Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 1976 / 255 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 9:

Сторонние средства обеспечения безопасности

Прокси-службы

Главным различием между прокси-службами и фильтрами пакетов является то, что фильтры пакетов обрабатывают отдельные пакеты, в то время как прокси-служба контролирует весь сеанс соединения с сервером, направляя или выполняя фильтрацию подключений к запрошенным службам, таким как HTTP, FTP и Telnet. Прокси-службы работают на прокси-сервере, называемом шлюзом приложений, и выступают в роли сети, т.е. являются заместителями. Все запросы на доступ к службе фиксируются на шлюзе приложений, который открывает новый сеанс связи с запрошенной службой, чтобы все пакеты отправлялись и принимались от шлюза, а не от узлов, расположенных на сетевом экране. Со стороны внешнего узла это выглядит так, будто установлено соединение с сетевым экраном, и ничего не известно об узлах, расположенных внутри сетевого экрана. Так скрывается конфигурация внутренней сети.

Шлюз приложений определяет, для какого приложения выполняется прокси-служба, и осуществляет проверку проходящих данных. Это усиливает различные правила контроля доступа для аутентификации трафика перед отправкой к внутренним узлам, а также для более эффективного ведения журнала. Существует пять основных типов шлюзов приложений: шлюз сетевого уровня, шлюз отслеживания трафика, шлюз отслеживания команд, шлюз отслеживания типа содержимого и шлюз отслеживания политики. Устройства, отслеживающие команды и типы содержимого, обеспечивают наивысший уровень контроля и защиты. Устройства, отслеживающие команды, разделяют потоки данных на отдельные команды и ответы и могут, например, различать команды FTP GET и FTP PUT. Такое прокси-устройство ведет журнал имен файлов, передаваемых через шлюз. Шлюз, отслеживающий типы приложений, расширяет перечисленные возможности посредством проверки формата содержимого, что позволяет фильтровать трафик для блокировки вредоносного кода. Такое устройство блокирует передачу через HTTP документов Word и Excel, содержащих макросы. Вам потребуется программное обеспечение прокси для каждого типа приложения, поддержку которого нужно обеспечить, причем самостоятельно указывать нужно только нестандартные типы.

Адаптивная проверка или интеллектуальная фильтрация сеанса

В то время как шлюзы приложений имеют доступ только к уровню приложения, а маршрутизаторы – только к нижним уровням, адаптивная проверка объединяет информацию, собранную со всех уровней, для обеспечения контроля сеанса, а не отдельных пакетов. С помощью детализированных данных о правилах связи для каждого протокола адаптивная проверка фиксирует сведения об отправленных исходящих пакетах и позволяет преодолеть сетевой экран только пакетам, являющимся ответными на указанные отправленные пакеты. Сетевой экран проверяет пакеты на наличие симптомов атаки (например, IP-прослушивание, "смертельный ping" и др.). Любая попытка доступа во внутреннюю сеть, не являющаяся ответом на запрос сети, отклоняется. На такую фильтрацию уходит больше процессорного времени, нежели на фильтрацию пакетов, но меньший объем работы, чем для обработки приложений; не нужно создавать новое прокси каждый раз, когда требуется новая служба.

Какие элементы отслеживаются пакетными фильтрами

Для понимания принципов работы сетевых экранов необходимо иметь базовое представление о том, как данные передаются через интернет посредством TCP/IP, и как функционирует базовый сетевой экран с фильтрацией пакетов.

TCP/IP (Transmission Control Protocol/Internet Protocol) представляет набор протоколов, двумя из которых являются TCP и IP. Протоколом называется предопределенный метод связи. Каждый отдельный аспект связи или передачи данных через TCP/IP поддерживается соответствующим уровнем протокола TCP/IP. Например, сетевой уровень отвечает за способ доставки данных до пункта назначения.

При передаче через TCP/IP данные находятся в пакетах, являющимися базовыми единицами передачи информации. Пакеты содержат сами данные и информацию заголовка, состоящую из набора контрольных сумм, идентификаторов протокола, исходных и конечных адресов и информации о состоянии. Каждый уровень добавляет свою собственную информацию в заголовок пакета предыдущего уровня.

Фильтры пакетов работают на сетевом и транспортном уровнях стека протоколов TCP/IP. Каждый пакет и заголовки сетевого и транспортного уровней проверяется на следующие данные:

  • протокол;
  • исходный адрес;
  • конечный адрес;
  • исходный порт;
  • конечный порт;
  • состояние подключения.

Фильтрующее устройство сопоставляет значения этих полей с установленными правилами, после чего передает пакет дальше или отбрасывает его. Многие фильтры позволяют определять дополнительные критерии на канальном уровне, например, сетевой интерфейс, на котором должна происходить фильтрация.

Что же выбрать?

Перед приобретением сетевого экрана необходимо разработать политику доступа к службам, определяющую, какие службы разрешены и запрещены для доступа из сети без доверия, а также исключения из правил. Эта политика установит возможности сетевого экрана, например, шифрование и поддержку VPN. Необходимо, чтобы сетевой экран поддерживал политику безопасности и исключал ее нарушение из-за ограничений в устройстве. После выбора сетевого экрана политика его применения определит правила, необходимые для доступа к сетевым службам.

Важно. Политика безопасности доступа должна основываться на принципе: "Запрет всего, что не разрешено", соответствующем классической модели доступа, используемой в защите информации.

Скорость является одним из решающих факторов при выборе устройства, в особенности, если вы только что столкнулись с нарушением безопасности. Аппаратные сетевые экраны имеют большое преимущество над программными устройствами, так как их программное обеспечение установлено на аппаратной платформе, что позволяет быстро установить и использовать их. Они также обеспечивают высокую доступность и баланс загрузки (но не большую безопасность). Оба типа устройств должны быть настроены корректно!

Высокая доступность, присущая таким устройствам, как Nokia IP600, означает, что если сетевой экран утратит свои функциональные возможности, он станет прозрачным переходом ко второму сетевому экрану. Это, скорее всего, не будет критичным обстоятельством, если только вы не работаете в рамках крупного поставщика услуг интернета или в аналогичной среде. Для обеспечения высокой доступности с помощью программного экрана нужно приобрести два набора аппаратных и программных компонентов, после чего установить поверх них такой пакет, как, например, Stonebeat от Stonesoft (http://www.stonesoft.com).

Программные сетевые экраны полезны, когда главной целью является обеспечение гибкости и масштабируемости. Тем не менее, конфигурирование экранов с расширенными возможностями займет больше времени и, следовательно, может вам многого стоить.

Для обеспечения шифрования между сайтами нужен сетевой экран со встроенными функциями по обеспечению канала виртуальной частной сети (VPN) с поддержкой технологии IPSec и безопасным удаленным VPN-клиентом. VPN и потоковые данные влияют на производительность системы, поэтому сетевой экран должен иметь достаточный объем оперативной памяти для поддержки большого числа одновременных соединений. Корпоративные сетевые экраны высшего уровня, например, Cisco PIX, обеспечивают пропускную способность более 1 Гб/с с поддержкой до 500 000 одновременных соединений.

Дмитрий Дряничкин
Дмитрий Дряничкин
Россия, Казань
Виктор Шахов
Виктор Шахов
Россия, Москва