Межсетевые экраны как средство повышения защищенности IP-сетей от несанкционированного доступа

Алексей Казаковский
20.05.2005 | 14:02
Данный материал является методическим документом, использующийся при проведении занятий по межсетевым экранам в Центре защиты информации ВолгГТУ.
Автор - Алексей Казаковский

Литература

  1. Михаил Ганев. Стражи порядка. Открытые Системы # 3(17)/96 стр. 23-27
  2. Валерий Коржов. Защитники сетей. Сети # 4/97 стр. 116-122
  3. Игорь Ковалерчик. Брандмауэры, или запирайте вашу дверь. Сети # 2/97 стр. 88-99
  4. http://www-win.uniinc.msk.ru/chkpf

Введение

В связи с бурным ростом глобальных информационных сетей, вопросы защиты информации в таких системах приобретают большую актуальность. Прежде всего это касается тех предприятий или организаций, которые решили подключить свою внутреннюю локальную сеть к Интернет. Поскольку в внутренних локальных сетях предприятий циркулирует информация, распространение которой нежелательна существует потребность в анализе каналов утечки и вариантов защиты. Все "слабые места" сетевых информационных систем можно условно классифицировать на два класса:

  • Ошибки в программном обеспечении серверов и рабочих станций, позволяющие получить полный или частичный доступ к информации, хранящейся на данной компьютере;
  • Ошибки при проектировании сетевых протоколов, приводящие к тому, например, что даже при корректной программной реализации того или иного протокола появляются возможности для несанкционированного доступа.
В первом случае решением проблемы является использование тех программных средств, которые прошли сертификацию и хорошо себя зарекомендовали на практике. Во втором случае одним из вариантом решения является применение так называемого межсетевого экрана (за рубежом и в нашей стране также применяется термин "firewall" или "брэндмауэр").

Межсетевой экран - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющие условия прохождения сетевых пакетов из одной части в другую в целях защиты информации на компьютерах, находящихся в защищаемом сегменте. Как правило, эта граница проводится между локальной сетью предприятия и Интернет, хотя ее можно провести и внутри. В результате межсетевой экран пропускает через себя весь трафик в- или из- защищаемой подсети, и для каждого проходящего пакета принимает решение пропускать его или отбросить. Обычно межсетевой экран - это программно-аппаратный комплекс на базе рабочей станции, функционирующий под управлением сетевой операционной системы Windows NT или UNIX.

рис. 1. Вариант включения межсетевого экрана

рис. 2. Вариант включения межсетевого экрана

Все межсетевые экраны можно разбить на три основных типа:

  • пакетные фильтры (packet filter);
  • серверы уровня соединения (circuit gateways);
  • серверы прикладного уровня (application gateways).
Все типы могут одновременно встретиться в одном брандмауэре.

Фильтры пакетов

Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляются таблицы типа:

Действие Тип пакета Адрес источника Порт источника Адрес назначения Порт назначения Флаги

Отметим преимущества и недостатки данного типа межсетевых экранов.

Преимущества:
  • относительно невысокая стоимость;
  • небольшая задержка при прохождении пакетов.
Недостатки:
  • локальная сеть видна (маршрутизируется) из Интернет;
  • правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;
  • отсутствует аутентификация на пользовательском уровне;
  • аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес.

Фильтры пакетов с контекстной проверкой

Фильтры обрабатывают пакеты очень быстро, но их вряд ли можно признать идеальным средством защиты, так как они просматривают только некоторые поля в заголовке пакета. Другим типом межсетевых экранов, пионером в разработке которых была компания CheckPoint Software, является контекстная проверка сеансов между клиентами и серверами. Не ограничиваясь фильтрацией, межсетевые экраны этого типа перехватывают пакеты на сетевом уровне и принимают решения на основании высокоуровневой информации путем анализа данных в пакетах. Данные подразделяются на "хорошие" (данные, которые правила безопасности разрешают пропустить), "плохие" (данные, которые правила безопасности запрещают пропускать) и "неизвестные" (данные, для которых никаких правил не определено). Межсетевой экран с контекстной проверкой обрабатывает их следующим образом: данные, признаваемые хорошими, пропускаются; данные, признаваемые плохими, изымаются, а неизвестные данные фильтруются, т. е. по отношению к ним брандмауэр действует как фильтр пакетов. Еще одной сильной стороной технологии контекстной проверки является хорошая пропускная способность.

Среди межсетевых экранов с контекстной проверкой наибольшим вниманием пользуются два продукта: Firewall-1 компании CheckPoint Software и PIX компании Cisco. Оба они реализуют одну и ту же базовую технологию, а отличаются, главным образом, второстепенными деталями: операционной системой, поддержкой, удобством использования (пользовательским интерфейсом). Кроме того, Firewall-1 - это целиком программное решение, в то время как PIX представляет собой аппаратно-программный комплекс. PIX опирается на Internetwork Operating System (IOS) компании Cisco, выполняемую на маршрутизаторах производства этой компании. По утверждению Cisco, вся обработка осуществляется во флэш-памяти, а это исключает необходимость в записи на диск.

Сервер уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много - соединение типа "один - много". Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. В частности, областью применения сервера уровня соединения может быть организация так называемых виртуальных частных сетей (VPN - Virtual Private Network). Обычно локальные сети (например, головной организации и ее филиалов) связывают друг с другом при помощи глобальной сетевой службы, например арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками. Развернув виртуальную частную сеть (VPN), компании могут создать соединение между межсетевыми экранами без дополнительных расходов на выделенные линии.

Серверы прикладного уровня

Межсетевые экраны этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения прикладного уровня: от клиента до межсетевого экрана и от межсетевого экрана до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного межсетевого экрана. Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность централизованной аутентификации - подтверждения действительно ли пользователь является тем, за кого он себя выдает. При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик. Отметим положительные и отрицательные стороны данного типа межсетевых экранов.

Преимущества:
  • локальная сеть невидима из Internet;
  • защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
  • при организации аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатки

  • более высокая, чем для пакетных фильтров стоимость;
  • производительность ниже, чем для пакетных фильтров.

Ввиду того, что серверы прикладного уровня (шлюзы приложений) функционируют на уровне приложений, контроль доступа может быть отрегулирован значительно точнее, нежели в случае фильтров пакетов. Однако одним из недостатков такого подхода является то, что поток трафика существенно замедляется, поскольку инициация уполномоченного сеанса требует времени. Многие шлюзы приложений поддерживают скорости вплоть до уровня Т-1 (1,544 Мбит/с), но, если компании развертывают несколько брандмауэров или число сеансов увеличивается, заторы становятся настоящей проблемой. Шлюзы приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса. Межсетевые экраны, не имеющие соответствующего приложения, не позволят осуществить доступ к данному сервису. С технической точки зрения, это означает, что при появлении новой версии какого-либо приложения она должна быть загружена в межсетевой экран.