Безопасность в интернете

 

Пятое правило  разрешает трафик NTP, который использует протокол UDP вместо TCP , от любого источника к любому получателю внутренней сети.

 

Наконец, правило  № 6 производит блокирование всех остальных пакетов. Если бы этого правила не было, маршрутизатор мог бы блокировать, а мог бы и не блокировать другие типы пакетов. Выше был рассмотрен очень простой пример фильтрации пакетов. Реально используемые правила позволяют осуществить более сложную фильтрацию и являются более гибкими.

Но даже марштрутизаторов есть определенные ,, слабинки ‘’ , позволяющие говорить , что он ,, один в поле не воин ‘’ . У некоторых фильтрующих маршрутизаторов нет средств протоколирования, поэтому, если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор, такие пакеты не смогут быть выявлены до обнаружения последствий проникновения.

 

Даже если администратору сети удастся создать эффективные правила фильтрации, их возможности остаются ограниченными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако хакер может использовать в качестве адреса отправителя в своем "вредоносном" пакете реальный адрес доверенного (авторизированного) клиента. В этом случае фильтрующий маршрутизатор не сумеет отличить поддельный пакет от настоящего и пропустит его. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в сети Internet и часто оказывается эффективным.

 

Межсетевой экран  с фильтрацией пакетов, работающий на принципе соответствия IP адреса заранее заложенному программой проверяет лишь IP заголовок пакета. Поэтому обмануть его несложно: хакер создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Кроме заголовка пакета, никакая другая содержащаяся в нем информация межсетевыми экранами данной категории не проверяется.

 

К положительным  качествам фильтрующих маршрутизаторов следует отнести:

• сравнительно невысокую стоимость;
• гибкость в определении правил фильтрации;
• небольшую задержку при прохождении пакетов.

           

Недостатками  фильтрующих маршрутизаторов являются:

• внутренняя сеть видна (маршрутизируется) из сети Internet;
• правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
• отсутствует аутентификация на пользовательском уровне.

 

Перейдем  к рассмотрение следующей оборонной  компоненты , а именно шлюзы сетевого уровня .

 
 

6.2.Шлюзы сетевого уровня .

 

Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов .Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

 

 Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым.

Рассмотрим процедуру  , которую выполняет шлюз для выяснения  допустимости запроса на сеанс связи .

 
 

Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли этот клиент критериям  фильтрации Затем, действуя от имени  клиента, шлюз устанавливает соединение с внешним хост-компьютером и  следит за выполнением процедуры  квитирования связи по протоколу  TCP. Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

 

Первый пакет  сеанса TCP, помеченный флагом SYN и содержащий произвольное число, к примеру 100 , которое является запросом клиента на открытие сеанса. Внешний хост-компьютер, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете подтверждая, тем самым прием пакета SYN от клиента.

 

Далее  осуществляется  обратная  процедура:  хост-компьютер посылает клиенту пакет SYN с исходным числом (например, 200), а клиент подтверждает его получение передачей пакета АСК, содержащего число 201. На этом процесс квитирования связи завершается.

 

Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также  числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой , в противном случае установление соединения признается недопустимым .

 

После того как  шлюз определил, что доверенный клиент и внешний хост-компьютер являются авторизированными участниками  сеанса TCP, и проверил допустимость этого сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, применимую в данном сеансе.

 
 
 

Шлюз сетевого уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В результате в сети со шлюзом сетевого уровня все исходящие пакеты оказываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизированной) сетью и потенциально опасной внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким образом шлюз сетевого уровня и другие серверы-посредники защищают внутренние сети от нападений по средствам подмены адресов.

 

После установления связи шлюзы сетевого уровня фильтруют пакеты, но не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется "вслепую", хакер, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через такой шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу, который сам по себе не может обеспечивать функции межсетевого экрана. Иными словами, если процедура квитирования связи успешно завершена, шлюз сетевого уровня установит соединение и будет "слепо" копировать и перенаправлять все последующие пакеты независимо от их содержимого.

 

Чтобы фильтровать  пакеты, генерируемые определенными  сетевыми службами, в соответствии с их содержимым необходим шлюз прикладного  уровня.

 

6.3. Шлюзы прикладного  уровня

 

Для устранения ряда недостатков, присущих фильтрующим  маршрутизаторам, межсетевые экраны должны использовать дополнительные программные средства для фильтрации сообщений. Такие программные средства называются полномочными серверами (серверами-посредниками), а хост-компьютер, на котором они выполняются, - шлюзом прикладного уровня.

 

Шлюз прикладного  уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие  и исходящие пакеты . Связанные с приложением серверы – посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.

 

Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного  уровня и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране. В качестве примера рассмотрю сеть, в которой с помощью фильтрующего маршрутизатора блокируются входящие соединения TELNET и FTP.

 

Этот маршрутизатор  допускает прохождение пакетов  TELNET или FTP только к одному хост-компьютеру - шлюзу прикладного уровня TELNET/FTP. Внешний пользователь, который хочет соединиться с некоторой системой в сети, должен сначала соединиться со шлюзом прикладного уровня, а затем уже с нужным внутренним хост-компьютером. Вот как поэтапно происходит эта операция :

 

  1) сначала внешний пользователь  устанавливает TELNET-соединение со  шлюзом прикладного уровня с  помощью протокола TELNET и вводит  имя     интересующего    его   внутреннего хост-компьютера,

  2) шлюз проверяет IP – адрес отправителя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступ, заложенными программой.

  3) Пользователю может потребоваться аутентификация.

  4) Cервер-посредник устанавливает TELNET-соединение между шлюзом и внутренним хост-компьютером , или не устанавливает , если это соединение выходит за рамки критериев , в таком случае процедура прекращается на этом этапе .

  5) Cервер посредник осуществляет передачу информации между этими двумя соединениями;

  6) шлюз прикладного уровня регистрирует соединение и протоколирует его.

 

  Этот  пример наглядно показывает преимущества использования подобных серверов-посредников.

• Полномочные серверы - посредники  пропускают только те службы, которые им поручено обслуживать. Проще говоря , если шлюзы прикладного уровня наделен полномочиями для служб FTP и TELNET, то в защищаемой сети будут разрешены только FTP и TELNET, а все другие службы будут полностью блокированы. Для некоторых организаций такой вид безопасности имеет большое значение, так как он гарантирует, что через межсетевой экран будут пропускаться только те службы, которые считаются доверенными .

 

• Полномочные серверы-посредники обеспечивают возможность  фильтрации протокола. Например, некоторые  межсетевые экраны, использующие шлюзы  прикладного уровня, могут фильтровать  FTP – соединения и запрещать использование команды FTP put, что гарантированно  не позволяет пользователям записывать информацию на анонимный FTP-сервер.

 

В дополнение к фильтрации пакетов многие шлюзы  прикладного уровня регистрируют все выполняемые сервером действия и, что особенно важно, предупреждают сетевого администратора о возможных нарушениях защиты.

 

Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, поскольку взаимодействие с внешним миром реализуется через небольшое число прикладных полномочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.

 

Шлюзы прикладного уровня имеют ряд преимуществ. Перечислю эти преимущества. 

 

• Невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних систем можно не сообщать внешним системам, поскольку шлюз прикладного уровня может быть единственным хост-компьютером, имя которого должно быть известно внешним системам.
• Надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хост-компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной регистрации.
• Оптимальное соотношение между ценой и эффективностью.
• Простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной трафик и отправлял его большому числу внутренних систем. Mapшрутизатор должен пропускать прикладной трафик, предназначенный только для  шлюза прикладного уровня, и блокировать весь остальной трафик.
• Возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении.

 

К недостаткам  шлюзов прикладного уровня относятся:

 

• более низкая производительность по сравнению с  фильтрующими маршрутизаторами; в частности, при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая процедура для входных и выходных соединений;
• Более высокая стоимость по сравнению с фильтрующим маршрутизатором

 

Рассмотрим последнюю  компоненту межсетевого экрана –  усиленную аутентификацию.

 
 
 
 
 
 
 
 

6.4 .Усиленная аутентификация.

 
 

    Одним  из важных компонентов  концепции межсетевых экранов  является аутентификация (т.е.проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право воспользоваться, тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает.