Деревянко_БС ЭВМ
.pdfти адресов Internet, к которой он подключен. Компьютеры, подключаемые к портам ЛВС маршрутизатора, должны иметь IP-адрес той же подсети, что и сам маршрутизатор. В сетевых настройках этих компьютеров надо по умолчанию задать адрес шлюза, совпадающий с IP-адресом маршрутизатора.
3.10.4. Применения перенаправления пакетов
Протокол NAT
Все современные маршрутизаторы со встроенными МЭ поддерживают протокол трансляции сетевых адресов NAT
(RFC 1631).
Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставление портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IPадрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT «транслирует» пакет: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT.
Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт. Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, с удаленным портом и с сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IPадрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Если в таблице со-
251
поставления портов не находится соответствия, то входящий пакет отвергается.
Благодаря маршрутизатору с NAT любой ПК внутренней сети может передавать данные в глобальную сеть с использованием внешнего IP-адреса и порта маршрутизатора. При этом IP-адреса внутренней сети, как и присвоенные сессиям порты, остаются невидимыми со стороны внешней сети. Однако NAT позволяет обмениваться данными между компьютерами внутренней и внешней сетей только в том случае, если этот обмен инициируется компьютером внутренней сети. Если же какой-нибудь компьютер внешней сети пытается получить доступ к компьютеру внутренней сети по своей собственной инициативе, то такое соединение отвергается устройством NAT.
NAT-устройство нельзя применять и для тех приложений, которые при передаче данных используют один порт (в качестве порта отправителя), но ожидают ответа на другой порт.
Еще одна проблема, связанная с NAT-устройствами, заключается во множественном доступе к одному и тому же порту. К примеру, это может быть порт 80, зарезервированный для Web-сервиса. Поскольку ко всем клиентам внутренней сети ответный пакет приходит на один и тот же IP-адрес, возникает вопрос: каким образом NAT-устройство сможет определить, к какому именно клиенту внутренней сети относится внешний запрос? Для решения данной проблемы в каждый момент времени доступ к стандартному порту имеет только один клиент внутренней сети.
Статическое перенаправление портов (Port mapping)
Для того чтобы сделать доступными из внешней сети определенные приложения, запускаемые на компьютере во внутренней сети (такие, например, как Web-сервер или FTPсервер), в NAT-устройстве необходимо задать сопоставление
252
между портами, используемыми определенными приложениями, и IP-адресами тех компьютеров (серверов) внутренней сети, на которых эти приложения работают. В этом случае говорят о технологии перенаправления портов (Port mapping). В результате любой запрос из внешней сети на внешний IP-адрес NAT-устройства (маршрутизатора) по указанному порту будет автоматически перенаправлен на указанный компьютер внутренней сети.
Динамическое перенаправление портов
Некоторые приложения (требующие одновременного установления множества сессий) не совместимы с NATтехнологией. Для решения этой проблемы используется так называемое динамическое перенаправление портов, когда перенаправление портов задается на уровне отдельных сетевых приложений. При активации динамического перенаправления портов маршрутизатор следит за исходящим трафиком из внутренней сети и запоминает IP-адрес компьютера, от которого исходит этот трафик. При поступлении данных обратно в локальный сегмент включается перенаправление портов, и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и тогда любой другой компьютер может создать новое перенаправление уже на свой IP-адрес.
Демилитаризованная зона (DMZ-зона)
МЭ может иметь интерфейс для подключения так называемых «демилитаризованных зон».
Демилитаризованной зоной (ДМЗ, DMZ) называют часть корпоративной сети, в которой расположены информационные ресурсы, доступные любым внешним и внутренним её пользователям. В ДМЗ могут находиться, например, Web, FTP, SMTP, DNS-серверы. ДМЗ может защищаться не только
253
от атак из Internet, но и от нарушителей политики безопасности внутри самой организации.
При размещении компьютера внутренней локальной сети в ДМЗ МЭ с протоколом NAT становится прозрачным для него. Фактически это означает, что компьютер внутренней сети виртуально располагается перед брандмауэром. Для ПК, расположенного в ДМЗ, осуществляется перенаправление всех портов на один внутренний IP-адрес, что позволяет организовать передачу данных из внешней сети во внутреннюю сеть.
Построение VPN на базе МЭ является оптимальным решением для обеспечения комплексной безопасности информационной системы от атак из открытых сетей.
3.10.5. Виртуальные частные сети на базе специализированного программного обеспечения
При реализации такого решения используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера. Компьютер с таким ПО может быть расположен за МЭ. Все программные средства построения VPN позволяют формировать защищенные туннели чисто программным образом и превращают сервер, на котором они функционируют, в маршрутизатор TCP/IP, который получает зашифрованные пакеты, расшифровывает их и передает по ЛВС дальше, к конечной точке назначения.
3.10.6. Виртуальные частные сети на базе аппаратных средств
Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Такие средства чаще всего совместимы с протоколом IPSec и применяются для формирования криптозащищенных туннелей между ЛВС. Оборудование для формиро-
254
вания VPN от некоторых производителей одновременно поддерживает и связь в режиме «удаленный компьютер — ЛВС».
Простейший вариант работы аппаратных туннелей — мостовая связь с шифрованием. Такие устройства чаще всего устанавливают на стыке между локальной и глобальной сетями перед маршрутизатором.
Они встраиваются в существующие сети TCP/IP и выполняют автоматическое шифрование всего заданного трафика. Основное преимущество данного подхода состоит в том, что рабочие станции и маршрутизаторы никаким образом не связаны с формируемым криптотуннелем, а соответственно, их не нужно переконфигурировать при установке VPN. Криптотуннель оказывается совершенно невидимым для всех сетевых устройств.
3.11.Аутентификация, авторизация, аудит в сетях
3.11.1.Аутентификация
Аутентификация {authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение.
В настоящее время можно выделить три основных способа аутентификации: «человек - компьютер», «компьютер - компьютер» и «человек-человек».
Аутентификация «человек - компьютер»
Эта схема используется для идентификации пользователя компьютерной системы с целью предоставления или не предоставления ему сервисов. У пользователя можно запросить информацию о том, кем он является (биометрия), что он
255
знает (пароли), что имеет (переносные устройства) и где находится (адрес).
Выделяют следующие методы аутентификации пользователей:
статические и одноразовые пароли;
биометрия - метод автоматизированного распознавания человека по его уникальным физиологическим или поведенческим характеристикам.
Вариантов биометрических методов более 600, среди них можно выделить следующие:
по отпечаткам пальцев. Относительно дешевая и популярная система аутентификации. Наиболее распространены два типа: 1) оптическое сканирование с помощью маленькой камеры, встраиваемой, например, в клавиатуру. Однако недорогие сканеры легко поддаются обману; 2)ультразвуковое сканирование. Преимуществом данного метода является возможность работы с грязными пальцами и пальцами в перчатках;
по форме ладони;
по расположению вен на ладони;
по сетчатке глаза;
по радужной оболочке глаза;
по форме лица, конфигурируется множество вариантов на случай поворота или наклона головы, изменения выражения лица;
по термограмме лица;
другие методы статической биометрии, включая идентификацию по запаху, по ДНК и др. Метод ДНК относится к числу наиболее точных, но, по понятным причинам, применяется только в исключительных случаях;
по рукописному почерку;
256
по клавиатурному почерку. Если в качестве кодовой фразы используется пароль, то сразу получается двухфакторная аутентификация;
по голосу. Как правило, анализируются различные сочетания частотных и статистических характеристик голоса.
Переносные аутентификаторы, или токены:
асинхронные - пользователь вводит строку в устройство, получает ответ и вводит его в компьютер;
PIN/асинхронные - асинхронный метод дополняется вводом PIN-кода в устройство (PIN - персональный идентификационный номер );
синхронные - например, токен синхронизирован по времени с сервером и генерирует для данного пользователя в данную минуту пароль, который уже и вводится в систему;
PIN /синхронные.
Смарт-карты - это устройства, похожие на переносные аутентификаторы, но более сложные по своему составу. После введения PIN-кода картридер работает со смарт-картой, и дальнейший процесс протекает без участия человека, благодаря чему можно использовать достаточно длинные ключи.
Аутентификация «компьютер - компьютер»
Необходимость данного способа обусловлена тем, что возникают, например, следующие вопросы.
Межсетевой экран в корпоративной сети «А» принимает пакет из компьютерной сети «В». Следует ли ему пропускать такой пакет?
257
Бездисковая рабочая станция загружает ядро операционной системы с загрузочного сервера. Следует ли ей загружаться с назначенного сервера?
Маршрутизатор или компьютер принимает пакет «сеть недоступна» с маршрутизатора другой сети. Следует ли ему доверять этому сообщению?
Следует ли серверу принимать запрос с требованием монтирования файловых ресурсов?
Два компьютера «А» и «В» имеют доступ к базе данных на внешнем сервере. Произведена аутентификация пользователя к базе с компьютера «А». Следует ли серверу принимать аутентификацию этого же пользователя с компьютера «В»?
При работе с данным типом аутентификации используются пароли, цифровые подписи и шифрование.
Аутентификация, основанная на именах компьютеров, может быть классифицирована как отсутствие аутентификации. Имена компьютеров существуют в основном для удобства пользователя.
Цифровые сигнатуры идентифицируют отправителя, гарантируя при этом целостность сообщений. Однозначная идентификация отправителя подразумевает, что используется сильный криптографический алгоритм, и ключевая информация не скомпрометирована. Данная технология может использоваться для аутентификации и компьютеров, и пользователей.
Легальность пользователя может устанавливаться по отношению к различным системам. Работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи обо всех пользователях сети. Многие приложения имеют свои средства определения, является ли пользователь законным. И тогда пользователю приходится проходить
258
дополнительные этапы проверки.
Когда сервер и клиент должны пройти процедуру взаимной аутентификации, то речь идет об аутентификации на уровне приложений. При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Примером такой процедуры является аутентификация по протоколам РАР, CHAP или EAP, входящим в семейство протоколов РРР. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.
Аутентификация «человек-человек»
Такой способ аутентификации применяется для распознавания личности при взаимодействии пользователей. Основными технологиями здесь являются цифровые подписи и протокол Kerberos. Все участники, включая пользователей, клиентские и серверные программы, аутентифицируют друг друга с помощью доверительного центра.
Приведем некоторые из поддерживаемых в MS Windows методов аутентификации клиентов и серверов:
базовая аутентификация;
аутентификация на основе хэша;
аутентификация на основе форм;
аутентификация Microsoft Passport;
стандартная аутентификация Windows;
аутентификация по протоколу NTLM (NT LAN
Manager):
аутентификация по протоколу Kerberos v5;
аутентификация на основе сертификатов Х.509;
протокол IPSec (Internet Protocol Security);
RADIUS.
259
3.11.2. Авторизация доступа
Цель подсистем авторизации состоит в том, чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы. В отличие от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации имеет дело только с легальными пользователями, которые уже успешно прошли процедуру аутентификации.
Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.,
Для этого могут быть использованы различные формы предоставления правил доступа, которые часто делят на два класса: избирательный доступ или мандатный доступ.
Избирательные права доступа реализуются в операци-
онных системах универсального назначения. При таком подходе определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами.. Модификацией этого способа является использование для идентификации пользователей их должностей, или факта их принадлежности к персоналу того или иного производственного подразделения, или еще каких-либо других позиционирующих характеристик. Например, файл бухгалтерской отчетности могут читать работники бухгалтерии и руководитель предприятия.
Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответ-
260