Система обеспечения безопасности firewall

5.1. Применение Firewall

Зарубежные специалисты считают, что многие проблемы, связанные с безопасностью Internet, можно откорректировать или сделать менее серьезными с помощью широко известных методов и средств контроля безопасности хостов. Firewall может значительно повысить уровень безопасности сети, в то же время разрешая доступ к необходимым службам сети Internet. Пример firewall, включающего маршрутизатор с фильтрацией пакетов и прикладной шлюз, приведен на рис.5.1.

-------- --------

¦ эвм ¦ ¦ эвм ¦

------- ------- --------------

¦ ¦ ¦ Шлюз ¦

----+---------+-------+ ¦

Сеть ¦ ¦

-------------

¦ -------------

--------+--------- ¦ ¦

¦ Маршрутизатор +-----------+ Internet ¦

------------------ ¦ ¦

-------------

Рис. 5.1. Firewall с маршрутизатором и шлюзом

Необходимо отметить, что firewall - это не просто маршрутизатор, система хостов или совокупность систем, обеспечивающих безопасность сети. Firewall - это метод обеспечения безопасности; он помогает реализовать более надежную систему обеспечения безопасности, определяющую, какие службы и какой доступ должны быть разрешены. Основная цель состоит в том, чтобы контролировать поток информации в/из защищаемой сети. Эта система реализует такой порядок доступа к сети, при котором связь осуществляется через firewall, где ее можно предотвратить.

Firewall-системой может быть маршрутизатор, ЭВМ, хост или совокупность хостов, установленных специально для защиты сети или подсети, протоколов и служб, которые могут быть использованы злоумышленниками с хостов вне сети. Firewall обычно располагают на шлюзе, например, на месте соединения сети с Internet, однако эти системы могут размещаться и на шлюзах более низких уровней для защиты меньшей совокупности хостов или подсетей.

Главный довод в пользу firewall состоит в том, что без них системы подвергаются опасности со стороны таких заведомо незащищенных служб, как NFS и NIS, а также зондированию и атакам с каких-либо других хостов внутренней сети. В среде, не имеющей firewall, безопасность сети целиком зависит от безопасности хоста, подключенного к Internet, в свою очередь все хосты должны быть объединены для достижения единого уровня безопасности. Чем больше подсеть, тем менее она способна поддерживать во всех хостах одинаковый уровень безопасности. Поскольку ошибки и лазейки в системе безопасности становятся обычным явлением, нарушения возникают не в результате сложных атак, а из-за ошибок в конфигурации и ненадежности паролей.

Подход с использованием firewall предоставляет многочисленные преимущества, позволяя повысить общий уровень безопасности.

Firewall может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. В результате, сетевая среда подвергается меньшему риску, поскольку через firewall смогут пройти только указанные протоколы.

Firewall может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб, типа NFS. Это позволяет предотвратить использование таких служб внешними нарушителями и использовать их с намного меньшим риском.

Firewall могут также обеспечить защиту от таких атак, как маршрутизация источника или попытки направить маршруты к скомпрометированным объектам через переназначения ICMP. Firewall может отвергать все пакеты с маршрутизацией источника или переназначенные ICMP, а затем информировать администраторов об инцидентах.

Firewall также дает возможность контролировать доступ к системам сети. Например, одни хосты можно сделать достижимыми из внешних сетей, а другие, наоборот, надежно защитить от нежелательного доступа. Сеть может запретить внешний доступ ко всем своим хостам, кроме некоторых, например, оставить доступными только почтовые или информационные серверы. Это определяет политику доступа, основанную на принципе минимальной достаточности: firewall не разрешают удаленный доступ к хостам или службам, которые его не требуют.

Организация firewall может потребовать меньших затрат в том случае, если все или большая часть модифицированных программ и дополнительные программы безопасности будут размещены в firewall-системах, а не распределены по многим хостам. В частности, системы одноразовых паролей и другие дополнительные программы аутентификации можно поместить на firewall, вместо того, чтобы устанавливать их в каждую систему, к которой необходим доступ из сети Internet.

Другие методы решения проблемы сетевой безопасности, например, система Kerberos, требуют модификации каждой хост-системы. Конечно, организация firewall не отменяет применение Kerberos и других методов, поскольку они обладают рядом преимуществ, и в некоторых ситуациях могут быть более подходящими, чем firewall, однако, реализация firewall облегчается тем, что для их создания необходим только запуск специальных программ.

Для некоторых приложений конфиденциальность имеет огромное значение, поскольку информация, считающаяся безобидной, на самом деле может содержать ключи, которыми может воспользоваться нарушитель. С помощью firewall некоторые объекты блокируют такие службы, как finger и DNS.

Finger отображает информацию о пользователях: когда они в последний раз входили в систему, прочитали ли они почту и т.п. Эти данные программы finger могут быть полезными и для нарушителя, который узнает насколько часто система используется, список активных пользователей, и можно ли ее атаковать, не привлекая внимания.

Firewall можно использовать также для блокирования информации DNS таким образом, чтобы имена и IP адреса защищаемых систем были недоступны из Internet. Некоторые полагают, что таким образом они скрывают информацию, которой в противном случае могли бы воспользоваться нарушители.

Если весь доступ к и от Internet осуществляется через firewall, он может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet. Firewall также может сообщать с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности, предпринимались ли какие-либо попытки зондирования или атаки.

Сбор статистики об использовании сети и попытках нарушений важны по целому ряду причин. Самое главное - знать, насколько противостоит firewall зондированию и атакам, и определить, адекватен ли осуществляемый им контроль. Статистика использования сети также имеет значение в качестве исходных данных для изучения требований сети и анализа риска.

Firewall предоставляет средства регламентирования порядка доступа к сети, тогда как без firewall этот порядок целиком зависит от совместных действий пользователей.

5.2 Недостатки, связанные с применением Firewall

Кроме того, что существуют угрозы, которым firewall не могут противостоять, их применение создает определенные трудности.

Наиболее очевидным недостатком firewall является большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие как TELNET, FTP, Х Windows, NFS, и т.д. Однако, эти недостатки присущи не только firewall, доступ к сети может быть ограничен также и на уровне хост-ЭВМ, в зависимости от методики обеспечения безопасности сети. Тщательно разработанная методика обеспечения безопасности должна приводить требования безопасности в соответствие с нуждами пользователя, что может оказать значительную помощь в сокращении проблем ограничения доступа к службам.

Некоторые объекты могут обладать топологией, не предназначенной для использования firewall, или использовать службы типа NFS таким образом, что его использование потребовало бы глобальной реорганизации сети. Например, объект может зависеть от использования на главных шлюзах систем NFS и NIS. В этой ситуации нужно сопоставить относительную стоимость введения firewall и размер ущерба от возможных атак, которые существовали бы при его отсутствии.

Во-вторых, firewall не защищают объект от проникновения через "люки"(back doors). Например, если на объект, защищенный firewall, все же разрешается неограниченный модемный доступ, нарушители могут с успехом обойти firewall. Скорости модемов в настоящее время достаточно велики для практической реализации протоколов SLIP(Serial Line IP) и PPP(Point-to-Point); связь через протоколы SLIP и PPP в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.

Firewall, как правило, не обеспечивают защиту от внутренних угроз. С одной стороны, firewall можно разработать так, чтобы предотвратить получение конфиденциальных данных внешними нарушителями, однако, firewall не запрещает внутренним пользователям копировать данные на магнитную ленту или выводить их на печатающие устройства. Таким образом, было бы ошибкой полагать, что наличие firewall обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование firewall.

Кроме вышеперечисленных, укажем еще некоторые вопросы и проблемы, связанные с firewall:

WWW, gopher - Более поздние версии информационных серверов и клиентов для WWW, gopher, WAIS и др., не были предназначены для использования firewall-методик из-за своей новизны и обычно считаются рискованными. Существует возможность атак, при которых данные, обрабатываемые клиентами, могут содержать инструкции для выполнения. В этих инструкциях клиенту может быть рекомендовано внести изменения в файлы управления доступом и другие важные для обеспечения безопасности хоста файлы.

MBONE - Групповые сообщения IP (MBONE) для передачи изображения и звука инкапсулируются в других пакетах. Firewall, как правило, передает пакеты, не просматривая их содержимое. Передачи MBGNE представляют собой потенциальную угрозу в том случае, если пакеты содержат команды изменения параметров системы контроля безопасности, что позволит нарушителю вторгнуться в сеть.

вирусы - Firewall не защищают от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ при через электронную почту. Поскольку эти программы можно каким угодно способом закодировать или сжать, у firewall нет возможности проверить их на предмет наличия сигнатур вирусов. Проблема вирусов все еще существует, но она должна решаться с помощью других методик и антивирусного контроля.

пропускная способность - Firewall представляют собой потенциально узкое место, поскольку все соединения должны осуществляться только через него, а в некоторых случаях еще и подвергаться фильтрации. Однако, на сегодняшний день это, в общем случае не является проблемой, поскольку firewall могут передавать данные на скорости Т1 (1,5 Мбит/сек), а большинство сетей Internet имеют скорости соединения не больше Т1.

возможность общего риска - В firewall все средства безопасности сосредоточены в одном месте, а не распределены между системами. Компрометация firewall ведет к нарушению безопасности для других, менее защищенных систем. Однако, этот недостаток можно устранить, полагая, что чем больше будет систем в подсети, тем скорее будут обнаружены все упущения в безопасности.

Несмотря на эти недостатки NIST настоятельно рекомендует, чтобы объекты защищали свои ресурсы с помощью firewall и других средств и методик безопасности.

5.3. Структура и функционирование Firewall

Основными компонентами концепции firewall являются:

· сетевая политика безопасности,

· усиленные средства аутентификации,

· фильтрация пакетов,

· прикладные шлюзы.

Существует два уровня сетевой политики безопасности, непосредственно влияющих на разработку, установку и использование firewall. Политика более высокого уровня(принцип работы) определяет те службы, использование которых будет разрешено или явно исключено, как эти службы будут использоваться, и возможные исключения из этих правил. Политика более низкого уровня(режим доступа к службам) описывает, как фактически firewall будет осуществлять фильтрацию и ограничение доступа к службам, определенные в политике более высокого уровня.

5.3.1. Принципы работы Firewall

Принцип работы определяет наличие или отсутствия доступа к службам. Эти принципы нельзя разрабатывать без учета возможностей и ограничений, присущих firewall, а также угроз, связанных с TCP/IP. Обычно firewall реализуют одну из двух основных политик:

- разрешено все, что не запрещено;

- запрещено все, что не разрешено.

Firewall, реализующий первую политику, разрешает доступ всем службам, за исключением тех, которые явно определены как запрещенные.

Firewall, реализующий вторую политику, по умолчанию отказывает во всех услугах, кроме тех, которые явно определены как разрешенные. Эта политика представляет собой реализацию классической модели доступа, используемой во всех областях информационной безопасности.

Первая политика менее предпочтительна, поскольку при ее реализации возникает больше путей для обхода firewall, например, пользователи могут получать доступ к новым службам, которые политика в данный момент еще не запрещает или реализовать запрещенные службы в нестандартных портах TCP/UDP, не запрещенных этой политикой. Некоторые службы, такие как Х Windows, FTP, Archie и RPC, нелегко отфильтровать и они лучше согласовываются с firewall, реализующим первую политику.

Вторая политика сильнее и надежнее, однако она труднее для реализации, и пользователи могут столкнуться с тем, что им труднее осуществить доступ к некоторым службам.

Политика безопасности верхнего уровня является наиболее значимой компонентой. Остальные три компоненты используются для реализации и ужесточения этой политики. Кроме того, политика доступа к службам должна отражать общую организацию сетевой политики безопасности. Эффективность защиты сети с помощью firewall зависит от реализации firewall, использования соответствующих средств и от порядка доступа к службам.

5.3.2. Режим доступа к службам

Политика нижнего уровня состоит из описания порядка доступа к службам Internet(yxe неоднократно перечисленные), а также касается ограничения внешнего доступа к сети(с помощью SLIP, PPP, dial-in доступ). Эта политика должна быть расширением общей организационной политики защиты информационных ресурсов. Для успешной работы firewall политика доступа к службам должна быть безопасной, регламентированной и реалистичной. Реалистичная политика - это политика, защищающая сеть от возможных угроз, и в то же время обеспечивающая доступ пользователей к сетевым ресурсам.

Firewall может реализовать целый ряд политик доступа к службам, однако типичный порядок доступа заключается в следующем: запрещается доступ к объекту из сети Internet, и в то же время разрешается доступ объекта к Internet. Еще одна типичная политика позволяет некоторые виды доступа из Internet, но только из определенных систем, например, серверов электронной почты. Firewall часто реализуют политику доступа к службам, разрешающую доступ некоторым пользователям из internet к выбранным внутренним хостам, однако, этот доступ может быть позволен только в случае необходимости и в сочетании с усиленной аутентификацией.

5.3.3 Усиленная аутентификация

Уже отмечалось, что многие инциденты в сети Internet произошли из-за недостатков, обусловленных использованием традиционных паролей.

Многие годы пользователям советовали выбирать такие пароли, которые трудно угадать. Однако, даже если пользователи следуют этому совету (а многие этого не делают), нарушители "прослушивают" Internet в поисках паролей, передающихся открытым текстом. Это означает, что традиционные пароли. устарели.

Для устранения этого недостатка были разработаны такие средства усиленной аутентификации как смарткарты, персональные жетоны, биометрики и т.д. Хотя во всех этих случаях используются разные механизмы аутентификации, общим является то, что наблюдающий за установлением связи нарушитель не может использовать пароли, генерируемые этими устройствами. При существующих проблемах с паролями, firewall, не использующий усиленную аутентификацию, не имеет особого смысла.

Некоторые наиболее популярные устройства усиленной аутентификации, используемые на сегодняшний день, называются системами одноразовых паролей. Например, смарткарта или жетон аутентификации генерируют информацию, который хост-система может использовать вместо традиционного пароля. Из-за того, что жетон или карта работают вместе с аппаратным или программным обеспечением хоста, для каждого входа в систему генерируемый пароль уникален. Результатом является одноразовый пароль, который, даже если он станет известен злоумышленнику, не может быть еще раз использован для получения доступа к системе.

Хотя средства усиленной аутентификации можно использовать на каждом хосте, более практичным и легким для управления было бы сосредоточить все эти средства в firewall. Если в хостах не будет использована усиленная аутентификация, то нарушители могут попытаться взломать пароли или отследить сеансы входа в сеть. Сеть с firewall, использующим усиленную аутентификацию, позволит сеансам TELNET или FTP проходить усиленную аутентификацию, прежде чем они будут разрешены. Системы сети могут запрашивать для разрешения доступа и статические пароли, однако эти пароли, даже если они станут известны злоумышленнику, не могут быть использованы, пока средства усиленной аутентификации и другие компоненты firewall предотвращают проникновение нарушителей или обход ими firewall.

5.3.4. Фильтрация пакетов

Фильтрация пакетов IP обычно производится маршрутизатором, допускающим фильтрацию пакетов по мере их передачи между интерфейсами маршрутизатора. Маршрутизатор с фильтрацией пакетов обычно может фильтровать пакеты IP, в которых присутствуют следующие поля:

адрес источника IP,

адрес приемника IP,

порт источника TCP/UDP,

порт приемника TCP/UDP.

В настоящее время не все фильтрующие маршрутизаторы фильтруют порт источника TCP/UDP, однако большинство предлагаемых для продажи образцов включают эту возможность. Некоторые маршрутизаторы определяют из какого входного порта был получен пакет, и используют его номер в качестве дополнительного критерия фильтрации. Некоторые хосты UNIX предоставляют возможность фильтрации пакетов, хотя большинство хостов такой возможностью не обладают.

Существует множество способов использования фильтрующих маршрутизаторов для блокирования соединений с определенными хостами или сетями, или с определенными портами. Например, можно блокировать соединения, идущие от конкретных адресов, например, от хостов или сетей, которые считаются враждебными или ненадежными. Может возникнуть потребность блокировать соединения со всеми внешними по отношению к сети адресами (за некоторыми исключениями, как в случае протокола SMTP при получении электронной почты).

Добавлением фильтрации портов ТСР и UDP к фильтрации адресов IP достигается большая гибкость. Как уже отмечалось, такие серверы как демон TELNET обычно находятся в определенных портах, как, например, в порте 23 протокола TELNET. Если firewall может блокировать соединения ТСР или UDP с определенными портами или от них, то можно реализовать политику, требующую, чтобы некоторые типы соединений устанавливались только с определенными хостами. Например, сеть может блокировать все входные соединения со всеми хостами за исключением нескольких систем. В этих системах можно, например, разрешить только определенные службы типа SMTP для одной системы и соединения TELNET и FTP с другой. Эта политика может быть реализована непосредственно фильтрующим маршрутизатором или хостом, обладающим возможностью фильтрации пакетов (рис.5.2.).

----------

¦ ЭВМ ¦

¦ ¦

-----------

¦ |

остальной трафик ¦ | трафик SMTP ---------------------

----------------------- ¦ -------------------- ¦ Фильтрующий ¦

------------------------+-------------------+ +----

¦ ------------------------------------- ¦ маршрутизатор ¦ Internet

¦ ¦ трафик TELNET ----------------------

¦ ¦

-----+----

¦ ЭВМ ¦

¦ ¦

----------

Рис.5.2. Фильтрация трафика TELNET и SMTP

В качестве примера фильтрации пакетов рассмотрим политику, допускающую только определенные соединения с хостами, адресом которых подходят под шаблон 123.4.*.*. Соединения TELNET будут разрешаться только с одним хостом - 123.4.5.6, который может быть прикладным шлюзом TELNET, а соединения SMTP будут разрешены с двумя хостами -123.4.5.7 и 123.4.5.8, которые могут быть шлюзами электронной почты.

Обмен по NNTP (Network News Transfer Protocol) разрешается только с системой загрузки объекта NNTP, 129.6.48.254, и только с сервером NNTP, 123.4.5.9, а NTP (Network Time Protocol) разрешается со всеми хостами. Все остальные службы и пакеты должны блокироваться. Приведем соответствующий набор правил:

------T--------------T------------T-------------T-------------T----------

Тип ¦ Адрес ¦ Адрес ¦ Порт ¦ Порт ¦ Действие ¦

¦ источника ¦приемника¦источника¦приемника ¦ ¦

------+--------------+-------------+-------------+-------------+------------+

t cp ¦ * ¦ 123.4.5.6 ¦ >1023 ¦ 23 ¦ Разрешить¦

t сp ¦ * ¦ 123.4.5.7 ¦ >1023 ¦ 25 ¦ Разрешить¦

t cp ¦ * ¦ 123.4.5.8 ¦ >1023 ¦ 25 ¦ Разрешить¦

t ср ¦129.6.4.8.254¦ 123.4,5.9 ¦ >1023 ¦ 119 ¦ Разрешить¦

u dp ¦ * ¦ 123.4.*.* ¦ >1023 ¦ 123 ¦ Разрешить¦

* ¦ * ¦ * ¦ * ¦ * ¦ Запретить¦

------+--------------+------------+-------------+--------------+-------------

Первое правило разрешает передачу пакетов ТСР из любого источника с номером порта большим чем 1023 к приемнику с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не ниже 1024. Второе и третье правила работают аналогичным образом и разрешают передачу пакетов к приемникам с адресами 123.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP. Четвертое правило пропускает пакеты к серверу NNTP сети, но только от источника с адресом 129.6.48.254 к приемнику с адресом 123.4.5.9 и в порт 119 (129.6.48.254 - это единственный сервер NNTP, от которого объект должен получать информацию, таким образом, доступ к объекту для выполнения NNTP возможен только для этой системы). Согласно пятому правилу, допускается трафик NTP, использующий UDP вместо ТСР, от любого источника к любому приемнику объекта. И, наконец, шестое правило запрещает передачу всех остальных пакетов - если бы этого правила не было, маршрутизатор мог бы запретить передачу всех последующих пакетов. Этот пример отражает только суть фильтрации пакетов.

Правила, используемые в действительности, допускают более сложные правила фильтрации и обладают большей гибкостью.

Решение о том, фильтровать ли определенные протоколы и адреса, зависит от принятой политики доступа. Следующие службы являются заведомо уязвимыми и, как правило, firewall блокирует доступ к ним:

tftp, порт 69, тривиальный FTP, как правило используется для загрузки бездисковых рабочих станций, терминальных серверов и маршрутизаторов, а также, при некорректной конфигурации, для чтения любого файла системы.

Х Windows, Open Windows, порты 6000 и выше, порт 2000, могут привести к утечке информации с дисплеев системы Х, в том числе и всех командных строк.

RPC, порт 111, службы процедуры удаленного вызова, включающие NIS и NFS, которые можно использовать для хищения такой системной информации как пароли, а также для чтения и записи в файлы.

rlogin, rsh и rexec, порты 513, 514 и 512, эти службы при некорректном конфигурировании могут позволить несанкционированный доступ к системе.

Другие службы, независимо от того, являются они заведомо опасными или нет, обычно фильтруются и по возможности разрешаются только тем системам, которым они необходимы. Среди них:

TELNET, порт 23, часто разрешается только для отдельных систем,

FTP, порты 20 и 21, как и TELNET, часто разрешаются только для конкретных систем,

SMTP, порт 25, обычно разрешается только для выделенного сервера электронной почты,

RIP, порт 520, протокол маршрутизации, его можно обмануть, чтобы изменить маршрут пакета,

DNS, порт 53, протокол службы Domain Names Servic.e, передает имена хостов и информацию о них, которой могут воспользоваться нарушители,

UUCP, порт 540, UNIX to UNIX Сору, при неправильном конфигурировании может быть использован для несанкционированного доступа,

NNTP, порт 119, Network News Transfer Protocol, ответственный за получение сетевой информации,

http, порты 70 и 80, информационные серверы и программы клиентов для WWW, должны разрешаться только прикладному шлюзу, содержащему соответствующие службы.

Хотя некоторые из этих служб, такие как TELNET и FTP, являются заведомо уязвимыми, полное блокирование доступа к этим службам может оказаться слишком жесткой мерой. Однако, как правило, не все системы требуют доступ ко всем службам. Например, разрешение доступа с помощью TELNET и FTP только тем системам, которым этот доступ необходим, может повысить безопасность без ущерба для удобства пользователей. Может показаться, что такие службы как NNTP представляют собой незначительную угрозу, однако предоставление этих служб только тем системам, для которых они необходимы, помогает создать более чистую сетевую среду и уменьшить вероятность использования еще не обнаруженных "дыр" и угроз.

Фильтрующие маршрутизаторы обладают целым рядом недостатков.

Правила фильтрации пакетов трудно точно определить и, как правило, не существует контрольного оборудования для тестирования их корректности (единственный метод - исчерпывающее ручное тестирование). Некоторые маршрутизаторы не позволяют проводить какою-либо регистрацию, так что если правила маршрутизации все же допускают потенциально опасные взаимодействия, может случиться так, что атака не будет обнаружена до тех пор, пока не произойдут нарушения в работе системы.

Зачастую из правил необходимо делать исключения для того, чтобы разрешить некоторые типы доступа, которые обычно блокируются. Иногда исключения из правил фильтрации пакетов могут сделать их настолько сложными, что их невозможно будет реализовать. Например, сравнительно просто определить правило, согласно которому блокируются все входные соединения с портом 23 (сервер TELNET). Если сделаны исключения, т.е., если некоторым системам сети необходимо непосредственно установить соединения TELNET, то соответствующее правило необходимо добавить в каждую такую систему. Добавление некоторых правил может сильно усложнить общую схему фильтрации. Некоторые фильтрующие маршрутизаторы не выполняют фильтрации по порту источника TCP/UDP, которая может усложнить правила фильтрации и образовать лазейки в системе. Можно описать ситуацию, возникающую, когда объекты хотят разрешить входные и выходные соединения SMTP. Так в том случае, когда система инициирует соединение SMTP с сервером, порт источника выбирается случайно, с номером не ниже 1024, а порт приемника должен быть 25, т.е. портом сервера SMTP. Сервер должен возвращать пакеты с портом источника 25 и портом приемника, равным случайно выбранному номер порта клиента. Если сеть разрешает как входные, так и выходные соединения SMTP, маршрутизатор должен допускать номера портов приемника и источника больших 1023 в обоих направлениях. Если маршрутизатор может осуществлять фильтрацию по порту

источника, он может блокировать все пакеты, приходящие в сеть, имеющие номера портов приемника больше 1023 и номер порта источника отличный от 25. Если возможности фильтровать по порту источника нет, маршрутизатор должен допускать соединения, используя номера портов источника и приемника большие 1023. Предполагается, что пользователи могут запустить серверы на портах с номерами больше 1023 и, таким образом, обойти процесс фильтрования (т. е. сервер системы объекта, осуществляющий протокол TELNET и обычно ожидающий сигнал на порте 23, можно заставить, вместо этого, ждать сигнал на порте 9876; пользователи могут реализовать протокол TELNET с этим сервером, даже если маршрутизатор блокирует порт приемника 23).

Еще одна проблема заключается в том, что эффективную фильтрацию ряда служб RPC очень трудно осуществить, поскольку соответствующие серверы ожидают сигнала на портах, случайно назначенных при загрузке системы. Служба portmapper приписывает исходным. вызовам служб RPC служебные номера, на для фильтрующего маршрутизатора аналогичной возможности не существует. Поскольку маршрутизатору нельзя сообщить, в каких портах находятся службы, эти службы невозможно полностью блокировать, пока не будут заблокированы все пакеты UDP (службы RPC, как правило, используют UDP). Блокирование всех служб UDP заблокирует такие, необходимые службы, как DNS.

Фильтрующие маршрутизаторы, имеющие много входов и выходов, не всегда имеют возможность фильтровать пакеты в соответствии с тем, с какого входа доставлен пакет, и к какому выходу он направляется. Эта возможность упрощает правила фильтрации, и позволяет маршрутизатору легче определить, является ли IP адрес настоящим, или подложным. Маршрутизаторы, не обладающие такой способностью, не в состоянии реализовать сложные стратегии фильтрации. Маршрутизатор, который не выполняет фильтрации по порту источника и на основе входного и выходного интерфейса, не позволяет реализовать политику доступа, согласно которой запрещено все, что не разрешено.

5.3.5. Шлюзы прикладного и сетевого уровней

Для устранения некоторых недостатков, присущих фильтрующим маршрутизаторам, firewall должны использовать дополнительное программное обеспечение для фильтрации сообщений службах типа TELNET и FTP. Такие приложения называются полномочными службами, а хост, на котором они выполняются - шлюзом прикладного уровня. Шлюзы прикладного уровня и фильтрующие маршрутизаторы можно объединять в одном хосте, чтобы обеспечить более высокий уровень безопасности и гибкости, чем при использовании каждого из них в отдельности.

В качестве примера рассмотрим сеть, блокирующую доступ извне через TELNET и FTP с помощью фильтрующего маршрутизатора. Маршрутизатор допускает прохождение пакетов TELNET и FTP только к одному хосту, а именно, к шлюзу прикладного уровня TELNET/FTP. Пользователь, который хочет соединиться с сетью, должен сначала соединиться со шлюзом прикладного уровня, а затем с портом приемника. Это происходит следующим образом:

пользователь осуществляет соединение со шлюзом прикладного уровня с помощью протокола TELNET и запрашивает интересующий его внутренний хост,

шлюз проверяет IP адрес источника и принимает или. отвергает его в соответствии с используемой политикой доступа,

пользователю может потребоваться аутентифицировать себя,

полномочная служба устанавливает соединение TELNET между шлюзом и внутренним хостом,

в ходе всего сеанса передача информации ведется через полномочную службу,

шлюз прикладного уровня регистрирует соединение.

Этот пример демонстрирует преимущества использования полномочных служб. Во-первых, полномочные службы пропускают только определенные службы. Другими словами, если шлюз прикладного уровня обладает полномочиями для реализации FTP и TELNET, то в защищенной подсети допускаются только FTP и TELNET, а все другие службы полностью блокируются.

Для некоторых сетей такой уровень безопасности имеет большое значение, поскольку он гарантирует, что через firewall проходят только те службы, которые считаются надежными. Он также предотвращает реализацию других ненадежных служб без ведома администратора firewall. Во-вторых, преимуществом использования полномочных служб является возможность фильтрации протокола. Например, некоторые firewall способны фильтровать соединения FTP и запрещать использование команды FTP put, чтобы пользователи поместить информацию в сервер FТР.

Шлюзы прикладного уровня обладают рядом общих преимуществ по сравнению с методом разрешения передачи прикладного трафика непосредственно к внутренним хостам. Среди них:

скрытие информации; имена внутренних систем не обязательно сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, доступным извне,

отказоустойчивые аутентификация и регистрирование; можно выполнить предварительную аутентификацию прикладного трафика, прежде чем он достигнет внутренних хостов, и он может регистрироваться более эффективно, чем с помощью стандартной регистрации,

низкие затраты; поскольку программное или аппаратное обеспечение аутентификации или регистрирования необходимо размещать только на шлюзе прикладного уровня,

несложные правила фильтрации; правила, которым подчиняется фильтрующий маршрутизатор, являются менее сложными, чем если бы маршрутизатор фильтровал прикладной трафик и направлял его целому ряду систем.

Маршрутизатор должен разрешать прикладной трафик, предназначенный только для шлюза прикладного уровня, и запрещать все остальные.

Недостатком шлюзов прикладного уровня является то, что в случае реализации протоколов типа клиент-сервер, например, TELNET, для входных и выходных соединений требуются два этапа. Некоторые такие шлюзы требуют модификации программ-клиентов, что можно рассматривать и как преимущество, и как недостаток, в зависимости от того, облегчает или затрудняет модификация клиентов использование firewall. Для шлюза прикладного уровня TELNET не обязательно нужен модифицированный клиент, однако для него необходим другой порядок работы пользователя, а именно: пользователь должен соединяться с firewall(нo не входить в него), вместо того чтобы соединяться непосредственно с хостом. Модифицированный клиент TELNET может сделать firewall прозрачным, разрешая пользователю указывать в команде TELNET систему-приемник, а не firewall. Поведение пользователя остается неизменным, однако сохраняется оно за счет модификации программы-клиента в каждой системе.

Помимо TELNET, шлюзы прикладного уровня обычно используются для FTP и электронной почты, для Х Windows и некоторых других служб. Некоторые прикладные шлюзы FТР могут запрещать для определенных хостов команды put и get. Например, внешний пользователь, установивший сеанс FTP (через шлюз прикладного уровня FTP) с внутренней системой может попытаться загрузить файлы на сервер. Шлюз прикладного уровня может профильтровать протокол и запретить все команды put на сервер FTP, что должно обеспечить большую уверенность, чем в случае, когда полагаются только на корректность допуска к серверу FTP.

Шлюз прикладного уровня электронной почты служит для централизованного сбора электронной почты и распределения ее внутренним хостам и пользователям. Для внешних пользователей все внутренние пользователи должны иметь адреса электронной почты следующего вида:

user@emailhost,

где emailhost - это имя шлюза электронной почты.

Шлюз должен принимать почту от внешних пользователей и отправлять ее по необходимости дальше к другим внутренним системам. Пользователи, посылающие электронную почту из внутренних систем, могут отправлять ее прямо со своих хостов, или, в том случае, когда имена внутренней системы неизвестны вне защищенной подсистемы, на шлюз прикладного уровня, который затем пересылает ее хосту-приемнику.

Можно определить еще один компонент firewall, который иногда причисляют к категории прикладного шлюза, а именно, шлюз сетевого уровня. Шлюз сетевого уровня передает сообщения ТСР, но не осуществляет дополнительной обработки или фильтрации протоколов. Например, рассмотренный выше пример шлюза прикладного уровня TELNET, может быть примером шлюза сетевого уровня, поскольку, как только связь между источником и приемником установлена, firewall просто передает информацию между системами. Другой пример шлюза сетевого уровня касается NNTP, когда сервер NNTP соединяется с firewall, а затем с последним соединяются клиенты NNTP внутренней системы. Firewall в этом случае также просто передает информацию.

5.4. Основные схемы защиты на основе Firewall

Анализ основных схем применения систем типа firewall позволяет выделить следующие три типа firewall: фильтрующие маршрутизаторы, шлюзы прикладного уровня и шлюзы сетевого уровня. Рассмотрим следующие схемы организации защиты сетей на их основе:

firewall на основе фильтрации пакетов,

firewall на основе простого шлюза,

firewall - экранированный шлюз,

firewall - экранированная подсеть.

Кроме того, рассмотрим методы использования модемного доступа и firewall. Необходимо отметить, что рассмотренные схемы не перекрывают все возможные комбинации, а представляют собой основные реализуемые на практике.

5.4.1 Firewall - маршрутизатор с фильтрацией пакетов

Firewall, основанный на фильтрации пакетов (рис. 5.3), вероятно является наиболее распространенным и самым легким для реализации. Однако он имеет множество недостатков и менее эффективен по сравнению со всеми остальными рассматриваемыми типами firewall.

---------- ----------

¦ ЭВМ ¦ ¦ ЭВМ ¦

¦ ¦ ¦ ¦

L----T--- L----T-----

¦ ¦

¦ ¦ -------------------------

¦ ¦ ¦ Фильтрующий ¦

----+--------------+-------------------+ +----

¦ маршрутизатор ¦

L---------------------- Internet

Рис.5.3. Firewall фильтрации пакетов

Как правило, firewall данного типа состоит из фильтрующего маршрутизатора, расположенного между Internet и защищаемой подсетью, который сконфигурирован для блокирования или фильтрации соответствующих Протоколов и адресов. При этом компьютеры, находящиеся в этой сети, как правило, имеют прямой доступ к Internet, тогда как большая часть доступа из Internet к ним блокируется. Обычно блокируются такие заведомо опасные службы как NIS, NFS и Х Windows.

Firewall, основанные на фильтрации пакетов имеют те же недостатки, что и фильтрующие маршрутизаторы, однако эти недостатки становятся все серьезнее по мере того, как требования к безопасности защищаемого объекта становятся более сложными и строгими. Перечислим некоторые из этих недостатков:

слабые, или вообще отсутствующие возможности регистрации события. Администратору трудно определить скомпрометирован ли маршрутизатор и не узнать подвергался ли он атаке;

исчерпывающее тестирование правил фильтрации очень трудоемко или невозможно. Это означает, сеть остается незащищенной от не протестированных типов атак; достаточная сложность правил фильтрации. В определенных случаях совокупность этих правил может стать неуправляемой;

для каждого хоста, непосредственно связанного с Internet, требуются свои средства усиленной аутентификации.

Фильтрующий маршрутизатор может реализовать любую из политик безопасности, рассмотренных в третьей главе. Однако если маршрутизатор не фильтрует по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено" может быть затруднена. Если необходимо реализовать именно эту политику, то нужно использовать маршрутизатор, обеспечивающий наиболее гибкую стратегию фильтрации.

5.4.2. Firewall на основе шлюза

Такая схема организации защиты (рис. 5.4) лучше, чем firewall на основе фильтрующего маршрутизатора. Firewall на основе шлюза состоит из хост-системы с двумя сетевыми интерфейсами, при передаче информации между которыми и осуществляется фильтрация. Кроме того, для обеспечения дополнительной защиты между защищаемой сетью и Internet, можно поместить фильтрующий маршрутизатор. Это создает между шлюзом и маршрутизатором внутреннюю экранированную подсеть, которую можно использовать для размещения систем, доступных извне, например, информационных серверов (см. рис. 5.4).

защищенная

подсеть -------------------------

---------- ¦ Информационный ¦

¦ ЭВМ ¦ ¦ сервер ¦

¦ ¦ ------------------------

--------- Прикладной трафик ¦ ¦

¦ ----------- HTTP,Gopher,FTP ¦ ¦ -------------------

¦ ¦Прикладной¦ -------------------- ¦ ¦ Фильтрующий ¦

-----+--------+ +---------------------+----------------+ +----

¦ ¦ шлюз ¦ --------------------- ¦маршрутизатор¦

¦ ---------------- Весь прикладной ----------------- Internet

¦ трафик

------+--- Экранированная

¦ ЭВМ ¦ подсеть

¦ ¦

----------

Рис.5.4. Firewall с прикладным шлюзом и фильтрующим маршрутизатором

В отличие от фильтрующего маршрутизатора шлюз полностью блокирует трафик IP между сетью Internet и защищаемой сетью. Услуги и доступ предоставляются только полномочными серверами, расположенными на шлюзе. Это простая организация firewall, но очень эффективная. Некоторые шлюзы не используют полномочных служб, зато требуют, чтобы пользователи осуществляли доступ к Internet только посредством регистрации на шлюзе. Этот тип шлюза менее предпочтителен, поскольку подключение к нему большого количества пользователей может привести к ошибкам, что может облегчить атаку для злоумышленника.

Этот тип firewall реализует политику безопасности, при которой запрещено все, что не разрешено явно, поскольку делает недоступными все службы, кроме тех, для которых определены соответствующие полномочия. Шлюз Игнорирует пакеты с маршрутизацией источника, поэтому передать в защищенную подсеть такие пакеты невозможно. Этим достигается высокий уровень безопасности, поскольку маршруты к защищенной подсети должны становятся известны только firewall и скрыты от внешних систем, поскольку firewall не будет передавать наружу информацию DNS.

Для простой настройки шлюза необходимо установить полномочные службы для TELNET и FTP, и централизованную электронную почту, с помощью которой firewall будет получать всю почту, отправляемую в защищаемую сеть, а затем пересылать ее хостам сети. Этот firewall может требовать от пользователей применения средств усиленной аутентификации, регистрировать доступ, а также попытки зондирования и атак системы нарушителем.

Firewall, использующий шлюз, как и firewall с экранированной подсетью, который будет рассмотрен далее, предоставляет возможность отделить трафик, связанный с информационным сервером, от остального трафика между сетью и Internet. Информационный сервер можно разместить вподсети между шлюзом и маршрутизатором, как показано на рисунке 5.4.

Предполагая, что шлюз предоставляет информационному серверу подходящие полномочные службы (например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ к firewall и обеспечить, чтобы этот доступ осуществлялся только через firewall. Если разрешен прямой доступ к информационному серверу(что менее безопасно), то его имя и IP адрес становятся известны посредством DNS. Размещение информационного сервера до шлюза увеличивает безопасность основной сети, поскольку даже проникнув в информационный сервер, нарушитель не сможет получить доступ к системам сети.

Недостаточная гибкость шлюза может оказаться неприемлемой для некоторых сетей. Поскольку блокируются все службы, кроме определенных, доступ к другим службам осуществить невозможно; системы, требующие доступа, нужно располагать до шлюза со стороны Internet. Однако, как видно из рисунка 5.4, маршрутизатор можно использовать для образования подсети между шлюзом и маршрутизатором, и здесь же можно поместить системы, требующие дополнительных служб(этот вопрос подробнее будет обсуждаться в 5.6.4).

Необходимо отметить, что безопасность хост-систем, используемых в качестве шлюза, должна поддерживаться на очень высоком уровне, поскольку любая брешь в его защите может привести к серьезным последствиям. Если шлюз скомпрометирован, нарушитель будет иметь возможность проникнуть в защищаемую сеть.

5.4.3. Экранированный шлюз

Firewall на основе экранированного шлюза (рис. 5.5) является более гибким решением, чем просто шлюз, однако эта гибкость достигается за счет некоторого понижения уровня безопасности. Firewall на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, размещенный со стороны защищаемой подсети. Прикладной шлюз можно также разместить до маршрутизатора со стороны Internet без ущерба для безопасности. Размещение прикладного шлюза на внешней стороне будет способствовать тому, что именно он будет подвергаться атакам и может служить для их исследования в качестве ложной цели.

Для прикладного шлюза необходим только один сетевой интерфейс. Полномочные службы прикладного шлюза должны обеспечивать сервис TELNET, FTP и других полномочных служб для систем защищаемой сети. Маршрутизатор фильтрует остальные протоколы, не позволяя им достигнуть прикладного шлюза и систем сети. Он запрещает (или разрешает) трафик согласно следующим правилам:

трафик из Internet к прикладному шлюзу разрешен,

весь остальной трафик из Internet запрещен,

маршрутизатор запрещает любой трафик из сети, кроме исходящего от прикладного шлюза.

В отличие от firewall, основанного на обычном шлюзе, для прикладного шлюза требуется только один сетевой интерфейс и не требуется отдельной подсети между прикладным шлюзом и маршрутизатором.

------------------------

---------- ¦ Информационный ¦

¦ ЭВМ ¦ ¦ сервер ¦

¦ ¦ -----------------------

----------- ¦ ¦

¦ ¦ ¦ ---------------------

¦ =============+=+=========== ¦ Фильтрующий ¦

----+------------------------------+-+---------------------| |----

¦ -------------------------+ ¦ ---------- ¦маршрутизатор ¦

¦ ¦ ¦ ¦ ------------------ Internet

¦ ¦ ¦ ¦

------+--- ------+------

¦ ЭВМ ¦ ¦ Прикладной ¦

¦ ¦ ¦ ¦

----------- ¦ шлюз ¦

----------------

---- трафик доверенных приложений

==== остальной трафик

Рис.5.5. Firewall - экранированный шлюз

Это позволяет сделать firewall более гибким, но менее безопасным, поскольку существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системам сети. Службы, не имеющие соответствующих полномочий, можно считать надежными в том смысле, что риск использования этих служб считается допустимым. Например, можно разрешить передавать через маршрутизатор к системам сети службы, подвергающиеся меньшему риску, например NTP. Если системы сети требуют доступа DNS к Internet, то его можно разрешить. В этом случае firewall может реализовать обе политики безопасности одновременно, в зависимости от того, какие типы служб доступны системам сети.

При использовании firewall с экранированным шлюзом возникают две проблемы.

Во-первых, теперь имеются две системы, маршрутизатор и прикладной шлюз, которые нужно тщательно конфигурировать. Как уже отмечалось, правила, которым подчиняется фильтрующий маршрутизатор, могут быть слишком сложными для осуществления конфигурации, трудными для проверки и могут приводить к появлению ошибок и "дыр" в системе защиты. Тем не менее, поскольку маршрутизатор требует разрешения прикладного трафика только для прикладного шлюза, набор правил может быть менее сложным, чем для сети, использующей firewall только с фильтрующим маршрутизато- ром.

Вторая проблема заключается в том, что гибкость конфигурации допускает возможность нарушения политики безопасности (как это было указано для firewall с фильтрующим маршрутизатором). Эта проблема более серьезна, чем в случае firewall с простым шлюзом, поскольку имеется техническая возможность осуществлять трафик в обход шлюза.

5.4.4. Firewall - экранированная подсеть

Firewall, состоящий из экранированной подсети представляет собой разновидность firewall с экранированным хостом. Его можно использовать для размещения каждого компонента firewall в отдельной системе, что позволит увеличить пропускную способность и гибкость, за счет некоторого усложнения архитектуры. Каждая система, входящая в этот firewall, нужна только для выполнения конкретной задачи.

На рис. 5.6 показаны два маршрутизатора, используемые для создания внутренней, экранированной подсети. Эта подсеть (иногда называемая в литературе "DMZ") содержит прикладной шлюз, однако она может также включать в себя информационные серверы и другие системы, требующие тщательно контролируемого доступа.

Маршрутизатор, соединяющий сеть с Internet, должен пересылать трафик согласно следующим правилам:

трафик от прикладного шлюза к Internet разрешен,

трафик электронной почты от сервера электронной почты к Internet

разрешен,

трафик от объектов Internet к прикладному шлюзу разрешен,

трафик электронной почты от Internet к серверу электронной почты

разрешен,

трафик ftp, gopher и т.д. от Internet к информационному серверу

разрешен,

весь остальной трафик запрещен.

Внешний маршрутизатор запрещает доступ из Internet к системам экранированной подсети и блокирует весь трафики к Internet, идущий от систем, которые не должны являться инициаторами соединений (информационный сервер и др. системы).

-----------------

------- ------- ¦ Информационный ¦

¦ Хост ¦ ¦ Хост ¦ ¦ сервер ¦

¦ ¦ ¦ ¦ -----------------------

-------- ------- ¦ ¦

¦ ¦ ¦ ¦

----+--------+-- ¦ ¦

¦ --------------------- ==========+=+======== -------------- Internet

+маршрутизатор+-----------------+-+---------------------+маршрутизатор+--------

-------------- ---- +-----------+-+------- ---- --------------

¦¦ ¦¦

-----+----- -----+------

¦Прикладной¦ ¦ Сервер ¦

¦ ¦ ¦электронной¦

¦ шлюз ¦ ¦ почты ¦

----------- ------------

---- трафик доверенных приложений

==== остальной трафик

Рис.5.6. Firewall с экранированной подсетью

Маршрутизатор можно использовать и для блокирования любых других уязвимых протоколов, которые не должны передаваться к хостам экранированной подсети или от них.

Внутренний маршрутизатор осуществляет трафик к системам экранированной подсети и от них согласно следующим правилам:

трафик от прикладного шлюза к системам сети разрешен,

трафик электронной почты от сервера электронной почты к системам

сети разрешен,

прикладной трафик от систем сети к прикладному шлюзу разрешен,

трафик электронной почты от систем сети к серверу электронной почты разрешен,

трафик ftp, gopher и т.д. от систем сети к информационному серверу разрешен,

весь остальной трафик запрещен.

Таким образом, ни одна система сети не достижима непосредственно из Internet и наоборот, как и для firewall с простым шлюзом. Главным отличием является то, что маршрутизаторы используются для направления трафика к конкретным системам, что исключает необходимость того, чтобы прикладной шлюз выполнял роль маршрутизатора. Это позволяет достигнуть большей пропускной способности. Следовательно, firewall с экранированной подсетью наиболее подходит для сетей с большими объемами трафика или с очень высокими скоростями обмена.

Наличие двух маршрутизаторов является избыточным, поскольку для того, чтобы проникнуть непосредственно в системы сети, нарушитель должен преодолеть оба маршрутизатора. Прикладной шлюз, сервер электронной почты и информационный сервер должны быть настроены так, чтобы только они были доступны из Internet. В базе данных DNS, достижимой для внешних систем, не должны использоваться имена остальных систем. Прикладной шлюз может содержать программы усиленной аутентификации. Очевидно, он требует сложного конфигурирования, однако использование для прикладных шлюзов и фильтров отдельных систем упрощает конфигурирование и управление.

Firewall с экранированной подсетью, как и firewall с экранированным шлюзом, можно сделать более гибким, допуская трафик между Internet и системами сети для некоторых проверенных служб. Однако такая гибкость может привести к тому, что будет необходимо сделать некоторые исключения из политики безопасности, что ослабит эффективность firewall. Во многих случаях больше подходит firewall с простым шлюзом, поскольку он не допускает ослабления политики безопасности (так как через него не могут проходить службы, не обладающие соответствующими полномочиями). Однако там, где пропускная способность и гибкость имеют большое значение, более предпочтителен firewall с экранированной подсетью.

Вместо того, чтобы пересылать службы непосредственно между Internet и системами сети, можно разместить системы, требующие этих служб, прямо в экранированной подсети. Например, сеть, не допускающая трафика Х Windows или NFS между Internet и системами сети, но все же требующая определенные службы, может разместить системы, требующие доступ, в экранированной подсети. Эти системы могут по-прежнему сохранять доступ к остальным системам сети, через прикладной шлюз и по необходимости реконфигурируя внутренний маршрутизатор. Такое решение могут использовать сети, требующие высокого уровня безопасности.

Firewall с экранированной подсетью обладает двумя недостатками.

Во-первых, существует принципиальная возможность доступа в обход прикладного(ых) шлюза(ов). Это верно и для случая firewall с экранированным шлюзом, однако firewall с экранированной подсетью допускает размещение в ней систем, требующих прямого доступа к службам Internet.

Вторым недостатком является то, что маршрутизаторы требуют большого внимания для обеспечения необходимого уровня безопасности. Как уже отмечалось, фильтрующие маршрутизаторы сложно конфигурировать, и из-за ошибок могут возникнуть лазейки в безопасности всей сети.

5.4.5. Объединение модемного пула с Firewall

Многие сети разрешают доступ через модемы, размещенные в различных точках сети. Такой доступ сам является потенциально опасным и может свести на нет всю защиту, обеспечиваемую firewall. Управлять модемами будет намного легче, если сосредоточить их в модемном пуле, а затем осуществлять безопасные соединения с этим пулом.

Модемный пул состоит из терминального сервера, представляющего собой специальный компьютер, разработанный для соединения модемов с сетью. Пользователь по модему соединяется с терминальным сервером, а затем с его помощью осуществляет необходимые соединения (например, с помощью протокола TELNET) с другими системами. Некоторые терминальные серверы содержат средства обеспечения безопасности и могут ограничивать соединения с некоторыми системами или потребовать от пользователей применения аутентификации.

На рисунке 5.7 показан модемный пул и firewall с экранированным хостом. Поскольку к соединениям с модемами нужно относиться с тем же подозрением, как и к соединениям с Internet, размещение модемного пула на внешней стороне firewall заставляет модемные соединения осуществляться через firewall.

Для аутентификации пользователей, устанавливающих связи как по модему, так и через Internet, могут быть использованы средства усиленной аутентификации прикладного шлюза. Для предохранения внутренних систем от соединения непосредственно с модемным пулом можно использовать фильтрующий маршрутизатор.

Недостатком данной схемы является то, что модемный пул напрямую связан с Internet и, следовательно, подвержен атакам.

-----------

Доступ по модему ¦ Модем ¦

------------¦ ¦

--------------

¦ ¦

¦ ¦

Системы -------------- --------- | | Internet

---------------------+ маршрутизатор +-----------+-----------------

сети --------¦--- -------------------------

¦¦¦

-----+-----

¦Прикладной¦

¦ ¦

¦ шлюз ¦

-------------

Рис.5.7. Размещение модемного пула в Firewall

с экранированным хостом

Если нарушителю удастся проникнуть в модемный пул, то он может использовать его как базу для атаки других систем Internet. Для предотвращения этого кроме прикладного шлюза должен использоваться терминальный сервер, обладающий свойствами безопасности.

Firewall с двойным шлюзом и экранированной подсети реализует более безопасный метод управления модемными пулами. На рисунке 5.8 изображен терминальный сервер, расположенный во внутренней экранированной подсети, где доступ к модемному пулу и от него можно тщательно контролировать с помощью маршрутизаторов и прикладных шлюзов. Маршрутизатор со стороны Internet предохраняет модемный пул от любого прямого доступа, кроме доступа от прикладного шлюза.

В случае firewall экранированной подсети доступ к модемному пулу со стороны Internet и от систем сети запрещается соответствующими маршрутизаторами. В случае firewall с простым шлюзом доступ к модемному пулу контролирует сам шлюз, в котором должны использоваться средства усиленной аутентификации.

Если сеть использует для защиты модемного доступа подобные средства, она должна строго придерживаться политики, предотвращающей подключение к модемам любого пользователя в любом месте защищенной подсети. Даже если модемы обладают свойствами безопасности, это усложняет схему защиты с помощью firewall и тем самым добавляет в цепь еще одно слабое звено.

----------------

¦ Прикладной ¦

¦ шлюз ¦

-----------------

¦¦

¦¦

¦¦

-------------- ------- ¦¦ ---------- -------------- Internet

----+ Маршрутизатор +---------++------T----+ Маршрутизатор +--------

---------------------- -----¦ -------------------------

Системы ¦¦

сети --------+---

---------- ¦ ¦

¦ Модем ¦

------------

Рис.5.8. Размещение модемного пула в Firewall с экранированной подсетью и простым шлюзом

5.4.6. Особенности защиты сетей на основе Firewall

Рассмотрим подробнее политику защиты сетей с использованием firewall. Рассмотренные ранее в общем плане политику доступа к службам и политику, реализуемую firewall, свяжем с общей структурой защищаемой сети и требованиями безопасности.

Выбор политики использования firewall-технологии должен осуществляться одновременно с выбором политики безопасности всей сети. Сюда включаются вопросы, связанные с безопасностью хост-систем, модемным доступом, защитой информации вне сети, безопасностью передачи данных и т.д. Отдельная политика, касающаяся только firewall, неэффективна, так как она должна являться составной частью общей политики обеспечения безопасности сети.

5.4.6.1. Этапы разработки политики доступа к службам

Как уже отмечалось, firewall является непосредственной реализацией политики сетевого доступа к службам. Порядок доступа к службам в значительной степени определяется политикой, лежащей в основе firewall. Обычно это политика типа запрещено все, что не разрешено. Такая политика более безопасна и, следовательно, более предпочтительна.

Выше отмечалось, что некоторые схемы организации защиты сетей на основе firewall могут реализовывать обе политики безопасности, а firewall с простым шлюзом заведомо является "запрещающим все". Рассмотренные примеры показывают и то, что системы, требующие таких служб, которые не пропускает firewall, можно разместить в экранированных подсетях отдельно от других систем сети. Поэтому, в зависимости от требований безопасности и гибкости, одни типы firewall более предпочтительны, чем другие. Это означает, что сначала надо выбрать политику безопасности, а затем уже приступать к реализации firewall.

При выборе политики доступа к Internet, NIST рекомендует брать сначала наиболее безопасную политику, т.е. запрещать все службы, кроме специально разрешенных. Затем разработчик политики должен ответить на следующие вопросы:

какие из служб Internet организация собирается использовать(например, TELNET, Mosaic или NFS), где эти службы будут использоваться: в локальной области, через Internet, через модем или из удаленных организаций,

необходимы ли дополнительные требования, например, шифрование или поддержка входного диалога,

какой риск связан с предоставлением этих служб и доступа,

как повлияет обеспечение защиты на удобство управления и использования сети, оправданны ли предполагаемые меры обеспечения безопасности, с точки зрения соотношения их стоимости и возможного риска.

Например, в сети может возникнуть необходимость использования NFS между двумя удаленными объектами, однако политика, по умолчанию запрещающая все, запретит его использование. Если риск, связанный с использованием NFS для данной организации является допустимым, она может потребовать замены политики безопасности на менее безопасную, разрешающую все службы, кроме специально запрещенных, и разрешающую NFS. Кроме того, можно реализовать такой firewall, который позволяют поместить системы, требующие NFS, в экранированную подсеть, тем самым сохраняя политику, запрещающую все по умолчанию, для всех остальных систем сети. Если же риск использования NFS слишком велик, то в этом случае NFS должна быть исключена из списка разрешенных служб.

5.4.6.2. Гибкость политики

Любая политика обеспечения безопасности, связанная с доступом к Internet и сетевым доступом вообще, должна быть гибкой по двум причинам: сама по себе Internet постоянно меняется, следовательно, могут меняться и требования безопасности, по мере того как Internet предлагает все новые услуги и методы доступа к этим услугам. Возникновение новых услуг и протоколов ведет к возникновению новых проблем обеспечения безопасности. Кроме того, гибкость необходима еще и потому, что риск организации также не остается статичным. Изменение риска может быть обусловлено, например, новыми обязанностями, возложенными на организацию, или изменением сетевой конфигурации. Увеличение риска может быть вызвано и наличием удаленных пользователей.

Удаленными являются те пользователи, которые инициируют связь с системой сети из Internet. Для всех этих сеансов должна применяться усиленная аутентификация. В политике безопасности должно быть отражено, что удаленные пользователи не могут проникнуть в системы через линии связи, неконтролируемые firewall. Из этого правила не должно быть исключений, поскольку даже одного перехваченного пароля или одной не- контролируемой модемной линии может быть достаточно для возникновения в лазейки для вторжения в сеть.

Такая политика имеет и определенные недостатки: необходимость для пользователей наличия навыков обращения со средствами усиленной аутентификации, повышение стоимости обеспечения удаленных пользователей средствами аутентификации (например, смарткартами) и увеличение расходов на администрирование дистанционного доступа.

Удаленным пользователям также может быть необходима возможность доступа к таким системам, которые недостижимы из Internet. Эти пользователи должны помнить об опасностях, которые могут возникнуть при небрежном обращении с модемным доступом.

Кроме того, необходимо рассматривать возможность использования протоколов Serial Line IP (SLIP) и Point-to-- Point Protocol (PPP).

Пользователи могут использовать эти протоколы для установления связей с объектом, защищенным firewall. Такое соединение осуществляется в обход firewall и является потенциально опасным. Для соединений SLIP и РРР необходимо приде