<< Предыдущая

стр. 28
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные
службы, как X Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать лю-
бую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по
порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что
не разрешено в явной форме" может быть затруднена.



Локальная
сеть
Фильтрующий
Internet
маршрутизатор

ЭВМ ЭВМ




Рис. 8.6. Межсетевой экран на основе фильтрующего маршрутизатора

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатки, что и
фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесточе-
нии требований к безопасности защищаемой сети. Отметим некоторые из них:
• сложность правил фильтрации; в некоторых случаях совокупность этих правил может стать не-
управляемой;
• невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети
от непротестированных атак;
• практически отсутствующие возможности регистрации событий; в результате администратору
трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;
• каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной ау-
тентификации.

Межсетевой экран на основе двупортового шлюза
Межсетевой экран на базе двупортового прикладного шлюза включает двудомный хост-
компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами
и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между приклад-
ным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рис. 8.7). В резуль-
тате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная под-
сеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов
[106].

Информационный
сервер



Прикладной
Internet Локальная
шлюз
сеть

Фильтрующий
маршрутизатор

Рис.8.7. Межсетевой экран с прикладным шлюзом и фильтрующим
маршрутизатором

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз
полностью блокирует трафик IP между сетью Internet и защищаемой сетью. Только полномочные сер-
вера-посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ поль-
зователям.
Данный вариант межсетевого экрана реализует политику безопасности, основанную на прин-
ципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все
службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечи-
вает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны только
межсетевому экрану и скрыты от внешних систем.
Рассматриваемая схема организации межсетевого экрана является довольно простой и дос-
таточно эффективной.
Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве
прикладного шлюза, должна поддерживаться на высоком уровне. Любая брешь в его защите может
серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у
злоумышленника появится возможность проникнуть в защищаемую сеть.
Этот межсетевой экран может требовать от пользователей применения средств усиленной
аутентификации, а также регистра-ции доступа, попыток зондирования и атак системы нарушителем.
Для некоторых сетей может оказаться неприемлемой недостаточная гибкость схемы межсе-
тевого экрана с прикладным шлюзом.

Межсетевой экран на основе экранированного шлюза
Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутиза-
тор и прикладной шлюз, размещаемый со стороны внутренней сети. Прикладной шлюз реализуется
на хост-компьютере и имеет только один сетевой интерфейс (рис. 8.8).

Информационный
Фильтрующий сервер
маршрутизатор



Internet Локальная
сеть


Прикладной
шлюз


Рис.8.8. Межсетевой экран с экранированным шлюзом

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором. Па-
кетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих
способов:
• позволять внутренним хост-компьютерам открывать соединения с хост-компьютерами в сети
Internet для определенных сервисов (разрешая доступ к ним средствами пакетной фильтрации);
• запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать полно-
мочные серверы-посредники на прикладном шлюзе).
Эти подходы можно комбинировать для различных сервисов, разрешая некоторым сервисам
соединение непосредственно через пакетную фильтрацию, в то время как другим только непрямое
соединение через полномочные серверы-посредники. Все зависит от конкретной политики безопас-
ности, принятой во внутренней сети. В частности, пакетная фильтрация на фильтрующем маршрути-
заторе может быть организована таким образом, чтобы прикладной шлюз, используя свои полномоч-
ные серверы-посредники, обеспечивал для систем защищаемой сети такие сервисы, как TELNET,
FTP, SMTP.
Межсетевой экран, выполненный по данной схеме, получается более гибким, но менее безо-
пасным по сравнению с межсетевым экраном с прикладным шлюзом на базе двудомного хост-
компьютера. Это обусловлено тем, что в схеме межсетевого экрана с экранированным шлюзом суще-
ствует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к
системам локальной сети.
Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в
том, что если атакующий нарушитель сумеет проникнуть в хост-компьютер, то перед ним окажутся
незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией
маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет дос-
тупна атакующему нарушителю.
По этим причинам в настоящее время все более популярной становится схема межсетево-
го экрана с экранированной подсетью.

Межсетевой экран – экранированная подсеть
Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схе-
мы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети
используются два экранирующих маршрутизатора (рис. 8.9). Внешний маршрутизатор располагается
между сетью Internet и экранируемой подсетью, а внутренний – между экранируемой подсетью и за-
щищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может
включать информационные серверы и другие системы, требующие контролируемого доступа. Эта
схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экраниро-
ванной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.

Информационный
сервер


Внешний Внутренний
маршрутизатор маршрутизатор


Internet Локальная
Экранированная сеть
подсеть


Сервер Прикладной
шлюз
электронной
почты


Рис.8.9. Межсетевой экран – экранированная подсеть

Внешний маршрутизатор защищает от сети Internet как экранированную подсеть, так и внут-
реннюю сеть. Он должен пересылать трафик согласно следующим правилам:
• разрешается трафик от объектов Internet к прикладному шлюзу;
• разрешается трафик от прикладного шлюза к Internet;
• разрешается трафик электронной почты от Internet к серверу электронной почты;
• разрешается трафик электронной почты от сервера электронной почты к Internet;
• разрешается трафик FTP, Gopher и т.д. от Internet к информационному серверу;
• запрещается остальной трафик.
Внешний маршрутизатор запрещает доступ из Internet к системам внутренней сети и блокиру-
ет весь трафик к Internet, идущий от систем, которые не должны являться инициаторами соединений
(в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также
для блокирования других уязвимых протоколов, которые не должны передаваться к хост-
компьютерам внутренней сети или от них [89].
Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранирован-
ной подсети (в случае ее компрометации). Внутренний маршрутизатор осуществляет большую часть
пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответст-
вии со следующими пра-вилами:
• разрешается трафик от прикладного шлюза к системам сети;
• разрешается прикладной трафик от систем сети к прикладному шлюзу;
• разрешается трафик электронной почты от сервера электронной почты к системам сети;
• разрешается трафик электронной почты от систем сети к серверу электронной почты;
• разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;
• запрещается остальной трафик.
Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему
нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в
хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршру-
тизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet,
и наоборот. Кроме того, четкое разделение функций между маршрутизаторами и прикладным шлю-
зом позволяет достигнуть более высокой пропускной способности.
Прикладной шлюз может включать программы усиленной аутентификации.
Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с больши-
ми объемами трафика или с высокими скоростями обмена.
Межсетевой экран с экранированной подсетью имеет и недостатки:
• пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необхо-
димого уровня безопасности, поскольку из-за ошибок при их конфигурировании могут возникнуть
провалы в безопасности всей сети;
• существует принципиальная возможность доступа в обход прикладного шлюза.
Применение межсетевых экранов для организации
виртуальных корпоративных сетей
Некоторые межсетевые экраны позволяют организовать виртуальные корпоративные сети.
Несколько локальных сетей,
подключенных к глобальной сети, объединяются в одну виртуаль- ную корпоративную сеть. Схема
применения межсетевых экранов в составе виртуальных корпоративных сетей показана на рис. 8.10
[66]. Передача данных между этими локальными сетями производится прозрачным образом для
пользователей локальных сетей. Конфиденциальность и целостность передаваемой информации
должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п.
При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заго-
ловка.


Локальная
Локальная
сеть
сеть


Межсетевой Межсетевой
экран экран



Internet




Межсетевой Межсетевой
экран экран




Локальная Локальная
сеть сеть



Рис.8.10. Схема виртуальной корпоративной сети



8.4. Программные методы защиты
К программным методам защиты в сети Internet могут быть отнесены защищенные криптопро-
токолы, которые позволяют надежно защищать соединения [56]. В процессе развития Internet были
созданы различные защищенные сетевые протоколы, использующие как симметричную криптогра-
фию с закрытым ключом, так и асимметричную криптографию с открытым ключом. К основным на се-
годняшний день подходам и протоколам, обеспечивающим защиту соединений, относятся SKIP-
технология и протокол защиты соединения SSL.
SKIP (Secure Key Internet Protocol)-технологией называется стандарт защиты трафика IP-
пакетов, позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему
данных.
Возможны два способа реализации SKIP-защиты трафика IP-пакетов:
• шифрование блока данных IP-пакета;
• инкапсуляция IP-пакета в SKIP-пакет.
Шифрование блока данных IP-пакета иллюстрируется рис. 8.11. В этом случае шифруются
методом симметричной криптогра-фии только данные IP-пакета, а его заголовок, содержащий помимо
прочего адреса отправителя и получателя, остается открытым, и пакет маршрутизируется в соответ-
ствии с истинными адресами.
Заголовок
Данные
Адр.1 Адр.2




Пакетный
Заголовок
Алго- ключ Подпись
Данные
ритм
Kp
Адр.1 Адр.2

<< Предыдущая

стр. 28
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>