Межсетевые экраны и Интернет-маршрутизаторы D-Link

2. Из-за трансляции  адресов «много в один» появляются  дополнительные сложности с идентификацией  пользователей и необходимость  хранить полные логи трансляций.

3. Атака DoS со стороны узла, осуществляющего NАT – если NАT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DоS-атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NАT приводит к проблеме с подключением к серверу некоторых пользователей из-за превышения допустимой скорости подключений.

3.2.6 Механизмы PAT и NAT

У этой технологии есть множество названий – это и  трансляция адрес/порта, и «проброс»  портов, и перенаправление портов, и «порт-форвардинг/порт-маппинг», и  сокращенные DNAT/PAT. Но с любым названием открытие портов просто необходимо для тех, кто хочет показать свой сервер из-за стены под названием NAT.

Virtual Servers

Фунция Virtual Servers в Интернет-маршрутизаторах D- Link обеспечивает перенаправление запросов пользователей из внешней сети (например, Интернета) на определенный порт маршрутизатора во внутреннюю сеть на IP-адрес сервера.

Виртуальные серверы (Virtual Servers) – это дополнительная возможность Интернет-маршрутизаторов, предназначенная для предоставления доступа пользователям из Интернета к внутренним ресурсам, например к почтовым серверам, WWW , FTP и т.д. Виртуальными они называются потому, что доступ к этим серверам происходит по внешнему (реальному) адресу маршрутизатора, но фактически обращение транслируется на заданный в настройках адрес во внутренней сети. Причем из Интернета могут обращаться к внешнему адресу для получения доступа, например, к FTР и WWW-серверам, физически же эти серверы могут быть на разных компьютерах во внутренней сети.

Сервер можно  выбрать из выпадающего меню, либо прописать вручную (рисунок 3.54). Номера публичного и частного портов можно  использовать либо уже известные (привязанные  к определенным службам и приложениям), либо назначать в соответствии с  требованиями политики сетевого администратора.

 

Рисунок 3.54 – Использование  функции Virtual Server на примере маршрутизатора DIR-615

Port Forwarding

Данная функция  используется для открытия нескольких портов (например: 80,68,888) или диапазона портов (например, 100-150) маршрутизатора и перенаправления данных из внешней сети через эти порты к определенному IP-адресу компьютера (сервера) во внутренней сети.

 

Рисунок 3.55 – Использование  функции Port Forwarding на примере маршрутизатора DIR-855

DМZ

Иногда, в случае использования домашних (SOHO) маршрутизаторов, возможность «проброса портов» – осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора на указанный хост внутренней сети – подразумевается технология DМZ .

DMZ (Demilitarized Zone – демилитаризованная зона) – Технология обеспечения безопасности внутренней сети при предоставлении доступа внешних пользователей к определенным ресурсам внутренней сети (таким как почтовые, WWW -, FTР -серверы и др.). При применении данной технологии серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется DМZ), а доступ к основным ресурсам сети ограничен с помощью межсетевого экрана (firewall). В отличие от функции «Virtual Servers», когда отображается только один порт, в данном случае запрос извне на любой порт внешнего, например, WAN- или Internet-интерфейса отображается на такой же порт компьютера или сервера, указанного в настройках DМZ. То есть, все открытые порты на этом компьютере (сервере) доступны снаружи.

Это может создать  угрозу безопасности для данного  компьютера (сервера), поэтому на нем  необходимо установить программный  межсетевой экран для защиты от атак.

 

Рисунок 3.56 – Использование  функции DМZ на примере маршрутизатора DIR-855

Функция DМZ в маршрутизаторах D-Link несколько отличается от аналогичной  функции в аппаратном решении  межсетевых экранов D-Link. В аппаратных межсетевых экранах настраивается  отдельный физический порт DМZ с возможностью использования DМZ-интерфейса в правилах конфигурации. В маршрутизаторах  же нет выделенного физического  порта, а функция DМZ настраивается  по IP-адресу хоста, находящемуся в локальной  сети (LAN).

 

Рисунок 3.57 – Использование  технологии DМZ на межсетевых экранах D-Link

В зависимости от требований к безопасности, DМZ может  организовываться одним, двумя или  тремя межсетевыми экранами.

Простейшей (и наиболее распространённой) схемой является схема, в которой DМZ, внутренняя и внешняя  сеть подключаются к разным портам Интернет-маршрутизатора (выступающего в роли межсетевого экрана), контролирующего  соединения между сетями. Подобная схема проста в реализации, требует  всего лишь одного дополнительного  порта. Однако в случае взлома (или  ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.

В конфигурации с  двумя межсетевыми экранами, DМZ подключается к двум маршрутизаторам,один из которых  ограничивает соединения из внешней  сети в DМZ, а второй контролирует соединения из DМZ во внутреннюю сеть. Подобная схема  позволяет минимизировать последствия  взлома любого из межсетевых экранов  или серверов, взаимодействующих  с внешней сетью – до тех  пор, пока не будет взломан внутренний межсетевой экран, злоумышленник не будет иметь произвольного доступа  к внутренней сети, а взлом внутреннего  межсетевого экрана не возможен без  взлома внешнего межсетевого экрана.

Схема с двумя  межсетевыми экранами может быть организована как с общим подключением (когда между внешним и внутренним МСЭ есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним межсетевым экраном, а второй с внутренним). В последнем случае прямое взаимодействие между внешним и внутренним межсетевыми экранами отсутствует.

Существует редкая конфигурация с тремя межсетевыми  экранами. В этой конфигурации первый из них принимает на себя запросы  из внешней сети, второй контролирует сетевые подключения DМZ, а третий – контролирует соединения внутренней сети. В подобной конфигурации обычно DМZ и внутренняя сеть скрываются за NАT`ом.

Одной из ключевых особенностей DМZ является не только фильтрация трафика  на внутреннем межсетевом экране, но и  требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DМZ. В частности, не должно быть ситуаций, в которых возможна обработка  запроса от сервера в DМZ без авторизации. В случае если DМZ используется для  обеспечения защиты информации внутри периметра от утечки информации изнутри, аналогичные требования предъявляются  для обработки запросов пользователей  из внутренней сети.

3.2.7 Прозрачный режим  (Transparent mode)

Прозрачный режим  позволяет устанавливать межсетевые экраны NetDefend D-Link в любое место  сети без изменения ее конфигурации и без уведомления пользователей  о работе межсетевого экрана. И  внешний, и внутренний интерфейсы DFL могут принадлежать одной сети. Функционал NetDefendOS предоставляет возможность контроля и анализа за изменением сетевого трафика, также может разрешать или запрещать доступ к различным сервисам (например, HTTP) и ссылкам. Пакеты, поступающие на DFL, будут перенаправлены на необходимый сетевой интерфейс с учетом настроенных политик безопасности.

 

Рисунок 3.58 – Прозрачный режим для LAN- и WAN-интерфейсов

При использовании  сетевых экранов D-Link, работающих в  прозрачном режиме, значительно увеличивается  безопасность передачи данных по сетям  авторизованных пользователей.

При использовании  прозрачного режима DFL работает как  коммутатор 2-го уровня, режим NAT не поддерживается.

Межсетевой экран NetDefend может работать в двух режимах: режим маршрутизации, использующий некоммутируемые маршруты и прозрачный режим, использующий коммутируемые маршруты.

При использовании некоммутируемых маршрутов межсетевой экран NetDefend работает как маршрутизатор и использует маршрутизацию на 3 уровне модели OSI. Если межсетевой экран размещен в сети впервые или если изменилась топология сети, то конфигурация маршрутизации должна быть проверена на совместимость таблицы маршрутизации с новой топологией. Новая настройка IP-параметров может потребоваться для уже существующих маршрутов и защищенных сервисов.

При использовании коммутируемых маршрутов межсетевой экран NetDefend работает в прозрачном режиме как коммутатор 2 уровня модели ОSI, в котором фильтры передают IP-пакеты к нужному интерфейсу без изменения информации об интерфейсах источника или назначения на IP- или Ethernet-уровне. Это достигается за счет того, что система NetDеfendOS сохраняет MAC-адреса узлов и позволяет физическим Еthernet-подсетям функционировать в роли отдельных логических IP-сетей.

Коммутируемые маршруты ( Switch Routes )

Прозрачный режим  позволяет устанавливать коммутируемые  маршруты вместо стандартных в таблицах маршрутизации. Такие маршруты обычно используются во всех сетях, где встречается  специальный интерфейс (например, если нужно объединить DMZ-интерфейс и LАN-интерфейс в общую локальную сеть).

При подключении  к Еthernet-сети с коммутируемыми маршрутами, в отличие от подключений с  некоммутируемыми, система NetDefend обменивается ARP-сообщениями для идентификации и дальнейшего хранения IP-адресов соединенных интерфейсов.

Иногда в коммутируемых  маршрутах вместо all-nets можно указывать диапазон сети, это применяется в том случае, если сеть разделена между двумя интерфейсами и администратор не знает, к какому интерфейсу принадлежит пользователь.

Существует  возможность объединения обоих  режимов – прозрачного и режима маршрутизации – на одном межсетевом экране. Коммутируемые маршруты можно  определить одновременно с некоммутируемыми, но на разных интерфейсах.

 

Рисунок 3.59 – Объединение  двух различных интерфейсов в  одну сеть

Рассмотрим на примерах варианты использования прозрачного  режима:

1. Обеспечение конфиденциальности  между пользователями.

Предприятиям необходимо разделить подсети между разными  отделами. Отделу финансов разрешить  доступ к ограниченным наборам сервисов (например, HTTP) технического отдела, в  то же время техническому отделу может  потребоваться доступ к определенным сервисам финансового отдела. При  использовании одного межсетевого  экрана NetDefend можно решить данную задачу, применив прозрачный (но управляемый) режим работы межсетевого экрана NetDefend.

2. Управление доступом  в Интернет.

Такая организация  сети позволяет проходить трафику  между Интернетом и определенным диапазоном публичных IP-адресов внутренней сети. При использовании прозрачного  режима можно контролировать сервисы  и ссылки, к которым обращаются эти адреса. Например, в такой  ситуации можно разрешить только HTTP-сервис для доступа к Интернету.

Как работает прозрачный режим?

При использовании  прозрачного режима система NetDefend позволяет  АRP-транзакциям проходить через  межсетевой экран NetDefend и на основании  этого АRP-трафика определяет отношения  между IP-адресами, физическими адресами и интерфейсами. NetDЕfendOS сохраняет  информацию об этих адресах для дальнейшей передачи IP-пакетов. Межсетевой экран NetDefend не уведомляет пользователей  о проведении АRP-транзакций.

При установке нового соединения хост определяет физический адрес назначения в АRP-запросе. Система NetDefend анализирует этот запрос, проводит на его основании внутреннюю транзакцию и передает АRP-запрос на все остальные  интерфейсы (за исключением исходного) по коммутируемым маршрутам. Если в  течение определенного времени  система NetDefend получает АRP-ответ от интерфейса назначения, то анализируется  запись о состоянии АRP-транзакции, на основании которой АRP-ответ  передается интерфейсу источника.

Во время проведения АRP-транзакции система NetDefend изучает  информацию об адресе источника, информация о котором записывается в две  таблицы: CAM (Content Addressable Memory – контекстно-адресуемая память) и КЭШ 3 уровня. В таблице CAM хранятся MАC-адреса, доступные для данного интерфейса, а в KЭШ 3 уровня (применяется только для IP-трафика) заносится соответствие между IP-адресами и MАC-адресами.

Для каждого IP-пакета, проходящего через межсетевой экран NetDefend, осуществляется поиск маршрута. Если маршрут пакета соответствует  коммутируемому маршруту или записи KЭШа 3 уровня в таблице маршрутизации, то система NetDefend обрабатывает пакет  в прозрачном режиме. Если в маршруте доступны интерфейс назначения и MАC-адрес, то система NetDefend получает необходимую  информацию для дальнейшей передачи пакета. Если маршрут соответствует  коммутируемому маршруту и информация об интерфейсе назначения отсутствует, межсетевой экран сам ищет место  назначения в сети.

NetDеfendOS находит исходящие  АRP-запросы так же, как ICMP-запросы (ping), которые действуют как инициация отправителя оригинального IP-пакета для интерфейсов назначения, указанных в коммутируемом маршруте. Если получен АRP-ответ, то система NetDefend обновляет CAM-таблицу и KЭШ 3 уровня и отправляет пакет к интерфейсу назначения.

При переполнении CAM-таблицы  или KЭШа 3 уровня происходит автоматическая очистка таблиц и KЭШа.

Основные требования при конфигурации прозрачного режима:

Ø Следует собрать  в одну группу все интерфейсы (Interface Groups), для которых необходимо включить прозрачный режим. Опция Security/Transport Equivalentприменяется в том случае, когда требуется, чтобы хосты могли свободно переходить с одного интерфейса на другой в соответствии с одними и теми же настройками безопасности, в том числе IP-правилами.

Ø В соответствующей  таблице маршрутизации создается  коммутируемый маршрут, связанный  с данной группой интерфейсов. Любые  некоммутируемые маршруты для интерфейсов  этой группы должны быть удалены из таблицы маршрутизации.

Ø Для параметра Network коммутируемого маршрута определяется значение all-nets или в качестве альтернативы указывается значение сети или диапазона IP-адресов, которые будут прозрачно работать между интерфейсами.