Карта сайта  RUS  ENG  

Контактная информация:
198504 Санкт-Петербург, Петергоф,
Университетский просп., 35
тел./факс +7 (812) 4284364
E-mail: kef@csa.ru

Поиск по сайту:

 



Яндекс цитирования

Защита информации в корпоративных сетях

CSA Home Page

Растущая популярность глобальных сетей и в особенности Internet породила множество проблем связанных с защитой информации. Использование Internet в коммерческих целях, а также для соединения удаленных отделений компаний и организаций порождают такие проблемы, как защита информации, которая проходит через общую сеть, ограничение доступа внешних пользователей к внутренним сетям.

Исторически Internet и Unix, были слишком тесно переплетены. Из-за своей распространенности, открытости и слабой защищенности Unix стал одним из основных предметов для атак со стороны хакеров. Большинство взломов Unix связано с плохим администрированием и cкрытыми ошибками в программном обеспечении. Известный "червь Моррисона", который в 1988 году проник в десятки тысяч компьютеров использовал именно скрытые ошибки в программном обеспечении Firewalls.

Обеспечить надежную защиту отдельных компьютеров внутренней сети достаточно сложно, поэтому эффективнее защищать сразу всю сеть. Для обеспечения защиты внутренней сети от внешней используют архитектуру Firewall (русская интерпретация - брандмауэр). Firewall это совокупность компонент или система, которая располагается между двумя сетями и обладает следующими свойствами:

  • Весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
  • Только трафик, определенный локальной стратегией защиты, может пройти через эту систему;
  • Система надежно защищена от проникновения.

Firewall обычно состоит из нескольких различных компонент, включая фильтры или экраны, которые блокируют передачу некоторых классов трафика и шлюзов. Шлюз (gateway) это машина или набор машин, которые обеспечивают сервисы, компенсируя эффекты фильтров. Сеть, где располагаются шлюзы, часто называют демилитаризованной зоной.


Рис 1. Архитектура Firewall

Пакетная фильтрация

Обычно все firewalls осуществляют фильтрацию IP пакетов средствам и фильтрующих маршрутизаторов. Фильтрация пакетов, проходящих через интерфейсы маршрутизатора, основана на наборе правил, которые устанавливаются, базируясь на стратегии защиты. Фильтрующие маршрутизаторы обычно могут фильтровать IP пакеты, основываясь на некоторых или всех следующих критериях:
  1. IP адрес источника,
  2. IP адрес назначения,
  3. TCP/UDP порт источника,
  4. TCP/UDP порт назначения.
Фильтрация может использоваться, чтобы блокировать соединение на определенные хосты или сети, а также блокировать соединение с определенными портами. Например, можно блокировать соединения от определенных адресов хостов или сетей, которые рассматриваются как враждебные или незаслуживающие доверие. Также можно блокировать соединение от всех внешних адресов, исключая, например, только SMTP для получения электронной почты.

Добавление фильтрации TCP или UDP портов к фильтрации IP адресов дает большую гибкость в стратегии защиты. Сервисы, такие как TELNET демон, обычно располагаются на определенном порту (для TELNET порт 23). Эти сервисы можно блокировать на все хосты и разрешать их только на определенные системы. Например, можно блокировать все входные соединения, но разрешить только определенные сервисы, такие как SMTP, для одного хоста и TELNET или FTP соединения для другого хоста.


Рис 2. Фильтрация TELNET и SMTP

Следующие сервисы наиболее уязвимы и обычно блокируются в firewall:

  • tftp, порт 69, trivial FTP, используются для загрузки бездисковых станций, терминальных серверов и маршрутизаторов.
  • X Window, OpenWindows, порт 6000, порт 2000, может пропускать информацию от X Window дисплеев, включая все нажатия клавиш.
  • RPC, порт 111, Remoute Procedure Calls, включая NIS и NFS, которые могут быть использованы для захвата системной информации, такой как пароли и для чтения и записи файлов.
  • rlogin, rsh и rexec, порты 513, 514 и 512, сервисы, которые при неправильной конфигурации могут разрешать несанкционированный доступ в систему.
Другие сервисы менее опасные обычно фильтруют и по возможности ограничивают их доступ только к тем системам, которые нуждаются в них:
  • TELNET, порт 23.
  • FTP, порт 20 и 21.
  • SMTP, порт 25.
  • RIP, порт 520.
  • DNS, порт 53.
  • UUCP, порт 540.
  • NNTP, порт 119.
  • gopher, http, порты 70 и 80.

Шлюзы приложений (Application gateway)

Некоторые фильтрующие маршрутизаторы не могут выполнять все функции, а также могут трудно настраиваться и поддерживаться. Правила пакетной фильтрации сложны для определения, и обычно не существует средств тестирования для проверки правильности этих правил ( кроме, как тестирование вручную). Некоторые маршрутизаторы не обеспечивают возможность регистрации пакетов, поэтому, если правила фильтрации маршрутизатора все еще пропускают "опасные" пакеты, то они не могут быть обнаружены до тех пор, пока не произошли "нежелательные события".

Часто необходимо сделать исключения из правил, чтобы позволить некоторые типы доступа, которые в обычном случае блокированы, но исключения к правилам пакетной фильтрации могут сделать эти правила настолько сложными, что они станут неуправляемыми. Некоторые фильтрующие маршрутизаторы не фильтруют по TCP/UDP порту источника, что может сделать правила фильтрации более сложными и может открыть "дырки" в схеме фильтрации.

Чтобы компенсировать некоторые из слабостей фильтрующих маршрутизаторов, firewall может использовать прикладные программы для пропуска и фильтрации соединений для сервисов типа TELNET и FTP. Такие прикладные программы называются уполномоченные программами (proxy service), а хост, на котором работает уполномоченная программа называется шлюзом приложений (application gateway). Работая вместе, шлюз приложений и фильтрующие маршрутизаторы могут обеспечить высокий уровень защищенности и гибкости. Например, рассмотрим сеть, где используется фильтрующий маршрутизатор для блокировки всех входных TELNET и FTP соединений. Фильтрующий маршрутизатор разрешает TELNET и FTP пакетам проходить только на один хост, шлюз приложений TELNET/FTP. Пользователь, который желает соединиться извне с хостом в этой сети, должен сначала соединиться со шлюзом приложений, а затем с хостом назначения следующим образом:

  • сначала пользователь соединяется со шлюзом приложений и вводит имя внутреннего хоста,
  • шлюз проверяет IP адрес источника пользователя и допускает или отклоняет его, согласно критериям доступа в этой сети,
  • пользователю может быть будет необходимо зарегистрировать себя (возможно, используя устройство выдачи одноразовых паролей),
  • уполномоченная программа создает TELNET соединение между шлюзом и внутренним хостом,
  • затем уполномоченная программа передает пакеты между двумя соединениями,
  • и в заключении уполномоченная программа регистрирует соединение.

Рис 3. Шлюзы приложений

Таким образом, уполномоченные программы позволяют пройти только тем сервисам, для пропуска которых они уполномочены. Другими словами, если шлюз приложений содержит полномочия для FTP и TELNET, тогда только для FTP и TELNET будет позволено пройти в защищенную сеть, а все другие сервисы будут полностью блокированы. Для некоторых сетей такая степень защиты очень важна, поскольку это гарантирует, что через firewall могут пройти только те сервисы, которые заслуживают доверие. Это также предотвращает от других нежелательных сервисов, определенных без ведома администратора firewall.

Другая польза от использования уполномоченных программ это то, что протокол может быть отфильтрован. Например, некоторые firewalls могут фильтровать FTP соединения и не позволять использование put команду FTP. Это используется, если мы хотим гарантировать, что пользователи не смогут ничего записать на анонимный FTP сервер. Шлюзы приложений имеют ряд преимуществ над заданным по умолчанию режимом пропуска трафика прямо на внутренние хосты. Эти преимущества включают в себя:

  • Скрытие информации, это означает, что нет необходимости делать известными для внешних систем через DNS имена всех внутренних систем, так как шлюз приложений может быть единственным хостом, чье имя должно быть известно для внешних систем.
  • Идентификация и регистрация, это означает, что трафик может быть идентифицирован перед тем, как он достигнет внутренних хостов и может быть зарегистрирован более эффективно, чем если его регистрировать стандартными средствами на хосте.
  • Эффективность стоимости, потому что программное обеспечение или оборудование для идентификации или регистрации должно быть установлено только на шлюзе приложений.
Несложные правила фильтрации, при этом правила фильтрации пакетов на фильтрующем маршрутизаторе будут более простые, чем когда маршрутизатору необходимо фильтровать трафик и направлять его на определенные системы. Маршрутизатору необходимо только пропускать трафик, предназначенный для шлюза приложений и отклонять остальной трафик.

Конечно, имеются и недостатки при использовании шлюзов приложений. В том случае, когда используются протоколы клиент-сервер такие, как TELNET, шлюзы приложений требуют два входных или выходных соединения. Некоторые шлюзы приложений требуют модифицировать клиенты, что может рассматриваться как преимущество или недостаток в зависимости от того, упрощают ли модифицированные клиенты использование firewall или нет. Шлюзу приложений TELNET не обязательно требуют модифицированного клиента TELNET, однако он требует изменение в поведении пользователей; пользователь должен соединяться с firewall вместо того, чтобы соединяться напрямую с хостом.

В дополнении к TELNET шлюзы приложений используются в основном для FTP, e-mail, X Windows и для некоторых других сервисов. Шлюзы приложений e-mail централизует прием почты и доставку ее к внутренним хостам и пользователям. Для внешних пользователей все внутренние пользователи будут иметь почтовые адреса в форме user@emailhost, где emailhost является шлюзом e-mail. Шлюз будет принимать почту от внешних пользователей и затем направлять ее на другие внутренние системы. Пользователи, посылая почту с внутренних систем, могут послать ее напрямую со своих хостов. В случае когда имена внутренних систем не известны для внешних систем, почта должна быть послана на шлюз приложений, который затем направит ее на нужный хост. Некоторые шлюзы e-mail используют более защищенные версии программы sendmail для приема почты.

Некоторые Internet firewalls используют комбинацию экранирующих компьютеров с пакетной фильтрацией или аппаратных маршрутизаторов для контроля нижних уровней протоколов и шлюзов приложений для допустимых приложений. Но даже эта комбинация может обеспечивать только ограниченную прозрачность, гибкость и связанность. Другой подход для firewall состоит в использовании инспекционного модуля, работающего для всех протоколов, который понимает данные в пакете, предназначенном для всех других уровней от сетевого до прикладного уровня. Этот подход имеет большой потенциал, чтобы обеспечить контекстно-чувствительную защиту для сложных приложений. Например, пока шлюзы приложений имеют доступ только к прикладному уровню, а маршрутизаторы к нижним уровням, инспекционный подход соединяет информацию, собранную со всех уровней, в единую инспекционную точку.

Николаев Александр

© 1996 — 2012 Computational Science Alliance. Web-master: kef@csa.ru

Где рождаются мастеровые по ремонту принтеров;Эффективное ведение хозяйственной деятельности в наше время проблематично без обработки и анализа огромного объема данных.;ЦОД: виды обработки данных в целях резервного копирования информации;АИИС КУЭ на базе электросчетчиков РиМ-189.02.01
автоматические гаражные ворота . регистрация ип в москве
Авто на продажу, большой выбор, отличные цены - продажа бу audi. . Наш институт уже не первый год проектирует промышленные здания