Межсетевые экраны прикладного уровня. механизм межсетевого экранирования

Межсетевой экран или брандмауэр (по-нем. brandmauer , по-англ. , по-рус. граница огня ) - это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см. рис.1). Чаще всего эта граница проводится между локальной сетью предприятия и INTERNET , хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании, речь пойдет чуть позже.
рис.1

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети.

Обычно в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счета пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-пакета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

• терминалы (Telnet, Rlogin);
• передача файлов (Ftp);
• электронная почта (SMTP, POP3);
• WWW (HTTP);
• Gopher;
• Wais;
• X Window System (X11);
• сетевая печать (LP);
• удаленное выполнение задач (Rsh);
• Finger;
• новости Usenet (NNTP);
• Whois;
• RealAudio.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

При описании правил доступа используются такие параметры, как
• название сервиса,
• имя пользователя,
• допустимый временной диапазон использования сервиса,
• компьютеры, с которых можно пользоваться сервисом,
• схемы аутентификации.

Сервера прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики пакетных фильтров и серверов прикладного уровня

Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

Достоинства пакетных фильтров:
• относительно невысокая стоимость;
• гибкость в определении правил фильтрации;
• небольшая задержка при прохождении пакетов.

Недостатки пакетных фильтров:
• локальная сеть видна (маршрутизируется) из INTERNET;
• правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;
• при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);
• отсутствует аутентификация на пользовательском уровне.

Достоинства серверов прикладного уровня:
• локальная сеть невидима из INTERNET;
• при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
• аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатки серверов прикладного уровня:
• более высокая, чем для пакетных фильтров стоимость;
• невозможность использовании протоколов RPC и UDP;
• производительность ниже, чем для пакетных фильтров.

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network ), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по INTERNET шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Схемы подключения брандмауэров

Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис.1). Иногда используется схема, изображенная на рис.2, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

рис.2

Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса(так называемый dual-homed брандмауэр) (две сетевые карточки в одном компьютре) (см. рис.3).

рис.3

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.

Другая схема представлена на рис.4.

рис.4

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Большинство брандмауэров позволяет разместить эти сервера на нем самом - решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра.

Существуют решения (см. рис.5), которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

рис.5

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает.

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Классы защищенности брандмауэров

Применительно к обработке конфиденциальной информации автоматизированные системы (АС) делятся на три группы:

1. Многопользовательские АС, обрабатывающие информацию различных уровней конфиденциальности.
2. Многопользовательские АС, в которых все пользователи имеют равный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.
3. Однопользовательские АС, в которых пользователль имеет подный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

В первой группе выделяют 5 классов защищенности АС: 1А, 1Б, 1В, 1Г, 1Д, во второй и третьей группах - по 2 класса защищенности: 2А, 2Б и 3А, 3Б сооответственно. Класс А соответствует максимальной, класс Д - минимальной защищенности АС.

Брандмауэры позволяют поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области, т.е. осуществляют экранирование . В результате уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть брандмауэр, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система в отличие от универсальной устроена более простым, а следовательно, более безопасным образом. На ней присутствуют только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, брандмауэры осуществляют регистрацию информационных потоков.

По уровню защищенности брандмауэры делятся на 5 классов. Самый низкий класс защищенности - пятый. Он применяется для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - для 1В, второй - для 1Б, самый высокий - первый - для 1А.

Для АС класса 2Б, 3Б применяются брандмауэры не ниже пятого класса.

Для АС класса 2А, 3А в зависимости от важности обрабатываемой информации применяются брандмауэры следующих классов:

• при обработки информации с грифом "секретно" - не ниже третьего класса;
• при обработки информации с грифом "совершенно секретно" - не ниже второго класса;
• при обработки информации с грифом "особой важности" - только первого класса.

Показатели защищенности сведены в табл.1.

Обозначения:

Руководство для приобретающих брандмауэр

Исследовательским подразделением компании TruSecure - лабораторией ICSA - разработан документ "Firewall Buyers Guide" (Гид покупателей межсетевого экрана). В одном из разделов этого документа дана следующая форма оценки покупателя:

1. Контактная информация - адрес и ответственные лица.
2. Бизнес-среда работы:
   • количество и расположение отдельных учреждений (зданий) предприятия;
   • указание подразделений и информации ограниченного характера и информации, для которой важна доступность данных для взаимодействия подразделений, их размещение;
   • Указание внешних партнеров, с которыми необходимо организовать взаимодействие;
   • описание сервисов, открытых публично;
   • трребования к организации удаленного доступа во внутреннее информационное пространство предприятия;
   • сервисы электронных служб, использующие публичные каналы связи (например, электронная коммерция).
3. Планируемые изменения в бизнес-среде по перечисленным параметрам.
4. Информационная среда:
   • количество пользовательских рабочих станций с указанием аппаратного обеспечения, системного и прикладного программного обеспечения;
   • структура сети с указанием топологии, среды передачи данных, используемых устройств и протоколов;
   • структура удаленного доступа с указанием используемых устройств, а также методов аутентификации;
   • количество серверов с указанием аппаратного обеспечения,системного и прикладного программного обеспечения;
   • существующая система поддержки информационных систем со стороны поставщиков с их указанием и границами сферы деятельности;
   • антивирусные системы и другие системы контроля программного обеспечения;
   • технология упрравления сетью и информационными системами;
   • аутентификационные технологии - список и описание.
5. Планируемые изменения в информационной среде по перечисленням параметрам.
6. Связь с Интернетом:
   • тип интернет-соединения;
   • существующие межсетевые экраны (если они есть);
   • Средства связи с внешней средой, используемые внутренними системами;
   • внутренние системы и сервисы, доступные извне;
   • серверы электронной коммерции и других транзакционных систем;
   • указание на наличие утвержденной политики безопасности доступа и использования Интернета.
7. Планируемые мероприятия (для которых приобретается межсетевой экран):
   • изменение в способах доступа к Интернету и в политике безопасности предприятия;
   • появление новых протокоолов, которые необходимо поддерживать отдельно для внутренних пользователей, пользователей с удаленным доступом или специальных пользователей, доступных публично.
8. Требуемая функциональность межсетевого экрана:
   • по контролю доступа;
   • выдаваемым сообщениям;
   • аутентификации;
   • управлению конфигурацией;
   • контролю содержимого проходящего трафика;
   • регистрационным журналам;
   • распознаванию атак;
   • сетевым опциям (количество интерфейсов, способ доступа);
   • удаленному администрированию;
   • системным требованиям (под ключ, интеграция с другими продуктами и т.д.).
9. Прочие условия:
   • предполагаемая стоимость межсетевого экрана (сколько предприятие может потратить);
   • предполагаемая дата начала работы продукта;
   • требования к наличию у продукта сертификатов;
   • требования к предполагаемому администратору продукта и к службе поддержки;
   • специальные условия контракта (если есть);
   • другие замечания, которые не включены в данную форму.

Предполагается, что предприятие, заполнив данную форму и отправив ее производителю, позволит последнему сформировать наиболее качественное предложение для покупателя. Заполнение данной формы, впрочем, и без отправки ее кому-либо, позволит организации лучше понять, какое решение ей необходимо.

16.09.1999

Типы межсетевых экранов и используемые в них технологии. Si vis pacem, para bellum (Хочешь мира - готовься к войне). Константин Пьянзин Благодаря своей открытой архитектуре сеть Internet стала одним из самых удобных средств коммуникации.

Типы межсетевых экранов и используемые в них технологии.

Si vis pacem, para bellum

(Хочешь мира - готовься к войне).

Константин Пьянзин

Благодаря своей открытой архитектуре сеть Internet стала одним из самых удобных средств коммуникации. Вместе с тем открытость Internet породила множество проблем, связанных с безопасностью. Здесь как нельзя лучше подходит изречение: «Каждый - за себя, только Бог - за всех». Любой имеющий выход в Internet компьютер должен рассматриваться как потенциальный объект для атаки. Проблема особенно остро стоит в случае организаций, поскольку им необходимо контролировать работу в Internet большого количества компьютеров и сетевых устройств.

Безопасность при подключении к Internet обеспечивается с помощью следующих специализированных средств:

• межсетевых экранов;
• сетевых сканеров, призванных находить изъяны и потенциально опасные участки внутри сетей;
• снифферов, или анализаторов протоколов, позволяющих отслеживать входящий и исходящий трафики;
• средств протоколирования событий в сетях;
• средств построения виртуальных частных сетей и организации закрытых каналов обмена данными.

Важное место в списке средств обеспечения безопасного подключения к Internet занимают межсетевые экраны (часто называемые брандмауэрами, или, по-английски, firewall). Согласно «Руководящему документу. Межсетевые экраны» Гостехкомиссии при Президенте РФ «межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе». К сожалению, такое определение имеет чересчур общий характер и подразумевает слишком расширенное толкование.

В обиходе межсетевыми экранами (МЭ) называют средства защиты, устанавливаемые между общедоступной (такой, как Internet) и внутренней сетью. Межсетевой экран выполняет двойную функцию. Во-первых, он призван ограничить доступ во внутреннюю сеть со стороны общедоступной сети за счет применения фильтров и средств аутентификации, чтобы злоумышленники не могли получить несанкционированный доступ к информации или нарушить нормальную работу сетевой инфраструктуры. Во-вторых, МЭ служит для контроля и регулирования доступа пользователей внутренней сети к ресурсам общедоступной сети, когда те представляют угрозу безопасности или отвлекают сотрудников от работы (порнографические, игровые, спортивные серверы).

Сейчас, правда, сетевые экраны устанавливают и внутри корпоративных сетей, в целях ограничения доступа пользователей к особо важным ресурсам сети, например к серверам, содержащим финансовую информацию или сведения, относящиеся к коммерческой тайне. Существуют также персональные межсетевые экраны, призванные регулировать доступ к отдельным компьютерам и устанавливаемые на эти компьютеры.

Межсетевые экраны по понятным причинам используются для сетей TCP/IP и классифицируются в соответствии с уровнем эталонной модели взаимодействия открытых систем (сетевой моделью) OSI. Однако такая классификация, в силу ряда обстоятельств носит достаточно условный характер. Во-первых, сетевая модель сетей TCP/IP предусматривает только 5 уровней (физический, интерфейсный, сетевой, транспортный и прикладной), в то время как модель OSI - 7 уровней (физический, канальный, сетевой, транспортный, сеансовый, презентационный и прикладной). Поэтому установить однозначное соответствие между этими моделями далеко не всегда возможно. Во-вторых, большинство выпускаемых межсетевых экранов обеспечивают работу сразу на нескольких уровнях иерархии OSI. В-третьих, некоторые экраны функционируют в режиме, который трудно соотнести с каким-то строго определенным уровнем иерархии.

Тем не менее поддерживаемый уровень сетевой модели OSI является основной характеристикой при классификации межсетевых экранов. Различают следующие типы межсетевых экранов:

• управляемые коммутаторы (канальный уровень);
• сетевые фильтры (сетевой уровень);
• шлюзы сеансового уровня (circuit-level proxy);
• посредники прикладного уровня;
• инспекторы состояния (stateful inspection), представляющие собой межсетевые экраны сеансового уровня с расширенными возможностями.

Существует также понятие «межсетевой экран экспертного уровня». Такие МЭ обычно базируются на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуются шлюзами сеансового уровня и сетевыми фильтрами. К МЭ экспертного класса относятся почти все имеющиеся на рынке коммерческие брандмауэры.

Межсетевые экраны могут опираться на один из двух взаимоисключающих принципов обработки поступающих пакетов данных. Первый принцип гласит: «Что явно не запрещено, то разрешено». Т. е. если МЭ получил пакет, не подпадающий не под одно из принятых ограничений или не идентифицированный правилами обработки, то он передается далее. Противоположный принцип - «Что явно не разрешено, то запрещено» - гарантирует гораздо большую защищенность, но оборачивается дополнительной нагрузкой на администратора. В этом случае внутренняя сеть изначально полностью недоступна, и администратор вручную устанавливает разрешенные при обмене данными с общедоступной сетью сетевые адреса, протоколы, службы и операции.

Правила обработки информации во многих межсетевых экранах экспертного класса могут иметь многоуровневую иерархическую структуру. Например, они могут позволять задать такую схему: «Все компьютеры локальной сети недоступны извне, за исключением доступа к серверу A по протоколу ftp и к серверу B по протоколу telnet, однако при этом запрещен доступ к серверу A с операцией PUT сервиса ftp».

Межсетевые экраны могут выполнять над поступающими пакетами данных одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые МЭ имеют еще одну операцию - reject, при которой пакет отбрасывается, но отправителю сообщается по протоколу ICMP о недоступности сервиса на компьютере-получателе информации. В противовес этому при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным.

Ниже мы рассмотрим достоинства и недостатки каждого типа межсетевого экрана более подробно.

КОММУТАТОРЫ

Коммутаторы среднего и старшего уровня Cisco, Bay Networks (Nortel), 3Com и других производителей позволяют привязывать MAC-адреса сетевых карт компьютеров к определенным портам коммутатора. Более того, немало коммутаторов предоставляет возможность фильтрации информации на основе адреса сетевой платы отправителя или получателя, создавая при этом виртуальные сети (VLAN). Другие коммутаторы позволяют организовать VLAN на уровне портов самого коммутатора. Таким образом, коммутатор может выступать в качестве межсетевого экрана канального уровня.

Следует заметить, что большинство специалистов по безопасности информационных систем редко относят коммутаторы к межсетевым экранам. Основная причина такого отношения вызвана тем, что область фильтрующего действия коммутатора простирается до ближайшего маршрутизатора и поэтому не годится для регулирования доступа из Internet.

Кроме того, подделать адрес сетевой платы обычно не составляет труда (многие платы Ethernet позволяют программно менять или добавлять адреса канального уровня), и такой подход к защите является до крайности ненадежным. Правда, организация виртуальных сетей на уровне портов коммутатора более надежна, но, опять же, она ограничена рамками локальной сети.

Тем не менее если следовать буквальной трактовке «Руководящего документа» Гостехкомиссии, то коммутаторы с возможностью создания VLAN являются межсетевыми экранами.

СЕТЕВЫЕ ФИЛЬТРЫ

Сетевые фильтры работают на сетевом уровне иерархии OSI (см. Рисунок 1). Сетевой фильтр представляет собой маршрутизатор, обрабатывающий пакеты на основании информации, содержащейся в заголовках пакетов. Сетевые фильтры существуют для сетей TCP/IP и IPX/SPX, но последние применяют в локальных сетях, поэтому мы их рассматривать не будем.

При обработке пакетов ими учитывается следующая информация:

• IP-адрес отправителя;
• IP-адрес получателя;
• протокол (TCP, UDP, ICMP);
• номер программного порта отправителя;
• номер программного порта получателя.

Администратор на основе этой информации задает правила, в соответствии с которыми пакеты будут либо пропускаться через фильтр, либо отбрасываться им. Например, сетевой фильтр позволяет реализовать следующую схему обмена данными между компьютерами корпоративной сети и Internet:

1. все компьютеры корпоративной сети имеют возможность общаться с внешними серверами Web и ftp, но не с telnet, NNTP и т. д.;
2. доступ извне запрещен ко всем компьютерам корпоративной сети, кроме доступа к серверу A по протоколу HTTP и к серверу B по протоколу ftp; кроме того, внешнему компьютеру Z разрешается доступ к внутреннему серверу C и к любым службам TCP и UDP, но не ICMP.

Сетевые фильтры очень легко реализовать, поэтому они получили повсеместное распространение и представлены программно-аппаратными и чисто программными реализациями. В частности, маршрутизаторы Cisco, Bay Networks (подразделение Nortel) и других производителей снабжены функциями сетевой фильтрации, вследствие чего такие маршрутизаторы называют фильтрующими. Список программных сетевых фильтров еще более внушителен, и большинство из них представляет бесплатные или условно-бесплатные утилиты. Они реализованы для множества сетевых платформ, в том числе для UNIX, Windows NT, NetWare, VMS, MVS.

К сожалению, оборотной стороной простоты реализации и низкой цены сетевых фильтров является сложность их администрирования и слабая защищенность от атак.

В сетевых фильтрах в основном используется статическая фильтрация, когда администратору приходится создавать свой фильтр для каждого уникального типа пакета, требующего обработки. Поясним это на примере. Допустим, всем компьютерам по умолчанию запрещен доступ в Internet. Однако компьютеру Z (IP-адрес 123.45.67.89) необходим доступ к внешнему серверу A (IP-адрес 211.111.111.111), предоставляющему сервис telnet. В данном случае администратор должен задать два правила:

1. пропустить пакет, если он передается со стороны сетевого интерфейса внутренней сети на сетевой интерфейс внешней сети и имеет параметры: IP-адрес отправителя 123.45.67.89, IP-адрес получателя 211.111.111.111, протокол транспортного уровня TCP, программный порт отправителя больше 6000, программный порт получателя 23;
2. пропустить пакет, если он передается со стороны сетевого интерфейса внешней сети на сетевой интерфейс внутренней сети и имеет параметры: IP-адрес отправителя 211.111.111.111, IP-адрес получателя 123.45.67.89, протокол транспортного уровня TCP, программный порт отправителя 23, программный порт получателя более 6000.

Таким образом, для каждого канала обмена данными необходимо задавать два правила (фильтра); в случае многоканальных соединений (например, для сервиса ftp) количество правил соответственно увеличивается. Для большой сети список правил достигает очень внушительных размеров, в которых администратору легко запутаться. Правда, сетевые фильтры позволяют обычно объединять правила для подмножества компьютеров на основе IP-подсетей.

Поскольку при получении каждого пакета сетевой фильтр просматривает таблицу правил в последовательном порядке, каждое новое правило уменьшает общую производительность маршрутизатора.

Ряд производителей (в частности, Novell в утилите FILTCFG.NLM) предусматривает динамическую, или контекстную (stateful), фильтрацию и фильтрацию фрагментов IP-пакетов, но по характеристикам они скорее относятся к разряду шлюзов сеансового уровня и поэтому будут рассмотрены позднее.

Еще одной проблемой, особенно для бесплатных сетевых фильтров, является невозможность создания иерархической структуры правил. Например, в случае принципа «что явно не разрешено, то запрещено» фильтр просматривает сначала список исключений, и если пакет не подходит не под одно исключение, то в соответствии с указанным принципом пакет отсеивается. Если же пакет подходит хотя бы под одно исключение, то он передается дальше. Однако представим такую ситуацию: сеть закрыта от доступа снаружи, но один сервер должен быть доступен для внешнего мира по протоколу ftp. Все это прекрасно можно организовать с помощью сетевого фильтра, за исключением маленькой, но очень неприятной детали - на доступ к серверу по ftp нельзя наложить дополнительные ограничения. К примеру, невозможно в таком случае запретить доступ к нему со стороны компьютера Z, которым пользуется злоумышленник. Более того, хакер может передавать на сервер пакеты с адресом отправителя, соответствующим адресу компьютера внутренней сети (самый опасный вид подделки IP-пакетов). И сетевой фильтр пропустит такой пакет. Чтобы избежать подобных проблем, администраторы вынуждены ставить два последовательно подключенных фильтра, чтобы таким образом реализовывать иерархические правила фильтрации.

Сетевые фильтры имеют ряд принципиальных недостатков. Прежде всего аутентификация (или, если точнее, идентификация) отправителя производится только на основании IP-адреса. Однако с помощью подмены IP-адресов (IP-spoofing) злоумышленник без особых усилий может обойти такую преграду. Кроме того, за уполномоченный компьютер может в принципе сесть человек, не имеющий права работать с сервером. Аутентификация на основе имени и пароля пользователя намного надежнее, но в сетевых фильтрах ее применить не представляется возможным.

Сетевой фильтр не может отслеживать работу сетевых приложений, и вообще он не контролирует содержимое пакетов транспортного, сеансового и прикладного уровня. Поэтому наличие сетевого фильтра не оградит корпоративную сеть от атак по типу SYN-flooding (см. врезку ), от атак, связанных с фрагментацией пакетов, и от вторжений через сервисы прикладного уровня.

Основным (помимо цены и простоты реализации) достоинством сетевых фильтров является их очень высокая производительность, намного более высокая, чем у межсетевых экранов сеансового и прикладного уровня. Несмотря на серьезные недостатки, сетевой фильтр является неотъемлемой частью любого межсетевого экрана экспертного класса. Однако он представляет собой всего лишь одну из его составных частей, поскольку работает в сочетании со шлюзом более высокого уровня иерархии OSI. В такой схеме сетевой фильтр препятствует прямому общению между внутренней и внешней сетью (кроме заранее определенных компьютеров). Вся же основная фильтрация, но уже на вышестоящих уровнях OSI, организуется шлюзом соответствующего уровня или инспектором состояния.

ШЛЮЗЫ СЕАНСОВОГО УРОВНЯ

Шлюзы сеансового уровня, как и следует из названия, оперируют на сеансовом уровне иерархии OSI. Однако в сетевой модели TCP/IP нет уровня, однозначно соответствующего сеансовому уровню OSI. Поэтому к шлюзам сеансового уровня относят фильтры, которые невозможно отождествить ни с сетевым, ни с транспортным, ни с прикладным уровнем.

Фильтры сеансового уровня имеют несколько разновидностей в зависимости от их функциональных особенностей, но такая классификация носит достаточно условный характер, поскольку их возможности во многом пересекаются. Следует помнить, что в состав межсетевых экранов входят шлюзы сеансового уровня всех или большинства видов.

ФИЛЬТРЫ КОНТРОЛЯ СОСТОЯНИЯ КАНАЛА СВЯЗИ

К фильтрам контроля состояния канала связи нередко относят сетевые фильтры (сетевой уровень) с расширенными возможностями.

Динамическая фильтрация в сетевых фильтрах. В отличие от стандартной статической фильтрации в сетевых фильтрах, динамическая (stateful) фильтрация позволяет вместо нескольких правил фильтрации для каждого канала связи назначать только одно правило. При этом динамический фильтр сам отслеживает последовательность обмена пакетами данных между клиентом и сервером, включая IP-адреса, протокол транспортного уровня, номера портов отправителя и получателя, а иногда и порядковые номера пакетов. Понятно, что такая фильтрация требует дополнительной оперативной памяти. По производительности динамический фильтр несколько уступает статическому фильтру.

Фильтр фрагментированных пакетов. При передаче через сети с различными MTU IP-пакеты могут разбиваться на отдельные фрагменты, причем только первый фрагмент всегда содержит полный заголовок пакета транспортного уровня, включая информацию о программных портах. Обычные сетевые фильтры не в состоянии проверять фрагменты, кроме первого, и пропускают их (при выполнении критериев по IP-адресам и используемому протоколу). За счет этого злоумышленники могут организовать опасные атаки по типу «отказ в обслуживании», преднамеренно генерируя большое количество фрагментов и тем самым блокируя работу компьютера-получателя пакетов. Фильтр фрагментированных пакетов не пропускает фрагменты, если первый из них не пройдет регистрации.

Контроль битов SYN и ACK. Ряд фильтров позволяет отслеживать биты SYN и ACK в пакетах TCP. Все они призваны бороться с атаками по типу SYN-flooding (см. врезку ), но используют различные подходы. Самый простой фильтр запрещает передачу TCP-пакетов с битом SYN, но без бита ACK со стороны общедоступной сети на компьютеры внутренней сети, если последние не были явно объявлены серверами для внешней сети (или хотя бы для определенной группы компьютеров внешней сети). К сожалению, такой фильтр не спасает при атаках SYN-flooding на машины, являющиеся серверами для внешней сети, но расположенные во внутренней сети.

Для этих целей применяют специализированные фильтры с многоступенчатым порядком установления соединений. Например, фильтр SYNDefender Gateway из состава межсетевого экрана FireWall-1 производства Check Point работает следующим образом. Допустим, внешний компьютер Z пытается установить соединение с внутренним сервером A через межсетевой экран МЭ. Процедура установления соединения показана на Рисунке 2. Когда МЭ получает пакет SYN от компьютера Z (этап 1), то этот пакет передается на сервер A (этап 2). В ответ сервер A передает пакет SYN/ACK на компьютер Z, но МЭ его перехватывает (этап 3). Далее МЭ пересылает полученный пакет на компьютер Z, кроме того, МЭ от имени компьютера Z посылает пакет ACK на сервер A (этап 4). За счет быстрого ответа серверу A, выделяемая под установление новых соединений память сервера никогда не окажется переполнена, и атака SYN-flooding не пройдет.

Дальнейшее развитие событий зависит от того, действительно ли компьютер Z инициализировал установление соединения с сервером A. Если это так, то компьютер Z перешлет пакет ACK серверу A, который проходит через МЭ (этап 5a). Сервер A проигнорирует второй пакет ACK. Затем МЭ будет беспрепятственно пропускать пакеты между компьютерами A и Z. Если же МЭ не получит пакета ACK или кончится тайм-аут на установление соединения, то он вышлет в адрес сервера A пакет RST, отменяющий соединение (этап 5б).

Фильтр SYNDefender Relay из состава того же Check Point FireWall-1 работает несколько иначе. Прежде чем передавать пакет SYN на сервер A, МЭ сначала устанавливает соединение с компьютером Z. Процедура установления соединения для этого случая показана на Рисунке 3. Только после получения пакета ACK от компьютера Z межсетевой экран инициализирует соединение с сервером A (этап 3). Очевидно, что после установления соединений межсетевой экран будет вынужден в динамическом режиме менять значения полей Sequent number (порядковый номер) и Acknowledgement number (номер подтверждения) во всех пакетах TCP, передаваемых между компьютерами A и Z, что снижает производительность.

ШЛЮЗЫ, ТРАНСЛИРУЮЩИЕ АДРЕСА ИЛИ СЕТЕВЫЕ ПРОТОКОЛЫ

Пожалуй, самым известным шлюзом сеансового уровня можно считать шлюз с преобразованием IP-адресов (Network Address Translation, NAT). При использовании шлюза NAT внутренняя сеть имеет адреса, невидимые (и даже незарегистрированные) в общедоступной сети. При обращении внутреннего компьютера наружу шлюз перехватывает запрос и выступает от имени клиента, задействуя свой внешний (зарегистрированный) IP-адрес. Полученный ответ шлюз передает внутреннему компьютеру (после подстановки внутреннего адреса компьютера), выступая в качестве передаточного звена. Это позволяет убить сразу двух зайцев: резко сократить количество зарегистрированных IP-адресов и контролировать поток информации, т. е. назначать или запрещать доступ в Internet отдельным компьютерам.

Шлюзы NAT могут работать в одном из четырех режимов: динамическом, статическом, статическом с динамической выборкой IP-адресов и комбинированном.

При динамическом режиме, иногда называемом трансляцией на уровне портов (Port Address Translation, PAT), шлюз имеет один-единственный внешний IP-адрес. Все обращения в общедоступную сеть (Internet) со стороны клиентов внутренней сети осуществляются с использованием этого внешнего адреса, при этом шлюз оперирует лишь портами внешнего интерфейса, т. е. при обращении клиента шлюз выделяет ему уникальный программный порт транспортного протокола (UDP, TCP) для внешнего IP-адреса. В распоряжении шлюза NAT могут иметься пулы до 64 000 портов TCP, 64 000 портов UDP и 6 4000 портов ICMP (в протоколе ICMP термин «порт» не применяется, но разработчики шлюзов используют его, чтобы подчеркнуть принцип трансляции пакетов), хотя в некоторых реализациях емкость пулов может быть много меньше этих величин, например в Novell BorderManager каждый пул содержит по 5000 портов.

Динамический режим предназначен для сетей, компьютеры которых выступают исключительно в качестве клиентов ресурсов Internet.

При статическом режиме внешнему интерфейсу шлюза назначается столько зарегистрированных IP-адресов, сколько компьютеров имеется во внутренней сети. Каждому компьютеру внутренней сети ставится в соответствие уникальный внешний IP-адрес шлюза. При обмене данными между внутренней и общедоступной сетями шлюз транслирует внутренние IP-адреса во внешние и наоборот. Статический режим необходим, если компьютеры внутренней сети работают в качестве серверов Internet.

Статический режим с динамической выборкой IP-адресов аналогичен статическому, за исключением того, что за внутренними компьютерами не закрепляются заранее (статически) определенные внешние IP-адреса, они резервируются динамически из пула внешних IP-адресов.

Комбинированный режим подразумевает одновременное использование сразу нескольких вышеперечисленных режимов и предназначен для сетей, где имеются как клиенты, так и серверы Internet.

Помимо общих недостатков шлюзов сеансового уровня (см. ниже) шлюзам NAT присущ свой специфический изъян: они не поддерживают сетевые приложения, пакеты прикладного уровня которых содержат IP-адреса. Единственным исключением является сервис ftp, для которого большинство шлюзов NAT умеет контролировать (и изменять) IP-адреса внутри пакетов прикладного уровня.

Вторым недостатком шлюзов NAT можно назвать то, что они не поддерживают аутентификацию на уровне пользователей, а только на уровне IP-адресов, что делает их уязвимыми для атак по типу IP-spoofing. Кроме того, шлюзы NAT не могут предотвратить атаки типа «отказ в обслуживании», в частности SYN-flooding, поэтому их имеет смысл применять только совместно с другими типами шлюзов сеансового и/или прикладного уровней. Кроме шлюзов NAT достаточно известны шлюзы IPX/IP, предназначенные для организации выхода в Internet компьютеров, работающих в сетях IPX/SPX. При запросе клиента внутренней сети к серверу Internet шлюз перехватывает запрос и вместо пакета IPX формирует соответствующий IP-пакет. При поступлении отклика от сервера шлюз делает обратное преобразование. Пожалуй, это самый надежный тип шлюзов, поскольку внутренняя сеть имеет принципиально другую, по сравнению с TCP/IP, программную среду. Не было отмечено еще ни одного случая взлома такой инфраструктуры. Кроме того, в отличие от шлюзов NAT, аутентификация на шлюзах IPX/IP осуществляется не только на уровне сетевых адресов компьютеров, но и на уровне пользователей с помощью информации база данных NDS (для NetWare 4.x и 5.x) или BINDERY (для NetWare 3.x). Правда, такая аутентификация возможна лишь при доступе из внутренней сети в Internet, за исключением случая, когда внешний клиент использует NetWare на основе TCP/IP.

ПОСРЕДНИКИ СЕАНСОВОГО УРОВНЯ

Прежде чем разрешить установление соединения TCP между компьютерами внутренней и внешней сети, посредники сеансового уровня сначала как минимум регистрируют клиента. При этом неважно, с какой стороны (внешней или внутренней) этот клиент находится. При положительном результате регистрации между внешним и внутренним компьютерами организуется виртуальный канал, по которому пакеты передаются между сетями. С этого времени посредник не вмешивается в процесс обмена данными и не фильтрует информацию. Но такая схема является обобщенной, конкретные реализации шлюзов прикладного уровня могут иметь свои особенности. Наиболее известным и популярным посредником сеансового уровня является посредник SOCKS 5, который выступает в качестве сервера SOCKS 5. Когда клиент пытается связаться с сервером, находящимся по другую сторону посредника, то его SOCKS-клиент обращается к SOCKS-серверу, где происходит не только регистрация, но и полноценная аутентификация на основе имени и пароля пользователя. Аутентификация может быть организована так, чтобы пароль передавался в зашифрованном виде. При положительном результате аутентификации посредник SOCKS разрешает установление соединения клиента с сервером и более не вмешивается в процесс обмена информацией. Однако сервис SOCKS 5 позволяет устанавливать между клиентом и посредником передачу данными в зашифрованном виде по протоколу SSL. Принимая во внимание перечисленные характеристики, очевидно, что применение посредника SOCKS 5 особенно актуально в ситуации, когда сервер находится во внутренней сети, а клиент - в общедоступной. Но и случай, когда внутренние клиенты обращаются к ресурсам Internet, не стоит сбрасывать со счетов, поскольку посредник SOCKS 5 позволяет регулировать доступ на уровне имен и паролей пользователей. Недостатком посредников SOCKS является необходимость установки специализированного программного обеспечения - клиентской части SOCKS - на каждое клиентское место.

ОБЩИЕ НЕДОСТАТКИ ШЛЮЗОВ СЕАНСОВОГО УРОВНЯ

Основным недостатком шлюзов сеансового уровня следует назвать невозможность регулирования передачи информации на прикладном уровне и, как следствие, отслеживания некорректных или потенциально опасных действий пользователя. Например, они не позволят контролировать выполнение команды PUT сервиса ftp или отфильтровывать приложения ActiveX со стороны внешних машин, если такая операция допустима для внутренних клиентов.

Хотя применение шлюзов сеансового уровня позволяет предотвратить ряд опасных атак на внутреннюю сеть, некоторые типы атак, в частности категории «отказ в обслуживании», можно реализовать в обход этих шлюзов. За исключением шлюза IPX/IP и посредника SOCKS 5, все остальные фильтры имеют крайне ненадежную систему идентификации и аутентификации, основанную на IP-адресах отправителя/получателя. В свою очередь, применение шлюзов IPX/IP и SOCKS 5 привносит свои проблемы, так как требует установки на клиентские машины специализированного ПО.

За исключением шлюзов IPX/IP и SOCKS 5, другие шлюзы сеансового уровня обычно не поставляются в виде коммерческого продукта. Тем не менее все межсетевые экраны экспертного класса в обязательном порядке комплектуются самыми разными шлюзами сеансового уровня (так же, как и сетевыми фильтрами), поскольку посредники прикладного уровня или инспекторы состояния не могут отслеживать передачу данных на нижних уровнях иерархии OSI.

ПОСРЕДНИКИ ПРИКЛАДНОГО УРОВНЯ

Посредники прикладного уровня (application-level proxy), часто называемые proxy-серверами, контролируют и фильтруют информацию на прикладном уровне иерархии OSI (см. Рисунок 4). Посредники различают по поддерживаемым протоколам прикладного уровня: чем их больше, тем дороже продукт. Наиболее часто поддерживаются службы Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Когда клиент внутренней сети обращается, например, к серверу Web, то его запрос попадает к посреднику Web (или перехватывается им). Последний устанавливает связь с сервером от имени клиента, а полученную информацию передает клиенту. Для внешнего сервера посредник выступает в качестве клиента, а для внутреннего клиента - в качестве сервера Web. Аналогично посредник может работать и в случае внешнего клиента и внутреннего сервера.

Посредники прикладного уровня делятся на прозрачные (transparent) и непрозрачные. Прозрачные посредники невидимы для клиентов и серверов: клиент обращается к серверу самым обычным образом, а посредник перехватывает запрос и действует от лица клиента. Особой популярностью пользуются прозрачные посредники для сервиса Web, их нередко устанавливают провайдеры Internet в целях повышения производительности работы и снижения нагрузки на глобальные каналы связи за счет кэширования информации.

В случае непрозрачных посредников клиентскую систему требуется явным образом настроить на работу с посредником (например, при использовании непрозрачного посредника Web в опциях настройки браузеров необходимо указать IP-адрес посредника и присвоенный ему порт TCP). Непрозрачные посредники хороши там, где требуется строгая аутентификация при входе во внутреннюю сеть или на выходе из нее, особенно для служб, не поддерживающих шифрование паролей. Обычно это службы telnet и ftp, при этом задействуется система одноразовых паролей (One-Time Password, OTP) (более подробно о системах OTP см. в статье «Удаленное управление сетевыми ОС» в LAN №5 за 1999 г.).

На Рисунке 5 показан типичный пример использования telnet. Здесь клиент с помощью системы OTP устанавливает соединение с сервером tn.anywhere.com, находящимся за непрозрачным посредником fw.anywhere.com. Пользователь сначала должен зарегистрироваться на посреднике, сообщив для начала свое имя, в ответ на которое ему передается вызов (673 jar564). С помощью калькулятора OTP пользователь вычисляет затем парольную фразу, которую и вводит в поле Password. Далее он сообщает адрес сервера, с которым собирается установить соединение. Следует отметить, что регистрации на сервере tn.anywhere.com не требуется, поскольку межсетевой экран и данный сервер используют общую базу учетных записей пользователей.

Общим недостатком непрозрачных посредников является их «непрозрачность» для клиентского ПО и пользователей. Далеко не всякие клиентские программы можно настроить, например, на непрозрачные посредники SMTP, POP3, IMAP4, DNS, ftp.

В отличие от шлюзов сеансового уровня посредники прикладного уровня обрабатывают только те пакеты данных прикладного уровня, службы которых ими поддерживаются, а пакеты неизвестных (для посредника) или не сконфигурированных протоколов удаляются из обращения. Например, если посредник настроен только на обслуживание сервиса ftp, то он не пропустит пакеты telnet или HTTP.

Посредник прикладного уровня проверяет содержимое каждого пакета данных. Более того, посредник фильтрует пакеты на уровне конкретных операций сетевых служб. Например, межсетевой экран Raptor Firewall компании AXENT Technologies позволяет отфильтровывать пакеты ftp, содержащие команду PUT.

Посредники прикладного уровня в обязательном порядке поддерживают строгую аутентификацию с помощью либо операционной системы или одной из служб каталогов (доменов) NDS, Windows NT, NIS/NIS+, либо систем RADIUS, TACACS и т. д.

Оборотной стороной названных возможностей посредников прикладного уровня является их невысокая производительность (для тех сетевых служб, где не предусматривается кэширование информации). Вдобавок, для каждого соединения TCP посредник вынужден устанавливать два канала связи: один - с сервером, другой - с клиентом. Но следует помнить, что узким местом соединений с Internet являются главным образом медленные глобальные линии связи, поэтому о невысокой производительности посредников прикладного уровня можно говорить весьма условно.

Особое место среди посредников прикладного уровня занимают посредники Web, поскольку наряду с контролем трафика они кэшируют информацию. В силу своих функциональных возможностей посредники Web превратились в самостоятельную отрасль разработки ПО, поэтому ниже мы более подробно остановимся на этом сервисе.

ПОСРЕДНИКИ WEB

Сервис Web является основным в глобальной сети Internet. Однако медленные каналы связи, активное использование графики и мультимедиа на страницах Web ведут к снижению производительности работы пользователей в Internet. Между тем пользователи очень часто обращаются к одним и тем же ресурсам Internet. Поэтому для повышения скорости доступа все популярные браузеры кэшируют информацию. Тем не менее в корпоративной среде кэширование на уровне отдельных компьютеров не способно решить всех проблем, так как к одним и тем же ресурсам нередко обращаются совершенно разные пользователи, особенно если они работают в одной организации. Очевидно, что наилучшим способом борьбы с невысокой производительностью глобальных линий является установка кэширующего посредника Web на границе внутренней сети. Вдобавок, такой подход позволяет снизить нагрузку на каналы связи Internet, и таким образом либо экономить деньги, либо запускать дополнительные сетевые службы.

Кэширующих посредников Web устанавливают даже там, где не требуется аутентификации пользователей или фильтрации информации, а исключительно в целях повышения производительности.

Существует четыре типа кэширования информации на посредниках Web:

• пассивное;
• активное;
• негативное;
• иерархическое.

Наиболее мощные современные посредники Web могут поддерживать все четыре типа кэширования. При пассивном кэшировании (иначе называемом базовым или кэшированием по требованию) клиент через браузер Web обращается к посреднику, а посредник возвращает запрашиваемую информацию из своего кэша, если она там есть. В противном случае посредник Web обращается к серверу Web.

Активное кэширование предполагает наличие у посредника некоторого интеллекта. Кэширование осуществляется заранее (read-ahead), до поступления явного запроса от клиента. Например, браузер запрашивает страницу Web, содержащую рисунки или иные элементы. Посредник не будет дожидаться явных запросов со стороны клиента на подкачку этих компонентов и постарается получить их самостоятельно, так сказать, загодя. Активное кэширование происходит в фоновом режиме, что повышает производительность работы.

Негативное кэширование подразумевает кэширование отказов. Если браузер запросил страницу, которую посредник не может получить (нет связи или из-за отсутствия страницы на сервере), то отказ кэшируется. При повторном обращении клиент сразу получит отрицательный ответ. Однако посредник будет продолжать пытаться получить затребованную страницу в фоновом режиме. Негативное кэширование у посредников Web появилось недавно, в так называемом втором поколении посредников, разработанных в соответствии с технологией Harvest/Squid. Созданные в рамках старой технологии CERN посредники не кэшируют отказы и пытаются каждый раз связаться с сервером Web.

Иерархическое кэширование представляет собой еще одно достижение технологии Harvest/Squid. В соответствии с ней посредники могут образовывать сложные иерархические структуры с равноправными или подчиненными связями. Например, организация имеет два одинаковых по производительности канала в Internet. На каждый канал устанавливается посредник, и между ними определяются равноправные отношения. В этом случае при отсутствии запрошенной информации в кэше посредник обратится не к серверу Internet, а ко второму посреднику. Если у второго посредника в кэше имеется необходимая информация, то она будет передана первому посреднику и далее клиенту. В противном случае первый посредник будет вынужден сам обратиться к серверу Web. При подчиненных отношениях типа «потомок-родитель» посредник со статусом «потомок» никогда не обращается к серверу Web самостоятельно, а только через «родителя». Подобные схемы значительно уменьшают загрузку глобальных линий связи и повышают отказоустойчивость подключения. Иерархическое кэширование организуется в соответствии с одним из двух стандартизированных протоколов кэширования: ICP (Internet Caching Protocol) или CARP (Cache Array Routing Protocol). Хотя протокол CARP разработан позже ICP, он получил большее распространение, поскольку устраняет избыточное кэширование информации между посредниками.

Рисунок 6. Прямое кэширование Web.

Кроме типов кэширования (пассивное, активное, негативное и иерархическое) посредники различаются также по режимам кэширования: прямому (forward) и обратному (reverse). Прямое кэширование - это то, к чему мы все привыкли. Т. е. посредник устанавливается на входе во внутреннюю сеть и кэширует информацию с серверов Internet для клиентов внутренней сети (см. Рисунок 6). При использовании прозрачного посредника клиенты могут даже не знать о существовании посредника, в то время как в случае непрозрачного посредника в опциях браузера необходимо задать его координаты.

Рисунок 7. Обратное кэширование Web.

Обратное кэширование подразумевает обслуживание внешних клиентов, запрашивающих информацию с серверов, расположенных во внутренней сети организации. Т. е. за посредником с обратным кэшированием закрепляется один или несколько серверов Web, информацию с которых он скачивает. Такой посредник лучше всего устанавливать у провайдера Internet, чтобы снизить нагрузку на канал связи с провайдером и увеличить производительность доступа внешних клиентов к серверу Web (см. Рисунок 7). Посредник с обратным кэшированием должен быть прозрачным для внешних пользователей. Однако это возможно лишь при обратном кэшировании только одного сервера (к порту 80 протокола TCP, отвечающему за сервис HTTP, на посреднике можно привязать только один сервер - для других серверов необходимо назначать другие порты). Тем не менее с помощью не очень сложных манипуляций работу посредника по кэшированию сразу нескольких серверов можно сделать практически прозрачной для клиентов.

Некоторые посредники позволяют кэшировать информацию в автономном режиме, т. е. фактически выполняя функции автономного браузера.

Кэширование информации - это, конечно, очень привлекательная функция посредников Web, но нельзя забывать и о других возможностях, характерных для посредников прикладного уровня. Посредники Web способны поддерживать надежную аутентификацию пользователей, фильтровать приложения Java и ActiveX, осуществлять поиск вирусов, регулировать доступ пользователей к определенным URL. Более того, для посредников Web поставляются специальные программы, содержащие списки порнографических, расистских, игровых, развлекательных серверов. С помощью таких программ администратору легко регулировать доступ к подобным узлам.

ИНСПЕКТОРЫ СОСТОЯНИЯ

Инспекторы состояния, или иначе брандмауэры с контекстной проверкой (stateful inspection firewall), являются по сути шлюзами сеансового уровня с расширенными возможностями. Термин «инспектор состояния» был введен компанией Check Point, дабы подчеркнуть отличие ее технологии от других применяемых в межсетевых экранах. Инспекторы состояния оперируют на сеансовом уровне, но «понимают» и протоколы прикладного уровня (см. Рисунок 8). Т. е. при получении пакета данных содержимое этого пакета сравнивается с некими шаблонами, специфическими для соответствующего протокола прикладного уровня. И в зависимости от результата сравнения, пакет либо передается далее, либо отбрасывается. Чем мощнее инспектор состояния, тем больший список шаблонов он имеет. Если пакет не соответствует ни одному шаблону, то он будет отсеян.

В отличие от посредника прикладного уровня, открывающего два виртуальных канала TCP (один - для клиента, другой - для сервера) для каждого соединения, инспектор состояния не препятствует организации прямого соединения между клиентом и сервером. За счет этого производительность инспектора состояния оказывается много выше производительности посредников прикладного уровня и приближается к производительности сетевых фильтров. Правда, разработчики посредников прикладного уровня указывают на более высокий уровень защищенности своих продуктов, поскольку трафик контролируется непосредственно на прикладном уровне. Но большинство специалистов считают такие утверждения спорными или, во всяком случае, не очевидными. У кого, например, повернется язык назвать недостаточно надежным межсетевой экран Check Point FireWall-1, являющийся инспектором состояния, когда ему принадлежит 40% рынка межсетевых экранов и он удостоен множества самых престижных наград, в том числе и за безопасность?

Со своей стороны разработчики инспекторов состояния указывают, что их системы имеют гораздо больше возможностей расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. В то же время разработчики посредников прикладного уровня вынуждены писать «с нуля» модуль для каждого нового протокола. Так-то оно так, но добавить модуль в посредник прикладного уровня ничуть не сложнее, чем добавить шаблоны в инспектор состояния. К тому же производители инспекторов состояния и посредников прикладного уровня привыкли решать проблему кардинальным способом, посредством выпуска новой версии продукта.

Единственным достоинством инспекторов состояния (не затрагивая вопрос производительности) по сравнению с посредниками прикладного уровня является то, что инспектор состояния абсолютно прозрачен для клиентов и не требует дополнительной настройки клиентского ПО. Однако, в свою очередь, классические инспекторы состояния не годятся для кэширования Web. Поэтому даже если межсетевой экран основан на инспекторе состояния, для кэширования Web в него включают посредник Web прикладного уровня.

На самом деле, спор, что лучше - инспектор состояния или посредник прикладного уровня, представляется беспочвенным. Для большинства задач они примерно равноценны. Преимущество же в производительности инспекторов состояния не имеет особого значения, если речь идет о подключении к Internet по медленным каналам связи.

Межсетевые экраны экспертного класса основываются либо на технологии инспекторов состояния, либо на технологии посредников прикладного уровня, но обязательно дополняются сетевыми фильтрами и шлюзами сеансового уровня. Подавляющее большинство выпускаемых межсетевых экранов представляет собой посредники прикладного уровня, но, как было отмечено ранее, инспекторы состояния (вернее, один инспектор - FireWall-1 компании Check Point) доминируют на рынке.

ДРУГИЕ ВОЗМОЖНОСТИ МЕЖСЕТЕВЫХ ЭКРАНОВ

Помимо выполнения своих основных функций, межсетевые экраны экспертного класса имеют хорошо продуманную систему протоколирования событий и оповещения администраторов. МЭ позволяет регистрировать все обращения пользователей к ресурсам, проходящие через экран, в том числе кто, когда, с какой машины обратился к конкретному ресурсу или получил отказ. Протоколирование позволяет выявить случаи проведения атак на внутреннюю сеть, обнаружить местонахождение хакера и заранее блокировать трафик от него.

Составной частью большинства коммерческих межсетевых экранов экспертного уровня являются средства построения виртуальных частных сетей, позволяющие шифровать информацию при ее передаче по общедоступной сети. Более того, такими средствами обладают даже некоторые сетевые фильтры на базе аппаратных маршрутизаторов.

Немалая часть межсетевых экранов снабжается средствами поддержки удаленных пользователей, в том числе мощными средствами аутентификации таких пользователей.

ЗАКЛЮЧЕНИЕ

Межсетевые экраны не являются панацеей при борьбе с атаками злоумышленников. Они не могут предотвратить атаки внутри локальной сети, но вместе с другими средствами защиты играют исключительно важную роль для защиты сетей от вторжения извне. Понимание технологии работы межсетевых экранов позволяет не только сделать правильный выбор при покупке системы защиты, но и корректно настроить межсетевой экран. Враг не должен пройти!

Константин Пьянзин - обозреватель LAN. С ним можно связаться по адресу: [email protected]

В середине 90-х годов атака по типу SYN-flooding была одной из самых распространенных. Она использует недостатки протокольной машины TCP. Атака SYN-flooding попадает под категорию атак «отказ в обслуживании» (Denial of Service, DoS), приводящих к зависанию компьютера - т. е. компьютер продолжает работать, но становится недоступным через сеть.

Когда клиентский компьютер устанавливает соединение с сервером по протоколу TCP, он посылает TCP-пакет с выставленным битом SYN. В ответ сервер посылает TCP-пакет с битами SYN/ACK. В свою очередь клиент отправляет TCP-пакет с битом ACK. После этого соединение между клиентом и сервером считается установленным. Такая схема соединения называется трехступенчатой, поскольку она предусматривает обмен тремя пакетами.

Когда сервер получает пакет SYN, он выделяет дополнительную память для нового соединения. В большинстве операционных систем для каждой из сетевых служб предусмотрен лимит (обычно равный десяти) на количество вновь создаваемых соединений TCP (в некоторых системах такого лимита нет, но положение от этого не намного лучше, поскольку при отсутствии свободной памяти зависнет весь компьютер, а не только одна конкретная служба). Пока сервер не получит пакет SYN/ACK или пакет RST (см. далее) либо не наступит тайм-аут на вновь создаваемое соединение (обычно 75 секунд), соединение продолжает резервировать память.

Атака SYN-flooding предусматривает посылку на сервер множества пакетов TCP с выставленным битом SYN от лица несуществующих или неработающих хостов (за счет применения подмены IP-адресов). Последнее требование важно, поскольку если запрос на установку соединения придет от имени работающего хоста, то, когда сервер пошлет в его адрес пакет SYN/ACK, хост ответит пакетом RST (reset), инициирующим сброс соединения. И соединение будет удалено из памяти сервера.

При атаке SYN-flooding выделенная под установление новых соединений память сервера быстро исчерпывается, и сетевой сервис зависает.

Для противодействия атакам SYN-flooding помимо увеличения размера памяти под устанавливаемые соединения и уменьшения тайм-аута на межсетевых экранах применяются различные хитроумные методы борьбы. Установка межсетевых экранов сеансового и прикладного уровня или инспекторов состояний кардинально решает проблему атак SYN-flooding, поскольку именно они отражают все атаки, в то время как компьютеры внутренней сети даже не знают об их проведении.

Сеть нуждается в защите от внешних угроз. Хищение данных, несанкционированный доступ и повреждения могут сказаться на работе сети и принести серьезные убытки. Используйте специальные программы и устройства, чтобы обезопасить себя от разрушительных воздействий. В этом обзоре мы расскажем об межсетевом экране и рассмотрим его основные типы.

Назначение межсетевых экранов

Межсетевые экраны (МСЭ ) или файрволы - это аппаратные и программные меры для предотвращения негативных воздействий извне. Файрвол работает как фильтр: из всего потока трафика просеивается только разрешенный. Это первая линия защитных укреплений между внутренними сетями и внешними, такими как интернет. Технология применяется уже на протяжении 25 лет.

Необходимость в межсетевых экранах возникла, когда стало понятно, что принцип полной связности сетей больше не работает. Компьютеры начали появляться не только в университетах и лабораториях. С распространением ПК и интернета возникла необходимость отделять внутренние сети от небезопасных внешних, чтобы уберечься от злоумышленников и защитить компьютер от взлома.

Для защиты корпоративной сети устанавливают аппаратный межсетевой экран - это может быть отдельное устройство или часть маршрутизатора. Однако такая практика применяется не всегда. Альтернативный способ - установить на компьютер, который нуждается в защите, программный межсетевой экран. В качестве примера можно привести файрвол , встроенный в Windows.

Имеет смысл использовать программный межсетевой экран на корпоративном ноутбуке, которым вы пользуетесь в защищенной сети компании. За стенами организации вы попадаете в незащищенную среду - установленный файрвол обезопасит вас в командировках, при работе в кафе и ресторанах.

Как работает межсетевой экран

Фильтрация трафика происходит на основе заранее установленных правил безопасности. Для этого создается специальная таблица, куда заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.

Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.

• IP-адреса. Каждое устройство, использующее протокол IP, обладает уникальным адресом. Вы можете задать определенный адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот - дать доступ только определенному кругу IP-адресов.
• Порты. Это точки, которые дают приложениям доступ к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Таким образом, мы получаем возможность воспрепятствовать доступу к определенным приложениям и сервисам.
• Доменное имя. Адрес ресурса в интернете также является параметром для фильтрации. Можно запретить пропускать трафик с одного или нескольких сайтов. Пользователь будет огражден от неприемлемого контента , а сеть от пагубного воздействия.
• Протокол. Файрвол настраивается так, чтобы пропускать трафик одного протокола или блокировать доступ к одному из них. Тип протокола указывает на набор параметров защиты и задачу, которую выполняет используемое им приложение.

Типы МСЭ

1. Прокси -сервер

Один из родоначальников МСЭ , который выполняет роль шлюза для приложений между внутренними и внешними сетями. Прокси -серверы имеют и другие функции, среди которых защита данных и кэширование . Кроме того, они не допускают прямые подключения из-за границ сети. Использование дополнительных функций может чрезмерно нагрузить производительность и уменьшить пропускную способность.

2. МСЭ с контролем состояния сеансов

Экраны с возможностью контролировать состояние сеансов - уже укоренившаяся технология. На решение принять или блокировать данные влияет состояние, порт и протокол. Такие версии следят за всей активностью сразу после открытия соединения и вплоть до самого закрытия. Блокировать трафик или не блокировать система решает, опираясь на установленные администратором правила и контекст. Во втором случае учитываются данные, которые МСЭ дали прошлые соединения.

3. МСЭ Unified threat management (UTM)

Комплексное устройство. Как правило, такой межсетевой экран решает 3 задачи:

• контролирует состояние сеанса;
• предотвращает вторжения;
• занимается антивирусным сканированием.

Порой фаерволы, усовершенствованные до версии UTM, включают и другой функционал, например: управление облаком.

4. Межсетевой экран Next-Generation Firewall (NGFW)

Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, находят новые уязвимости, совершенствуют вредоносные программы и усложняют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря следующим функциям:

• учет особенностей приложений, который дает возможность идентифицировать и нейтрализовать вредоносную программу;
• оборона от непрекращающихся атак из инфицированных систем;
• обновляемая база данных, которая содержит описание приложений и угроз;
• мониторинг трафика, который шифруется с помощью протокола SSL.

5. МСЭ нового поколения с активной защитой от угроз

Данный тип межсетевого экрана - усовершенствованная версия NGFW. Это устройство помогает защититься от угроз повышенной сложности. Дополнительный функционал умеет:

• учитывать контекст и находить ресурсы, которые находятся под наибольшим риском;
• оперативно отражать атаки за счет автоматизации безопасности, которая самостоятельно управляет защитой и устанавливает политики;
• выявлять отвлекающую или подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;

В этой версии межсетевого экрана NGFW введены унифицированные политики, которые значительно упрощают администрирование.

Недостатки МСЭ

Межсетевые экраны обороняют сеть от злоумышленников. Однако необходимо серьезно отнестись к их настройке. Будьте внимательны: ошибившись при настройке параметров доступа, вы нанесете вред и файрвол будет останавливать нужный и ненужный трафик, а сеть станет неработоспособной.

Применение межсетевого экрана может стать причиной падения производительности сети. Помните, что они перехватывают весь входящий трафик для проверки. При крупных размерах сети чрезмерное стремление обеспечить безопасность и введение большего числа правил приведет к тому, что сеть станет работать медленно.

Зачастую одного файрвола недостаточно, чтобы полностью обезопасить сеть от внешних угроз. Поэтому его применяют вместе с другими программами, такими как антивирус.

Межсетевым экраном называется программно-аппаратный или программный элемент, контролирующий на основе заданных параметров сетевой трафик, а в случае необходимости и фильтрующий его. Также может называться фаейрволом (Firewall) или брандмауэром.

Назначение межсетевых экранов

Сетевой экран используется для защиты отдельных сегментов сети или хостов от возможного несанкционированного проникновения через уязвимости программного обеспечения, установленного на ПК, или протоколов сети. Работа межсетевого крана заключается в сравнении характеристик проходящего сквозь него трафика с шаблонами уже известного вредоносного кода.

Наиболее часто сетевой экран инсталлируется на границе периметра локальной сети, где он выполняет защиту внутренних узлов. Тем не менее, атаки могут инициироваться изнутри, поэтому при атаке на сервер той же сети, межсетевой экран не воспримет это как угрозу. Это стало причиной, по которой брандмауэры стали устанавливать не только на границе сети, но и между её сегментами, что значительно повышает степень безопасности сети.

История создания

Свою историю сетевые экраны начинают с конца восьмидесятых прошлого века, когда Интернет ещё не стал повседневной вещью для большинства людей. Их функцию выполняли маршрутизаторы, осуществлявшие анализ трафика на основе данных из протокола сетевого уровня. Затем, с развитием сетевых технологий, эти устройства смогли использовать данные уже транспортного уровня. По сути, маршрутизатор являет собой самую первую в мире реализацию программно-аппаратного брандмауэра.

Программные сетевые экраны возникли много позже. Так, Netfilter/iptables, межсетевой экран для Linux, был создан только в 1998 году. Связано это с тем, что ранее функцию фаейрвола выполняли, и весьма успешно, антивирусные программы, но с конца 90-х вирусы усложнились, и появление межсетевого экрана стало необходимым.

Фильтрация трафика

Трафик фильтруется на основе заданных правил – ruleset. По сути, межсетевой экран представляет собой последовательность анализирующих и обрабатываемых трафик фильтров согласно данному пакету конфигураций. У каждого фильтра своё назначение; причём, последовательность правил может значительно влиять на производительность экрана. К примеру, большинство файрволов при анализе трафика последовательно сравнивают его с известными шаблонами из списка – очевидно, что наиболее популярные виды должны располагаться как можно выше.

Принципов, по которому осуществляется обработка входящего трафика, бывает два. Согласно первому разрешаются любые пакеты данных, кроме запрещённых, поэтому если он не попал ни под какое ограничение из списка конфигураций, он передается далее. Согласно второму принципу, разрешаются только те данные, которые не запрещены – такой метод обеспечивает самую высокую степень защищенности, однако существенно нагружает администратора.

Межсетевой экран выполняет две функции: deny, запрет данных – и allow – разрешение на дальнейшую передачу пакет. Некоторые брандмауэры способны выполнять также операцию reject – запретить трафик, но сообщить отправителю о недоступности сервиса, чего не происходит при выполнении операции deny, обеспечивающей таким образом большую защиту хоста.

Типы межсетевых экранов (Firewall)

Чаще всего межсетевые экраны классифицируют по поддерживаемому уровню сетевой модели OSI. Различают:

• Управляемые коммутаторы;
• Пакетные фильтры;
• Шлюзы сеансового уровня;
• Посредники прикладного уровня;
• Инспекторы состояния.

Управляемые коммутаторы

Нередко причисляются к классу межсетевых экранов, но осуществляют свою функцию на канальном уровне, поэтому не способны обработать внешний трафик.

Некоторые производители (ZyXEL, Cisco) добавили в свой продукт возможность обработки данных на основе MAC-адресов, которые содержатся в заголовках фреймов. Тем не менее, даже этот метод не всегда приносит ожидаемый результат, так как мак-адрес можно легко изменить с помощью специальных программ. В связи с этим в наши дни коммутаторы чаще всего ориентируются на другие показатели, а именно на VLAN ID.

Виртуальные локальные сети позволяют организовывать группы хостов, в которые данные стопроцентно изолированы от внешних серверов сети.

В рамках корпоративных сетей управляемые коммутаторы могут стать весьма эффективным и сравнительно недорогим решением. Главным их минусом является неспособность обрабатывать протоколы более высоких уровней.

Пакетные фильтры

Пакетные фильтры используются на сетевом уровне, осуществляя контроль трафика на основе данных из заголовка пакетов. Нередко способны обрабатывать также заголовки протоколов и более высокого уровня – транспортного (UDP, TCP), Пакетные фильтры стали самыми первыми межсетевыми экранами, остаются самыми популярными и на сегодняшний день. При получении входящего трафика анализируются такие данные, как: IP получателя и отправителя, тип протокола, порты получателя и источника, служебные заголовки сетевого и транспортного протоколов.

Уязвимость пакетных фильтров заключается в том, что они могут пропустить вредоносный код, если он разделен на сегменты: пакеты выдают себя за часть другого, разрешённого контента. Решение этой проблемы заключается в блокировании фрагментированных данных, некоторые экраны способны также дефрагментировать их на собственном шлюзе – до отправки в основной узел сети. Тем не менее, даже в этом случае межсетевой экран может стать жертвой DDos-атаки.

Пакетные фильтры реализуются в качестве компонентов ОС, пограничных маршрутизаторов или персональных сетевых экранов.

Пакетные фильтры отличаются высокой скоростью анализа пакетов, отлично выполняют свои функции на границах с сетями низкой степени доверия. Тем не менее, они неспособны анализировать высокие уровни протоколов и легко могут жертвами атак, при которых подделывается сетевой адрес.

Шлюзы сеансового уровня

Использование сетевого экрана позволяет исключить прямое взаимодействие внешних серверов с узлом – в данном случае он играет роль посредника, называемого прокси. Он проверяет каждый входящий пакет, не пропуская те, что не принадлежат установленному ранее соединению. Те пакеты, которые выдают себя за пакеты уже завершённого соединения, отбрасываются.

Шлюз сеансового уровня – единственное связующее звено между внешней и внутренней сетями. Таким образом, определить топологию сети, которую защищает шлюз сеансового уровня, становится затруднительно, что значительно повышает её защищённость от DoS-атак.

Тем не менее, даже у этого решения есть значительный минус: ввиду отсутствия возможности проверки содержания поля данных хакер относительно легко может передать в защищаемую сеть трояны.

Посредники прикладного уровня

Как и шлюзы сеансового уровня, фаейрволы прикладного уровня осуществляют посредничество между двумя узлами, но отличаются существенным преимуществом – способностью анализировать контекст передаваемых данных. Сетевой экран подобного типа может определять и блокировать нежелательные и несуществующие последовательности команд (подобное часто означает ДОС-атаку), а также запрещать некоторые из них вообще.

Посредники прикладного уровня определяют и тип передаваемой информации – ярким примером являются почтовые службы, запрещающие передачу исполняемых файлов. Кроме этого они могут осуществлять аутентификацию пользователя, наличие у SSL-сертификатов подписи от конкретного центра.

Главным минусом такого типа сетевого экрана является долгий анализ пакетов, требующий серьёзных временных затрат. Помимо этого, у посредников прикладного уровня нет автоподключения поддержки новых протоколов и сетевых приложений.

Инспекторы состояния

Создатели инспекторов состояния поставили перед собой цель собрать воедино преимущества каждого их выше перечисленных типов сетевых экранов, получив таким образом брандмауэр, способный обрабатывать трафик как на сетевом, так и на прикладном уровнях.

Инспекторы состояния осуществляют контроль:

• всех сессий – основываясь на таблице состояний,
• всех передаваемых пакетов данных – на основе заданной таблицы правил,
• всех приложений, на основе разработанных посредников.

Фильтрация трафика инспектора состояния происходит тем же образом, что и при использовании шлюзов сеансового уровня, благодаря чему его производительность гораздо выше, чем у посредников прикладного уровня. Инспекторы состояния отличаются удобным и понятным интерфейсом, лёгкой настройкой, обладают широкими возможностями расширения.

Реализация межсетевых экранов

Межсетевые экраны (Firewall) могут быть либо программно-аппаратными, ибо программными. Первые могут быть выполнены как в виде отдельного модуля в маршрутизаторе или коммутаторе, так и специального устройства.

Чаще всего пользователи выбирают исключительно программные межсетевые экраны – по той причине, что для их использования достаточно лишь установки специального софта. Тем не менее, в организациях нередко найти свободный компьютер под заданную цель, бывает затруднительно – к тому же, отвечающий всем техническим требованиям, зачастую довольно высоким.

Именно поэтому крупные компании предпочитают установку специализированных программно-аппаратных комплексов, получивших название «security appliance». Работают они чаще всего на основе систем Linux или же FreeBSD, ограниченных функционалом для выполнения заданной функции.

Такое решение имеет следующие преимущества:

• Лёгкое и просто управление: контроль работы программно-аппаратного комплекса осуществляется с любого стандартного протокола (Telnet, SNMP) – или защищённого (SSL, SSH).
• Высокая производительность: работа операционной системы направлена на одну единственную функцию, из неё исключены любые посторонние сервисы.
• Отказоустойчивость: программно-аппаратные комплексы эффективно выполняют свою задачу, вероятность сбоя практически исключена.

Ограничения межсетевого экрана (Firewall-а)

Сетевой экран не проводит фильтрацию тех данных, которые не может интерпретировать. Пользователь сам настраивает, что делать с нераспознанными данными – в файле конфигураций, согласно которым и осуществляется обработка такого трафика. К таким пакетам данным относятся трафик из протоколов SRTP, IPsec, SSH, TLS, которые используют криптографию для скрытия содержимого, протоколы, шифрующие данные прикладного уровня (S/MIME и OpenPGP). Также невозможна фильтрация туннелирования трафика, если механизм того туннелирования непонятен сетевому экрану. Значительная часть недостатков межсетевых экранов исправлена в UTM-системах - Unified Threat Management , иногда их так же называют NextGen Firewall.

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел.

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

При этом для определения состава компонентов защиты периметра, обеспечивающих минимальный (начальный) уровень информационной безопасности, необходимо произвести анализ наиболее распространенных угроз информационным ресурсам организации:
сетевые атаки, направленные на недоступность информационных ресурсов (к примеру, web-серверов, сервисов электронной почты и т.д.) - атаки класса DoS и DDoS;
компрометация информационных ресурсов и эскалация привилегий как со стороны инсайдеров, так и внешних злоумышленников, как с целью использования ваших ресурсов, так и с целью нанесения ущерба;
действия вредоносного программного кода (вирусы, сетевые черви, трояны, программы-шпионы и т.д.);
утечка конфиденциальной информации и похищение данных как через сеть (e-mail, FTP, web и пр.), так и через внешние носители;
различные сетевые атаки на приложения.

Для минимизации угроз информационной безопасности необходимо внедрение межсетевых экранов в разных уровнях модели OSI, как показано в таблице.

Таблица. Межсетевые экраны и модели OSI

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (табл.). Модель OSI, разработанная Международной организацией по стандартизации, определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, - начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Могут быть выбраны следующие методы контроля трафика между локальной и внешней сетью:
1. Фильтрация пакетов - основан на настройке набора фильтров. В зависимости от того, удовлетворяет ли поступающий пакет указанным в фильтрах условиям, он пропускается в сеть либо отбрасывается.
2. Данный класс маршрутизаторов представляет собой транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Как правило, пункт назначения задается заранее, в то время как источников может быть много. Используя различные порты, можно создавать разнообразные конфигурации соединений. Данный тип шлюза позволяет создать транслятор TCP-соединения для любого определенного пользователем сервиса, базирующегося на ТСР, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
3. Proxy-сервер - между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через которые должен проходить весь входящий и исходящий трафик. Statefulinspection - инспектирование входящего трафика - один из самых передовых способов реализации межсетевого экрана. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнение с заранее известными значениями из базы данных разрешенных ресурсов. Данный метод обеспечивает наибольшую производительность работы межсетевого экрана и наименьшие задержки.

Принцип действия межсетевого экрана основан на контроле поступающего извне трафика.

Межсетевой экран может быть выполнен аппаратно или программно. Конкретная реализация зависит от масштаба сети, объема трафика и необходимых задач. Наиболее распространенным типом брандмауэров является программный. В этом случае он реализован в виде программы, запущенной на конечном ПК, либо пограничном сетевом устройстве, например, маршрутизаторе. В случае аппаратного исполнения межсетевой экран представляет собой отдельный сетевой элемент, обладающий обычно большими производительными способностями, но выполняющий аналогичные задачи.

Межсетевой экран позволяет настраивать фильтры, отвечающие за пропуск трафика по следующим критериям:
1. IP-адрес. Как известно, любое конечное устройство, работающее по протоколу IP, должно иметь уникальный адрес. Задав какой-то адрес либо определенный диапазон, можно запретить получать из них пакеты, либо, наоборот, разрешить доступ только с данных IP-адресов.
2. Доменное имя. Как известно, сайту в сети Интернет, точнее его IP-адресу, может быть поставлено в соответствие буквенно-цифровое имя, которое гораздо проще запомнить, чем набор цифр. Таким образом, фильтр может быть настроен на пропуск трафика только к/от одного из ресурсов, либо запретить доступ к нему.
3. Порт. Речь идет о программных портах, т.е. точках доступа приложений к услугам сети. Так, например, ftp использует порт 21, а приложения для просмотра web-страниц порт 80. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо, наоборот, разрешить доступ только к ним.
4. Протокол. Межсетевой экран может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Обычно тип протокола может говорить о выполняемых задачах используемого им приложения и о наборе параметров защиты. Таким образом, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.

Выше перечислены только основные параметры, по которым может быть произведена настройка. Также могут применяться другие параметры для фильтров, специфичные для данной конкретной сети, в зависимости от выполняемых в ней задач.

Таким образом, межсетевой экран предоставляет комплексный набор задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети. Обычно межсетевой экран используется в совокупности с другими средствами защиты, например, антивирусное ПО.

Создание политики фильтрации для межсетевых экранов
Существует два основных способа создания наборов правил межсетевого экрана: «включающий» и «исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам, и блокирует все остальное.

Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика. Поэтому включающий межсетевой экран является лучшим выбором для систем, предоставляющих сервисы в сети Интернет. Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть. Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Безопасность может быть дополнительно повышена с использованием «межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.

В качестве примера можно рассмотреть создание правил фильтрации в простом пакетном фильтре. Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простым является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:

1. Можно рассмотреть следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Пишется это правило следующем образом:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Источник —— —— Назначение ——

Теперь можно применить правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам - адресу в правиле и адресу в пакете. Затем проверяется, одинаковы ли адреса источника и назначения. В результате будем иметь:

Для адреса источника:

10.1.0.0 & 255.255.0.0 = 10.1.0.0 (для правила)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (для пакета)

После применения маски оба адреса совпадают. Проверим теперь адрес назначения:

10.2.0.0 & 255.255.0.0 = 10.2.0.0 (для правила)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (для пакета)

Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.

Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Кроме адресов источника и назначения, каждый IP-пакет заключает в себе информацию об используемых протоколе и сервисе. Ее можно использовать как дополнительный параметр фильтрации.

Например, сервисы в протоколе TCP всегда связаны с портом. В результате можно привести в соответствие список портов с адресами.

Воспользуемся для примера двумя хорошо знакомыми сервисами - POP3 и HTTP. POP3 использует порт 110, а HTTP - порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Источник —— —— Назначение —— Протокол – Порты —

Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.

Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.

С учетом этой новой информации набор правил будет иметь следующий формат:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 ICMP 0 8

Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейс источника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса.

Цель такой процедуры состоит в блокировании атаки, известной как IP-спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника (из внутренней сети). При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.

В Одноклассники