Застосування міжмережевих екранів. Пакетні фільтри.

Останнім часом найбільш популярними серед засобів захисту інформаційних ресурсів в Internet стають міжмережеві екрани (Firewall або брандмауери). Міжмережевий екран розміщується на шлюзі між локальною мережею і Internet. Крім інших функцій брандмауер може проглядати IP-пакеты і залежно від адрес відправника і одержувача пропускати або не пропускати пакети, що намагаються проникнути в систему.

Міжмережевий екран (МЕ) розташовується на межі мережі і регулює доступ до корпоративних ресурсів. Цей пристрій аналізує і збирає інформацію про зовнішні по відношенню до мережі пакети і сеанси (залежно від типу брандмауера). Що відповідає політиці безпеки МЕ, що реалізовується, відповідно до прийнятих правил пропустить або не пропустить конкретний пакет і дозволить або не дозволить організувати конкретний сеанс.

МЕ діляться на три основні класи:

• фільтри пакетів;

• шлюзи сеансового рівня;

• шлюзи рівня застосувань.

Системи фільтрації пакетів просівають кожен IP-пакет через сито визначених користувачем правив і визначають права пакету на прохід у внутрішню частину мережі. Шлюзи рівня застосувань у відповідь на кожен запит, що поступає, про надання сервісу організовують зовнішній мережевий сеанс; вони ж відкривають відповідний внутрішній сеанс для санкціонованого доступу і передають пакети між зовнішніми і внутрішніми з'єднаннями. Взагалі кажучи, шлюзи застосувань, в порівнянні з фільтрами пакетів, забезпечують ретельніший контроль за сеансом, але, як наслідок, вони вимагають застосування і могутніших обчислювальних потужностей. Системи обох типів призначені для того, щоб захистити мережу від небезпек, що таяться зовні.

На думку експертів, брандмауери повинні володіти трьома важливими особливостями, а саме:

• весь трафік повинен проходити через одну крапку;

• брандмауер зобов'язаний контролювати і реєструвати весь трафік, що проходить;

• платформа МЕ повинна бути неприступна для атак.

Фільтри пакетів проводять оцінку даних на основі IP-информации, що міститься в заголовку пакету, а точніше в адресі відправника і одержувача пакету. Фільтр не тільки прочитує IP-заголовок, але і зіставляє отриману інформацію із списком правил фільтрації для дозволу або заборони передачі пакету. У правилах фільтрації містяться поля IP-адресов, типи протоколів, номери портів відправника і одержувача. Перш ніж дозволити пакету продовження передбачуваного для нього маршруту, фільтри пакетів порівнюють вказані в нім дані із зумовленими значеннями. В цілому фільтри пакетів представляють найменш дешеві вирішення МЕ, але, завдяки своєму умінню перевіряти пакети різних протоколів, є і найгнучкішими інструментами рішення поставленої задачі. Крім того, фільтри працюють швидко, оскільки для ухвалення рішення вони просто проглядають інформацію про пакет. Проте фільтри пакетів мають декілька істотних недоліків: вони не в змозі відстежувати конкретний мережевий сеанс і не в силах запобігти атаки з імітацією IP-адресов.

Імітація IP-адресов має місце, коли хакер привласнює IP-адрес законного користувача - часто їм є внутрішня адреса того, хто має доступ до ресурсів. Оскільки фільтри пакетів «проглядають» інформацію про IP-адресе, то вони допускають пакет з дозволеною адресою в мережу незалежно від того, звідки ініційований сеанс і хто ховається за адресою. Проте вдосконалена версія цього механізму, відома як динамічна фільтрація пакетів, дозволяє аналізувати адресу, з якої хтось намагається здійснити доступ, і проводить «пингование» (ping) для перевірки цієї адреси. Очевидно, якщо зловмисник використовує внутрішню IP-адрес компанії ззовні, то ping не досягне відправника пакету і сеанс не отримає продовження. Динамічну фільтрацію пакетів підтримують продукти типу WatchGuard Security System компанії Seattle Software Labs і BorderWare Firewall Server компанії Secure Computing (даний продукт був придбаний Secure разом з компанією Border Network Technologies з Торонто на початку цього року).

Компанії Seattle Software Labs, Cisco і Checkpoint Software Technologies також підтримують технологію перетворення мережевої адреси, яка забезпечує звичайну фільтрацію пакетів із спотворенням. При проходженні пакету через брандмауер його IP-адрес замінюється якимсь іншим, вибраним з пулу адрес. Така заміна дозволяє приховати внутрішні адреси від зловмисника за межами мережі. Інші типи брандмауерів, наприклад шлюзи рівня застосування і шлюзи рівня каналу, володіють цією ж властивістю за умовчанням. Коли справа стосується протоколювання мережевого графіка, продукти, фільтри пакетів, що містять тільки, виявляються не в змозі виконати це завдання - в результаті адміністратори не можуть визначити, що їх мережа була зламана. Мережі, декілька точок доступу, що мають, ззовні, або мережі, що містять надзвичайно важливу інформацію, разом з фільтрами пакетів повинні використовувати і інші продукти.