Компьютерные сети
Н. ОлиферДля сетевых экранов существуют и другие термины, хорошо отражающие функциональное назначение средств защиты этого типа:
□ Брандмауэр — это слово много лет назад пришло в русский язык из немецкого. Изначально оно обозначало перегородку в поезде, отделяющую область топки паровоза от пассажирского отделения.
□ Файервол и другие транслитерации английского слова firewall, хотя официально не приняты, можно встретить в литературе достаточно часто. Исходным значением этого термина является элемент конструкции дома, а именно стена, сделанная из огнеупорного материала и препятствующая распространению огня между частями дома (обычно принадлежащими разным собственникам).
Для сетевого экрана одна часть сети является внутренней, другая — внешней (рис. 24.21). Сетевой экран защищает внутреннюю сеть (например, локальную сеть предприятия или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих из внешней сети (мы будем, как правило, подразумевать под такой сетью Интернет).
Защиту границ между локальными сетями предприятия и Интернетом обеспечивают корпоративные сетевые экраны, те же функции, но на границе между домашним компьютером и Интернетом, выполняют персональные сетевые экраны.
Для эффективного выполне^я сетевым экраном его главной функции — защиты — необходимо, чтобы через него проходил весь трафик, которым обмениваются узлы защищаемой части сети с узлами Интернета.
Такое расположение позволяет сетевому экрану полностью контролировать (запрещать, ограничивать или протоколировать) доступ внешних пользователей к ресурсам внутренней сети. Сетевой экран защищает сеть не только от несанкционированного доступа внешних злоумышленников, но от ошибочных действий пользователей защищаемой сети, например таких, как передача во внешнюю сеть конфиденциальной информации.
Внешняя сеть — источник угроз (Интернет)
Рис. 24.21. Сетевой экран защищает внутреннюю сеть от угроз, исходящих из внешней сети
Чтобы осуществлять контроль доступа, сетевой экран должен уметь выполнять следующие функции:
□ анализировать, контролировать и регулировать трафик (функция фильтрации);
□ играть роль логического посредника между внутренними клиентами и внешними серверами (функция прокси-сервера);
□ фиксировать все события, связанные с безопасностью (функция аудита).
Наряду с этими базовыми функциями на сетевой экран могут быть возложены и другие вспомогательные функции защиты, в частности:
□ антивирусная защита;
□ шифрование трафика;
□ фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова;
□ предупреждение^ обнаружение вторжений и сетевых атак;
□ функции VPN;
□ трансляция сетевых адресов.
Как можно заметить, большинство из перечисленных функций реализуются в виде отдельных продуктов или в составе систем защиты других типов. Так, функции пакетной фильтрации встроены практически во все маршрутизаторы, задача обнаружения вирусов решается множеством разнообразных программ, шифрование трафика — неотъемлемый элемент технологий защищенных каналов и т. д., и т. п. Прокси-серверы часто поставляются в виде приложений, более того, они сами часто интегрируют в себе многие функции, свойственные сетевым экранам, такие, например, как аутентификация, трансляция сетевых адресов или фильтрация по содержимому (контенту).
Отсюда возникают сложности при определении понятия «сетевой экран». Например, довольно распространено мнение, что сетевой экран — это пограничное устройство, выполняющее пакетную фильтрацию (то есть маршрутизатор), а прокси-сервер — это совершенно отличный от сетевого экрана инструмент защиты. Другие настаивают, что прокси-сервер является непременным и неотъемлемым атрибутом сетевого экрана. Третьи считают, что сетевым экраном может быть названо только такое программное или аппаратное устройство, которое способно отслеживать состояние потока пакетов в рамках соединения. Мы же в этой книге будем придерживаться широко распространенной точки зрения о том, что сетевой экран — это программно-аппаратный комплекс, выполняющей разнообразные функции по защите внутренней сети, набор которых может меняться в зависимости от типа, модели и конкретной конфигурации сетевого экрана.
ПРИМЕР-АНАЛОГИЯ -
Функционально сетевой экран можно сравнить с системой безопасности современного аэропорта. Аналогии здесь достаточно очевидные (рис. 24.22) — самолет соответствует защищаемой внутренней сети, а внешняя сеть, из которой приходит потенциально опасный трафик, — внешнему миру, откуда прибывают будущие пассажиры самолета, готовящегося к полету, при этом не все они приезжают с чистыми и ясными намерениями.
В потоке пассажиров, постоянно входящих в здание аэропорта, могут встречаться различные злоумышленники. Наиболее зловещие — террористы — пытаются пронести на борт взрывчатку (в сетевом мире — пакеты, несущие во внутреннюю сеть вирусы, способные «взорвать» серверы и компьютеры пользователей) или оружие для захвата самолета в воздухе (атака по захвату управления удаленным компьютером). Контрабандисты несут с собой незадекларированные ценности (запрещенный контент), а некоторые личности пытаются попасть в самолет по поддельным документам (несанкционированный доступ к внутренним ресурсам сети).
Для того чтобы отфильтровать трафик пассажиров, система безопасности аэропорта пропускает всех пассажиров и их багаж через единственно возможный путь — зону контроля. Также поступают при защите сети, направляя весь входящий трафик через сетевой экран. В зоне контроля аэропорта применяются разнообразные средства проверки пассажиров и их багажа: сличение паспортов с компьютерной базой данных, а лиц пассажиров — с фотографиями в паспортах; просвечивание сумок и чемоданов; проход пассажиров через металлодетекторы, а при первом подозрении — вытряхивание всех вещей; дотошная ручная проверка сумок и прощупывание пассажиров. Между злоумышленниками и службой безопасности постоянно происходит состязание в коварстве, с одной стороны, и находчивости — с другой. Новые трюки вызывают появление новых способов проверки. Например, пронос взрывчатки в подошве ботинка вызвал к жизни не очень приятную обязательную процедуру прохождения металлоискателя в носках, а использование террористами флаконов для маскировки жидких компонентов б^мбдл лишило пассажиров возможности брать с собой в кабину шампуни и другие любимые жидкости в больших объемах.
Сетевые экраны тоже пытаются использовать все возможные средства и методы для противостояния разнообразным угрозам. С помощью паролей и цифровых сертификатов они проверяют аутентичность внешних узлов, пытающихся установить соединения с внутренними; отслеживают логику обмена пакетами для того, чтобы отразить атаки, основанные на искажении этой логики;
«просвечивают» содержимое электронных писем и загружаемых документов, пытаясь блокировать запрещенный контент; сканируют загружаемые программы, проверяя их на наличие известных вирусов. Так же как и в зоне контроля аэропорта, здесь постоянно идет соревнование между хакерами, все время изобретающими новые методы атак, и разработчиками сетевых экранов, старающихся эти атаки обнаружить и пресечь.
Защищаемая зона
Рис. 24.22. Зона контроля аэропорта как аналогия сетевого экрана
Потенциально опасная внешняя зона
Типы сетевых экранов разных уровней
Одной из принятых классификаций сетевых экранов является разделение их на типы в зависимости от уровня модели OSI, на котором они работают.
Сетевые экраны сетевого уровня, называемые также экранами с фильтрацией пакетов
(packet filtering firewall), в полном соответствии со своим названием решают задачу фильтрации пакетов по IP-адресам и портам приложений на основании списков доступа (см. раздел «Фильтрация» в главе 18). Фильтрация на основе статических правил, при которой не отслеживаются состояния соединений, называется простой фильтрацией (stateless packet inspection). Этому типу сетевых экранов соответствуют маршрутизаторы. Опытный администратор может задать достаточно изощренные правила фильтрации, учитывающие многие требования, касающиеся защиты ресурсов внутренней сети, тем не менее этот тип сетевых экранов уступает по степени защиты другим типам. Преимуществами брандмауэров сетевого уровня являются простота, невысокая стоимость и минимальное влияние на производительность сети.
Сетевые экраны сеансового уровня отслеживают состояние соединений. Они фиксирует подозрительную активность, направленную на сканирование портов и сбор другой информации о сети. Отслеживание состояний соединений заключается в том, что сетевой экран проверяет, насколько соответствует последовательность обмена сообщениями контролируемому протоколу. То есть, например, если клиент посылает ТСР-сообщение SYN, запрашивающее TCP-соединение, сервер должен отвечать TCP-сообщением АСК SYN, а не посылать в ответ, например, свой TCP-запрос SYN. После того как сетевой экран установил допустимость TCP-соединения, он начинает работать простым передаточным звеном между клиентом и сервером. Для того чтобы контролировать процесс установления соединения, сетевой экран должен фиксировать для себя текущее состояние соединения, то есть запоминать, какое последнее сообщение отправил клиент и какое сообщение он ожидает получить. Такой подход, когда пропускаются только те пакеты, которые удовлетворяют логике работы соответствующего протокола, называют фильтрацией с учетом контекста (stateful packet inspection). Благодаря такой способности брандмауэры сетевого уровня могут защищать серверы внутренней сети от различных видов атак, использующих уязвимости протоколов, в частности от DoS-атак.
Сетевые экраны прикладного уровня способны интерпретировать, анализировать и контролировать содержимое сообщений, которыми обмениваются приложения. К этому уровню относят прокси-серверы, о которых мы будем говорить подробнее далее. Прокси-сервер перехватывает запросы клиентов к внешним серверам с тем, чтобы потом отправить их от своего имени. Этот тип сетевых экранов обеспечивает самый высокий уровень защиты, хотя и имеет свои недостатки, например требует больших вычислительных затрат. Кроме того, прокси-серверы могут скрывать адрес «доверившегося» ему клиента, что снижает эффективность других средств защиты.
Реализация
Реализация сетевого экрана так же многовариантна, как и его функциональность. В качестве аппаратной составляющей сетевого экрана может выступать маршрутизатор или комбинация маршрутизаторов, компьютер или комбинация компьютеров, комбинация маршрутизаторов и компьютеров, наконец, это может быть специализированное устройство. Таким же разнообразием отличается и программная составляющая сетевого экрана, имеющая гибкую структуру и включающая в себя различные модули, функции которых могут широко варьироваться.
Сложная структура аппаратных и программных средств сетевого экрана, разнообразие настраиваемых параметров, наборы правил, регламентирующих работу фильтров разного уровня, списки паролей и другой информации для проведения аутентификации, списки прав доступа пользователей к внутренним и внешним ресурсам сети — все это требует от администратора значительной дополнительной работы по конфигурированию. Только в случае качественной надтройки аппаратуры и программных модулей сетевой экран действительно может стЗть краеугольным камнем системы защиты сети предприятия. «Умные» сетевые экраны позволяют администратору упростить эту работу, потому что они требуют только задания высокоуровневых правил политики безопасности сети, которые затем автоматически транслируются в низкоуровневые операции по конфигурированию отдельных функциональных подсистем сетевого экрана.
Архитектура
Простейшей архитектурой сети с сетевым экраном является вариант, когда все функции сетевого экрана реализуются одним программно-аппаратным устройством, например маршрутизатором или, как показано на рис. 24.23, универсальным компьютером. Такой способ построения защиты логически самый простой, однако он имеет очевидный недостаток, заключающийся в полной зависимости системы защиты от работоспособности одного звена, в данном случае — компьютера-брандмауэра.
Компьютер, играющий роль сетевого экрана, должен иметь, по крайней мере, два сетевых интерфейса, к одному из которых подключается внутренняя, к другому — внешняя сеть. Двухвходовой компьютер выполняет функции программного маршрутизатора, а также те функции сетевого экрана, конкретный перечень которых определяется установленным на данном компьютере программным обеспечением.
Более надежные схемы сетевых экранов включают несколько элементов. В сети, показанной на рис. 24.24, на рубеже защиты установлено два маршрутизатора, между которыми располагается так называемая сеть периметра.
Сетыгериметра, или сеть демилитаризованной Зоны (DMZ), — это сеть, которую для добавления еще ompro уровня защиты Ьнутрендой сети размещают мёхсйу Йй^ренней и внешней сетямивкачестбе буфера. .
В сети периметра обычно располагаются компьютеры, которые предоставляют общедоступные сервисы, например почтовый сервер, внешний сервер DNS или внешний веб-сервер предприятия. В этой зоне могут быть размещены также прокси-серверы. Учитывая, что само назначение этих компьютеров предполагает практически никак не ограничиваемый доступ к ним внешних пользователей (а значит, и злоумышленников), их необходимо защищать особенно тщательно. Главными задачами при защите этих компьютеров (называемых иногда компьютерами-бастионами) является обеспечение целостности и доступности размещенных на них данных для пользователей внешней сети. Эту задачу решают «индивидуальные» средства защиты, устанавливаемые на компьютерах-бастионах, такие, например, как антивирусные программы или фильтры спама.
Чтобы пояснить, каким образом сеть периметра усиливает защиту внутренней сети, давайте посмотрим, что произойдет, если какой-либо злоумышленник сможет «взломать» первый рубеж защиты — внешний маршрутизатор — и начнет прослушивать трафик подключенной к нему сети периметра. Очевидно, что он получит доступ только к трафику общедоступных серверов, которыйле является секретным.
Внешний маршрутизатор призван фильтровать трафик с целью защиты сети периметра и внутренней сети. Однако строгая фильтрация в этом случае оказывается невостребованной. Общедоступные серверы по своей сути предназначены для практически неограниченного доступа. Что касается защиты внутренней сети, правила фильтрации для доступа к ее узлам и сервисам являются одними и теми же для обоих маршрутизаторов, поэтому внешний маршрутизатор может просто положиться в этом деле на внутренний маршрутизатор.
Обычно внешний маршрутизатор находится в зоне веденья провайдера, и администраторы корпоративной сети огр^шчены в возможностях его оперативного реконфигурирования. Это является еще одной причиной, по которой функциональная нагрузка на внешний маршрутизатор обычно невелика.
Основная работа по обеспечению безопасности локальной сети возлагается на внутренний маршрутизатору который защищает ее как от внешней сети, так и от сети периметра. Правила, определенные для узлов сети периметра по доступу к ресурсам внутренней сети, часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Это делается для того, чтобы в случае взлома какого-либо компьютера-бастиона уменьшить число узлов и сервисов, которые впоследствии могут быть атакованы с этого компьютера. Именно поэтому внутренний маршрутизатор должен отбрасывать все пакеты, следующие во внутреннюю сеть из сети периметра, исключая пакеты нескольких протоколов (например, HTTP, SMTP, DNS), абсолютно необходимых пользователям внутренней сетй для обращения к внешним серверам соответственно веб-службы, электронной почты и DNS, установленным в сети периметра.
Прокси-серверы
В этом разделе мы рассмотрим функциональное назначение, принципы работы и особенности реализации прокси-серверов, которые наряду с пакетными фильтрами являются важнейшими компонентами сетевых экранов.
Функции прокси-сервера
11рокей^рер|10р особый тип приложений, которое выполняет функции посредника между
клиентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней {заи^щаемой) сети,-а серверы — внешней (потенциально опасной)сети. ' ‘ *
Роль транзитного узла позволяет прокси-серверу логически разорвать прямое соединение между клиентом и сервером с целью контроля процесса обмена сообщениями между ними.
1
Подобно сетевому экрану, прокси-сервер может эффективно выполнять свои функции только при условии, что контролируемый им трафик не пойдет обходным путем.
Прокси-сервер может быть установлен не только на платформе, где работают все остальные модули сетевого экрана (рис. 24.25, а), но и на любом другом узле внутренней сети или сети периметра (рис. 24.25, б). В последнем случае программное обеспечение клиента должно быть сконфигурировано таким образом, чтобы у него не было возможности установить прямое соединение с ресурсным сервером, минуя прокси-сервер.
Когда клиенту необходимо получить ресурс от какого-либо сервера (файл, веб-страницу, почтовое сообщение), он посылает свой запрос прокси-серверу. Прокси-сервер анализирует этот запрос на основании заданных ему администратором правил и решает, каким образом он должен быть обработан (отброшен, передан без изменения ресурсному серверу, модифицирован тем или иным способом перед передачей, немедленно обработан силами самого прокси-сервера).
В качестве правил, которыми руководствуется прокси-сервер, могут выступать условия пакетной фильтрации. Правила могут быть достаточно сложными, например в рабочие часы блокируется доступ к тем или иным узлам и/или приложениям, а доступ к другим узлам разрешается только определенным пользователям, причем для FTP-серверов пользователям разрешается делать лишь загрузку, а выгрузка запрещается. Прокси-серверы могут также фильтровать почтовые сообщения по типу пересылаемого файла (например, запретить получение сообщений формата MP3) и по их контенту. К разным пользователям могут применяться разные правила фильтрации, поэтому часто на прокси-серверы возлагается задача аутентификации пользователей.
Рис. 24.25. Варианты расположения прокси-серверов: а — на сетевом экране, б — на узле внутренней сети
Если после всесторонней оценки запроса от приложения прокси-сервер констатирует, что запрос удовлетворяет условиям прохождения дальше во внешнюю сеть, то он выполняет по поручению приложения, но от своего имени процедуру соединения с сервером, затребованным данным приложением.
В некоторых случаях прокси-сервер может изменять запрос клиента. Например, если в него встроена функция трансляции сетевых адресов (см. раздел «Трансляция сетевых адресов» в главе 18), он может подменять в пакете запроса IP-адреса и/или номера TCP- и UDP-портов отправителя. Таким способом прокси-сервер лишает злоумышленника возможности сканировать внутреннюю сеть для получения информации об адресах узлов и структуре сети. Единственный адрес в таком случае, который может узнать злоумышленник, — это адрес компьютера, на котором выполняется программа прокси-сервера. Поэтому многие атаки, построенные на знании злоумышленником адресов узлов внутренней сети, становятся нереализуемыми.
Прокси-сервер, выступая посредником между клиентом и сервером, взаимодействующими между собой по совершенно определенному протоколу, не может не учитывать специфику этого протокола. Так, для каждого из протоколов HTTP, HTTPS, SMTP/POP, FTP, telnet существует особый прокси-сервер, ориентированный на использование соответствующими приложениями: веб-браузером, электронной почтой, FTP-клиентом, клиентом telnet. Каждый из этих посредников принимает и обрабатывает пакеты только того типа приложений, для обслуживания которого он был создан.
ПРИМЕЧАНИЕ-
Обычно несколько разных прокси-серверов объединяют в один программный продукт.
Посмотрим, как учитывает специфику протокола прокси-сервер, ориентированный на веб-службу. Этот тип прокси-сервера может, например, выполнить собственными силами запрос веб-клиента, не отсылая его к соответствующему веб-серверу. Работая транзитным узлом при передаче сообщений между браузерами и веб-серверами Интернета, прокси-сервер не только передает клиентам запрашиваемые веб-страницы, но и сохраняет их в своей кэш-памяти на диске. В соответствии с алгоритмом кэширования, на диске прокси-сервера оседают наиболее часто используемые веб-страницы. При получении запросов к веб-серверам прокси-сервер, прежде всего, проверяет, есть ли запрошенная страница в его кэше. Если есть, то она немедленно передается клиенту, а если нет, то прокси-сервер обычным образом делает запрос от имени своего доверителя. Прокси-сервер веб-службы может осуществлять административный контроль проходящего через него контента, в частности ограничивать доступ клиента к сайтам, имеющим IP-адреса или DNS-имена из «черных списков». Более того, он может фильтровать сообщения на основе ключевых слов.
Все материалы, размещенные в боте и канале, получены из открытых источников сети Интернет, либо присланы пользователями бота. Все права на тексты книг принадлежат их авторам и владельцам. Тексты книг предоставлены исключительно для ознакомления. Администрация бота не несет ответственности за материалы, расположенные здесь