Механизмы защиты информации

Прокси-сервер

Прокси-сервер (proxy – представитель, уполномоченный) – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (cache) (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Proxy являются попыткой реализовать межсетевой экран на уровне приложения. Их основное преимущество – поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении и имеют возможность обработки и действий над информацией.

Однако имеются очевидные трудности в использовании proxy на уровне приложения в качестве межсетевого экрана:

• Ограничения на соединения – каждый сервис требует наличия своего собственного прокси, поэтому число доступных сервисов и их масштабируемость ограничены.
• Ограничения технологии – шлюз прикладного уровня (ALG) не может обеспечить прокси для протокола UDP.
• Производительность – реализация на уровне приложения имеет значительные потери в производительности.

В добавление, proxy беззащитны к ошибкам в приложениях и OC, неверной информации в нижних уровнях протоколов и в случае традиционных прокси-серверы очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли общему их применению и нуждам сети Интернет. Однако, по мере превращения Интернета в постоянно меняющуюся динамичную среду, предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодействий в сети Интернет или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.

Интернет-маршрутизатор

Так называемые классические маршрутизаторы действуют на сетевом уровне, и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей межсетевого экрана:

• информации о соединении – маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов;
• наследуемой информации о соединении и приложении – маршрутизаторы не поддерживают хранение информации об истории соединения или приложения;
• манипулирований информацией – маршрутизаторы имеют очень ограниченные возможности по действиям над информацией.

К тому же, маршрутизаторы достаточно сложно конфигурировать, следить за их состоянием и управлять. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения.

В последнее время получили распространение устройства класса SOHO (Small Office/Home Office), значительно упрощающие задачу подключения локальной вычислительной сети к сети Интернет и условно называемые Интернет-маршрутизаторами . Как правило, Интернет-маршрутизатор – это аппаратное решение с одним (или несколькими) портом WAN для подключения к сети общего пользования (Интернет) и несколькими (чаще четыре) портами LAN для подключения рабочих станций локальной сети. Иногда Интернет-маршрутизатор оборудован беспроводной точкой доступа для организации связи в локальной сети с беспроводными клиентами. Может оснащаться USB-портом для подключения принтера и/или других устройств (например, 3G-модема).

Интернет-маршрутизатор разработан для совместного доступа группы пользователей к широкополосному Интернет-соединению через выделенную линию, DSL или кабельный модем. Кроме того, в качестве дополнительного канала возможно применение Wimax / 3G-модемов, обеспечивающих доступ в Интернет через Wimax / 3G-сети.

Интернет-маршрутизатор оснащен встроенным межсетевым экраном для защиты компьютеров в сети от вирусных и DoS-атак. Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС-адресов источника и приемника.

Маршрутизатор может быть настроен таким образом, что отдельные FTP, Web- и игровые серверы смогут совместно использовать один, видимый извне IP-адрес, и в тоже время останутся защищенными от атак хакеров. Пользователи через Web-интерфейс маршрутизатора могут настроить любой (или конкретно выделенный производителем для этой цели) из LAN-портов как DMZ-порт (см. раздел "Механизмы PAT и NAT"). В последнее время всё чаще стала присутствовать функция "родительского" контроля (Parental control), которая позволяет фильтровать нежелательные URL-адреса Web-сайтов, блокировать домены и управлять использованием Интернет по расписанию.

Поддержка Интернет-маршрутизаторами технологии QoS (см. раздел "Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)") обеспечивает более эффективную передачу приложений, чувствительных к задержкам, таких как Интернет-телефония (VoIP), мультимедиа и игры по Интернет.

Функции Интернет-шлюза:

• Преобразование сетевых адресов (NAT)
• DHCP-сервер (для автоматического назначения параметров IP)

Управление доступом пользователей:

• Фильтрация MAC-адресов
• Фильтрация по расписанию

Межсетевой экран:

• NAT (преобразование сетевых адресов) с VPN pass-through
• SPI (Stateful Packet Inspection)

Фильтрация Web-сайтов с помощью фильтрации URL-адресов.

Приоритизация VoIP-трафика и потоковых медиафайлов при приеме/передаче.

Широковещательный поток IGMP (Internet Group Management Protocol)

Рис. 2.13. DIR-857 – Высокопроизводительный двухдиапазонный беспроводной Интернет-маршрутизатор D-Link, оснащенный 4 портами Gigabit Ethernet, портом USB 3.0 и слотом для SD-карты