Межсетевые экраны и Интернет-маршрутизаторы D-Link

К преимуществам  такой фильтрации относятся:

˗ простые правила фильтрации;

˗ возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении;

˗ способность анализировать данные приложений.

Недостатки:

˗ относительно низкая производительность по сравнению с фильтрацией пакетов;

˗ proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами)‏;

˗ как правило, работает под управлением сложных ОС.

1.2 Прокси-сервер

Прокси-сервер ( Proxy – представитель, уполномоченный) – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного КЭШа (в случаях, если прокси имеет свой КЭШ). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Прокси являются попыткой реализовать межсетевой экран  на уровне приложения. Их основное преимущество – поддержка полной информации о  приложениях. Прокси обеспечивают частичную  информацию об истории соединений, полную информацию о приложении и  частичную информацию о текущем  соединении. Прокси также имеют возможность  обработки и действий над информацией.

Однако имеются  очевидные трудности в использовании proxy на уровне приложения в качестве межсетевого экрана:

1. Ограничения на  соединения – каждый сервис  требует наличия своего собственного  прокси, так что число доступных  сервисов и их масштабируемость  ограничены.

2. Ограничения технологии  – шлюз прикладного уровня (ALG) не может обеспечить прокси для протокола UDP.

3. Производительность  – реализация на уровне приложения  имеет значительные потери в  производительности.

В добавление, proxy беззащитны к ошибкам в приложениях и ОС, неверной информации в нижних уровнях протоколов и в случае традиционных прокси-серверы очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли общему их применению и нуждам сети Интернет. Однако, по мере превращения Интернета в постоянно меняющуюся динамичную среду, постоянно предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодействий в сети Интернет или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.

1.3 Интернет-маршрутизатор

Так называемые классические маршрутизаторы действуют на сетевом уровне, и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей межсетевого экрана:

˗ информации о соединении – маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов;

˗ наследуемой информации о соединении и приложении – маршрутизаторы не поддерживают хранение информации об истории соединения или приложения;

˗ действий над информацией – маршрутизаторы имеют очень ограниченные возможности по действиям над информацией.

К тому же, маршрутизаторы достаточно сложно конфигурировать, следить  за их состоянием и управлять. Они  не обеспечивают должного уровня журналирования событий и механизмов оповещения.

В последнее время  получили распространение устройства класса SOHO (Small Office/Home Office), значительно упрощающие задачу подключения локальной вычислительной сети к сети Интернет и условно называемые Интернет-маршрутизаторами. Как правило, это аппаратное решение с одним (или несколькими) портом WAN, для подключения к Интернету (сети общего пользования) и несколько (чаще четыре) порта LAN, для подключения рабочих станций локальной сети. Иногда Интернет-маршрутизатор оборудован беспроводной точкой доступа для организации связи в локальной сети с беспроводными клиентами. Может оснащаться USB-портом для подключения принтера и/или других устройств (например, 3G-модема).

Интернет-маршрутизатор  разработан для совместного доступа  группы пользователей к широкополосному  Интернет-соединению через выделенную линию, DSL или кабельный модем. Кроме  того, в качестве дополнительного  канала возможно применение Wimax/3G-модемов, обеспечивающих доступ в Интернет через Wimax/3G-сети.

Интернет-маршрутизатор  оснащен встроенным межсетевым экраном  для защиты компьютеров в сети от вирусных и DoS-атак. Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС-адресов источника и приемника.

Маршрутизатор может  быть настроен таким образом, что  отдельные FTP, Web- и игровые серверы смогут совместно использовать один, видимый извне IP-адрес, и в тоже время останутся защищенными от атак хакеров. Пользователи через Web-интерфейс маршрутизатора могут настроить любой (или конкретно выделенный производителем для этой цели) изLAN-портов как DMZ-порт (см. раздел «Механизмы PAT и NAT» ). В последнее время всё чаще стала присутствовать функция «родительского» контроля (Parental control), которая позволяет фильтровать нежелательные URL-адреса Web-сайтов, блокировать домены и управлять расписанием по использованию Интернет.

Поддержка Интернет-маршрутизаторами технологии QoS (см. раздел «Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)») обеспечивает более эффективную передачу приложений, чувствительных к задержкам, таких как Интернет-телефония ( VoIP ), мультимедиа и игры по Интернет.

Стандартный набор  возможностей Интернет-маршрутизаторов  и используемых в работе технологий

Типы  подключения WAN: Ø Static IP Ø Dynamic IP Ø PPPoE Ø L2TP Ø PPTP Ø DualAccess PPPoE Ø DualAccess PPTP

Поддержка VPN: Ø PPTP pass-through Ø IPSec pass-through Ø L2TP pass-through

Функции Интернет-шлюза:

Ø Преобразование сетевых  адресов (NAT)

Ø DHCP-сервер (для  автоматического назначения параметров IP)

Управление  доступом пользователей:

Ø Фильтрация MAC-адресов

Ø Фильтрация по расписанию

Межсетевой  экран:

Ø NAT (преобразование сетевых адресов) с VPN pass-through

Ø SPI (Stateful Packet Inspection)

Фильтрация Web-сайтов с помощью фильтрации URL-адресов.

Приоритезация VoIP-трафика и потоковых медиафайлов при приеме/передаче.

Широковещательный поток IGMP (Internet Group Management Protocol)

ГЛАВА 2. Сравнение  аппаратных и программных межсетевых экранов

Для сравнения межсетевых экранов разделим их на два типа: 1-й – аппаратные и программно-аппаратные и 2-й – программные.

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные  межсетевые экраны – это те, которые  установлены на конечных хостах.

Основные направления, присущие и первому, и второму  типам:

˗ обеспечение безопасности входящего и исходящего трафика;

˗ значительное увеличение безопасности сети и уменьшение риска для хостов подсети при фильтрации заведомо незащищенных служб;

˗ возможность контроля доступом к системам сети;

˗ уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);

˗ обеспечение недорогого, простого в реализации и управлении решения безопасности.

Аппаратные и  программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

˗ препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;

˗ регистрировать попытки доступа и предоставлять необходимую статистику об использовании Интернет;

˗ предоставлять средства регламентирования порядка доступа к сети;

˗ обеспечивать централизованное управление трафиком.

Программные межсетевые экраны, кроме основных направлений, позволяют:

˗ контролировать запуск приложений на том хосте, где установлены;

˗ защищать объект от проникновения через «люки» (back doors);

˗ обеспечивать защиту от внутренних угроз.

Межсетевой экран  не является симметричным устройством. Он различает понятия: «снаружи»  и «внутри». Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней  среды. В то же время межсетевой экран  позволяет разграничить доступ к  объектам общедоступной сети со стороны  субъектов защищенной сети. При нарушении  полномочий работа субъекта доступа  блокируется, и вся необходимая  информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной  сети имеются подсети с различной  степенью конфиденциальности информации, то такие фрагменты целесообразно  отделять межсетевыми экранами. В  этом случае экраны называют внутренними.

Тест для самопроверки к Главе 1 и 2 - Попытка 1

Question1

Баллов: 1

Какой функционал поддерживается программно-аппаратными межсетевыми  экранами, установленными на границе  сети? 

(Выберите все  возможные варианты)

Выберите по крайней  мере один ответ:

	a. Контроль запуска приложений на пользовательских хостах.
	b. Возможность контроля доступом к системам сети.
	c. Обеспечение безопасности входящего и исходящего трафика.
	d. Обеспечение централизованного управления трафиком.

Question2

Баллов: 1

Выберите вариант, наиболее верно определяющий понятие «Прокси-сервер»:

Выберите один ответ.

	a. Аппаратное средство, обеспечивающее предоставление доступа пользователям внутренней сети к ресурсам внешней сети.
	b. Программное средство, предоставляющее возможность управления доступом во внешнюю сеть на уровне приложений.
	c. Программно-аппаратное средство, отслеживающее сеансы между приложениями.
	d. Программное средство, позволяющее использовать выделенный порт D M Z.

Question3

Баллов: 1

Межсетевой экран принимает  решение пропустить пакет или  отклонить на основе: 

(Выберите все  возможные варианты)

Выберите по крайней  мере один ответ:

	a. Анализа истории соединений.
	b. Анализа информации о соединениях.
	c. Прогноза соединений.
	d. Анализа состояния уровня приложений.

Question4

Баллов: 1

Функцию межсетевого экрана может выполнять:

Выберите один ответ.

	a. Только программное решение, выполненное на пользовательском компьютере.
	b. Только программное решение, выполненное на сетевом шлюзе.
	c. Программное решение, выполненное либо на сетевом шлюзе, либо на пользовательском компьютере.

 

ГЛАВА 3. Протоколы  и функции, применяемые в межсетевых экранах и Интернет-маршрутизаторах

3.1.1 Маршрутизация

Маршрутизация осуществляется на сетевом уровне OSI, который отвечает за обеспечение связи между любыми хостами в сети. Маршрутизирующие устройства (например, Интернет-маршрутизаторы или межсетевые экраны) объединяют отдельные сети в общую составную сеть. В сложных составных сетях почти всегда существует несколько альтернативных маршрутов для передачи пакетов между конечными хостами. Задачу выбора маршрутов из нескольких возможных решают маршрутизирующие устройства. Правильно выбранная структура сети и настроенная в соответствии с ней маршрутизация гарантируют, что отправленный по сети пакет будет доставлен по назначению.

Что же такое «маршрутизация»?

Маршрутизация (Routing) – процесс определения в коммуникационной сети (наилучшего) пути, по которому пакет может достигнуть адресата или, точнее – это набор правил, определяющих маршрут следования информации в сетях связи. Любые сетевые пакеты направляются в соответствии с набором правил – таблиц маршрутизации. Как правило, маршрутизация сводится к выбору интерфейса и следующего транзитного хоста при следовании пакета между сетями.

Маршрут – это путь, который должен пройти пакет от отправителя до точки назначения через маршрутизирующие устройства.

Маршрутизирующее  устройство выбирает маршрут на основании  информации о текущей конфигурации сети и соответствующего критерия выбора маршрута. Обычно в качестве критерия выступает метрика, которая отражает приоритет маршрута (наилучший маршрут). При определении наилучшего маршрута и назначения метрики рассматриваются следующие характеристики: время прохождения маршрута, которое в локальных сетях совпадает с длиной маршрута, измеряемой в количестве пройденных узлов маршрутизации; надежность и пропускная способность канала связи; время передачи пакета по каждой линии связи; нагрузка сетевого ресурса.