Занятие №6. Методы сетевой защиты

Занятие №6. Методы сетевой защиты
Для противодействия несанкционированному межсетевому доступу
сетевой экран должен располагаться между защищаемой сетью организации,
являющейся внутренней, и потенциально враждебной внешней сетью (рис. 1).
При этом все взаимодействия между этими сетями должны осуществляться
только через межсетевой экран. Организационно экран входит в состав
защищаемой сети.
Межсетевой экран должен учитывать протоколы информационного
обмена, положенные в основу функционирования внутренней и внешней
сетей. Если эти протоколы отличаются, то брандмауэр должен поддерживать
многопротокольный
режим
работы,
обеспечивая
протокольное
преобразование отличающихся по реализации уровней модели OSI для
объединяемых сетей. Чаще всего возникает необходимость в совместной
поддержке стеков протоколов SPX/IPX и TCP/IP.
Клиенты
Серверы
Межсетевой экран
(брандмауэр)
Защищаемая
внутренняя сеть
Потенциально
враждебная внешняя
сеть
Серверы
Клиенты
Рисунок 1 – Схема подключения межсетевого экрана
Брандмауэр не является симметричным. Для него отдельно задаются
правила, ограничивающие доступ из внутренней сети во внешнюю сеть и
наоборот. В общем случае работа межсетевого экрана основана на
динамическом выполнении двух групп функций:
 фильтрации проходящих через него информационных потоков;
 посредничества при реализации межсетевых взаимодействий.
В зависимости от типа экрана эти функции могут выполняться с
различной полнотой. Простые межсетевые экраны ориентированы на
выполнение только одной из данных функций. Комплексные экраны
обеспечивают
совместное
выполнение
указанных
функций
защиты.
Собственная защищенность брандмауэра достигается с помощью тех же
средств, что и защищенность универсальных систем.
Чтобы эффективно обеспечивать безопасность сети, комплексный
брандмауэр обязан управлять всем потоком, проходящим через него, и
отслеживать свое состояние. Для принятия управляющих решений по
используемым сервисам межсетевой экран должен получать, запоминать,
выбирать
и
обрабатывать
информацию,
полученную
от
всех
коммуникационных уровней и от других приложений. Недостаточно просто
проверять пакеты по отдельности. Информация о состоянии соединения,
полученная из инспекции соединений в прошлом и других приложений —
главный
фактор
в
принятии
управляющего
решения
при
попытке
установления нового соединения. Для принятия решения могут учитываться
как состояние соединения (полученное из прошлого потока данных), так и
состояние приложения (полученное из других приложений). Полнота и
правильность управления требуют, чтобы комплексный брандмауэр имел
возможность анализа и использования следующих элементов:
 информации о соединениях – информации от всех семи уровней в
пакете;
 истории соединений – информации, полученной от предыдущих
соединений. Например, исходящая команда PORT сессии FTP должна быть
сохранена для того, чтобы в дальнейшем можно было проверить входящее
соединение FTP data;
 состояния уровня приложения –
информации о
состоянии,
полученной из других приложений. Например, аутентифицированному до
настоящего момента пользователю можно предоставить доступ через
брандмауэр только для авторизованных видов сервиса;
 агрегирующих элементов – вычислений разнообразных выражений,
основанных на всех вышеперечисленных факторах.
Устройство, подобное межсетевому экрану, может использоваться и для
защиты отдельного компьютера. В этом случае экран, уже не являющийся
межсетевым, устанавливается на защищаемый компьютер. Такой экран,
называемый
брандмауэром
компьютера
или
системой
сетевого
экранирования, контролирует весь исходящий и входящий трафик независимо
от всех прочих системных защитных средств. При экранировании отдельного
компьютера поддерживается доступность сетевых сервисов, но уменьшается
или вообще ликвидируется нагрузка, индуцированная внешней активностью.
В результате снижается уязвимость внутренних сервисов защищаемого таким
образом компьютера, поскольку первоначально сторонний злоумышленник
должен преодолеть экран, где защитные средства сконфигурированы
особенно тщательно и жестко.
1.1 Фильтрация трафика
Фильтрация информационных потоков состоит в их выборочном
пропускании
через
экран,
возможно,
с
выполнением
некоторых
преобразований и извещением отправителя о том, что его данным в пропуске
отказано.
Фильтрация
осуществляется
на
основе
набора
правил,
предварительно загруженных в экран и являющихся выражением сетевых
аспектов принятой политики безопасности. Поэтому межсетевой экран удобно
представлять как последовательность фильтров (рис. 2), обрабатывающих
информационный
поток.
Каждый
из
фильтров
предназначен
для
интерпретации отдельных правил фильтрации путем выполнения следующих
стадий:
1) Анализа информации по заданным в интерпретируемых правилах
критериям, например, по адресам получателя и отправителя или по типу
приложения, для которого эта информация предназначена.
2) Принятия на основе интерпретируемых правил одного из следующих
решений:
 не пропустить данные;
 обработать данные от имени получателя и возвратить результат
отправителю;
 передать данные на следующий фильтр для продолжения анализа;
 пропустить данные, игнорируя следующие фильтры.
Прокси-сервер
Потенциально
враждебная
внешняя сеть
Фильтр 1
Фильтр N
Обработка от имени
пользователя
Обработка от имени
пользователя
Блокирование потока
данных
Блокирование потока
данных
Пропускание
Пропускание
Передача на
следующий
фильтр
Выполнение
Передача на
следующий
фильтр
Выполнение
дополнительных
действий
дополнительных
действий
Защищаемая
внутренняя
сеть
Рисунок 2 – Структура прокси-сервера
Правила фильтрации могут задавать и дополнительные действия,
которые относятся к функциям посредничества, например, преобразование
данных, регистрация событий и др. Соответственно правила фильтрации
определяют перечень условий, по которым с использованием указанных
критериев анализа осуществляется:
 разрешение или запрещение дальнейшей передачи данных;
 выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут
использоваться следующие параметры:
 служебные поля пакетов сообщений, содержащие сетевые адреса,
идентификаторы, адреса интерфейсов, номера портов и другие значимые
данные;
 непосредственное содержимое пакетов сообщений, проверяемое,
например, на наличие компьютерных вирусов;
 внешние характеристики потока информации, например, временные,
частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на
которых осуществляется фильтрация. В общем случае, чем выше уровень
модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и
обеспечиваемый им уровень защиты.
1.2 Выполнение функций посредничества
Функции посредничества межсетевой экран выполняет с помощью
специальных программ, называемых экранирующими агентами или просто
программами-посредниками (прокси-сервер). Данные программы являются
резидентными и запрещают непосредственную передачу пакетов сообщений
между внешней и внутренней сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или
наоборот вначале должно быть установлено логическое соединение с
программой-посредником,
функционирующей
на
компьютере
экрана.
Программа-посредник проверяет допустимость запрошенного межсетевого
взаимодействия и при его разрешении сама устанавливает отдельное
соединение с требуемым компьютером. Далее обмен информацией между
компьютерами
внутренней
и
внешней
сети
осуществляется
через
программного посредника, который может выполнять фильтрацию потока
сообщений, а также осуществлять другие защитные функции.
Функции фильтрации межсетевой экран может выполнять без
применения программ-посредников, обеспечивая прозрачное взаимодействие
между внутренней и внешней сетью. Вместе с тем программные посредники
могут и не осуществлять фильтрацию потока сообщений.
В общем случае экранирующие агенты, блокируя прозрачную передачу
потока сообщений, могут выполнять следующие функции:
 идентификацию и аутентификацию пользователей;
 проверку подлинности передаваемых данных;
 разграничение доступа к ресурсам внутренней сети;
 разграничение доступа к ресурсам внешней сети;
 фильтрацию и преобразование потока сообщений, например,
динамический поиск вирусов и прозрачное шифрование информации;
 трансляцию внутренних сетевых адресов для исходящих пакетов
сообщений;
 регистрацию событий, реагирование на задаваемые события, а также
анализ зарегистрированной информации и генерацию отчетов;
 кэширование данных, запрашиваемых из внешней сети.
Экранирующие агенты намного надежнее обычных фильтров и
обеспечивают
большую
степень
защиты.
Однако
они
снижают
производительность обмена данными между внутренней и внешней сетями и
не обладают той степенью прозрачности для приложений и конечных
пользователей, которая характерна для простых фильтров. Рассмотрим далее
функции, выполняемые прокси-сервером.
2 Защита сети на основе прокси-сервера
Прокси-сервер (от англ. proxy — «представитель, уполномоченный») —
служба в компьютерных сетях, позволяющая клиентам выполнять косвенные
запросы к другим сетевым службам. Сначала клиент подключается к проксисерверу и запрашивает какой-либо ресурс (например, e-mail), расположенный
на другом сервере. Затем прокси-сервер либо подключается к указанному
серверу и получает ресурс у него, либо возвращает ресурс из собственного
кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос
клиента или ответ сервера может быть изменён прокси-сервером в
определённых целях. Также прокси-сервер позволяет защищать клиентский
компьютер от некоторых сетевых атак и помогает сохранять анонимность
клиента.
Чаще всего прокси-серверы применяются для следующих целей:
1) Обеспечение доступа с компьютеров локальной сети в Интернет.
2) Кэширование данных: если часто происходят обращения к одним и
тем же внешним ресурсам, то можно держать их копию на прокси-сервере и
выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и
ускоряя получение клиентом запрошенной информации.
3) Сжатие данных: прокси-сервер загружает информацию из Интернета
и передаёт информацию конечному пользователю в сжатом виде. Такие
прокси-серверы используются в основном с целью экономии внешнего
трафика клиента или внутреннего - компании, в которой установлен проксисервер.
4) Защита локальной сети от внешнего доступа: например, можно
настроить прокси-сервер так, что локальные компьютеры будут обращаться к
внешним ресурсам только через него, а внешние компьютеры не смогут
обращаться к локальным вообще (они «видят» только прокси-сервер).
5) Ограничение доступа из локальной сети к внешней: например, можно
запретить доступ к определённым веб-сайтам, ограничить использование
интернета каким-то локальным пользователям, устанавливать квоты на
трафик или полосу пропускания, фильтровать рекламу и вирусы.
6) Анонимизация доступа к различным ресурсам. Прокси-сервер может
скрывать сведения об источнике запроса или пользователе. В таком случае
целевой сервер видит лишь информацию о прокси-сервере, например, IPадрес, но не имеет возможности определить истинный источник запроса.
Существуют также искажающие прокси-серверы, которые передают целевому
серверу ложную информацию об истинном пользователе.
2.1 Принципы работы прокси-сервера
Клиентский компьютер имеет настройку (конкретной программы или
операционной системы), в соответствии с которой все сетевые соединения по
некоторому протоколу совершать не на IP-адрес сервера (ресурса),
выделяемый из DNS-имени ресурса, или напрямую заданный, а на ip-адрес (и
другой порт) прокси-сервера.
При необходимости обращения к любому ресурсу по этому протоколу,
клиентский компьютер открывает сетевое соединение с прокси-сервером (на
нужном порту) и совершает обычный запрос, как если бы он обращался
непосредственно к ресурсу.
Распознав данные запроса, проверив его корректность и разрешения для
клиентского компьютера, прокси-сервер, не разрывая соединения, сам
открывает новое сетевое соединение непосредственно с ресурсом и делает тот
же самый запрос. Получив данные (или сообщение об ошибке), прокси-сервер
передаёт их клиентскому компьютеру.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Почему межсетевой экран должен находиться между внутренней,
и потенциально враждебной внешней сетью?
2. Почему межсетевой экран не является симметричным?
3. Какие элементы должен иметь возможность анализировать и
использовать комплексный брандмауэр?
4. Сущность фильтрации трафика.
5. Стадии работы сетевого фильтра.
6. Что может использоваться в качестве критериев анализа
информационного потока?
7. Как зависит уровень защиты от уровня модели OSI, на котором
работает межсетевой экран, и почему?
8. Какую основную функцию выполняют программы-посредники?
9. Алгоритм работы программы-посредника.
10.Функции экранирующих агентов.
11.Цели применения прокси-серверов.