А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков

51
функций экранирования. Кроме того, экранирование позволяет контролиро- вать информационные потоки, исходящие во внешнюю среду, что способст- вует поддержанию во внутренней области режима конфиденциальности. Кро- ме функций разграничения доступа, МЭ может обеспечивать выполнение до- полнительных функций безопасности (аутентификацию, контроль целостно- сти, фильтрацию содержимого, обнаружение атак, регистрацию событий).
МЭ не является симметричным устройством, для него определены поня- тия «внутри» и «снаружи» (входящий и исходящий трафики). При этом задача экранирования формулируется как защита внутренней области от неконтро- лируемой и потенциально враждебной внешней.
3.2. Компоненты межсетевого экрана
В общем случае алгоритм функционирования МЭ сводится к выполне- нию двух групп функций, одна из которых ограничивает перемещение данных
(фильтрация информационных потоков), а вторая, наоборот, ему способствует
(посредничество в межсетевом взаимодействии). Следует отметить, что вы- полнение МЭ указанных групп функций может осуществляться на разных уровнях модели OSI. Принято считать, что чем выше уровень модели OSI, на котором МЭ обрабатывает пакеты, тем выше обеспечиваемый им уровень за- щиты.
Как отмечено выше, МЭ может обеспечивать защиту АС за счет фильт- рации проходящих через него сетевых пакетов, то есть посредством анализа содержимого пакета по совокупности критериев на основе заданных правил и принятия решения о его дальнейшем распространении в (из) АС. Таким обра- зом, МЭ реализует разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного типа между субъектами и объектами. Как следствие, субъекты одной АС получают доступ только к разрешенным информационным объек- там другой АС. Интерпретация набора правил выполняется последовательно- стью фильтров, которые разрешают или запрещают передачу данных (паке- тов) на следующий фильтр. МЭ или один из его компонентов, функциони- рующий вышеописанным образом, называют пакетным фильтром.
Пакетный фильтр функционирует на сетевом уровне модели OSI
(рис. 3.2). Значимой для функционирования пакетного фильтра информацией является:
− IP-адрес отправителя;
− IP-адрес получателя;
− тип протокола (TCP, UDP, ICMP);
− порт отправителя (для TCP, UDP);
− порт получателя (для TCP, UDP);
− тип сообщения (для ICMP); а иногда и другая информация (например, время суток, день недели и т.д.).

52
Рис. 3.2. Место пакетного фильтра в модели OSI
В англоязычной литературе рассмотренный компонент МЭ чаще всего обозначают термином «stateless packet filter» или просто «packet filter». Дан- ные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Основным недостатком является их уяз- вимость при атаке, называемой IP-спуфинг — фальсификации адресов отпра- вителя сообщений. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Другой вариант алгоритма функционирования МЭ предполагает, что защита АС обеспечивается с помощью экранирующего агента, который про- веряет допустимость полученного запроса субъекта к объекту, при положи- тельном результате этой проверки устанавливает свое соединение с объектом, а затем обеспечивает пересылку информации между субъектом и объектом взаимодействия, осуществляя контроль и/или регистрацию. В то же время в случае «прозрачных» агентов субъекту кажется, что он непосредственно взаимодействует с объектом. Использование экранирующих агентов позволя- ет обеспечить дополнительную защитную функцию — сокрытие истинного субъекта взаимодействия.
Выделяют два вида экранирующих агентов в зависимости от того, на каком уровне модели OSI они выполняют свои функции (рис. 3.3): экрани- рующий транспорт и экранирующий шлюз.

53
(а) (б)
Рис. 3.3. Место экранирующего агента в модели OSI:
(а) — экранирующий транспорт; (б) — экранирующий шлюз
Экранирующий транспорт или шлюз сеансового уровня (в англоязычной литературе используется термин «circuit-level gateway») контролирует допус- тимость устанавливаемого соединения, участвует в формировании канала пе- редачи данных и не позволяет проходить пакетам, не относящимся к разре- шенным сеансам связи. Функционирование данного компонента связано лишь с сессиями протокола TCP. Так как при посредничестве шлюз сеансового уровня анализирует информацию, содержащуюся лишь в заголовках протоко- ла TCP без какого-либо предположения об используемом прикладном прото- коле, то существует уязвимость, заключающаяся в том, что в рамках разре- шенного установленного соединения приложение может осуществлять пере- дачу произвольных неконтролируемых данных. Как правило, вышеописанный компонент используется лишь в сочетании с другими, а не отдельно.
Более надежную защиту обеспечивает экранирующий шлюз или шлюз прикладного уровня (в англоязычной литературе используется термин «appli- cation-level gateway» или «application proxy»), так как он проверяет содержи- мое каждого проходящего через шлюз пакета на прикладном уровне, где для анализа доступны служебные поля заголовка прикладного протокола и ин- формация пользователя. Прикладной шлюз представляет собой программу- посредник (в англоязычной литературе используется термин «proxy server»), разработанную для конкретного сервиса сети Интернет. Следовательно, при внедрении сервисов, основанных на новых прикладных протоколах, появляет- ся необходимость в разработке новых программ-посредников.
Дальнейшее развитие различных технологий межсетевого экранирова- ния и их взаимопроникновение привело к появлению гибридных компонентов
МЭ, сочетающих в себе достоинства всех трех ранее рассмотренных компо-

54
нентов и лишенных некоторых их недостатков. Такие системы, чаще всего на- зываемые МЭ экспертного уровня (в англоязычной литературе используются термины «stateful inspection firewall» или «deep packet inspection firewall»), функционируют на всех уровнях модели OSI: от сетевого до прикладного включительно (рис. 3.4). Они обладают высокими показателями по произво- дительности функционирования (пакетный фильтр) и по обеспечиваемому уровню безопасности (шлюз прикладного уровня).
Рис. 3.4. Место МЭ экспертного уровня в модели OSI
Первые реализации таких компонентов, называемые пакетными фильт- рами с динамической фильтрацией (dynamic packet filter), не функционирова- ли на уровнях выше сеансового. Их отличие от простого пакетного фильтра состояло в том, что последний принимает решение о фильтрации трафика на основе анализа информации, содержащейся только в текущем пакете без ка- кой-либо логической связи с предыдущими обработанными пакетами, в то время как при динамической фильтрации учитывается контекст установлен- ных или устанавливаемых соединений.
Инспекционный модуль более поздних реализаций МЭ экспертного уровня имеет доступ ко всему содержимому пакета и может анализировать служебные поля заголовков протоколов всех уровней модели OSI (в том числе прикладного) и пользовательские данные. В дополнение к этому инспекцион- ный модуль заносит в динамически создаваемую таблицу состояния связей всю информацию о сетевых соединениях, но, в отличие от шлюза сеансового уровня, создает записи виртуальных соединений как для протокола TCP, так и для протокола UDP. Инспекционный модуль МЭ экспертного уровня загру- жается в ядро операционной системы и располагается между канальным и се- тевым уровнями модели OSI, что обеспечивает обработку всего входящего и исходящего трафика на всех сетевых интерфейсах системы.

55
Особенность функционирования МЭ экспертного уровня состоит в том, что он не оказывает посреднических услуг сетевого взаимодействия на сеан- совом и прикладном уровнях модели OSI. Вместо этого он использует специ- фические технологии распознавания допустимых соединений (в том числе с динамически назначаемыми номерами портов) и улучшенные алгоритмы об- работки данных уровня приложения.
3.3. Политика межсетевого экранирования
При настройке политики межсетевого экранирования рассматривают два аспекта сетевой безопасности: политику доступа к сетевым ресурсам и политику реализации собственно МЭ. Политика доступа к сетевым ресурсам отражает общие требования по безопасности той или иной организации, и при ее разработке должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. Указанные правила опи- сывают, какой внутренний (внешний) пользователь (группа пользователей), когда, с какого внутреннего (внешнего) узла сети и каким сервисом может воспользоваться с уточнением в случае необходимости способов аутентифи- кации пользователей и адресов целевых серверов.
Политика реализации МЭ определяет, каким образом применяется по- литика доступа к сетевым ресурсам, и в ряде случаев зависит от используемых сервисов и выбранных средств построения экрана. Как правило, при выборе политики реализации МЭ останавливаются на одной из двух базовых страте- гий:
− разрешать все, что явно не запрещено;
− запрещать все, что явно не разрешено.
Хотя может показаться, что эти две стратегии очень просты и почти не отличаются друг от друга, на самом деле это не так. При выборе первой стра- тегии МЭ по умолчанию разрешает все сервисы, которые не указаны как за- прещенные. В этом случае для обеспечения безопасности сети придется соз- давать правила, которые учитывали бы все возможные запреты. Это не только приведет к необходимости описания большого количества правил, но и заста- вит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.
Вторая стратегия строже и безопаснее. Намного проще управлять МЭ, запретив весь трафик по умолчанию и задав правила, разрешающие прохож- дение через границу сети только необходимых протоколов и сервисов. Запрет всего трафика по умолчанию обеспечивается вводом правила «Запрещено все» в последней строке таблицы фильтрации. Однако в ряде случаев, в част- ности при использовании простого пакетного фильтра, описание правил до- пустимых сервисов также сопряжено с трудоемким процессом, требующим досконального знания алгоритмов функционирования протоколов в рамках того или иного сервиса.

56
3.4. Архитектура МЭ
После определения требований по безопасности защищаемой сети и разработки политики доступа к сетевым ресурсам возникает задача проекти- рования МЭ. В зависимости от требований к межсетевому обмену организа- ции и степени обеспечиваемой защищенности периметра ее сети в МЭ может входить от одного до нескольких рассмотренных компонентов. Состав и спо- соб их взаимного расположения определяет архитектуру МЭ. Существуют следующие базовые схемы построения МЭ (могут быть модифицированы в другие варианты конфигурации) на основе:
− фильтрующего маршрутизатора;
− двудомного узла (узла с двумя сетевыми интерфейсами);
− экранирующего узла;
− экранирующей сети.
МЭ на основе фильтрующего маршрутизатора представляет собой аппа- ратный или программный маршрутизатор на периметре защищаемой сети, в котором определен набор правил, устанавливающих разрешенные сетевые сервисы (рис. 3.5). Каждый сетевой пакет перед принятием решения о его маршрутизации проверяется на принадлежность к разрешенному типу трафи- ка. Достоинства и недостатки данной схемы МЭ определяются возможностя- ми функционирующего на маршрутизаторе пакетного фильтра.
Рис. 3.5. МЭ на основе фильтрующего маршрутизатора
МЭ на основе двудомного узла представляет собой компьютер с двумя сетевыми интерфейсами, один из которых подключен к защищаемой внутрен- ней сети, а второй — к внешней (рис. 3.6). Стандартная служба маршрутиза- ции сетевых пакетов в ОС двудомного узла отключается для того, чтобы не- посредственное взаимодействие между узлами внутренней и внешней сети было невозможным. Межсетевое взаимодействие в рамках разрешенных сер- висов обеспечивается прокси-сервером, функционирующим на двудомном уз- ле. Схема по сравнению с предыдущей характеризуется большей степенью безопасности, но предоставляемый пользователям сети набор сервисов огра- ничен и определяется ПО прокси-сервера.

57
Рис. 3.6. МЭ на основе двудомного узла
МЭ на основе экранирующего узла представляет собой комбинацию предыдущих схем: в состав его входят фильтрующий маршрутизатор на пе- риметре и прокси-сервер, функционирующий на узле-бастионе с одним ин- терфейсом, во внутренней сети (рис. 3.7). Пакетный фильтр на маршрутизато- ре конфигурируется таким образом, что разрешенный входящий и выходящий сетевой трафик обязательно проходит через узел-бастион. Схема характеризу- ется большей гибкостью по сравнению со схемой МЭ на основе двудомного узла, так как сервис, не поддерживаемый прокси-сервером, может быть раз- решен напрямую через маршрутизатор.
Рис. 3.7. МЭ на основе экранирующего узла
Схема МЭ на основе экранирующей сети представляет собой развитие предыдущей схемы и отличается от нее наличием дополнительного маршру- тизатора (рис. 3.8). Между внешним и внутренним фильтрующими маршрути- заторами создается «менее защищаемая» сеть, называемая периметровой се- тью или демилитаризованной зоной (DMZ), которая «экранирует» защищае- мую сеть от внешнего мира. Как правило, в периметровой сети устанавлива- ются узлы с прокси-сервером и серверами открытых сервисов.

58
Рис. 3.8. МЭ на основе экранирующей сети
3.5. Пример реализации политики МЭ
Для иллюстрации возможностей технологий межсетевого экранирова- ния рассмотрим два различных варианта решения следующей задачи. Пусть согласно политике безопасности некоторой организации для пользователей защищаемой сети необходимо обеспечить только сервис электронной почты, т. е. МЭ должен обеспечивать прохождение только почтового трафика между любым внутренним клиентом и определенным почтовым сервером во внеш- ней сети по протоколам SMTP и POP3.
Первый вариант решения задачи — использование схемы МЭ на основе двудомного узла, соединяющего внутреннюю и внешнюю сети. На этом узле, выполняющем функции прокси-сервера, отключается служба маршрутизации пакетов и устанавливается шлюз прикладного уровня, обеспечивающий функционирование только протоколов электронной почты. Программы почто- вых клиентов на узлах внутренней сети настраиваются на работу с внешним почтовым сервером через данный прокси-сервер, при этом в их настройках указывается адрес внутреннего сетевого интерфейса двудомного узла. Схема информационного обмена между клиентом и сервером изображена на рис. 3.9.
Сверху и снизу на рисунке стрелками показаны схемы обмена пакетами кли- ента и сервера при отправке почтовых сообщений и выемке почтовой коррес- понденции соответственно. На рисунке цифрами изображены номера портов источника и назначения при использовании протоколов SMTP и POP3 (порты
25 и 110 прокси-сервера в реальной ситуации могут быть другими). Так как служба маршрутизации на двудомном узле отключена, то кроме пакетов, изо- браженных на схеме информационного обмена, никакие другие сетевые паке- ты через него проходить не будут.

59
Рис. 3.9. Схема информационного обмена при использовании двудомного узла
Заметим, что некоторые прокси-серверы позволяют определить списки:
− пользователей (адресов внутренних узлов), которым (с которых) разре- шается использование сервиса электронной почты;
− адресов внешних серверов, к которым разрешено подключение внут- ренних клиентов.
Второй вариант решения задачи — использование схемы МЭ на основе фильтрующего маршрутизатора. Соответствующая поставленной задаче схема информационного обмена между клиентом и сервером изображена на рис. 3.10.
Рис. 3.10. Схема информационного обмена при использовании фильтрующего маршрутизатора
Для пакетного фильтра определяются правила фильтрации пакетов, проходящих через сетевые интерфейсы 1 и 2, подключенные к внутренней и внешней сети соответственно. При описании правил фильтрации составляется таблица, обычно содержащая следующие поля: «Номер правила» (нумерация ведется буквами латинского алфавита), «Направление» (вход или выход),
«Протокол» (тип пакета), «Адрес источника», «Порт источника», «Адрес по- лучателя», «Порт получателя», «Действие» (разрешить, запретить, игнориро-

60
вать). Для ICMP-пакетов вместо полей «Порт источника/назначения» исполь- зуется поле «Тип ICMP-сообщения».
В случае использования статического пакетного фильтра для каждо- го сетевого интерфейса разрабатывается своя таблица правил фильтрации
(табл. 3.1 и табл. 3.2). Слова «Клиенты» и «Сервер» в реальной таблице фильтрации заменяются диапазоном IP-адресов клиентов и IP-адресом внеш- него почтового сервера соответственно. В столбце «Направление» указывает- ся направление сетевого пакета по отношению к МЭ. Так, направление паке- тов, поступающих в МЭ, обозначается словом «Вход», а для пакетов, исходя- щих из МЭ, применяется слово «Выход». Символ «*» обозначает «любой».
Таблица 3.1.
Правила фильтрации пакетов для интерфейса 1
Прави- ло
Направ- ление
Прото- кол
Адрес источ- ника
Порт источни- ка
Адрес назначе- ния
Порт назначе- ния
Действие
А
Вход TCP
Клиенты
>1024
Сервер 25
Разрешить
В
Выход TCP Сервер 25 Клиенты >1024 Разрешить
С
Вход TCP
Клиенты
>1024
Сервер 110
Разрешить
D
Выход TCP Сервер 110 Клиенты >1024 Разрешить
E
* * * * * *
Запретить
Таблица 3.2.
Правила фильтрации пакетов для интерфейса 2
Прави- ло
Направ- ление
Прото- кол
Адрес источ- ника
Порт источни- ка
Адрес назначе- ния
Порт назначе- ния
Действие
А
Выход
TCP
Клиенты
>1024
Сервер 25
Разрешить
В
Вход TCP
Сервер 25 Клиенты >1024 Разрешить
С
Выход TCP
Клиенты
>1024
Сервер 110
Разрешить
D
Вход TCP
Сервер 110 Клиенты >1024 Разрешить
E
* * * * * *
Запретить
В простейшем случае правила фильтрации для разных сетевых интер- фейсов (табл. 3.1 и табл. 3.2) отличаются лишь значением поля «Направле- ние». Правила A и B обеих таблиц разрешают отправку клиентами почтовых сообщений, правила C и D разрешают выемку клиентами почтовой коррес- понденции, правила E запрещают прохождение любого трафика через сетевые интерфейсы.
В случае использования в фильтрующем маршрутизаторе программного обеспечения динамического фильтра таблицы фильтрации пакетов для каждо- го сетевого интерфейса заменяются одной, относящейся к МЭ в целом
(табл. 3.3).

61
Таблица 3.3.
Правила фильтрации пакетов динамического фильтра
Правило
Адрес источника
Адрес назначения
Сервис
Действие
A
Клиенты
Сервер SMTP
(порт 25)
Разрешить
B
Клиенты
Сервер POP3
(порт 110)
Разрешить
C
* * *
Запретить
Правила A и B табл. 3.3 разрешают прохождение запросов на установле- ние соединения от внутренних клиентов к почтовому серверу, поэтому все по- следующие пакеты, принадлежащие разрешенному соединению, будут бес- препятственно проходить через динамический фильтр. Правило C запрещает прохождение любого трафика через сетевые интерфейсы маршрутизатора.