Брандмауэры
Категория: Безопасность | Автор: admin | 11-06-2010, 23:04 | Просмотров: 3421

Наряду с защитой отдельных компьютеров можно предпринять меры и по обеспечению безопасности на сетевом уровне. Основной инструмент сетевой защиты — брандмауэр. Существует три категории брандмауэров: пакетный, сервисный и анализирующий.

 

Фильтрация пакетов

 

Брандмауэр, фильтрующий пакеты, ограничивает трафик через Internet-шлюз (или через внутренний шлюз, соединяющий домены в пределах организации), основываясь на информации из заголовка пакетов. Вы указываете, какие целевые адреса, номера портов и типы протоколов являются допустимыми, а брандмауэр просто отбрасывает (в некоторых случаях также регистрирует) все пакеты, которые не соответствуют заданному критерию.

Фильтрацию выполняют специализированные маршрутизаторы (например, выпускаемые компанией Cisco). Возможна также программная фильтрация; все зависит от компьютера, выполняющего функции шлюза, и его конфигурации. В целом фильтрующие брандмауэры значительно повышают безопасность, не требуя существенных финансовых затрат и особо сложной настройки.

В Red Hat и FreeBSD имеется программный фильтр пакетов. Для этой цели можно купить коммерческую программу. Все они позволят обеспечить разумную защиту домашнего компьютера или небольшого офиса. Но прочитайте еще раз начало главы, прежде чем рассматривать UNIX-систему в качестве корпоративного брандмауэра. Это тот случай, когда действительно стоит вложить деньги в покупку специализированного сетевого оборудования, например брандмауэра PIX компании Cisco.

 

Принципы фильтрации сервисов

 

Большинству "известных" сервисов назначается сетевой порт в файле /etc/services (или его системно-зависимом эквиваленте). Демоны, которые реализуют соответствующие сервисы, постоянно опрашивают порты, ожидая запросов на установление соединений со стороны удаленных компьютеров. Большинство таких портов — "привилегированные". Это значит, что их номера находятся в диапазоне от 1 до 1023 и что порты могут использоваться только процессами, работающими от имени пользователя root. Порты с номерами 1024 и выше являются непривилегированными.

Фильтрация сервисов основана на предположении, что клиент (компьютер, инициирующий соединение по протоколу TCP или UDP) будет использовать непривилегированный порт для установления контакта с привилегированным портом сервера. Например, если компьютеру с адресом 192.108.21.200 нужно разрешить только входящие SMTP-соединения, то следует установить фильтр, который позволит посылать TCP-пакеты по этому адресу только через порт 25 и отправлять TCP-пакеты с данного адреса через любой порт. Способ инсталляции такого фильтра будет зависеть от типа маршрутизатора.

Некоторые сервисы, например FTP, еще больше усложняют эту головоломку. При пересылке файла по протоколу FTP устанавливается на самом деле два соединения: одно — для команд, другое — для данных. Клиент инициирует командное соединение, а сервер — информационное. Следовательно, если необходимо получать файлы из Internet по протоколу FTP, нужно разрешить вход в систему через все непривилегированные TCP-порты, так как неизвестно, какой из них будет использован для установления информационного соединения.

 

Это сводит на нет преимущества фильтрации пакетов, поскольку некоторые общеизвестные сервисы, славящиеся своей незащищенностью, работают с непривилегированными портами (например, X11 — порт 6000). Кроме того, не в меру любознательные пользователи в организации получают возможность запускать собственные сервисные программы (например, сервер telnet на нестандартном и непривилегированном порте), к которым они и их друзья могут обращаться из Internet.

Самый безопасный способ использования фильтра пакетов — начать с конфигурации, в которой не допускается ничего, кроме входящего SMTP-трафика. Затем можно постепенно ослаблять фильтр по мере того, как будет обнаруживаться, что отдельные полезные сервисы не работают.

В некоторых фирмах, уж очень заботящихся о безопасности, используется двухступенчатая фильтрация. Один фильтр в этой схеме подключен к Internet как шлюз, а второй находится между этим шлюзом и остальной частью локальной сети. Идея состоит в том, чтобы оставить наружный шлюз относительно открытым, а внутренний сделать очень жестким. Если промежуточный компьютер административно отделен от остальной части сети, появляется возможность предоставлять различные сервисы Internet с меньшим риском.

Наиболее разумный способ урегулирования проблем с FTP — разрешить выход по протоколу FTP во внешний мир только с одного этого изолированного компьютера. Пользователи смогут регистрироваться на нем, когда им понадобится выполнять другие сетевые операции, запрещенные во внутренней сети. Поскольку копирование всех пользовательских учетных записей на FTP-сервер противоречит сути административного деления, можно создавать учетные записи только по заявкам. Естественно, на FTP-сервере должен работать полный комплект средств защиты.

 

Сервисные брандмауэры

 

Сервисные брандмауэры перехватывают входящие и исходящие запросы на соединение и устанавливают собственные подключения к сервисам в пределах сети, играя роль преграждающего затвора либо посредника между двумя мирами. По своей архитектуре сервисные брандмауэры менее гибкие и быстродействующие, чем обычные фильтры пакетов. Они должны иметь специальный модуль декодирования и перенаправления пакетов для каждого протокола, трафик которого проходит через брандмауэр. В начале 90-х гг. это было относительно несложно сделать, так как широко использовалось лишь небольшое число протоколов. Сегодня, путешествуя в паутине глобальной сети, пользователь за один час может задействовать несколько десятков протоколов. Поэтому сервисные брандмауэры относительно непопулярны в организациях, где основной средой взаимодействия стала сеть Internet.

 

Анализирующие брандмауэры

 

В основе анализирующих брандмауэров лежит следующий принцип: при внимательном прослушивании всех диалогов (на всех языках) в толпе аэропорта можно узнать, не планирует ли кто-нибудь пронести с собой в самолет бомбу. Такие брандмауэры проверяют проходящий через них трафик и сравнивают реальную сетевую активность с той, которая, по их мнению, должна быть. Например, если в пакетах, передаваемых в процессе обмена FTP-командами, указывается порт, через который должно быть установлено информационное соединение, брандмауэр обязан убедиться, что запрос придет именно к этому порту. Попытки удаленных узлов подключиться к другим портам будут считаться ошибочными, а следовательно, игнорироваться.

К сожалению, суровая действительность вносит свои коррективы. Нереально отслеживать состояние сетевых соединений для тысяч компьютеров и сотен протоколов, как нереально пытаться подслушать каждый разговор в переполненном аэропорту. Возможно, когда-нибудь, когда процессорные мощности и объемы оперативной памяти возрастут на порядок, этот замысел и воплотится в жизнь.

Так что же нам пытаются продать под маркой "анализирующие брандмауэры"? Такие системы либо контролируют очень ограниченное число соединений и протоколов, либо ищут определенные "неправильные" ситуации. Это, конечно, неплохо. Полезна любая технология, позволяющая выявлять аномалии трафика. Но в данном конкретном случае нужно помнить о том, что большинство рекламных заявлений подобного рода так и остаются рекламными.

 

Насколько безопасны брандмауэры

 

Фильтрация пакетов не должна быть основным средством защиты от незваных гостей. Это всего лишь вспомогательная мера. При применении брандмауэра у пользователя порой создается ложное впечатление, будто уровень его безопасности является исключительно высоким. Если, доверившись брандмауэру, ослабить бдительность на других рубежах, это отрицательно скажется на защищенности информации в вашей организации.

Каждый компьютер необходимо защищать индивидуально и регулярно проверять, пользуясь такими средствами, как crack, tcpd, nmap, COPS и tripwire. В противном случае за твердой оболочкой окажется мягкая, податливая сердцевина — настоящая "конфетка" для голодных хакеров.

В идеале локальные пользователи должны иметь возможность подключаться к любому сервису Internet, но доступ к локальным сервисам со стороны Internet-узлов следует ограничить. Например, к архивному серверу может быть разрешен FTP-доступ, а к серверу электронной почты — доступ только по SMTP-соединениям.

Чтобы Internet-канал функционировал с максимальной эффективностью, советуем все же обратить особое внимание на удобство работы и доступность. В конце концов, сеть становится безопасной благодаря бдительности системного администратора, а не благодаря "навороченному" брандмауэру.


 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page