Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Основные схемы защиты на основе Firewall.

Вводная часть. | Основные подходы по применению межсетевых экранов (firewall) для защиты вычислительных сетей. | Сетевая политика безопасности. | Усиленная аутентификация. | Фильтрация пакетов. | Требования к пятому классу защищенности МЭ. | Требования к первому классу защищенности МЭ. |


Читайте также:
  1. I. Определение символизма и его основные черты
  2. I. ОСНОВНЫЕ ЗАДАЧИ ВНЕШНЕЙ ПОЛИТИКИ
  3. I. Основные принципы
  4. I.I.5. Эволюция и проблемы развития мировой валютно-финансовой системы. Возникновение, становление, основные этапы и закономерности развития.
  5. III Когнитивная структуризация знаний об объекте и внешней среде на основе PEST-анализа и SWOT-анализа
  6. III. Основные права и обязанности Обучающихся
  7. III. Основные права и обязанности Работников.

 

Анализ основных схем применения систем типа Firewall позволяет выделить следующие три типа Firewall: фильтрующие маршрутизаторы, шлюзы прикладного уровня и шлюзы сетевого уровня. Рассмотрим следующие схемы организации защиты сетей на их основе:

- Firewall на основе фильтрации пакетов;

- Firewall на основе простого шлюза;

- Firewall - экранированный шлюз;

- Firewall - экранированная подсеть.

Кроме того, рассмотрим методы использования модемного доступа и Firewall. Необходимо отметить, что рассмотренные схемы не перекрывают все возможные комбинации, а представляют собой основные реализуемые на практике.

Firewall, основанный на фильтрации пакетов (см. рис. 1), является наиболее распространенным и самым легким для реализации. Однако он имеет множество недостатков и менее эффективен по сравнению со всеми остальными рассматриваемыми типами Firewall.

 
 

 


Рис. 1. Firewall - маршрутизатор с фильтрацией пакетов.

Как правило, Firewall данного типа состоит из фильтрующего маршрутизатора, расположенного между Internet и защищаемой подсетью, который сконфигурирован для блокирования или фильтрации соответствующих протоколов и адресов. При этом компьютеры, находящиеся в этой сети, как правило, имеют прямой доступ к Internet, тогда как большая часть доступа из Internet к ним блокируется. Обычно блокируются такие заведомо опасные службы как NIS, NFS и Х Windows.

Firewall, основанные на фильтрации пакетов имеют те же недостатки, что и фильтрующие маршрутизаторы, однако эти недостатки становятся все серьезнее по мере того, как требования к безопасности защищаемого объекта становятся более сложными и строгими. Перечислим некоторые из этих недостатков:

- слабые, или вообще отсутствующие возможности регистрации события. Администратору трудно определить скомпрометирован ли маршрутизатор и узнать подвергался ли он атаке;

- исчерпывающее тестирование правил фильтрации очень трудоемко или невозможно;

- достаточная сложность правил фильтрации;

- для каждого хоста, непосредственно связанного с Internet, требуются свои средства усиленной аутентификации.

Фильтрующий маршрутизатор может реализовать любую из политик безопасности, однако если маршрутизатор не фильтрует по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено" может быть затруднена. Если необходимо реализовать именно эту политику, то нужно использовать маршрутизатор, обеспечивающий наиболее гибкую стратегию фильтрации.

Firewall на основе шлюза. Такая схема организации защиты лучше, чем Firewall на основе фильтрующего маршрутизатора. Firewall на основе шлюза (см. рис. 2) состоит из хост-системы с двумя сетевыми интерфейсами, при передаче информации между которыми осуществляется фильтрация. Кроме того, для обеспечения дополнительной защиты между защищаемой сетью и Internet, можно поместить фильтрующий маршрутизатор. Это создает между шлюзом и маршрутизатором внутреннюю экранированную подсеть, которую можно использовать для размещения систем, доступных извне, например, информационных серверов.

В отличие от фильтрующего маршрутизатора шлюз полностью блокирует трафик IP между сетью Internet и защищаемой сетью. Услуги и доступ предоставляются только полномочными серверами, расположенными на шлюзе. Это простая организация Firewall, но очень эффективная. Некоторые шлюзы не используют полномочных служб, зато требуют, чтобы пользователи осуществляли доступ к Internet только посредством регистрации на шлюзе. Этот тип шлюза менее предпочтителен, поскольку подключение к нему большого количества пользователей может привести к ошибкам, что может облегчить атаку для злоумышленника.

 
 

 

 


Рис. 2. Firewall на основе шлюза.

Этот тип Firewall реализует политику безопасности, при которой запрещено все, что не разрешено явно, поскольку делает недоступными все службы, кроме тех, для которых определены соответствующие полномочия. Шлюз игнорирует пакеты с маршрутизацией источника, поэтому передать в защищенную подсеть такие пакеты невозможно. Этим достигается высокий уровень безопасности, поскольку маршруты к защищенной подсети известны только Firewall и скрыты от внешних систем, поскольку Firewall не будет передавать наружу информацию DNS.

Для простой настройки шлюза необходимо установить полномочные службы для TELNET и FTP, и централизованную электронную почту, с помощью которой Firewall будет получать всю почту, отправляемую в защищаемую сеть, а затем пересылать ее хостам сети.

Firewall, использующий шлюз, как и Firewall с экранированной подсетью, который будет рассмотрен далее, предоставляет возможность отделить трафик, связанный с информационным сервером, от остального трафика между сетью и Internet. Информационный сервер можно разместить в подсети между шлюзом и маршрутизатором, как показано на рисунке. Предполагая, что шлюз предоставляет информационному серверу подходящие полномочные службы (например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ к информационному серверу и обеспечить, чтобы этот доступ осуществлялся только через Firewall. Если разрешен прямой доступ к информационному серверу (что менее безопасно), то его имя и IP адрес становятся известны посредством DNS. Размещение информационного сервера до шлюза увеличивает безопасность основной сети, поскольку даже проникнув в информационный сервер, нарушитель не сможет получить доступ к системам сети.

Недостаточная гибкость шлюза может оказаться неприемлемой для некоторых сетей. Поскольку блокируются все службы, кроме определенных, доступ к другим службам осуществить невозможно; системы, требующие доступа, нужно располагать до шлюза со стороны Internet. Однако, как видно из рисунка, маршрутизатор можно использовать для образования подсети между шлюзом и маршрутизатором, и здесь же можно поместить системы, требующие дополнительных служб.

Firewall на основе экранированного шлюза является более гибким решением, чем просто шлюз, однако эта гибкость достигается за счет некоторого понижения уровня безопасности. Firewall на основе экранированного шлюза (см. рис. 3) объединяет фильтрующий маршрутизатор и прикладной шлюз, размещенный со стороны защищаемой подсети. Прикладной шлюз можно также разместить до маршрутизатора со стороны Internet без ущерба для безопасности. Размещение прикладного шлюза на внешней стороне будет способствовать тому, что именно он будет подвергаться атакам и может служить для их исследования в качестве ложной цели.


Рис. 3. Firewall на основе экранированного шлюза.

Для прикладного шлюза необходим только один сетевой интерфейс. Полномочные службы прикладного шлюза должны обеспечивать сервис TELNET, FTP и других полномочных служб для систем защищаемой сети. Маршрутизатор фильтрует остальные протоколы, не позволяя им достигнуть прикладного шлюза и систем сети. Он запрещает (или разрешает) трафик согласно следующим правилам:

- трафик из Internet к прикладному шлюзу разрешен;

- весь остальной трафик из Internet запрещен;

- маршрутизатор запрещает любой трафик из сети, кроме исходящего от прикладного шлюза.

В отличие от Firewall, основанного на обычном шлюзе, для прикладного шлюза требуется только один сетевой интерфейс и не требуется отдельной подсети между прикладным шлюзом и маршрутизатором. Это позволяет сделать Firewall более гибким, но менее безопасным, поскольку существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системам сети. Службы, не имеющие соответствующих полномочий, можно считать надежными в том смысле, что риск использования этих служб считается допустимым. Например, можно разрешить передавать через маршрутизатор к системам сети службы, подвергающиеся меньшему риску, например NTP. Если системы сети требуют доступа DNS к Internet, то его можно разрешить. В этом случае Firewall может реализовать обе политики безопасности одновременно, в зависимости от того, какие типы служб доступны системам сети.

Firewall, состоящий из экранированной подсети (см. рис. 4) представляет собой разновидность Firewall с экранированным хостом. Его можно использовать для размещения каждого компонента Firewall в отдельной системе, что позволит увеличить пропускную способность и гибкость, за счет некоторого усложнения архитектуры. Каждая система, входящая в этот Firewall, нужна только для выполнения конкретной задачи.

На рис. 4 показаны два маршрутизатора, используемые для создания внутренней, экранированной подсети. Эта подсеть содержит прикладной шлюз, однако она может также включать в себя информационные серверы и другие системы, требующие тщательно контролируемого доступа. Маршрутизатор, соединяющий сеть с Internet, должен пересылать трафик согласно следующим правилам:

- трафик от прикладного шлюза к Internet разрешен;

- трафик электронной почты от сервера электронной почты к Internet разрешен;

- трафик от объектов Internet к прикладному шлюзу разрешен;

- трафик электронной почты от Internet к серверу электронной почты разрешен;

- трафик ftp, gopher и т.д. от Internet к информационному серверу разрешен, весь остальной трафик запрещен.

Внешний маршрутизатор запрещает доступ из Internet к системам экранированной подсети и блокирует весь трафики к Internet, идущий от систем, которые не должны являться инициаторами соединений (информационный сервер и др. системы). Маршрутизатор можно использовать и для блокирования любых других уязвимых протоколов, которые не должны передаваться к хостам экранированной подсети или от них.

 
 

 

 


Рис. 4. Firewall - экранированная подсеть.

Внутренний маршрутизатор осуществляет трафик к системам экранированной подсети и от них согласно следующим правилам:

- трафик от прикладного шлюза к системам сети разрешен;

- трафик электронной почты от сервера электронной почты к системам сети разрешен;

- прикладной трафик от систем сети к прикладному шлюзу разрешен;

- трафик электронной почты от систем сети к серверу электронной почты разрешен;

- трафик ftp, gopher и т.д. от систем сети к информационному серверу разрешен, весь остальной трафик запрещен.

Таким образом, ни одна система сети не достижима непосредственно из Internet и наоборот, как и для Firewall с простым шлюзом. Главным отличием является то, что маршрутизаторы используются для направления трафика к конкретным системам, что исключает необходимость того, чтобы прикладной шлюз выполнял роль маршрутизатора. Это позволяет достигнуть большей пропускной способности. Следовательно, Firewall с экранированной подсетью наиболее подходит для сетей с большими объемами трафика или с очень высокими скоростями обмена.

Firewall с экранированной подсетью, как и Firewall с экранированным шлюзом, можно сделать более гибким, допуская трафик между Internet и системами сети для некоторых проверенных служб. Однако такая гибкость может привести к тому, что будет необходимо сделать некоторые исключения из политики безопасности, что ослабит эффективность Firewall. Во многих случаях больше подходит Firewall с простым шлюзом, поскольку он не допускает ослабления политики безопасности (так как через него не могут проходить службы, не обладающие соответствующими полномочиями). Однако там, где пропускная способность и гибкость имеют большое значение, более предпочтителен Firewall с экранированной подсетью.

Firewall с экранированной подсетью обладает двумя недостатками.

Во-первых, существует принципиальная возможность доступа в обход прикладного(ых) шлюза(ов). Это верно и для случая Firewall с экранированным шлюзом, однако Firewall с экранированной подсетью допускает размещение в ней систем, требующих прямого доступа к службам Internet.

Вторым недостатком является то, что маршрутизаторы требуют большого внимания для обеспечения необходимого уровня безопасности. Как уже отмечалось, фильтрующие маршрутизаторы сложно конфигурировать, и из-за ошибок могут возникнуть лазейки в безопасности всей сети.

 

 


Дата добавления: 2015-07-19; просмотров: 101 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Шлюзы прикладного и сетевого уровня.| Требования руководящих документов по построению межсетевых экранов.

mybiblioteka.su - 2015-2024 год. (0.013 сек.)