы и TELNET или FTP – для другой). При фильтрации
по портам TCP и UDP эта политика может быть реализована фильтрующим маршрутизатором или
хост-компьютером с возможностью фильтрации пакетов (рис. 8.3).


ЭВМ
Фильтрующий
маршрутизатор
Остальной трафик
Трафик SMTP
Internet
Трафик TELNET

ЭВМ
Рис. 8.3. Схема фильтрации трафика SMTP и TELNET

В качестве примера работы фильтрующего маршрутизатора рассмотрим реализацию полити-
ки безопасности, допускающей определенные соединения с внутренней сетью с адресом 123.4.*.*
Соединения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который
может быть прикладным TELNET-шлюзом, а SMTP-соединения – только с двумя хост-компьютерами
с адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя шлюзами электронной почты. Обмен по
NNTP (Network News Transfer Protocol) разрешается только от сервера новостей с адресом
129.6.48.254 и только с NNTP-сервером сети с адресом 123.4.5.9, а протокол NTP (сетевого вре-
мени) – для всех хост-компьютеров. Все другие серверы и пакеты блокируются [16]. Соответствую-
щий набор правил сведен в табл. 8.1.
Таблица 8.1
Правила фильтрации
Адрес Адрес Порт Порт
Тип Действие
отправителя получателя отправителя получателя

TCP * 123.4.5.6 > 1023 23 Разрешить
TCP * 123.4.5.7 > 1023 25 Разрешить
TCP * 123.4.5.8 > 1023 25 Разрешить
TCP 129.6.48.254 123.4.5.9 > 1023 119 Разрешить
UDP * 123.4.*.* > 1023 123 Разрешить
* * * * * Запретить

Первое правило позволяет пропускать пакеты TCP из сети Internet от любого источника с но-
мером порта большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с
сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не
ниже 1024.
Второе и третье правила работают аналогично и разрешают передачу пакетов к получателям
с адресами 123.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP.
Четвертое правило пропускает пакеты к NNTP-серверу сети, но только от отправителя с адре-
сом 129.6.48.254 к получателю с адресом 123.4.5.9 с портом назначения 119 (129.6.48.254 – единст-
венный NNTP-сервер, от которого внутренняя сеть получает новости, поэтому доступ к сети для вы-
полнения протокола NNTP ограничен только этой системой).
Пятое правило разрешает трафик NTP, который использует протокол UDP вместо TCP, от
любого источника к любому получателю внутренней сети.
Наконец, шестое правило блокирует все остальные пакеты. Если бы этого правила не было,
маршрутизатор мог бы блокировать, а мог бы и не блокировать другие типы пакетов. Выше был рас-
смотрен очень простой пример фильтрации пакетов. Реально используемые правила позволяют осу-
ществить более сложную фильтрацию и являются более гибкими.
Правила фильтрации пакетов формулируются сложно, и обычно нет средств для тестирова-
ния их корректности, кроме медленного ручного тестирования. У некоторых фильтрующих маршрути-
заторов нет средств протоколирования, поэтому, если правила фильтрации пакетов все-таки позво-
лят опасным пакетам пройти через маршрутизатор, такие пакеты не смогут быть выявлены до обна-
ружения последствий проникновения.
Даже если администратору сети удастся создать эффективные правила фильтрации, их воз-
можности остаются ограниченными. Например, администратор задает правило, в соответствии с ко-
торым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако
хакер может использовать в качестве адреса отправителя в своем "вредоносном" пакете реальный
адрес доверенного (авторизированного) клиента. В этом случае фильтрующий маршрутизатор не су-
меет отличить поддельный пакет от настоящего и пропустит его. Практика показывает, что подобный
вид нападения, называемый подменой адреса, довольно широко распространен в сети Internet и час-
то оказывается эффективным.
Межсетевой экран с фильтрацией пакетов, работающий только на сетевом уровне эталонной
модели взаимодействия открытых систем OSI-ISO, обычно проверяет информацию, содержащуюся
только в IP-заголовках пакетов. Поэтому обмануть его несложно: хакер создает заголовок, который
удовлетворяет разрешающим правилам фильтрации. Кроме заголовка пакета, никакая другая содер-
жащаяся в нем информация межсетевыми экранами данной категории не проверяется.
К положительным качествам фильтрующих маршрутизаторов следует отнести:
• сравнительно невысокую стоимость;
• гибкость в определении правил фильтрации;
• небольшую задержку при прохождении пакетов.
Недостатками фильтрующих маршрутизаторов являются:
• внутренняя сеть видна (маршрутизируется) из сети Internet;

<< Предыдущая

стр. 26
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>