На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Брандмауэры и их использование

В предыдущей главе рассказывалось об основных этапах создания сетей. Кроме эго, там были освещены некоторые вопросы, связанные с Шш ашего компьютера к Internet. Как мы уже выяснили, безопасность работы яв-яется одной из важнейших проблем, с которой приходится сталкиваться сис--мным администраторам при создании сети. При присоединении сети к Internet :новой безопасности этого соединения должен стать брандмауэр (firewall). Бранд-ауэр — это средство, которое разделяет защищенную и незащищенную сети ли защищенную область сети от незащищенной области той же сети. Прочитав шву, вы узнаете следующее:
» Брандмауэр — это комбинация аппаратного и программного обеспечения, используемая для защиты сети от постороннего вмешательства.
* С помощью брандмауэров можно повысить безопасность работы в локаль­ной сети различных отделов компании или организации.
»    Брандмауэр не защищает компьютер от проникновения вирусов.
» Прежде чем установить брандмауэр, следует разработать план обеспечения безопасности, в котором должны быть четко указаны возможности досту­па работников компании и посетителей.
* Существует три основных типа брандмауэров: сетевого уровня, уровня при­ложений и уровня связи.
» Существует три наиболее популярные архитектуры брандмауэров: бранд­мауэр сдвоенного хоста, брандмауэр экранирующего хоста и брандмауэр
экранирующей подсети.
» С помощью экранирующего маршрутизатора можно фильтровать пакеты, прибывающие в сеть. Экранирующие маршрутизаторы не являются доста­точным средством защиты сети.
» Благодаря Internet у хакеров появилось несколько хорошо налаженных пу­тей для проникновения в чужие сети.
'лзличны.   ФОРМЫ БЕЗОПАСНОСТИ
первой главе рассказывалось о том, что изначально Internet создавалась как ;ть, устойчивая по отношению к различным «неожиданностям». Под шностями» создатели подразумевали поломки оборудования, обрыв кабеля и ; ре бои в питании. К сожалению, Internet и сети, входящие в ее состав, нуж-1ются в дополнительных средствах для отражения атак, направленных против


собственности пользователей, данных компании и ее безопасности. В настоя­щее время существует огромное количество различного аппаратного и програм­много обеспечения для защиты сетей от внешнего вторжения. Одним из наибо­лее важных шагов, который можно предпринять для физической зашиты сети от вторжения, является использование специального аппаратного обеспечения.
КОМЛЬЮ ТЕРЫ-БА СТИОНЫ
В литературе о брандмауэрах можно часто встретить термин ■ компьютер-бастион (bastion host). Название «бастион» пропс-щ  ходит от средневекового слова, описывающего стены замка. : Бастион — это специальное укрепленное место в стенах замка, предназначенное для отражения это компьютер, который специально установлен для защиты от атак на сеть. Проектировщики сетей используют компьютеры-бастионы в качестве первой линии обороны. Компьютер-бастион является своеобразной «заслонкой» для всех коммуникаций между сетью и Internet. Другими словами, ни один ком­пьютер        не может получить доступ к Internet иначе, чем через компью­тер-бастион, и, с другой стороны, ни один внешний (по отношению к сети) пользователь не сможет проникнуть в сеть, минуя компьютер-бастион. При использовании центрального доступа к сети через один компьютер упроща­ется обеспечение безопасности сети. Более того, предоставляя доступ к Internet только одному компьютеру намного облегчает себе выбор надлежащего программного обеспечения для защиты сети.
Большинство сред Unix, включая Linux, хорошо приспособлены для ис­пользования компьютера-бастиона. В среде Unix можно установить компью­тер-бастион по цене рабочей станции или машины класса сервер (их цена не превышает стоимости компьютеров с процессором Intel 80486), поскольку
операционная система уже обладает способностью поддерживать и конфигу­рировать IP-брандмауэр. Таким образом, вы сможете сэкономить средства, затрачиваемые маршрутизатора с функциями е.
не приобретать дополнительного оборудования для сети, которое может обой­тись вам как минимум в 18 ООО долларов1). Кроме того, с помощью Unix можно свободно настраивать и просматривать трафик
ЗАЩИТА СЕТИ от ВТОРЖЕНИЙ ИЗВНЕ
Большинство компаний предоставляет своим служащим доступ к Internet до того, как у них появляется возможность работы с расширенной сетью или интранет. Если сотрудники получают доступ к Internet, то компании следует позаботиться о том, чтобы соединение с Internet происходило через брандмауэр. В начале этой главы было- сказано, что брандмауэр представляет собой комбинацию ап­паратного и программного обеспечения для защиты соединения двух или более сетей. Брандмауэр обеспечивает возможность центрального управления безопас­ностью сети. Обычно он строится на основе компьютера-бастиона (см. преды­дущий раздел). показано, что пользователи иногда обращаются $ к машине-бастиону как к серверу Internet. На самом же деле эта машина может быть расположена в соседней комнате.
компьютер-бастион
В качестве компьютера-бастиона можно использовать любой ПК.
Вдополнение ктрадиционномуаппаратномуи программномуобеспечению бранд­мауэров для большей безопасности можно воспользоваться экранирующим мар­шрутизатором, который представляет собой аппаратное и программное обеспе­чение для фильтрации пакетов данных, основываясь на заданном администрато­ром критерии. Можно создать экранирующий маршрутизатор на базе ПК или компьютера, работающего под управлением Unix. показано, как
экранирующий маршрутизатор фильтрует проходящие через него пакеты.
©отбрасывать пакеты определенных пользователей отклонять данные, передаваемые c помощью протокола FTP
разрешить передачу сообщений электронной почты
Экранирующий маршрутизатор фильтрует пакеты, выходящие и входящие в сеть.
Позже в этой главе я расскажу о том, как можно достичь определенного уровня в защите от взломщиков из Internet. Для этого достаточно правильно сконфигу­рировать брандмауэр, используя комбинацию компьютеров-бастионов и марш­рутизаторов. Кроме того, правильно установленный брандмауэр поможет зна­чительно повысить уровень защиты информации внутри вашего офиса.
ЭКРАНИРУЮЩИЙ МАРШРУТИЗАТОР
Экранирующий маршрутизатор (screening router) - это спе­циальный компьютер или электронное устройство, которое экранирует (фильтрует) пакеты, основываясь на установлен­ном администратором критерии. В качестве экранирующего маршрутизатора может использоваться ПК, или рабочая станция, или специальное электронное устройство. Критерии для выбора пакетов устанавливаются с помощью специального программного обеспече­ния или аппаратно. Лицензионный экранирующий маршрутизатор обычно поставляется со всем необходимым программным обеспечением. К тому же можно и самим создать экранирующий маршрутизатор из имеющихся у вас ПК или Unix-компьютеров. Существует общедоступное программное обес­печение для создания маршрутизаторов. Эти программы можно найти на следующих ftp-сайтах:
файлы для ПК: ftp://ftpjietMhia-state.edu/puh/kbridge
•файлы для U nix .ftp://ftp.tisco.com/pub/acl-example.tdr.gt 3
Запрограммировать экранирующий маршрутизатор достаточно просто. После как вы вашу стратегию безопасности, определите, какие пользователи могут иметь доступ к маршрутизатору и какие протоколы они могут использовать. Запрограммируйте маршрутизатор, написав набор правил в специальном файле маршрутизатора. разработки общей стратегии безопасности будет детально описан) Эти правила являются инструкцией для вашего маршрутизатора. Другими словами, правила опре­деляют, как маршрутизатор должен обрабатывать каждый входящий пакет, в зависимости от заголовка пакета. Например, можно заблокировать всю ин­формацию, поступающую от неизвестных пользователей, но в то же время пропускать данные ICMP (Internet Control Message Protocol), вроде элект­ронной почты SNMP. После того как вы запрограммируете экранирующий маршрутизатор, установите его между вашей локальной сетью и той сетью;« от которой вы защищаетесь (т. е. другой локальной сетью или Internet). Эк­ранирующий маршрутизатор, в свою будет просматривать все ком­муникации между этими двумя сетями. Помните, что маршрутизатор жен быть единственным физическим соединением между вашей и другой се­тью (чаще всего Internet).
ЗАЩИТА от ВТОРЖЕНИЙ со СТОРОНЫ СОСЕДНЕГО ОТДЕЛА
Кроме защиты сети от внешних вторжений вам часто может понадобиться обес­печить защиту между различными отделами компании (например, между бухгал­терией и отделом продаж). Вообще, при создании сети следует ставить своей целью защиту конфиденциальных документов каждого отдела от внешних атак, независимо от того производят ли эти атаки внешние пользователи Internet или пользователи внутренней сети, работающие в соседнем отделе. В большинстве
случаев следует сосредоточиться на проблеме защиты от проникновения извне. Тем не менее из главы 21 вы узнаете, что чаще всего вам выгоднее создавать сети, основываясь на принципе «доступ по необходимости». Иначе говоря, если пользователю не требуется доступа к конкретной информации, то он и не дол­жен -иметь этот доступ.
Брандмауэры обеспечивают достаточную защиту сети, не зависящую от требова­ний внутренней безопасности. К тому же, брандмауэр или брандмауэры, которыми вы пользуетесь для защиты вашей сети от пользователей Internet, очень похожи на брандмауэры, используемые для защиты документов каждого отдела. показана сравнительно простая конфигурация брандмауэра, в которой используется один компьютер-бастион с тремя сетевыми картами для защиты трех отделов от случайных (или намеренных) вторжений друг к другу.
отдельные сетевые платы
Использование компьютера с множеством сетевых карт для защиты нескольких соединенных сетей.
ОСНОВЫ   АРХИТЕКТУРЫ БРАНДМАУЭРОВ
Первым уровнем защиты от вторжений в присоединенных сетях является экрани­рующий маршрутизатор, который выполняет фильтрацию пакетов на сетевом и
канальном уровнях независимо от уровня приложений. Поэтому экранирующий маршрутизатор позволяет контролировать движение данных в сети без измене­ния приложений клиента или сервера.
Хотя этот маршрутизатор относительно недорог и удобен в использовании, он не может обеспечить достаточного уровня защиты. Основное его преимущество заключается в том, что он работает исключительно на сетевом и транспортном уровнях модели ISO/OSI. Однако это палка о двух концах. Для того чтобы дей­ствительно защитить сеть от нежелательных вмешательств извне, брандмауэр должен защищать каждый уровень протокола TCP/IP. Далее в этой главе я рас­скажу о том, как можно использовать различные типы брандмауэров для защиты сети на всех уровнях.
Основной недостаток экранирующих маршрутизаторов заключается в том, что они осуществляют фильтрование данных, основываясь на недостаточном объеме
данных. Ограничения, накладываемые на сетевой и канальный уровни, позво­ляют получить доступ только к IP-адресам, номерам портов и флагам TCP. Из-за отсутствия контекстной информации у маршрутизаторов могут возникать про­блемы с фильтрованием таких протоколов, как UDP, Про этот протокол уже рассказывалось в главе 2. И наконец, администраторы, которые работают с экранирующими маршрутизаторами, должны помнить, что у большинства уст­ройств, осуществляющих фильтрацию пакетов, включая экранирующие марш­рутизаторы, отсутствуют механизмы аудита и подачи сигнала тревоги. Другими словами, маршрутизаторы могут подвергаться атакам и отражать большое их ко­личество, а администраторы даже не будут осведомлены об этом. Поэтому для защиты сетей администраторы должны дополнительно использовать другие тех­нологии фильтрования пакетов совместно с применением брандмауэров, 5.
стек протоколов
пруироовжеенньий
брандмауэры
сетевой уровень
канальный уровень пакетов
физический уровень
Брандмауэры используются для повышения эффективности экранирующих маршрутизаторов и других технологий фильтрования пакетов.
Поскольку брандмауэры предоставляют возможности фильтрации данных на верх­них уровнях модели ISO/OSI, а не только на сетевом и канальном, для критери­ев отбора можно воспользоваться полной информацией уровня приложений. В то же время фильтрация будет происходить и на сетевом, и на транспортном уровнях. Здесь брандмауэр проверяет IP- и TCP-заголовки проходящих сквозь него пакетов. Таким образом, брандмауэр отбрасывает или пропускает пакеты, основываясь на заранее определенных правилах фильтрования.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика