Петров А.А. Комп без-ть
.pdfПрименение межсетевых экранов |
321 |
Ш люз сеансового уровня считает запрошенный сеанс допустимым толь ко в том случае, если при выполнении процедуры квитирования связи флаги 5УЫ и АСК, а также числа, содержащиеся в ТСР-пакетах, оказыва ются логически связанными между собой.
После того как шлюз определил, что доверенный клиент и внешний шлюз являются авторизованными участниками сеанса ТСР, и проверил допусти мость данного сеанса, он устанавливает соединение. Начиная с этого мо мента шлюз просто копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, которые зафиксированы в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, исполь зовавшуюся в данном сеансе.
Ш люзы сеансового уровня не имеют уязвимых мест, однако после ус тановления связи такие шлюзы фильтруют пакеты только на сеансовом уровне модели 031, то есть не могут проверять содержимое пакетов, пе редаваемых между внутренней и внешней сетью иа уровне прикладных программ, и, поскольку эта передача осуществляется вслепую, хакер, на ходящийся во внешней сети, имеет возможность протащить свои пакеты через шлюз. После этого хакер может уже напрямую обратиться к внут реннему ТОЬ-серверу, который сам по себе не способен выполнять фун кции МЭ.
Иными словами, если процедура квитирования связи успешно заверше на, шлюз сеансового уровня установит соединение и будет копировать и перенаправлять все последующие пакеты независимо от их содержимого. Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами в соответствии с их содержимым, необходим шлюз приклад ного уровня.
3.6.3. Шлюзы уровня приложений
Вместо анализа 1Р-пакетов шлюзы этого типа изучают данные на уров не приложений. Часто шлюзы приложений используют уполномоченное приложение для создания отдельного сеанса. В отличие от фильтра паке тов, этот сеанс не допускает прямого соединения между двумя сетями, дру гими словами, он не может выступать в качестве посредника для трафика пакетов
Обнаружив сетевой сеанс, шлюз приложений останавливает его и вы зывает уполномоченное приложение для оказания запрашиваемой услу ги, пусть это будет Ы пеЧ Кр, ЛУогЫ \У1с1е \УеЬ или электронная почта.
1 1 - 3
322 Компьютерная безопасность и практическое применение криптографии
Инициировав уполномоченный сеанс, брандмауэр, по существу, ограничи вает доступ к определенным приложениям. Многие шлюзы приложений предоставляют также полномочия для доступа к Н ТТР, ЫеПуогк Ие\^з ТгапзКг Рго1зосо1 (протокол для управления группами новостей Изеш^;), 51тр1е Май ТгапзКг Рго1:осо1 и ЗИМ Р. Некоторые продукты, например СаипНеИ компании Тгиз1;ес1 Ы оппаНоп Зуз1:етз, помимо вышеупомянутых сервисов, поддерживают и такие, как г1о§т, ТШ 270, РОР-3, §орЬег, X УЛпбо'уу, йп^ег и \уЬо13.
По большей части популярные М Э представляют собой шлюзы прило жений, хотя о н и в состоянии осуществлять также фильтрацию пакетов и некоторые другие функции. По самой своей природе шлюзы приложе ний имеют много преимуществ над фильтрами пакетов. Они выполняют ся на стандартном оборудовании, в частности иа рабочей станции 1Ж1Х, имеющей больше, чем у маршрутизатора, возможностей для настройки. В январе 1996 года КарШг Зуз^етз выпустила Еа§1е И Т - первый брандма уэр на базе 'Мпбошз ИТ, с помощью которого администраторы сетей могут сконфигурировать надежную защиту без знания 1Ж1Х. С тех пор такие компании, как С ЬескРот!; и Ие1:Оиагб, тоже выпустили программные М Э для ^ п б о ^ з ЫТ.
Ввиду того, что шлюзы приложений функционируют на уровне прило жений, контроль доступа может быть отрегулирован значительно точнее, нежели при использовании фильтров пакетов. Однако один из недостатков такого подхода заключается в том, что поток трафика в этом случае суще ственно замедляется, поскольку инициация уполномоченного сеанса требу ет времени. Многие шлюзы приложений поддерживают скорости вплоть до уровня Т-1, но, если компании развертывают несколько М Э сразу или число сеансов увеличивается, заторы становятся настоящей проблемой.
Ш люзы приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса, иначе МЭ, не имеющие соответствующего при ложения, не позволят осуществить к нему доступ. С технической точки зрения это означает, что при появлении новой версии какого-либо прило жения она должна быть загружена на брандмауэр. В С ЬескРоЫ эта про блема решена следующим образом: заказчики могут скачать с узла \УеЪ компании макросы с поддержкой последних редакций популярных прило жений.
Другой тип МЭ, шлюзы уровня канала, напоминает шлюзы приложений, за исключением того, что уполномоченный сеанс организуется иа уровне Т С Р (или 1Ш Р), а не на уровне приложения. Приложение выполняется не на МЭ, а в настольной системе внутреннего пользователя. Ш лю зы каналов располагаются на хостах и как таковые действуют аналогично
Применение межсетевых экранов |
323 |
транслирующей программе, получая пакеты от одного хоста и передавая их другому Такая схема менее надежна, чем в случае шлюза приложений, поскольку пакеты анализируются на сеансовом (пятый уровень модели 031), а не на прикладном уровне (седьмой уровень модели 031). Кроме того, шлюзы уровня канала упрощают задачу инициирования внутренним пользователям незаконного сеанса и редко применяются в автономных ус тройствах, однако если они используются совместно со шлюзами прило жений, то такой М Э более надежен.
3.6.4. Использование межсетевых экранов для создания УРЫ
Ряд М Э позволяют также организовывать виртуальные корпоративные сети УР1М, объединяющие несколько локальных сетей, включенных в 1пЪегпеЕ в одну виртуальную сеть. Вогс1ег\Уаге Епе^уаИ Зегуег 4.0 позволяет передавать информацию через 1п1:егпе1; по шифрованным каналам с при менением закрытых и открытых ключей. Продукт обеспечивает шифрова ние по алгоритму КЗА Эа1:а ЗесигКу, стандарт шифрования данных БЕЗ с 56-разрядным ключом, Тпр1е ОЕЗ в три раза мощнее ЭЕЗ, и стандарт шифрования КС5.
Еа§1е 4.0 компании Кар1юг Зуз1:ет5 также поддерживает У Р К с возмож ностью фильтрации внутри канала виртуальной пользовательской сети. Обычно канал открыт для всех протоколов, но Еа&1е может пропускать только указанные приложения. Например, сеансы 1е1пе1: могут быть запре щены, а электронная почта и \У\У\У разрешены. Раньше все сервисы не обходимо было разрешать или запрещать одновременно, теперь же неко торые функции можно блокировать по выбору.
Соединения через УРЫ (менее дорогостоящие, чем выделенная линия) работают, только если на обоих концах канала установлены брандмауэры одного и того же поставщика. При установке нескольких брандмауэров их неполное взаимодействие между собой может создать некоторые проблемы. Однако поставщики брандмауэров, и не только они, стремятся выработать стандарты, чтобы заказчики получили свободу выбора, а узлы гладко вза имодействовали друг с другом. Недавно отдел бизнес-приложений для 1п1егпе1: компании ИЕС Тес1то1о§1ез продемонстрировал У Р И с протяжен ностью от С Ш А до Японии. Ввиду того, что многие стандарты шифрова ния запрещены к экспорту из С Ш А, в демонстрации И ЕС использовала шифрование БЕЗ и Тпр1е БЕЗ на конце канала в Сан-Хосе и японскую версию БЕЗ на другом конце канала в Токио.
Сеть УРЫ может применяться не только для связи между двумя офиса ми. Часто мобильному или удаленному пользователю нужен аналогичный
II*
324 Компьютерная безопасность и практическое применение криптографии
уровень защиты и надежности при обмене информацией или доступе к сер висам ЬгЬегпеЪ СЬескРоЫ ЗоЙ^аге использует клиентское программное обеспечение шифрования, благодаря чему удаленные пользователи имеют возможность инициировать надежное соединение либо через коммутиру емые линии, либо через 1Шегпе1:.
Средство СЬескРонШ Рпе\Уа11-1 ЗесиКепкДе совместимо с Рйе^/аП-1 позволяет мобильным или удаленным пользователям производить защи щенную передачу данных и применять сервисы ЬЛегпеС, далее когда пря мой защищенный канал с главным офисом установить невозможно. При установке на портативную или другую удаленную машину ЗесиЛетове дает возможность позвонить по локальному номеру 1Мегпе1: вне зависи мости от местоположения пользователей, инициировать соединение УРКГ, отправить и получить шифрованную информацию.
3.6.5. Рюху-серверы
Ргоху-сервер управляет и контролирует трафик ГпЪегпе!: между сетью ком пании и внешним миром. В его функции входит руководство всем исходя щим трафиком и проведение его через одну точку, кэширование страниц У/еЪ и осуществление контроля над разрешенными сервисами 1п1:егпе1: внутри и вне сети. Но даже самое подробное описание ргоху-сервера не дает ясной и полной картины его возможностей, в результате до сих пор существует путаница между М Э и ргоху-серверами. Ргоху-сервер может или размещаться на той же машине, что и МЭ, или быть установленным за ним (в зависимости от имеющегося на диске места).
На одном уровне ргоху-сервер скрывает внутренние 1Р-адреса и обеспе чивает централизацию управления и защиты исходящего трафика 1Р. При передаче всего трафика через ргоху-сервер внутренние 1Р-адреса остают ся скрытыми от внешнего мира.
Некоторые из МЭ, представленных на рынке, наделены функцией раз деляемого шлюза, но многие брандмауэры, главным образом фильтры па кетов, такой функции не имеют. В этих случаях добавление ргоху-сервера к шлюзу позволит компании выступать перед всем внешним миром под единственным 1Р-адресом. Данный подход имеет несколько преимуществ. Одно из них в том, что хакеры не могут получать действительные внут ренние 1Р-адреса и использовать их против компании (метод, известный как «подделка 1Р-адресов» или 1Р-зроойп$). Также компаниям не придет ся регистрировать каждый внутренний 1Р-адрес, что стоит иногда доволь но дорого.
Применение межсетевых экранов |
325 |
Ргоху-протокол СЕКИ, реализованный в наиболее популярных браузе рах, поддерживает протоколы Н ТТР, &р и §орйег. Клиентская программа должна быть специальным образом сконфигурирована для 1п1егпе1;, вот для чего используется модифицированная версия Н ТТР. Ргоху Зегуег ком пании Мюгозой поддерживает ргоху-протокол СЕРЫ, так что любой со вместимый с этим стандартом браузер может применить протокол без до полнительного клиентского программного обеспечения.
При работе с такими браузерами, как ЫаУ1§а*юг компании Ые&саре и 1п~ ;егпе1: Е хрЬгег компании М лсгозоР, пользователь может через меню
ОрНопз задать имя ргоху-сервера, с которым затем браузер будет взаимо действовать автоматически. Пользователи могут также определить различ ные полномочия для сеансов 1п1:ете1; разного типа. Браузеры, не совмести мые со стандартом СЕРЫ, требуют специальной конфигурации на стороне клиента.
Поддержка ргоху-стандарта СЕРЫ реализована практически на любом клиенте Ргоху Зегуег (компании МтсгозоР) в составе посредника для 'УУтзоск, не требующего никаких изменений на стороне клиента и поддержи вающего широкий круг протоколов, в том числе протоколы, не ориенти рованные на \УеЬ, в частности аудио- и видеотрафик. Посредник для АУтзоск аналогичен Зоскз (ш лю зу Т С Р для связи авторизованных клиен тов с Зоскз-совместимым сервером или брандмауэром).
После открытия сеанса 1Щете1: в задачу ргоху-сервера входит обеспече ние защиты коммуникаций. Ргоху Зегуег компании ЫеЦзсаре использует протокол ЗЗЬ, разработанный для шифрования сообщений между клиен том и удаленным сервером. Ргоху-серверы обеих компаний используют этот протокол посредством организации ЗЗЕ-туннелей - технологии для защищенного обмена сообщениями, например Н Т Т Р и ЫЫТР (Ые1:ш)гк Ые\уз ТгапзроН Рго1:осо1).
Клиенты, использующие ЫеЪзсаре Ыауц*а1;ог, уже поддерживают ЗЗБ и могут взаимодействовать с удаленным сервером непосредственно через брандмауэр. Ргоху Зегуег компании ЫеЬзсаре также позволяет клиентам, не ориентированным на ЗЗЕ, осуществлять защищенные коммуникации с удаленными хостами через 1Щегпе1:. При таком подходе ргоху-сервер за прашивается об организации защищенного соединения по поручению не защищенного клиента. Клиент связывается с посредником с помощью стандартного НТТР, а посредник взаимодействует с удаленным узлом, ис пользуя ЗЗЬ, так что канал через 1п1:егпе1: в любом случае оказывается за щищенным.
Для проверки входящего трафика на предмет наличия вирусов можно использовать и дополнительные модули независимых производителей.
326 Компьютерная безопасность и практическое применение криптографии
Данные продукты должны заниматься сканированием входящего трафика Н Т Т Р и Кр, а также вложений в почтовые сообщения, благодаря этому инфицированный трафик 1Щегае1: будет остановлен прежде, чем он смо жет попасть на настольные системы в частной сети.
Как и многие другие виды сетевых серверов, ргоху-серверы требуют особой конфигурации и постоянного управления. Требования к системе компании Ыейзсаре довольно незначительны, и продукт работает с самы ми разными серверами ДУеЬ. Ргоху Зегуег этой компании работает как на платформе 1пЫ, так и с некоторыми видами 1ЛЧ1Х: ОЗР компании Вщйа!, Н Р -О х, А1Х, 1ШХ компании ЗШсоп СгарЫсз, а также ЗипОЗ и Зо1апз ком пании Зип Мтсгозуз^етз. Поскольку многие брандмауэры лучше приспо соблены для работы под 11Ы1Х, применение ргоху-сервера с аналогичной операционной системой облегчает установку и администрирование.
Управлять продуктом Ые^зсаре можно из любого ЗЗЬ-совместимого бра узера, кроме того, продукт поддерживает 5ЫМР-1, ЗЫМР-2 и возможность автоматической конфигурации. Параметры сервера поддаются тонкой настройке. Например, пользователи, которым требуются 1ШЬ с расши рением .сот, могут быть направлены к одному ргоху-серверу, а тем, кому нужны адреса, оканчивающиеся на .еби, - к другому. В случае возникно вения сбоя на одном сервере его место занимает другой ргоху-сервер. Чтобы снизить трафик в 1п1:егпе1:, оператору лучше установить ргоху-сер вер в каждом локальном центре и на каждом шлюзе 1п1:егпе1:. Операторы 1Щегпе1; наиболее заинтересованы в предлагаемой ргоху-серверами воз можности кэширования.
Таким образом, ргоху-серверы позволяют при доступе к защищаемому сегменту сети осуществлять идентификацию и аутентификацию удален ного пользователя и являются основой для создания УРЫ.
Брандмауэры и ргоху-серверы имеют много общего, но для создания защищенной системы в сети должны быть установлены и те, и другие. Се тей с абсолютно надежной защитой не существует, но, по мнению автора, для обеспечения безопасности сочетание брандмауэра и ргоху-сервера оп тимально.
3.6.6. Виды подключения межсетевых экранов
Учитывая многообразие практических вопросов обеспечения безопасности, решаемых с помощью брандмауэров, существует несколько схем их подклю чения к защищаемой сети. Как уже говорилось, брандмауэр ~ это система или комбинация систем, позволяющих разделить сеть иа две или более час ти и реализовать набор правил, определяющих условия прохождения
Применение межсетевых экранов |
327 |
пакетов из одной части в другую. Пример типовой схемы подключения брандмауэра при организации У РЫ представлен на рис. 3.21.
Рис. 3.21. Типовая схема подключения брандмауэра
В принципе М Э может работать в качестве внешнего маршрутизатора, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис. 3.21). Но иногда работает схема, изображенная на рис. 3.22, однако пользоваться ей следует только в крайнем случае, поскольку тре буется очень аккуратная настройка маршрутизаторов, и даже небольшие ошибки могут стать причиной серьезных нарушений в защите.
Брандмауэр |
маршрутизатором |
В случае использования М Э с несколькими сетевыми интерфейсами чаще всего подключение осуществляется через внешний маршрутизатор (рис. 3.23). При этом между внешним маршрутизатором и брандмауэром
328 Компьютерная безопасность и практическое применение криптографии
|
Маршрутизатор |
Рис. 3.23 |
|
Схема подключения |
|
|
|
|
|
|
с внешним |
Брандмауэр |
|
маршрутизатором |
|
|
имеется только один путь, по которому идет весь трафик. Обычно марш рутизатор настраивается таким образом, что брандмауэр является для него единственной видимой снаружи машиной. Эта схема наиболее предпочти тельна с точки зрения безопасности и надежности защиты.
3.6.7. Использование межсетевых экранов
Говоря об использовании брандмауэров, следует отметить, что этот вид средств защиты информации не нужно воспринимать как панацею от лю бой беды, поскольку межсетевые экраны в первую очередь предназначены для реализации политики разграничения уделенного доступа к ресурсам сети. Проблема заключается в том, что если, например, брандмауэр запрещает дос туп данной группы 1Р-адресов с \УеЬ-сервера, то злоумышленник будет пы таться получить доступ к незащищенным информационным ресурсам.
Если же говорить о том, какие удаленные атаки способен отразить бран дмауэр, необходимо выделить следующие:
•противоправный анализ сетевого трафика. Очевидно, что только бран дмауэр с реализованными функциями шифрования трафика может противостоять данным атакам;
•подмена одной из сторон информационного обмена. М Э в данном слу чае не помощник;
•внедрение ложного объекта распределенной системы. В этом случае М Э показывает неоднозначные результаты, поскольку внедрение ложного АКР-сервера он сможет предотвратить, как, впрочем, и на вязывание лояшого маршрута при помощи Ю М Р-протокола, однако внедрение ложного БЫЗ-сервера он предотвратить не в состоянии;
•отказ в обслуживании. Вмешательство М Э во время этой атаки толь ко ухудшит ситуацию, так как нарушитель выведет из строя М Э
Применение межсетевых экранов |
329 |
и все рабочие станции защищаемой сети будут отрезаны от внешне го мира.
В заключение следует отметить, что М Э является рабочей станцией с ус тановленной ОС, например РгееВЗБ, у которой определенным образом переделано ядро, поэтому очевидно, что он будет наследовать все уязви мости, присущие данной ОС, и большинство атак для этой системы будут применимы и для брандмауэра.
3.6.8. Применение криптографии в межсетевых экранах на примере СЬескРот! Р/гемаН-1
Межсетевой экран РпеАУаП-! - это программный продукт компании СЬескРотГ Зо&^аге Тес1то1о§1ез (распространяемый также некоторыми другими компаниями, например ЗипЗоЙ:), обеспечивающий комплексное решение технических проблем информационной безопасности в тГгапеГ. Р1ге’\Ма11-1 предоставляет следующие возможности:
•межсетевое экранирование;
•поддержку виртуальных частных сетей;
•защиту коммуникаций между сервером и удаленным клиентом.
РйеАУа1М - это проверенный продукт, завоевавший около 40% рынка межсетевых экранов, удостоенный многочисленных наград компьютерных изданий и независимых центров тестирования. В основе идеи создания Рпе\Уа11-1 - новаторская технология многоуровневой фильтрации с форми рованием и анализом состояния сетевых соединений, предоставляющая надежную защиту для всех без исключения сетевых протоколов в сочета нии с высокой эффективностью и полной прозрачностью для легальных пользователей. Эта технология дополнена средствами централизованного администрирования (конфигурации, анализа и аудита) защитных механиз мов, а также логически замкнутым набором криптографических средств.
Только Р1ге\Уа11-1 позволяет организации создать единую интегрирован ную политику безопасности, которая распространялась бы иа множество меж сетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продует имеет и массу дополнительных возможностей, таких как управление списками доступа аппаратных маршрутизаторов, балансиров ка сетевой нагрузки на серверы, а также элементы для построения систем повышенной надежности, которые тоже полностью интегрируются в глобаль ную политику безопасности. Работа С ЬескРотГ Р1ге\Уа11-1 открыта для пользователей и обеспечивает рекордную производительность практически для любого 1Р-протокола и высокоскоростной технологии передачи данных.
330 Компьютерная безопасность и практическое применение криптографии
Р1ге\Уа11-1 обеспечивает максимальный уровень безопасности, его высо коэффективные характеристики основываются на технологии инспекции пакетов с учетом состояния протокола. На сегодняшний день это самый передовой метод контроля сетевого трафика, разработанный и запатенто ванный компанией С Ь еск РотГ Данный метод обеспечивает сбор инфор мации из пакетов данных как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает полный контроль даже за уровнем приложения без необхо димости введения отдельного приложения-посредника (ргоху) для каждо го защищаемого сетевого сервиса.
Набор продуктов, называемых СЬескРош1; открытой платформой безо пасного взаимодействия предприятий (О Р 5 Е С - Ореп Р1аНогт Ь г Зесиге ЕпГегрпзе СоппесГтГу), основывается на концепции объединения техно логий защиты информации вокруг единого средства представления ин формационной безопасности предприятия.
СЬескРотГ Рне\Уа11-1 состоит из двух основных модулей:
•модуль управления, который включает графический интерфейс пользо вателя и собственно компоненты управления. Графический интерфейс позволяет работать с базами данных СЬескРотГ Епе\Уа1Г1: базой пра вил, сетевыми объектами, услугами, пользователями и т.д.;
•экранирующий модуль Епе\Уа11-1, установленный иа всех компонен тах корпоративной сети, производящих фильтрацию сетевых потоков данных. Это могут быть серверы с одним сетевым интерфейсом (тогда модуль защищает только данный сервер) или шлюзы с несколькими интерфейсами (тогда модуль экранирует подсеть). Экранирующий мо дуль решает три основные задачи:
-фильтрацию сетевого трафика;
-протоколирование информации и возбуждение сигналов тревоги;
-шифрование/дешифрование информации.
Экранирующий модуль встраивается в ядро операционной системы меж ду канальным и сетевым уровнями. Он перехватывает все пакеты, посту пающие из/в сетевой/ую карты/у, и обрабатывает их в соответствии со специфицированной базой правил. Такая обработка производится для каж дого сетевого интерфейса иа серверах и шлюзах. При фильтрации все пра вила, заданные для данного интерфейса, просматриваются по очереди. Если подходящее правило найдено, выполняются заданные в нем дей ствия (протоколирование, шифрование и т.д.), после чего пакет пропус кается или отвергается. Таким образом, экранирующий модуль Епе№11-1