Средства защиты информации в ЛВС

   Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить). Первый пакет  сеанса TCP, помеченный флагом SYN и со-держащий произвольное число, например 1000, является запросом клиента на открытие сеанса. Внешний хост, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете (в нашем случае 1001 - razgovorodele.ru), подтверждая, таким образом, прием  пакета SYN от клиента. После этого  осуществляется обратная процедура: хост посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001.

   На  этом процесс квитирования связи  завершается. Шлюз сеансового уровня «считает»  запрошенный сеанс допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически  связанными между собой. После того как шлюз «определил», что доверенный клиент и внешний шлюз являются авторизованными  участниками сеанса TCP, и проверил допустимость данного сеанса, он устанавливает  соединение.

   Начиная с этого момента шлюз просто копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных  соединений, пропуская данные, относящиеся  к одному из сеансов связи, которые  зафиксированы в этой таблице. Когда  сеанс завершается, шлюз удаляет  соответствующий элемент из таблицы  и разрывает цепь, использовавшуюся в данном сеансе. Для копирования  и перенаправления пакетов в  шлюзах сеансового уровня используются специальные приложения, которые  иногда называют канальными посредниками (pipe proxies), поскольку они устанавливают  между двумя сетями виртуальную  цепь, или канал, а затем разрешают  пакетам (которые генерируются приложениями TCP/IP) проходить по этому каналу.

   Шлюз  сеансового уровня выполняет еще  одну важную функцию защиты: он используется в качестве сервера-посредника (proxy server). И хотя этот термин предполагает наличие сервера, на котором работают программы-посредники (что справедливо  для шлюза сеансового уровня), в  данном случае он означает несколько  другое. Сервером-посредником может  быть брандмауэр, использующий процедуру  трансляции адресов, при которой  происходит преобразование внутренних IP-адресов в один «надежный» IP-адрес. Этот адрес ассоциируется с брандмауэром, из которого передаются все исходящие  пакеты.

   В результате в сети со шлюзом сеансового уровня все исходящие пакеты оказываются  отправленными из этого шлюза, что  исключает прямой контакт между  внутренней (авторизованной) сетью  и являющейся потенциально опасной  внешней сетью (в нашем случае сеть Интернет - razgovorodele.ru). IP-адрес шлюза  сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть. Таким образом, шлюз сеансового уровня и другие серверы-посредники защищают внутренние сети от нападений  типа spoofing (имитация адресов или  подмена адресов).

   Шлюзы сеансового уровня не имеют «врожденных» уязвимых мест, однако после установления связи такие шлюзы фильтруют  пакеты только на сеансовом уровне, т.е. не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ, то есть эта передача осуществляется «вслепую». Таким образом хакер, находящийся во внешней сети, может «протащить» свои «зловредные» пакеты через шлюз и обратится напрямую к внутреннему Web-серверу, который сам по себе может не обеспечивать функции брандмауэра. Иными словами, если процедура квитирования связи успешно завершена, шлюз сеансового уровня установит соединение и будет «тупо» копировать и перенаправлять все последующие пакеты независимо от их содержимого. 

• Шлюзы прикладного уровня

     Для устранения ряда недостатков, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать дополнительные программные средства для фильтрации сообщений сервисов типа TELNET и FTP. Такие  программные средства называются полномочными серверами (серверами-посредниками), а  хост-компьютер, на котором они выполняются, - шлюзом прикладного уровня.

     Шлюз  прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и  исходящие пакеты на прикладном уровне . Связанные с приложением серверы  – посредники перенаправляют через  шлюз информацию, генерируемую конкретными  серверами.

     Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного  уровня и фильтрующие маршрутизаторы могут быть объединеныв одном  межсетевом экране. В качестве примера  рассмотрю сеть, в которой с  помощью фильтрующего маршрутизатора блокируются входящие соединения TELNET и FTP. Этот маршрутизатор допускает  прохождение пакетов TELNET или FTP только к одному хост-компьютеру - шлюзу  прикладного уровня TELNET/FTP. Внешний  пользователь, который хочет соединиться  с некоторой системой в сети, должен сначала соединиться со шлюзом прикладного  уровня, а затем уже с нужным внутренним хост-компьютером. Это осуществляется следующим образом:

     1) сначала внешний пользователь  устанавливает TELNET-соединение со  шлюзом прикладного уровня с  помощью протокола TELNET и вводит  имя интересующего его внутреннего  хост-компьютера;

     2) шлюз проверяет IP – адрес отправителя  и разрешает или запрещает  соединение в соответствии с  тем или иным критерием доступа

     3) пользователю может потребоваться  аутентификация (возможно, с помощью  одноразовых паролей);

     4) сервер-посредник устанавливает  TELNET-соединение между шлюзом и  внутренним хост-компьютером;

     5)сервер  посредник осуществляет передачу  информации между этими двумя  соединениями;

     6) шлюз прикладного уровня регистрирует  соединение.

     Этот  пример наглядно показывает преимущества использования полномочных серверов-посредников.

     Полномочные серверы - посредники пропускают только те службы, которые им поручено обслуживать. Иначе говоря, если шлюзы прикладного уровня наделен полномочиями для служб FTP и TELNET, то в защищаемой сети будут разрешены только FTP и TELNE, а все другие службы будут полностью блокированы. Для некоторых организаций такой вид безопасности имеет большое значение, так как он гарантирует, что через межсетевой экран будут пропускаться только те службы , которые считаются безопасными.

     Полномочные серверы-посредники обеспечивают возможность  фильтрации протокола. Например, некоторые  межсетевые экраны, использующие шлюзы  прикладного уровня, могут фильтровать FTP – соединения и запрещать использование  команды FTP put, чтогарантированно не позволяет ползователям записывать информацию на анонимный FTP-сервер.

     В дополнение к фильтрации пакетов  многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и, что особенно важно, предупреждают  сетевого администратора о возможных  нарушениях защиты. Например, при попытках проникновения в сеть извне BorderWare Firewall Server компании Secure Computing позволяет  фиксировать адреса отправителя  и получателя пакетов, время, в которое  эти попытки были предприняты, и  используемый протокол. Межсетевой экран Black Hole компании Milkyway Networks регистрирует все действия сервера и предупреждает  администратора о возможных нарушениях, посылая ему сообщение по электронной  почте или на пейджер. Аналогичные  функции выполняют и ряд других шлюзов прикладного уровня.

     Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, поскольку взаимодействие с внешним  миром реализуется через небольшое  число прикладных полномочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.

• SPI-брандмауэры Протокол NAT

     NAT (Network Address Translation) - технология трансляции сетевых адресов. Позволяет преобразовывать IP-адреса компьютеров локальной сети во внешние IP-адреса и обратно. Благодаря NAT, можно, используя один или несколько внешних IP-адресов, выданных провайдером, подключить к сети практически любое количество компьютеров. Большинство маршрутизаторов позволяет выполнять трансляцию адресов, благодаря чему их можно использовать для подключения небольших сетей к интернету, используя один внешний IP-адрес. 

     SPI. Технология SPI (Stateful Packet Inspection) позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность (работают на сетевом, сеансовом и прикладном уровнях модели OSI). Большинство маршрутизаторов сегодня имеет SPI-брандмауэры. 

• Зоны  защиты

     Интернет (неконтролируемая зона)

     Как правило, неконтролируемая зона является частью глобальной Интернет-сети, находящейся  за пределами вашей организации. Такая ненадежная зона наиболее подвержена нарушениям защиты, поскольку существует мало (или вообще не существует) способов контроля, которые бы позволили заблокировать  несанкционированный доступ к вашей  интеллектуальной собственности.

     Не  устанавливайте компоненты Tivoli Identity Manager в неконтролируемой части сети. Не допускайте, чтобы компоненты Tivoli Identity Manager обменивались друг с другом информацией  по неконтролируемой сети, не используя  никаких механизмов сетевой защиты (например, аутентификацию SSL).

     Демилитаризованная  зона (DMZ) Интернета (контролируемая зона)

     Демилитаризованная  зона (DMZ) Интернета - это обращенная в Интернет контролируемая зона, где  содержатся компоненты, с которыми клиенты могут непосредственно  взаимодействовать. Демилитаризованная зона (DMZ) Интернета выполняет роль буфера между неконтролируемой зоной  Интернета и внутренними сетями. Как правило, эта зона ограждена  двумя брандмауэрами, которые позволяют  контролировать:

• Поступающий трафик, направленный из Интернета на хосты в DMZ
• Исходящий трафик, направленный с хостов в DMZ в Интернет
• Поступающий трафик, направленный из внутренних сетей на хосты в DMZ
• Исходящий трафик, направленный с хостов в DMZ во внутренние сети

     В зоне DMZ можно внедрить программы  управления доступом, которые будут  осуществлять контроль и мониторинг доступа пользователей к ресурсам в зонах с ограниченным доступом и других контролируемых зонах. Tivoli Identity Manager интегрируется с такими программами управления доступом, как Tivoli Access Manager, чтобы защитить доступ к HTTP-серверу, используемому сервером Tivoli Identity Manager. Продукт по управлению доступом, который вы примените, должен работать в сочетании с брандмауэрами, чтобы обеспечить защиту соединений с Web-клиентами, не подвергая компоненты Tivoli Identity Manager потенциальным атакам из Интернета. Например, пользователь должен пройти аутентификацию на сервере  управления доступом, после чего сервер управления доступом определит, с какими Web-приложениями этому пользователю разрешено работать.

     Если  вы не собираетесь использовать интегрированные  программы для управления доступом к Web-серверу Tivoli Identity Manager, вы можете повысить степень защиты данных за счет использования  обратных прокси-серверов в каждой DMZ-зоне Интернета. Каждый обратный прокси-сервер будет соединяться через брандмауэр с Web-сервером, размещенным в более  защищенной зоне внутренней сети.

     Производственная  сеть (ограниченная зона)

     Ограниченная  зона поддерживает функции, доступ к  которым должен строго контролироваться; доступ напрямую из неконтролируемой сети не разрешается. На крупных предприятиях может быть несколько ограниченных зон. Как и в случае DMZ-зоны Интернета, ограниченная зона, как правило, ограждена  одним или несколькими брандмауэрами, которые производят фильтрацию входящего  и исходящего трафика.

     При планировании предусмотрите размещение компонентов сервера Tivoli Identity Manager, а также внутренних серверов (с  которым пользователи не взаимодействуют  непосредственно) в ограниченной зоне.

     Внутренняя  сеть (контролируемая зона)

     Как правило, в контролируемой зоне (например, корпоративная внутренняя сеть, огражденная  одним или несколькими брандмауэрами) никаких особо серьезных ограничений  по использованию нет, однако применяются  соответствующие меры контроля, чтобы  сетевой трафик не мешал выполнению критически важных бизнес-функций.