Вопросы безопасности
Категория: Сети TCP/IP | Автор: admin | 17-02-2010, 07:16 | Просмотров: 2753

Теме безопасности посвящена отдельная глава (21), но ряд вопросов, касающихся IP-сетей, заслуживает отдельного упоминания. В этом параграфе мы рассмотрим те ситуации при работе в сети, в которых традиционно возникают проблемы безопасности, и опишем пути решения этих проблем.

 

Перенаправление IP-пакетов

 

Если в UNIX-системе разрешено перенаправление IP-пакетов, компьютер может выступать в роли маршрутизатора. Активизировать эту функцию рекомендуется только тогда, когда в системе есть несколько сетевых интерфейсов и она действительно играет роль уполномоченного сетевого маршрутизатора. Посредством механизма перенаправления можно сделать так, что внешние пакеты будут казаться поступившими от локального компьютера. Эта уловка позволяет пакетам обходить сетевые сканеры и фильтры пакетов.

 

Переадресующие ICMP-директивы

 

Посредством переадресующих ICMP-пакетов можно злонамеренно менять направление трафика и редактировать таблицы маршрутизации. Большинство операционных систем по умолчанию принимает эти пакеты и следует заключенным в них директивам. Но, согласитесь, вряд ли можно назвать приемлемой ситуацию, когда на несколько часов весь трафик организации перенаправляется конкуренту, особенно если в это время осуществляется резервное копирование. Мы рекомендуем так конфигурировать маршрутизаторы (или осуществляющие их функции системы), чтобы переадресующие ICMP-директивы игнорировались и фиксировались в журнальном файле.

 

Направленная маршрутизация

 

Механизм направленной маршрутизации в протоколе IP позволяет явно указать последовательность шлюзов, через которые должен пройти пакет на пути к получателю. При этом отключается алгоритм поиска следующего перехода, выполняемый на каждом шлюзе для определения того, куда нужно послать пакет.

Направленная маршрутизация была частью исходной спецификации протокола IP и служила для целей тестирования. Но она создает проблему с точки зрения обеспечения безопасности, ведь пакеты часто фильтруются в зависимости от того, откуда они прибыли. Злоумышленник может так подобрать маршрут, что пакет будет казаться прибывшим из внутренней сети, а не из Internet, поэтому брандмауэр его пропустит. Мы рекомендуем не принимать и не перенаправлять направленные подобным образом пакеты.

 

Широковещательные ping-пакеты и другие виды направленных широковещательных сообщений

 

Пакеты, направленные посредством команды ping, несут в себе широковещательный адрес сети (а не конкретного узла) и доставляются всем узлам сети. Такие пакеты применяются в атаках типа "отказ в обслуживании", например в так называемых атаках "smurf" (по имени программы, в которой они впервые были применены). Большинство узлов располагает средствами запрета широковещательных ping-запросов, т.е. их можно сконфигурировать на запрет приема и перенаправления таких пакетов. Маршрутизатор также способен фильтровать широковещательные пакеты, поступающие из Internet, чтобы они не попадали в локальную сеть. Лучше всего устанавливать средства защиты как на саму машину, так и на брандмауэр, если это возможно.

Широковещательные ping-пакеты одновременно являются "направленными" в том смысле, что они посылаются по широковещательному адресу конкретной удаленной сети. Стандартные подходы к обработке таких пакетов постепенно меняются. Например, в операционной системе Cisco IOS версий 11.JC по умолчанию осуществлялась переадресация направленных широковещательных пакетов, но в версиях 12.0 и выше этого уже нет. Обычно можно настроить стек TCP/IP так, чтобы широковещательные пакеты, приходящие из других сетей, игнорировались, но, поскольку это нужно сделать для каждого сетевого интерфейса, такая задача является весьма трудоемкой в крупной организации.

 

Брандмауэры UNIX

 

В Red Hat и FreeBSD имеются встроенные средства фильтрации пакетов (программные брандмауэры). Мы опишем эти средства в соответствующих параграфах (13.14 и 13.15), хотя и не рекомендуем использовать рабочую станцию в качестве брандмауэра. Безопасность UNIX-систем (особенно в том виде, в каком они выпускаются нашими любимыми поставщиками) и так невысока, а безопасность Windows NT — еще хуже. Поэтому советуем приобрести аппаратный брандмауэр. Даже самые сложные программные решения, например система Firewall-1 компании Checkpoint (работает в Solaris), уступают в надежности аппаратным аналогам наподобие устройств PIX компании Cisco, хотя имеют почти такую же цену!

 

 

Виртуальные частные сети

 

Многим организациям, имеющим офисы в различных частях света, хотелось бы, чтобы все эти офисы были соединены в одну большую частную сеть. К сожалению стоимость аренды трансконтинентальных и даже транснациональных линий связи делает это нереальным. Таким организациям приходится использовать Internet в качестве "частного" канала, организуя серию защищенных, зашифрованных "туннелей" в офисах. Подобные конгломераты называются виртуальными частными сетями.

В некоторых частных сетях используется протокол IPSEC, который недавно был стандартизирован организацией IETF. В других сетях применяются собственные патентованные решения, как правило, несовместимые друг с другом. Мы рекомендуем обратить внимание на такие продукты, как маршрутизатор 3660 компании Cisco и брандмауэр Firebox фирмы Watch-Guard; оба они поддерживают туннелирование и шифрование. Устройство Firebox использует протокол РРР для управления последовательным портом. Системный администратор может установить соединение с этим устройством, чтобы сконфигурировать его или получить доступ в виртуальную частную сеть для тестирования.

 

IPSEC: безопасный протокол IP

 

IPSEC (IP Secure — безопасный протокол IP) — это стандартизированная организацией IETF система аутентификации и шифрования соединений. Ее внедрению мешают федеральные законы США, запрещающие экспорт стойких (с большой длиной ключа) систем шифрования. Поэтому ряд неамериканских компаний выпустил собственные реализации протокола.

К сожалению, ни в одной из реализаций не предусмотрены средства распространения ключей шифрования, что является важнейшей предпосылкой для широкого внедрения и использования протокола IPSEC. В документе RFC2409 (рассматриваемом комитетами по стандартизации) определен протокол IKE (Internet Key Exchange — протокол обмена ключами в сети Internet), представляющий собой гибридную систему обмена ключами шифрования.

В настоящий момент в протоколе IPSEC шифруется заголовок транспортного уровня, содержащий номера портов отправителя и получателя. К сожалению, данная методика напрямую конфликтует с принципами работы большинства брандмауэров. В IETF рассматривается предложение об ее отмене.

В табл. 13.12 приведены сведения, касающиеся реализации протокола IPSEC в наших тестовых системах.

Нетрудно догадаться, что протокол IPSEC снижает производительность всего стека сетевых протоколов.

Чтобы установить соединение по протоколу IPSEC между двумя конечными узлами, нужно создать две базы данных: SAD (Security Association Database — база данных о связях в системе безопасности) и SPD (Security Policy Database — база данных о политике безопасности). Добавлять в них записи можно с помощью команды setkey, в которой имеются подкоманды add и spdadd. Дополнительную информацию вы сможете найти на Web-узле www.kame.net.

Таблица 13.12. Реализации протокола IPSEC в различных операционных системах

Система

Поддержка

Комментарии

Solaris

да

В версии 8 и выше

HP-UX

да

В состав HP-UX 11.00 входит система Praesidiun-IPSec/9000

Red Hat

неполная

Вскоре появится бесплатная система FreeS/WAN1

FreeBSD

да

В версии 4.0 и выше имеется реализация протокола IPSEC проекта КАМЕ

1  В SuSe Linux она имеется с 1999 г.


 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page