Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы
Скачать 22.28 Mb.
|
Сетевые экраны Сетевой, или межсетевой, экран — это комплекс программно-аппаратных средств, осущест вляющий информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика. Для сетевых экранов существуют и другие термины, хорошо отражающие функциональное назначение средств защиты этого типа: □ Брандмауэр — это слово много лет назад пришло в русский язык из немецкого. Изна чально оно обозначало перегородку в поезде, отделяющую область топки паровоза от пассажирского отделения. □ Файервол и другие транслитерации английского слова firewall, хотя официально не приняты, можно встретить в литературе достаточно часто. Исходным значением этого термина является элемент конструкции дома, а именно стена, сделанная из огнеупор ного материала и препятствующая распространению огня между частями дома (обычно принадлежащими разным собственникам). Для сетевого экрана одна часть сети является внутренней, другая — внешней (рис. 24.21). Сетевой экран защищает внутреннюю сеть (например, локальную сеть предприятия или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих из внешней сети (мы будем, как правило, подразумевать под такой сетью Интернет). Защиту границ между локальными сетями предприятия и Интернетом обеспечивают кор поративные сетевые экраны, те же функции, но на границе между домашним компьютером и Интернетом, выполняют персональные сетевые экраны. Для эффективного выполнен* сетевым экраном его главной функции — защиты — необходимо, чтобы через него проходил весь трафик, которым обмениваются узлы защищаемой части сети с узлами Интернета. Такое расположение позволяет сетевому экрану полностью контролировать (запрещать, ограничивать или протоколировать) доступ внешних пользователей к ресурсам внутренней 876 Глава 24. Сетевая безопасность сети. Сетевой экран защищает сеть не только от несанкционированного доступа внешних злоумышленников, но от ошибочных действий пользователей защищаемой сети, например таких, как передача во внешнюю сеть конфиденциальной информации. Внешняя сеть — источник угроз (Интернет) Рис. 24.21. Сетевой экран защищает внутреннюю сеть от угроз, исходящих из внешней сети Чтобы осуществлять контроль доступа, сетевой экран должен уметь выполнять следующие функции: □ анализировать, контролировать и регулировать трафик (функция фильтрации); □ играть роль логического посредника между внутренними клиентами и внешними сер верами (функция прокси-сервера); □ фиксировать все события, связанные с безопасностью (функция аудита). Наряду с этими базовыми функциями на сетевой экран могут быть возложены и другие вспомогательные функции защиты, в частности: □ антивирусная защита; □ шифрование трафика; □ фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова; □ предупреждение^ обнаружение вторжений и сетевых атак; □ функции VPN; □ трансляция сетевых адресов. Как можно заметить, большинство из перечисленных функций реализуются в виде от дельных продуктов или в составе систем защиты других типов. Так, функции пакетной Сетевые экраны 877 фильтрации встроены практически во все маршрутизаторы, задача обнаружения вирусов решается множеством разнообразных программ, шифрование трафика — неотъемлемый элемент технологий защищенных каналов и т. д., и т. п. Прокси-серверы часто поставля ются в виде приложений, более того, они сами часто интегрируют в себе многие функции, свойственные сетевым экранам, такие, например, как аутентификация, трансляция сетевых адресов или фильтрация по содержимому (контенту). Отсюда возникают сложности при определении понятия «сетевой экран». Например, до вольно распространено мнение, что сетевой экран — это пограничное устройство, выпол няющее пакетную фильтрацию (то есть маршрутизатор), а прокси-сервер — это совершенно отличный от сетевого экрана инструмент защиты. Другие настаивают, что прокси-сервер является непременным и неотъемлемым атрибутом сетевого экрана. Третьи считают, что сетевым экраном может быть названо только такое программное или аппаратное устрой ство, которое способно отслеживать состояние потока пакетов в рамках соединения. Мы же в этой книге будем придерживаться широко распространенной точки зрения о том, что сетевой экран — это программно-аппаратный комплекс, выполняющей разнообразные функции по защите внутренней сети, набор которых может меняться в зависимости от типа, модели и конкретной конфигурации сетевого экрана. ПРИМЕР-АНАЛОГИЯ ---------------------------------------------------------------------------------------- Функционально сетевой экран можно сравнить с системой безопасности современного аэропорта. Аналогии здесь достаточно очевидные (рис. 24.22) — самолет соответствует защищаемой внутренней сети, а внешняя сеть, из которой приходит потенциально опасный трафик, — внешнему миру, откуда прибывают будущие пассажиры самолета, готовящегося к полету, при этом не все они приезжают с чистыми и ясными намерениями. В потоке пассажиров, постоянно входящих в здание аэропорта, могут встречаться различные злоумышленники. Наиболее зловещие — террористы — пытаются пронести на борт взрывчатку (в сетевом мире — пакеты, несущие во внутреннюю сеть вирусы, способные «взорвать» серверы и компьютеры пользователей) или оружие для захвата самолета в воздухе (атака по захвату управления удаленным компьютером). Контрабандисты несут с собой незадекларированные ценности (запре щенный контент), а некоторые личности пытаются попасть в самолет по поддельным документам (несанкционированный доступ к внутренним ресурсам сети). Для того чтобы отфильтровать трафик пассажиров, система безопасности аэропорта пропускает всех пассажиров и их багаж через единственно возможный путь — зону контроля. Также поступают при защите сети, направляя весь входящий трафик через сетевой экран. В зоне контроля аэропорта применяются разнообразные средства проверки пассажиров и их багажа: сличение паспортов с ком пьютерной базой данных, а лиц пассажиров — с фотографиями в паспортах; просвечивание сумок и чемоданов; проход пассажиров через металлодетекторы, а при первом подозрении — вытряхивание всех вещей; дотошная ручная проверка сумок и прощупывание пассажиров. Между злоумышлен никами и службой безопасности постоянно происходит состязание в коварстве, с одной стороны, и находчивости — с другой. Новые трюки вызывают появление новых способов проверки. Например, пронос взрывчатки в подошве ботинка вызвал к жизни не очень приятную обязательную процедуру прохождения металлоискателя в носках, а использование террористами флаконов для маскировки жидких компонентов б^мбдл лишило пассажиров возможности брать с собой в кабину шампуни и другие любимые жидкости в больших объемах. Сетевые экраны тоже пытаются использовать все возможные средства и методы для противо стояния разнообразным угрозам. С помощью паролей и цифровых сертификатов они проверяют аутентичность внешних узлов, пытающихся установить соединения с внутренними; отслеживают логику обмена пакетами для того, чтобы отразить атаки, основанные на искажении этой логики; 878 Глава 24. Сетевая безопасность «просвечивают» содержимое электронных писем и загружаемых документов, пытаясь блокировать запрещ енный контент; сканирую т загружаемые программы, проверяя их на наличие известных ви русов. Так же как и в зоне контроля аэропорта, здесь постоянно идет соревнование между хакерами, все время изобретающими новые методы атак, и разработчиками сетевых экранов, старающихся эти атаки обнаружить и пресечь. Защищаемая зона Потенциально опасная внешняя зона Рис. 24.22. Зона контроля аэропорта как аналогия сетевого экрана Типы сетевых экранов разных уровней Одной из принятых классификаций сетевых экранов является разделение их на типы в за висимости от уровня модели OSI, на котором они работают. Сетевые экраны сетевого уровня, называемые также экранами с фильтрацией пакетов (packet filtering firewall), в полном соответствии со своим названием решают задачу филь трации пакетов по ІР-адресам и портам приложений на основании списков доступа (см. раздел «Фильтрация» в главе 18). Фильтрация на основе статических правил, при которой не отслеживаются состояния соединений, называется простой фильтрацией (stateless packet inspection). Этому типу сетевых экранов соответствуют маршрутизаторы. Опытный администратор может задать достаточно изощренные правила фильтрации, учитывающие многие требования, касающиеся защиты ресурсов внутренней сети, тем не менее этот тип сетевых экранов уступает по степени защиты другим типам. Преимуществами брандмауэ ров сетевого уровня являются простота, невысокая стоимость и минимальное влияние на производительность сети. Сетевые экраны 879 Сетевые экраны сеансового уровня отслеживают состояние соединений. Они фикси рует подозрительную активность, направленную на сканирование портов и сбор другой информации о сети. Отслеживание состояний соединений заключается в том, что сетевой экран проверяет, насколько соответствует последовательность обмена сообщениями контролируемому протоколу. То есть, например, если клиент посылает ТСР-сообщение SYN, запрашивающее TCP-соединение, сервер должен отвечать TCP-сообщением АСК SYN, а не посылать в ответ, например, свой TCP-запрос SYN. После того как сетевой экран установил допустимость TCP-соединения, он начинает работать простым передаточным звеном между клиентом и сервером. Для того чтобы контролировать процесс установления соединения, сетевой экран должен фиксировать для себя текущее состояние соединения, то есть запоминать, какое последнее сообщение отправил клиент и какое сообщение он ожидает получить. Такой подход, когда пропускаются только те пакеты, которые удовлет воряют логике работы соответствующего протокола, называют фильтрацией с учетом контекста (stateful packet inspection). Благодаря такой способности брандмауэры сетевого уровня могут защищать серверы внутренней сети от различных видов атак, использующих уязвимости протоколов, в частности от DoS-атак. Сетевые экраны прикладного уровня способны интерпретировать, анализировать и кон тролировать содержимое сообщений, которыми обмениваются приложения. К этому уров ню относят прокси-серверы, о которых мы будем говорить подробнее далее. Прокси-сервер перехватывает запросы клиентов к внешним серверам с тем, чтобы потом отправить их от своего имени. Этот тип сетевых экранов обеспечивает самый высокий уровень защиты, хотя и имеет свои недостатки, например требует больших вычислительных затрат. Кроме того, прокси-серверы могут скрывать адрес «доверившегося» ему клиента, что снижает эффективность других средств защиты. Реализация Реализация сетевого экрана так же многовариантна, как и его функциональность. В ка честве аппаратной составляющей сетевого экрана может выступать маршрутизатор или комбинация маршрутизаторов, компьютер или комбинация компьютеров, комбинация маршрутизаторов и компьютеров, наконец, это может быть специализированное устрой ство. Таким же разнообразием отличается и программная составляющая сетевого экрана, имеющая гибкую структуру и включающая в себя различные модули, функции которых могут широко варьироваться. Сложная структура аппаратных и программных средств сетевого экрана, разнообразие настраиваемых параметров, наборы правил, регламентирующих работу фильтров разного уровня, списки паролей и другой информации для проведения аутентификации, списки прав доступа пользователей к внутренним и внешним ресурсам сети — все это требует от администратора значительной дополнительной работы по конфигурированию. Только в случае качественной надтройки аппаратуры и программных модулей сетевой экран действительно может стЗть краеугольным камнем системы защиты сети предприятия. «Умные» сетевые экраны позволяют администратору упростить эту работу, потому что они требуют только задания высокоуровневых правил политики безопасности сети, которые затем автоматически транслируются в низкоуровневые операции по конфигурированию отдельных функциональных подсистем сетевого экрана. 880 / Глава 24. Сетевая безопасность Архитектура Простейшей архитектурой сети с сетевым экраном является вариант, когда все функции сетевого экрана реализуются одним программно-аппаратным устройством, например марш рутизатором или, как показано на рис. 24.23, универсальным компьютером. Такой способ построения защиты логически самый простой, однако он имеет очевидный недостаток, заключающийся в полной зависимости системы защиты от работоспособности одного звена, в данном случае — компьютера-брандмауэра. Компьютер, играющий роль сетевого экрана, должен иметь, по крайней мере, два сетевых интерфейса, к одному из которых подключается внутренняя, к другому — внешняя сеть. Двухвходовой компьютер выполняет функции программного маршрутизатора, а также те функции сетевого экрана, конкретный перечень которых определяется установленным на данном компьютере программным обеспечением. Более надежные схемы сетевых экранов включают несколько элементов. В сети, показан ной на рис. 24.24, на рубеже защиты установлено два маршрутизатора, между которыми располагается так называемая сеть периметра. Сетьлериметра, или сеть де милитаризованной доны (DMZ), — это сеть» которую для до бавления еще отрго уровня защизд йнутреннвй сети размещают мёхсйу йй^ренней и анешней сетями вкачестёе буфера. , . В сети периметра обычно располагаются компьютеры, которые предоставляют общедоступ ные сервисы, например почтовый сервер, внешний сервер DNS или внешний веб-сервер предприятия. В этой зоне могут быть размещены также прокси-серверы. Учитывая, что само назначение этих компьютеров предполагает практически никак не ограничиваемый Сетевые экраны 881 доступ к ним внешних пользователей (а значит, и злоумышленников), их необходимо защищать особенно тщательно. Главными задачами при защите этих компьютеров (назы ваемых иногда компьютерами-бастионами) является обеспечение целостности и доступ ности размещенных на них данных для пользователей внешней сети. Эту задачу решают «индивидуальные» средства защиты, устанавливаемые на компьютерах-бастионах, такие, например, как антивирусные программы или фильтры спама. Чтобы пояснить, каким образом сеть периметра усиливает защиту внутренней сети, давайте посмотрим, что произойдет, если какой-либо злоумышленник сможет «взломать» первый рубеж защиты — внешний маршрутизатор — и начнет прослушивать трафик подключенной к нему сети периметра. Очевидно, что он получит доступ только к трафику общедоступных серверов, которыйле является секретным. Внешний маршрутизатор призван фильтровать трафик с целью защиты сети периметра и внутренней сети. Однако строгая фильтрация в этом случае оказывается невостребован ной. Общедоступные серверы по своей сути предназначены для практически неограни ченного доступа. Что касается защиты внутренней сети, правила фильтрации для доступа к ее узлам и сервисам являются одними и теми же для обоих маршрутизаторов, поэтому внешний маршрутизатор может просто положиться в этом деле на внутренний маршру тизатор. Обычно внешний маршрутизатор находится в зоне веденья провайдера, и администраторы корпоративной сети огр^тчены в возможностях его оперативного реконфигурирования. Это является еще одной причиной, по которой функциональная нагрузка на внешний маршрутизатор обычно невелика. Основная работа по обеспечению безопасности локальной сети возлагается на внутренний маршрутизатор^ который защищает ее как от внешней сети, так и от сети периметра. Пра 882 Глава 24. Сетевая безопасность вила, определенные для узлов сети периметра по доступу к ресурсам внутренней сети, часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Это делается для того, чтобы в случае взлома какого-либо компьютера- бастиона уменьшить число узлов и сервисов, которые впоследствии могут быть атакованы с этого компьютера. Именно поэтому внутренний маршрутизатор должен отбрасывать все пакеты, следующие во внутреннюю сеть из сети периметра, исключая пакеты нескольких протоколов (например, HTTP, SMTP, DNS), абсолютно необходимых пользователям вну тренней сетй для обращения к внешним серверам соответственно веб-службы, электронной почты и DNS, установленным в сети периметра. Прокси-серверы В этом разделе мы рассмотрим функциональное назначение, принципы работы и особен ности реализации прокси-серверов, которые наряду с пакетными фильтрами являются важнейшими компонентами сетевых экранов. Функции прокси-сервера -тЗТо особый тип приложений, которое выполняет функции посредника между клиентскими и серверными частями распределенных сетевых приложений, причем предпо лагается, что кйиздтздпринз^вжат внутренней (защищаемой) сети,-а серверы — внешней (сю- ' ,'гтттш о№сной)тш Роль транзитного узла позволяет прокси-серверу логически разорвать прямое соедине ние между клиентом и сервером с целью контроля процесса обмена сообщениями между ними. 1 Подобно сетевому экрану, прокси-сервер может эффективно выполнять свои функции только при условии, что контролируемый им трафик не пойдет обходным путем. Прокси-сервер может быть установлен не только на платформе, где работают все остальные модули сетевого экрана (рис. 24.25, а), но и на любом другом узле внутренней сети или сети периметра (рис. 24.25, б). В последнем случае программное обеспечение клиента должно быть сконфигурировано таким образом, чтобы у него не было возможности установить прямое соединение с ресурсным сервером, минуя прокси-сервер. Когда клиенту необходимо получить ресурс от какого-либо сервера (файл, веб-страницу, почтовое сообщение), он посылает свой запрос прокси-серверу. Прокси-сервер анализи рует этот запрос на основании заданных ему администратором правил и решает, каким образом он должен быть обработан (отброшен, передан без изменения ресурсному серверу, модифицирован тем или иным способом перед передачей, немедленно обработан силами самого прокси-сервера). В качестве правил, которыми руководствуется прокси-сервер, могут выступать условия пакетной фильтрации. Правила могут быть достаточно сложными, например в рабочие часы блокируется доступ к тем или иным узлам и/или приложениям, а доступ к другим узлам разрешается только определенным пользователям, причем для FTP-серверов поль зователям разрешается делать лишь загрузку, а выгрузка запрещается. Прокси-серверы |