лекция ОРА. ОРА. Лекция 5. Лекция 5 Межсетевой экран (брандмауэр)
 Скачать 19.81 Kb.
|
|
Лекция 5 Межсетевой экран (брандмауэр) Межсетевой экран (МСЭ), или брандмауэр (firewall), — это комплекс технических, программных и организационных мер по безопасному подключению одной сети к другой. В зависимости от решаемых задач и конфиденциальности защищаемой информации это может быть просто небольшая программа, установленная на компьютере, или же специализированные аппаратные средства, реализующие требования конкретной организации. Обычно по общим соображениям безопасности в качестве межсетевого экрана рекомендуется использовать автономное устройство. Иными словами, в случае программной реализации брандмауэра на этот компьютер не следует возлагать решение никаких других задач. Что может межсетевой экран и чего не стоит от него ожидать? Межсетевой экран осуществляет фильтрацию как передаваемых данных, так и принимаемой информации. Он позволяет отсечь те пакеты, которые нежелательны для данной сети, и направлять внешний трафик только к назначенным компьютерам. Межсетевые экраны скрывают внутреннюю структуру локальной сети. В то же время межсетевой экран никоим образом не защищает от "дыр", которые могут быть в разрешенных сервисах и которыми может воспользоваться злоумышленник для проникновения в локальную сеть. Так, широко известен пример, когда в одну из версий популярного бесплатного FTP-сервера был встроен троянский вирус, позволяющий перехватывать управление сервером. Пример подключения к ресурсам локальной сети через межсетевой экран приведен также в разд. "Доступ из-за межсетевого экрана" далее в этой главе. Варианты организации межсетевых экранов Все способы фильтрации, применяемые в традиционных межсетевых экранах, условно можно разделить на фильтрацию пакетов и использование шлюзов уровня сессии или уровня приложения. В большинстве случаев реальные системы комбинируют эти варианты. Фильтрация пакетов При фильтрации пакетов разрешения на прием/передачу данных выдаются только на основе анализа IP-адреса и номера порта источника пакета и его назначения. Данный вариант является самым простым и быстрым способом реализации межсетевого экрана. Шлюзы Шлюзы уровня сессии организуют временные соединения между клиентом и хостом Интернета на основе некоторых заданных правил. После создания такого канала вся информация, передаваемая по нему, свободно пропускается. После завершения сессии канал уничтожается. Более совершенным считается другой способ организации шлюзов — шлюзы уровня приложения (часто называют прокси-серверами). Прокси-серверы обычно принимают запросы (как извне сети, так и изнутри), аутентифицируют пользователя, анализируют запросы и перенаправляют их в зависимости от содержимого (например, заблокируют определенный запрос на внутренний веб-сервер, а другой отошлют на соответствующее устройство). Фактически между клиентом и хостом Интернета образуется цепочка из двух соединений: от клиента до прокси и от прокси до хоста Интернета. Таким образом, запрещается прямой доступ к внутренним ресурсам организации, а весь трафик считается исходящим (входящим) от имени прокси-сервера. Прокси-серверы имеют развитые возможности аутентификации пользователей, хорошие механизмы протоколирования своей работы и обеспечивают наибольший уровень защиты локальной сети. Intrusion Prevention Systems Описанные выше способы фильтрации трафика в конечном итоге разрешают по тем или иным правилам доступ "хорошим" пользователям (или службам) и запрещают "плохим". Такая практика постепенно теряет свою эффективность, поскольку вредоносные коды все больше и больше "подстраиваются" под существующие методы защиты. Например, что мешает какой-либо программе воспользоваться разрешением доступа в Интернет для передачи "подсмотренных" на компьютере данных на какой-либо сервер глобальной сети, маскируясь при этом под обычную работу пользователя? А если деятельность компании тесно связана с глобальной сетью, то сетевые атаки на ее серверы, имеющие целью вызвать отказ в обслуживании клиентов, могут повлечь за собой миллионные убытки. Для предотвращения подобных вторжений в инфраструктуру предприятия стали применяться аппаратные и программные решения, контролирующие содержание передаваемых по сети пакетов с целью обнаружения подозрительной активности. Первоначально такие системы контролировали сеть параллельно основным устройствам и выдавали сигналы опасности при обнаружении подозрительных данных. Они получили название Intrusion Detection Systems (IDS). Принцип действия IPS основан, прежде всего, на сравнении информации, передаваемой по сети, с заранее известными сигнатурами, которые присутствуют в пакетах, передаваемых червями, в пакетах программ, использующих те или иные уязвимости программного обеспечения, и т. п. Состав сигнатур постоянно обновляется с сайтов разработчиков IPS. Кроме того, IPS могут обнаруживать аномальные изменения трафика (например, резкое увеличение пакетов определенного типа) и сохранять пропускную способность канала для "полезных" данных. Понятно, что с увеличением количества сигнатур, учитываемых при анализе содержимого пакета данных, растет нагрузка на устройство и, в конечном итоге, снижается его пропускная способность, поэтому надежно защитить весь сетевой трафик организации практически невозможно. Например, функция Cisco Intrusion Detection Systems включена в ПО коммутаторов Cisco, начиная с IOS Software Release 12.0.(5), но производитель предупреждает о снижении производительности устройства при увеличении числа сигнатур в используемых политиках предотвращения атак. IPS применяют в пограничных точках: на стыке Интернета и локальной сети организации, между серверным сегментом и пользовательской частью. Использование решений данного класса чувствительно увеличивает расходы предприятия с одной стороны и предъявляет повышенные требования к уровню подготовки администратора с другой стороны. Поскольку подобные дополнительные расходы для небольших предприятий обычно не оправданы, то в них используются традиционные программы брандмауэров. В то же время данная функциональность стала включаться в антивирусное программное обеспечение ведущих вендоров, занимающихся вопросами безопасности. Варианты межсетевых экранов В распоряжении администраторов имеются как аппаратные межсетевые экраны, так и программные решения. Различие между этими двумя вариантами достаточно условно. Аппаратный модуль — это фактически специализированная под определенную задачу та или иная вычислительная система. Обычно для него создается операционная система (например, IOS у Cisco) или используется бесплатная версия Linux. Программные варианты предполагают установку на типовые операционные системы, например: на Linux, операционные системы от Microsoft и т. п. Аппаратные решения На сегодня для малых предприятий наиболее дешевым решением являются аппаратные межсетевые экраны (стоимость их менее $200). Такие модели выпускают практически все производители коммутационного оборудования. Имеются комплексные решения, например ADSL-модем и межсетевой экран в одном корпусе. В зависимости от сложности устройства доступны различные уровни защиты сети. Но даже самые дешевые модели включают в себя такие функции, как статическую фильтрацию пакетов, наличие DMZ-портов, возможность создания VPN-подключений, NAT-трансляцию с сервером DHCP, средства предупреждения администратора (отправка e-mail и т. п.). Программные комплексы На рынке существует большое количество предложений межсетевых экранов. Администратор имеет возможность выбрать решения, обладающие большей или меньшей функциональностью. В любом случае перед тем, как внедрять решение, администратор должен тщательно взвесить желаемые требования и возможные стоимостные оценки реализации. В Сети существует большое количество программ, предназначенных для защиты индивидуальных компьютеров. Например, можно отметить такие персональные межсетевые экраны, как AtGuard, BlackICE Defender, Jammer, Kerio Personal Firewall, Outpost Firewall, Sygate Personal Firewall, Tiny personal firewall, Zone Alarm и др. Часть этих продуктов — коммерческие программы, часть имеет версии, доступные для бесплатного использования. Обычно такие программы сочетают в себе возможности блокировки трафика с дополнительными сервисами: например, запрет всплывающих окон, отсечение рекламных баннеров, фильтрация по вызывающему приложению и т. п. Часто программы имеют так называемый режим обучения, позволяющий неопытному пользователю осуществить точную настройку защиты. В этом режиме программа сообщает обо всех попытках передачи информации в Интернет. Анализируя представленную межсетевым экраном информацию, пользователь принимает решение о полной блокировке передачи, о разовом или постоянном разрешении. Таким образом, можно в результате обучения создать нужную конфигурацию доступа в Интернет. Продукты, предназначенные для использования на уровне предприятий (Microsoft Forefront Threat Management Gateway, Check Point, Trend Micro Internet Gateway и т. п.), обычно носят комплексный характер: с их помощью можно создавать правила, фильтровать контент, предотвращать атаки определенного типа и т. д. Настройка параметров межсетевого экрана при помощи групповой политики Версии Windows с последними обновлениями безопасности предусматривают включение межсетевого экрана по умолчанию. При этом используются параметры, оптимальные для некоторого "среднего" варианта: защита активна, но задействованы исключения, обеспечивающие работу компьютера в локальной сети. Это, с одной стороны, неудобно в локальной сети с развернутыми системами управления: межсетевой экран (МСЭ) блокирует доступ таких программ к компьютерам, а с другой, — не обеспечивает должного уровня защиты в публичных сетях. Поэтому встроенные межсетевые экраны Windows нуждаются в централизованной настройке с помощью групповых политик. |