Сравнительный анализ основных схем сетевой защиты на базе межсетевых экранов.

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

• защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;
• скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,
• разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

• межсетевой экран - фильтрующий маршрутизатор;
• межсетевой экран на основе двухпортового шлюза;
• межсетевой экран на основе экранированного шлюза;
• межсетевой экран - экранированная подсеть.

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet (рис. 11.6). Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

^ Рис. 11.6. Межсетевой экран на основе фильтрующего маршрутизатора

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows, NIS и NFS.

^ Межсетевой экран на базе двухпортового прикладного шлюза включает двудомный хост-компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рис. 11.7). В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов.

Рис. 11.7. Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором
Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост - компьютере и имеет только один сетевой интерфейс(рис11.8)

Рис 11.8. Межсетевой экран с экранизированным шлюзом
Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост-компьютер, то перед ним окажутся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рис 11.9)

Рис. 11.9. Межсетевой экран – экранизированная подсеть

Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:

• 
  разрешается трафик от объектов internet к прикладному шлюзу;
• 
  разрешается трафик от прикладного шлюза к internet;
• 
  разрешается трафик электронной почты от internet к серверу электронной почты;
• 
  разрешается трафик электронной почты от сервера электронной почты к internet;
• 
  разрешается трафик FTP, Gopher и т.д. от internet к информационному серверу;
• 
  запрещается остальной трафик.

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:

• 
  разрешается трафик от прикладного шлюза к системам сети;
• 
  разрешается прикладной трафик от систем сети к прикладному шлюзу;
• 
  разрешает трафик электронной почты от сервера электронной почты к системам сети;
• 
  разрешается трафик электронной почты от систем сети к серверу электронной почты;
• 
  разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;
• 
  запрещает остальной трафик.

Применение межсетевых экранов для организации виртуальных корпоративных сетей

53. Межсетевые экраны – фильтрующие маршрутизаторы. Достоинства и недостатки фильтрующих маршрутизаторов..

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов.

Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы следующих полей заголовка пакета:

· IP-адрес отправителя;

· IP-адрес получателя;

· порт отправителя;

· порт получателя.

Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются враждебными или ненадежными.

Правила фильтрации пакетов формулируются сложно, к тому же обычно не существует средств для проверки их корректности, кроме медленного ручного тестирования. При этом в отсутствие фильтрующего маршрутизатора средств протоколирования (если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор) такие пакеты не смогут быть выявлены до обнаружения последствий проникновения. Даже если администратору сети удастся создать эффективные правила фильтрации, их возможности останутся ограниченными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако в данном случае хакер для проникновения внутрь защищенной сети может осуществить атаку, которую называют подменой адреса. В таких условиях фильтрующий маршрутизатор не сумеет отличить поддельный пакет от настоящего и пропустит его.

К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:

· сравнительно невысокая стоимость;

· гибкость в определении правил фильтрации;

· небольшая задержка при прохождении пакетов.

Недостатки фильтрующих маршрутизаторов:

· внутренняя сеть видна (маршрутизируется) из сети Интернет;

· правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

· при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;

отсутствует аутентификация на пользовательском уровне.

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации, представляя собой фильтрующий маршрутизатор, расположенный между защищаемой сетью и Интернетом.

Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в Интернет, в то время как большая часть доступа к ним из Интернета блокируется. В принципе, фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено» в явной форме может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и фильтрующие маршрутизаторы.

· сложность правил фильтрации, в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

· невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;

· в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

· каждый хост-компьютер, связанный с сетью Internet , нуждается в своих средствах усиленной аутентификации.