Специфические сетевые методы и средства обеспечения безопасности
Прежде всего введем понятие промежуточной сети (perimeter network), которая представляет собой совокупность оборудования (включая межсетевые экраны, маршрутизаторы, коммутаторы, мосты и т.д.), расположенного между двумя объединенными сетями. Основные типы устройств защиты промежуточной сети — это пакетные фильтры, прокси-системы и системы контроля текущего состояния, которые обычно реализуются в межсетевых экранах.
1. Межсетевые экраны (брандмауэры) — это программные, аппаратные или программно-аппаратные механизмы защиты сети от внешнего мира, которые служат барьером, ограничивающим распространение информации из одной сети в другую. Межсетевые экраны (МЭ) разделяются на открытые, функционирующие на основе открытых протоколов Internet и предназначенные для подключения к корпоративной вычислительной сети (КВС) открытых серверов Internet, и корпоративные, позволяющие организовать в КВС защищенное взаимодействие «клиент — сервер» с закрытыми серверами корпоративной сети, в том числе по виртуальным каналам сетей общего пользования. Корпоративные МЭ делятся на внутренние и внешние. Внешние МЭ, работающие на виртуальном канале парами (входной и выходной МЭ), предназначены для разграничения прав доступа к виртуальному каналу связи и согласования параметров его защищенности при взаимодействии «клиент — сервер». Внутренние МЭ обеспечивают разграничение прав доступа к ресурсам информационного сервера. Основные функции МЭ корпоративной сети:
• физическое отделение рабочих станций и серверов КВС от каналов сети связи общего назначения (деление на подсети);
• согласование качества обслуживания между межсетевыми средствами защиты глобальной сети при установлении соединения;
• разграничение прав доступа пользователей КВС к серверам по нескольким критериям;
• регистрация всех событий, связанных с доступом к серверам КВС;
• контроль за целостностью программного обеспечения и данных, а также отслеживание прерывания такого контроля во время сеанса обмена данными;
• обеспечение многоэтапной идентификации и аутентификации всех сетевых элементов;
• сокрытие IP-адресов информационных серверов.
В дополнение к службам контроля за доступом, аутентификации одноуровневых объектов и доступа к источникам данных межсетевой экран КВС на уровне взаимодействия «клиент — сервер» должен использовать средства защиты, реализующие функции таких служб безопасности: засекречивания соединения, засекречивания выборочных полей и потока данных, контроля за целостностью соединения и выборочных полей, защиты от отказов с подтверждением отправления и доставки.
Существует несколько типов межсетевых экранов, отличающихся назначением и принципами построения. Основные из них — пакетные фильтры, прокси-системы, устройства контроля текущего состояния.
1.1. Пакетные фильтры (аппаратные или программные) предназначены для ограничения входящего и исходящего трафика между адресатами (взаимодействующими абонентами) сети, реализуя при этом определенный набор правил, задаваемых при их настройке. Примером типичного аппаратного фильтра может служить фильтрующий маршрутизатор, в который встроены функции ограничения трафика на входе и выходе. Такие фильтры достаточно гибки и обладают высокой пропускной способностью. Программный фильтр обычно устанавливается на сетевом сервере, выполняющем роль маршрутизирующего шлюза. Он работает медленнее аппаратного фильтра, но предоставляет более удобную и гибкую систему настройки.
1.2. Прокси-система, или шлюзы прикладного уровня, реализуют идею прокси-сервера (сервера-посредника), который выступает в роли посредника между двумя сетями — внешней и внутренней. Их преимущества: сохранение инкогнито компьютера конечного пользователя (сокрытие IP-адреса этого компьютера от хакера) и экономия адресного пространства (для внутренней сети может использоваться любая схема адресации, включая использование официально не зарегистрированных IP-адресов).
Одной из основных функций прокси-сервера является запоминание всей информации, полученной не только вами, но и другими абонентами, подключёнными к нему. При каждом обращении к новой Web-странице или другой информации проверяется, а не запрашивал ли эту Web-страницу какой-либо абонент ранее. Если да, то эта информация ищется на диске сервера вашего провайдера Интернета и передаётся на ваш компьютер. Этим обеспечивается более быстрый доступ к информации из Интернета. При обновлении страницы она автоматически обновляется и на диске прокси-сервера. Если эта Web-страница не запрашивалась ранее кем либо из абонентов, - тогда запрос на поиск нужной Web-страницы направляется в сеть Интернет.
Основной недостаток прокси-систем — поддержка только тех протоколов, для которых они разработаны. Кроме того, они обладают недостаточными «прозрачностью» и производительностью в случае использования высокоскоростных соединений.
1.3. Устройства контроля текущего состояния обеспечивают отслеживание соединения по его установлению. Они повышают безопасность сети и значительно производительнее прокси-систем. В отличие от фильтров такие устройства не просто ориентируются на заголовок IP-пакета, но и проверяют информацию о приложении, чтобы убедиться, что это действительно тот пакет, который объявлен в заголовке.
Помимо программных firewall’ов существуют аппаратные firewall’ы. В случае домашних сетей, а тем более малой фирмы это не бесполезная вещь. Дело в том, что это компьютер, специально приспособленный для выполнения функций firewall’а. Зачастую добиться такой же эффективности можно, лишь установив мощную программу на отдельный мощный компьютер, а это может быть значительно дороже. Тем более, что аппаратный firewall почти всегда системно независим и может общаться почти с любой операционной системой. К недостаткам аппаратных межсетевых экранов можно отнести меньшую по сравнению с программными аналогами масштабируемость, трудность обеспечения взаимодействия с программными продуктами третьих фирм (URL-фильтрами, антивирусными программами, программами защиты от спама) и высокую стоимость.
Краткое описание нескольких недорогих аппаратных firewall’ов:
Linksys EtherFast Cable/DSL Router поддерживает NAT, Firewall, DHCP-контроль доступа. Цена — 170 долларов;
SonicWALL SOHO фирмы SonicWALL, Inc. и WebRamp 700s фирмы Ramp Networks, Inc. более функциональные, чем предыдущий, имеют возможности апгрейда, поддерживают Firewall, NAT, DHCP, контекстное управление пакетами. Цена — примерно 400 долларов и 350 долларов, соответственно.
Любая попытка поместить программные и аппаратные решения на разные чаши весов — всего лишь попытка производителей выпятить какие-то свои достоинства, не задумываясь о потребителе.
2. Средства усиления защиты сети — это некоторые устройства промежуточной сети и отдельные технологические решения. К ним относятся:
• управляемые коммутаторы, которые, контролируя направление трафика в сети и производя дополнительную фильтрацию пакетов, создают еще один барьер для хакеров;
• шлюзы уровня виртуального канала позволяют пользователям соединяться и обмениваться пакетами с сервером, при этом каждый пакет в отдельности не проверяется, а после проверки адресных данных принимаются сразу несколько пакетов; могут использоваться для полного запрета прямых контактов компьютеров внутренней сети с внешней сетью;
• изоляция протоколов, основанная на использовании протокола TCP/ IP только для связи с Internet. Во внутренней (локальной) сети используются другие протоколы, несовместимые с TCP/IP, а доступ в Internet осуществляется через шлюз прикладного уровня;
• создание виртуальной частной сети, если предусматривается подключение удаленных пользователей к КВС. Применение такой технологии основано на аутентификации удаленных пользователей и шифровании всего сетевого трафика;
• реализация межсетевого экрана на внутреннем сервере. Такой экран является последним рубежом защиты, он располагается после выделенного сетевого экрана.
3. Мониторинг и аудит сети составляют основу обеспечения безопасности. Мониторинг (контроль текущего состояния и параметров работы сети) и аудит (регулярный анализ журналов регистрации для выявления происходящих в сети процессов и активности пользователей) — это обязательные составные части работы сетевого администратора. Большинство сетевых ОС имеют встроенные или дополнительно поставляемые программы, обеспечивающие проведение этой работы. Для этой же цели могут использоваться дополнительные средства: аппаратные или программные перехватчики пакетов (анализируют собранные пакеты на наличие в них информации, которой может воспользоваться злоумышленник), аппаратно реализованные анализаторы сети (измеряют и контролируют трафик в сети).
4. Архитектурные методы защиты, к которым относятся решения, принимаемые на уровне топологии и архитектуры сети и повышающие ее защищенность в целом. Различают решения, принимаемые на уровне топологии и архитектуры внутренней сети (корпоративной, локальной), и решения на уровне промежуточной сети, связывающей внутреннюю сеть с внешней, например с сетью Internet.
На уровне топологии и архитектуры внутренней сети могут приниматься такие решения:
• физическая изоляция закрытого сегмента внутренней сети, содержащего конфиденциальную информацию, от внешней сети. Связь с внешней сетью поддерживается через открытый сегмент внутренней сети;
• функциональное разделение внутренней сети на подсети, при котором в каждой подсети работают пользователи (сотрудники компании), объединенные по профессиональным интересам;
• сеансовое (кратковременное) подключение внутренней сети к сегменту сети, подключенному к Internet, с помощью коммутатора и/или переключаемого моста (любое кратковременное соединение с внешней сетью более безопасно, чем постоянное соединение). Многие меры обеспечения безопасности на уровне архитектуры промежуточной сети связаны с реализацией компонентов многоуровневой защиты. Если промежуточная сеть включает маршрутизатор, компьютер, выделенный для межсетевого экрана, и коммутатор, соединенный непосредственно с сервером внутренней сети, то средства защиты могут быть реализованы на каждом из этих устройств. Например, на маршрутизаторе — фильтрация пакетов, на компьютере — межсетевой экран, на коммутаторе — виртуальная ЛВС, на сервере внутренней сети — еще один межсетевой экран.