Межсетевые экраны и Интернет-маршрутизаторы D-Link

Межсетевые  экраны и Интернет-маршрутизаторы D-Link. Базовый курс.

 

Введение

Еще совсем недавно пользователи компьютеров  имели туманное представление о  том, что при выходе в Интернет или любую другую общедоступную  сеть компьютеры могут «заразиться» вирусами, а информация в течение  очень короткого времени может  быть украдена или искажена. Сегодня  же практически каждый пользователь Интернета (да и не только Интернета, но и любой информационно-вычислительной сети) знает об опасности, подстерегающей его компьютер и о том, как  обезопасить свои данные от потенциальных  атак и вирусов. Современный IT-рынок предлагает различные  варианты обеспечения безопасности пользовательских устройств и компьютерных сетей в целом. Конечные пользовательские устройства, как правило, довольно успешно  защищаются антивирусными программами  и программными межсетевыми экранами (брандмауэры, файрволы). Компьютерные сети в комплексе защитить сложнее. Одним программным обеспечением здесь не обойтись. Решением вопроса  обеспечения безопасности компьютерных сетей является установка межсетевых экранов в программно-аппаратном исполнении на границе сетей. В основные задачи межсетевых экранов  входит защита компьютеров от вторжения  злоумышленников из внешней сети и от утечки/изменения информации. Устанавливая межсетевой экран с  требуемой конфигурацией на границу  с внешней сетью, можно быть уверенным  в том, что Ваш компьютер будет  «невидим» извне (если только политикой  администрирования не предусмотрен доступ к нему). Современные межсетевые экраны работают по принципу «запрещено все, что не разрешено», то есть Вы сами решаете для какого протокола  или программы открыть доступ во внутреннюю сеть. Помимо функций сетевой защиты, межсетевой экран обеспечивает возможность  нормального функционирования сетевых  приложений. Безусловно, межсетевой экран –  это не панацея от всех бед компьютерного  мира. Всегда необходимо принимать  во внимание «человеческий фактор», так как именно человек неосознанно (а порой и целенаправленно) может  нанести вред информационной системе, выполнив действия, не входящие в политику безопасности. Это может быть утечка информации через подключение внешних  носителей, установление дополнительного  незащищенного Интернет-подключения, умышленное изменение информации санкционированным  пользователем и т.п. В данном материале рассматриваются  технологии и методы, позволяющие  обеспечивать работу и безопасность сетей, применяемые в межсетевых экранах и Интернет-маршрутизаторах D-Link .

 

ГЛАВА 1. Программно-аппаратные средства обеспечения безопасности информационных сетей

1.1 Межсетевой экран

Говоря о программно-аппаратной составляющей системы информационной безопасности, следует признать, что  наиболее эффективный способ защиты объектов локальной сети (сегмента сети) от воздействий из открытых сетей (например, Интернета), предполагает размещение некоего элемента, осуществляющего контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Такой элемент получил название межсетевой экран (сетевой экран) или файрволл, брандмауэр.

Файрволл, файрвол, файервол, фаервол – образовано транслитерацией английского термина firewall.

Брандмауэр (нем. Brandmauer) – заимствованный из немецкого языка термин, являющийся аналогом английского «firewall» в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).

Сетевой/межсетевой экран (МСЭ) – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по различным протоколам в соответствии с заданными правилами.

Основной задачей  межсетевого экрана является защита компьютерных сетей и/или отдельных  узлов от несанкционированного доступа. Иногда межсетевые экраны называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Для того чтобы эффективно обеспечивать безопасность сети, межсетевой экран отслеживает и управляет  всем потоком данных, проходящим через  него. Для принятия управляющих решений  для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений) межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Межсетевой экран  пропускает через себя весь трафик, принимая относительно каждого проходящего  пакета решение: дать ему возможность  пройти или нет. Для того чтобы  межсетевой экран мог осуществить  эту операцию, ему необходимо определить набор правил фильтрации. Решение  о том, фильтровать ли с помощью  межсетевого экрана конкретные протоколы  и адреса,зависит от принятой в  защищаемой сети политики безопасности . По сути, межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности. Политика сетевой безопасности каждой организации должна включать (кроме всего прочего) две составляющие: политика доступа к сетевым сервисам и политика реализации межсетевых экранов.

Однако недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений – главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения  могут учитываться как состояние  соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Таким образом, управляющие  решения требуют, чтобы межсетевой экран имел доступ, возможность анализа  и использования следующих факторов:

Ø Информация о соединениях  – информация от всех семи уровней (модели OSI )в пакете.

Ø История соединений – информация, полученная от предыдущих соединений.

Ø Состояние уровня приложения – информация о состоянии, полученная из других приложений.

Ø Манипулирование  информацией – вычисление разнообразных  выражений, основанных на всех вышеперечисленных  факторах.

1.1.1 Типы межсетевых  экранов

Различают несколько  типов межсетевых экранов в зависимости  от следующих характеристик:

˗ обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

˗ происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

˗ отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

Ø традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) нашлюзе (устройстве передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);

Ø персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI , на котором происходит контроль доступа, сетевые экраны могут работать на:

Ø сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

Ø сеансовом уровне (также известные, как stateful), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

Ø прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом  уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в  следующих поляхTCP- и IP-заголовках пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может  быть реализована различными способами  для блокирования соединений с определенными  компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров  и сетей, которые считаются ненадежными.

К преимуществам  такой фильтрации относятся:

˗ сравнительно невысокая стоимость;

˗ гибкость в определении правил фильтрации;

˗ небольшая задержка при прохождении пакетов.

Недостатки:

˗ не собирает фрагментированные пакеты;

˗ нет возможности отслеживать взаимосвязи (соединения) между пакетами.‏

Фильтрация на сеансовом  уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

· stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

· stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую не совместимых со стандартными, stateless сетевыми экранами.

К преимуществам  такой фильтрации относятся:

˗ анализ содержимого пакетов;

˗ не требуется информации о работе протоколов 7 уровня.

Недостатки:

˗ сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway)‏.

Application level gateway , ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP , H.323, FTP и др.), для которых подмена адресов/портов ( Network Address Translation ) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI ( Stateful Packet Inspection ) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила  от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection . Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspectionуникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня приложений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.