<< Предыдущая

стр. 27
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

• правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP
и UDP;
• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за
ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакую-
щая система выдает себя за другую, используя ее IP-адрес);
• отсутствует аутентификация на пользовательском уровне.

Шлюзы сетевого уровня
Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом
сеансового уровня модели OSI. Такой шлюз исключает прямое взаимодействие между авторизиро-
ванным клиентом и внешним хост-компьютером.
Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги и после
проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-
компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильт-
рации.
Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом
и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым.
Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.
Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот за-
прос, проверяя, удовлетворяет ли этот клиент базовым критериям фильтрации (например, может ли
DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени
клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за выполнением
процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами,
которые помечаются флагами SYN (синхронизировать) и ACK (подтвердить) (рис. 8.4).
Доверенный
Внешний
клиент
хост-компьютер

SYN (1000) Пассивная
Активная
сторона
сторона
ACK (1001), SYN (2000)

ACK (2001)

Соединение Соединение
ACK, данные
установлено установлено


Рис. 8.4. Последовательность передачи пакетов SYN и ACK в процессе
квитирования связи по протоколу TCP



Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, на-
пример 1000, является запросом клиента на открытие сеанса. Внешний хост-компьютер, получивший
этот пакет, посылает в ответ пакет, помеченный флагом ACK и содержащий число, на единицу боль-
шее, чем в принятом пакете (в нашем случае 1001), подтверждая тем самым прием пакета SYN от
клиента.
Далее осуществляется обратная процедура: хост-компьютер посылает клиенту пакет SYN с
исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета ACK,
содержащего число 2001. На этом процесс квитирования связи завершается.
Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае,
если при выполнении процедуры квитирования связи флаги SYN и ACK, а также числа, содержащие-
ся в TCP-пакетах, оказываются логически связанными меж-ду собой.
После того как шлюз определил, что доверенный клиент и внешний хост-компьютер являются
авторизированными участниками сеанса TCP, и проверил допустимость этого сеанса, он устанавли-
вает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно,
не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская
данные, относящиеся к одному из сеансов связи, зафиксированных в этой таблице. Когда сеанс за-
вершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшую-
ся в данном сеансе.
Для копирования и перенаправления пакетов в шлюзах сетевого уровня применяются специ-
альные приложения, которые называют канальными посредниками, поскольку они устанавливают
между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируют-
ся приложениями TCP/IP, проходить по этому каналу. Канальные посредники поддерживают несколь-
ко служб TCP/IP, поэтому шлюзы сетевого уровня могут использоваться для расширения возможно-
стей шлюзов прикладного уровня, работа которых основывается на программах-посредниках кон-
кретных приложений.
Фактически большинство шлюзов сетевого уровня не являются самостоятельными продукта-
ми, а поставляются в комплекте со шлюзами прикладного уровня. Примерами таких шлюзов являются
Gauntlet Internet Firewall компании Trusted Information Systems, Alta Vista Firewall компании DEC и ANS
Interlock компании ANS. Например, Alta Vista Firewall использует канальные посредники прикладного
уровня для каждой из шести служб TCP/IP, к которым относятся, в частности, FTP, HTTP (Hyper Text
Transport Protocol) и TELNET. Кроме того, межсетевой экран компании DEC обеспечивает шлюз сете-
вого уровня, поддерживающий другие общедоступные службы TCP/IP, такие как Gopher и SMTP, для
которых межсетевой экран не предоставляет посредников прикладного уровня.
Шлюз сетевого уровня выполняет еще одну важную функцию защиты: он используется в ка-
честве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при
которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес
ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В результате в
сети со шлюзом сетевого уровня все исходящие пакеты оказываются отправленными из этого шлюза,
что исключает прямой контакт между внутренней (авторизированной) сетью и потенциально опасной
внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, ко-
торый попадает во внешнюю сеть. Таким образом шлюз сетевого уровня и другие серверы-
посредники защищают внутренние сети от нападений типа подмены адресов.
После установления связи шлюзы сетевого уровня фильтруют пакеты только на сеансовом
уровне модели OSI, т.е. не могут проверять содержимое пакетов, передаваемых между внутренней и
внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется "всле-
пую", хакер, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через
такой шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу, который сам по себе
не может обеспечивать функции межсетевого экрана. Иными словами, если процедура квитирования
связи успешно завершена, шлюз сетевого уровня установит соединение и будет "слепо" копировать и
перенаправлять все последующие пакеты независимо от их содержимого.
Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами, в соответст-
вии с их содержимым необходим шлюз прикладного уровня.

Шлюзы прикладного уровня
Для устранения ряда недостатков, присущих фильтрующим маршрутизаторам, межсетевые
экраны должны использовать дополнительные программные средства для фильтрации сообщений
сервисов типа TELNET и FTP. Такие программные средства называются полномочными серверами
(серверами-посредниками), а хост-компьютер, на котором они выполняются, – шлюзом прикладного
уровня [20].
Шлюз прикладного уровня исключает прямое взаимодейст-вие между авторизированным кли-
ентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на при-
кладном уровне. Связанные с приложениями серверы-посредники перенаправляют через шлюз ин-
формацию, генерируемую конкретными серверами.
Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного уровня
и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране. В качестве
примера рассмотрим сеть, в которой с помощью фильтрующего маршрутизатора блокируются вхо-
дящие соединения TELNET и FTP [89]. Этот маршрутизатор допускает прохождение пакетов TELNET
или FTP только к одному хост-компьютеру – шлюзу прикладного уровня TELNET/FTP. Внешний поль-
зователь, который хочет соединиться с некоторой системой в сети, должен сначала соединиться со
шлюзом прикладного уровня, а затем уже с нужным внутренним хост-компьютером. Это осуществля-
ется следующим образом:
1) сначала внешний пользователь устанавливает TELNET-соединение со шлюзом прикладного уров-
ня с помощью протокола TELNET и вводит имя интересующего его внутреннего хост-компьютера;
2) шлюз проверяет IP-адрес отправителя и разрешает или запрещает соединение в соответствии с
тем или иным критерием доступа;
3) пользователю может потребоваться аутентификация (возможно, с помощью одноразовых паро-
лей);
4) сервер-посредник устанавливает TELNET-соединение между шлюзом и внутренним хост-
компьютером;
5) сервер-посредник осуществляет передачу информации между этими двумя соединениями;
6) шлюз прикладного уровня регистрирует соединение.
Этот пример наглядно показывает преимущества использования полномочных серверов-
посредников.
• Полномочные серверы-посредники пропускают только те службы, которые им поручено обслужи-
вать. Иначе говоря, если шлюз прикладного уровня наделен полномочиями (и полномочными сер-
верами-посредниками) для служб FTP и TELNET, то в защищаемой сети будут разрешены только
FTP и TELNET, а все другие службы будут полностью блокированы. Для некоторых организаций
такой вид безопасности имеет большое значение, так как он гарантирует, что через межсетевой
экран будут пропускаться только те службы, которые считаются безопасными.
• Полномочные серверы-посредники обеспечивают возможность фильтрации протокола. Например,
некоторые межсетевые экраны, использующие шлюзы прикладного уровня, могут фильтровать
FTP-соединения и запрещать использование команды FTP put, что гарантированно не позволяет
пользователям записывать информацию на анонимный FTP-сервер.
В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все вы-
полняемые сервером действия и, что особенно важно, предупреждают сетевого админи-стратора о
возможных нарушениях защиты. Например, при попытках проникновения в сеть извне BorderWare
Firewall Server компании Secure Computing позволяет фиксировать адреса отправителя и получателя
пакетов, время, в которое эти попытки были предприняты, и используемый протокол. Межсетевой
экран Black Hole компании Milkyway Networks регистрирует все действия сервера и предупреждает
администратора о возможных нарушениях, посылая ему сообщение по электронной почте или на
пейджер. Аналогичные функции выполняют и ряд других шлюзов прикладно-го уровня.
Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, по-
скольку взаимодействие с внешним миром реализуется через небольшое число прикладных полно-
мочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.
Шлюзы прикладного уровня имеют ряд серьезных преимуществ по сравнению с обычным ре-
жимом, при котором прикладной трафик пропускается непосредственно к внутренним хост-
компьютерам. Перечислим эти преимущества.
• Невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних сис-
тем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может
быть единственным хост-компьютером, имя которого должно быть известно внешним системам.
• Надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован,
прежде чем он достигнет внутренних хост-компьютеров, и может быть зарегистрирован более эф-
фективно, чем с помощью стандартной регистрации.
• Оптимальное соотношение между ценой и эффективностью. Дополнительные программные
или аппаратные средства для аутентификации или регистрации нужно устанавливать только на
шлюзе прикладного уровня.
• Простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее
сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной трафик и от-
правлял его большому числу внутренних систем. Маршрутизатор должен пропускать прикладной
трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной
трафик.
• Возможность организации большого числа проверок. Защита на уровне приложений позволяет
осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с
использованием "дыр" в программном обеспечении.
К недостаткам шлюзов прикладного уровня относятся:
• более низкая производительность по сравнению с фильтрующими маршрутизаторами; в частно-
сти, при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая
процедура для входных и выходных соединений;
• более высокая стоимость по сравнению с фильтрующими маршрутизаторами.
Помимо TELNET и FTP шлюзы прикладного уровня обычно используются для электронной
почты, X Windows и некоторых других служб.

Усиленная аутентификация
Одним из важных компонентов концепции межсетевых экранов является аутентификация
(проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право вос-
пользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя
выдает.
Одним из способов аутентификации является использование стандартных UNIX-паролей. Од-
нако эта схема наиболее уязвимо с точки зрения безопасности – пароль может быть перехвачен и
использован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости
традиционных паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехваты-
вать передающиеся в них открытым текстом пароли, поэтому схему аутентификации с традиционны-
ми паролями следует признать устаревшей.
Для преодоления этого недостатка разработан ряд средств усиленной аутентификации;
смарт-карты, персональные жетоны, биометрические механизмы и т.п. Хотя в них задействованы
разные механизмы аутентификации, общим для них является то, что пароли, генерируемые этими
устройствами, не могут быть повторно использованы нарушителем, наблюдающим за установлением
связи. Поскольку проблема с паролями в сети Internet является постоянной, межсетевой экран для
соединения с Internet, не располагающий средствами усиленной аутентификации или не использую-
щий их, теряет всякий смысл [20].
Ряд наиболее популярных средств усиленной аутентификации, применяемых в настоящее
время, называются системами с одноразовыми паролями. Например, смарт-карты или жетоны ау-
тентификации генерируют информацию, которую хост-компьютер использует вместо традиционного
пароля. Поскольку смарт-карта или жетон работают вместе с аппаратным и программным обеспече-
нием хост-компьютера, генерируемый пароль уникален для каждого установления сеанса. Результа-
том является одноразовый пароль, который, даже если он перехватывается, не может быть исполь-
зован злоумышленником под видом пользователя для установления сеанса с хост-компьютером.
Так как межсетевые экраны могут централизовать управление доступом в сети, они являются
подходящим местом для установки программ или устройств усиленной аутентификации. Хотя средст-
ва усиленной аутентификации могут использоваться на каждом хост-компьютере, более практично их
размещение на межсетевом экране. На рис. 8.5 показано, что в сети без межсетевого экрана, исполь-
зующего меры усиленной аутентификации, неаутентифицированный трафик таких приложений, как
TELNET или FTP, может напрямую проходить к системам в сети. Если хост-компьютеры не применя-
ют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или пере-
хватить сетевой трафик с целью найти в нем сеансы, в ходе которых передаются пароли.

Неаутентифицированный Аутентифицированный
трафик TELNET, FTP трафик TELNET, FTP


Internet




Межсетевой экран
с усиленной
аутентификацией



Рис. 8.5. Схема использования усиленной аутентификации в межсетевом
экране для предварительной аутентификации трафика TELNET, FTP

На рис. 8.5 показана также сеть с межсетевым экраном, использующим усиленную аутенти-
фикацию. В этом случае сеансы TELNET или FTP, устанавливаемые со стороны сети Internet с систе-
мами сети, должны проходить проверку с помощью средств усиленной аутентификации, прежде чем
они будут разрешены. Системы сети могут запрашивать для разрешения доступа и статические па-
роли, но эти пароли, даже если они будут перехвачены злоумышленником, нельзя будет использо-
вать, так как средства усиленной аутентификации и другие компоненты межсетевого экрана предот-
вращают проникновение злоумышленников или обход ими межсетевого экрана.


8.3. Основные схемы сетевой защиты на базе межсетевых экранов
При подключении корпоративной или локальной сети к глобальным сетям администратор се-
тевой безопасности должен решать следующие задачи:
• защита корпоративной или локальной сети от несанкциони-рованного удаленного доступа со сто-
роны глобальной сети;
• скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
• разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобаль-
ную сеть.
Необходимость работы с удаленными пользователями требует установления жестких ограни-
чений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потреб-
ность в организации в составе корпоративной сети нескольких сегментов с разными уровнями защи-
щенности:
• свободно доступные сегменты (например, рекламный WWW-сервер),
• сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных
узлов),
• закрытые сегменты (например, финансовая локальная сеть организации).
Для защиты корпоративной или локальной сети применяются следующие основные схе-
мы организации межсетевых экранов:
• межсетевой экран – фильтрующий маршрутизатор;
• межсетевой экран на основе двупортового шлюза;
• межсетевой экран на основе экранированного шлюза;
• межсетевой экран – экранированная подсеть.
Межсетевой экран – фильтрующий маршрутизатор
Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и
наиболее простым в реализации.Он состоит из фильтрующего маршрутизатора, расположенного ме-
жду защищаемой сетью и сетью Internet (рис. 8.6). Фильтрующий маршрутизатор сконфигурирован
для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и
портов [89].
Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то

<< Предыдущая

стр. 27
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>