На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

БРАНДМАУЭРЫ

Как уже говорилось, брандмауэр контролирует взаимный доступ сетей друг к другу. Обычно брандмауэр устанавливается между локальной сетью и Internet. Он препятствует проникновению пользователей всего мира в частную сеть и кон­тролирует доступ к данным, хранящимся в ней. Однако важно помнить, что
брандмауэр не является отдельным оборудованием или программой, которая сделает все за вас (несмотря на все заверения поставщиков). Он всего лишь предоставляет обширные возможности для максимальной защиты сети от посто­роннего вмешательства, при этом не создавая особых неудобств зарегистриро­ванным пользователям сети.
Для создания самого лучшего брандмауэра достаточно просто отключить (физи­чески) сеть от Internet. Как вы уже знаете, все сетевые коммуникации требуют физического соединения. Если сеть не будет подсоединена к Internet, пользова­тели Internet никогда не смогут проникнуть или атаковать локальную сеть. На­пример, если компании требуется только внутренняя сеть, которая обеспечива­ет доступ к базе данных по продажам, и нет необходимости в том, чтобы в эту сеть можно было проникнуть извне, можно физически изолировать компьютер­ную сеть от всего остального мира.
Изолированы СЕТИ
Лучшим способом предохранения от доступа посторонних пользователей извне является физическая изоляция вашей сети от Internet. Как вы уже знаете, на самом нижнем уровне сети расположены физические каналы. Для изоляции сети доста-. точно не соединять кабель вашей сети с сетевым кабелем Internet. Используйте два набора каналов: один - для вашей локальной сети, другой ~ для Internet. При этом ваши сотрудники получат доступ как к внешней, так и к внутренней сетям. показана сетевая кон­фигурация, в которой используется сервер (компьютер-бастион) с двумя /сетевыми картами. Сетевые карты подсоединены: к компьютеру через раз­ные, изолированные друг от Друга порты. Пользователи вашей сети могут ; переключать использующуюся в настоящий момент сетевую карту с помо­щью программного обеспечения. При этом они могут пользоваться и ло­кальной сетью, и Internet, но не тем и другим одновременно.
Одно из преимуществ подобной конструкции заключается в том, что она полностью защищает внутреннюю сеть от внешних пользователей. В то же время эта конструкция обеспечивает достаточно простую связь с Internet тем пользователям, которым это требуется.
К сожалению, поскольку при такой конструкции нужно добавить вторую сетевую карту, реализация этого проекта обходится недешево, а цена увели­чивается по мере роста пользователей, которым требуется доступ к Internet. Кроме того, когда число пользователей вашей сети, которым требуется до­ступ k Internet, возрастет, вместо описанной выше конструкции более пред­почтительным станет использование брандмауэра и компьютера-бастиона.
Зоны РИСКА
Создание брандмауэра является сложной задачей, поскольку требуется разумно совместить функциональные возможности со средствами безопасности. Бранд­мауэр должен позволять зарегистрированным пользователям передвигаться в ло­кальной сети и в Internet без существенных препятствий. Но при этом брандма­уэр должен пропускать незарегистрированных пользователей лишь на очень огра­ниченную территорию.
Большинство проектировщиков брандмауэров называют эту малую территорию зоной риска (region of risk). Зона риска — это та информация и системы вашей сети, которые подвергаются риску при атаке хакеров. Например, когда сеть напрямую соединена с Internet, то она полностью превращается в зону риска.
Можно считать каждый компьютер незащищенной сети подвергаемым риску, и в этом случае ни один из файлов или систем не являются конфиденциальными.
Хорошо выполненный брандмауэр ограничивает зону риска до рамок самого брандмауэра или до нескольких компьютеров сети. показана зона риска незащищенной сети.
показана зона риска для сети, защищенной брандмауэром. За­метьте, что в этом случае зона ограничивается самим брандмауэром.
сервер (брандмауэр)
Зона риска сети, защищенной брандмауэром.
Зона риска, естественно, будет расширяться, если хакер проникнет в брандма­уэр. При этом он может использовать брандмауэр как средство для атаки сети. Взломанный брандмауэр может послужить отправной точкой для проведения атак на другие компьютеры сети. Однако если взломщик пройдет через заслонку, создаваемую брандмауэром, шансы на выявление, поиск и устранение хакера из сети возрастают. Взломщик, проникающий и покидающий систему через узкое
пространство брандмауэра, неизбежно оставит после себя информацию, с по­мощью которой системный администратор сможет его выявить и выследить. Кроме
того, благодаря вторжениям опытный системный администратор сможет найти способ закрыть ту узкую щель, через которую проникает хакер.
Хорошо выполненный брандмауэр будет снабжать системного администратора информацией о том, какие виды переноса данных проходят через брандмауэр, какие не проходят и сколько раз испорченные пакеты пытались пройти через него. Последняя информация часто помогает определить, сколько раз хакеры пытались взломать брандмауэр. Как вы уже знаете и как еще не раз убедитесь в процессе чтения этой книги, лучшей защитой от хакеров является бдительность.
ограничения брандмауэра
Даже если вы не подсоединены к Internet, ваша компания все равно может под­вергаться постороннему вмешательству. Например, почта компании (обыкно­венная, привычная для нас почта) или ваша личная почта, возможно, являют­ся одним из средств доступа к вашей информации. Кто-то может получить неле­гальный доступ к почте (например, если почтовая служба направит письма по неверному адресу). Доступ к конфиденциальной информации является риском для безопасности, независимо от того, храните вы информацию в сети или на других, физических носителях (например, на бумаге).
Другим примером серьезной угрозы безопасности являются недовольные сотруд­ники. Они могут украсть что-нибудь — от исходных текстов программ до страте­гий компании — и передать конкурентам. Даже случайные разговоры о бизнесе, подслушанные в ресторане или другом общественном месте, могут подвергнуть
риску безопасность вашей фирмы. Короче говоря, в бизнесе всегда существует много способов, для того чтобы узнать секретную информацию любой компании.
Некоторые из них можно проконтролировать, некоторые нет. Конечно же, бран­дмауэр не решит всех проблем защиты компьютерной информации. Однако к тем средствам зашиты данных, которые уже использует ваша компания, можно добавить и брандмауэр.
Многие фирмы используют дорогие и внушительные брандмауэры для защиты от атак извне. В то же время у многих из них нет нормальной политики защиты данных от воровства или разрушения информации, происходящего при прямом соединении с их системами. Один промышленный обозреватель сравнил такое
сочетание предосторожности и небрежности с «установлением двойной сталь­ной двери толщиной шесть футов в деревянном доме». Если вы просто устано­вите брандмауэр в сети, он не защитит от незаконного доступа к информации. Брандмауэр в этом случае не предотвратит воровства, независимо от того, исхо­дит ли оно от настоящего пользователя или от кого-то, кто пользуется паролем зарегистрированного пользователя.
Вы уже знаете, что у брандмауэров существует ряд ограничений на уровень за­щиты. Брандмауэры являются очень мощным и надежным средством для реше­ния следующих вопросов безопасности:
• Обеспечение целостности данных. Хотя большинство брандмауэров нового поколения предоставляют ПО, обеспечивающее защиту от вирусов, про­никающих с входящими пакетами, это не является сильной стороной бранд­мауэров. В больших сетях, где количество входящих и выходящих паке­тов велико, обращение к брандмауэру для проверки каждого пакета (и каждого файла в двоичном коде, связанного с пакетом) на более чем тысячу известных типов вирусов может сильно замедлить работу сети.
Вместо этого можно выделить ограниченный участок, на который будут первоначально поступать все входящие файлы. Затем они будут в фоновом режиме проверяться на наличие вирусов. После проверки чистые файлы можно направлять по месту их назначения. Вирусы, количество которых в последние годы существенно увеличилось, представляют серьезную опас­ность.
• Идентификация источников данных. Брандмауэр не сможет помочь вам в вопросе определения подлинности источника данных. Он не исправит одну
из наиболее характерных слабостей TCP/IP в вопросах безопасности -
пользователь, работая на незарегистрированном компьютере, может со­здать сообщение, выдавая себя за кого-либо другого. Таким образом, брандмауэр не предоставляет никаких средств защиты от атак подмены (9).
• Конфиденциальность данных. Брандмауэр не сможет обеспечить конфиден­циальность данных при работе во внешних сетях. Большинство брандма­уэров последнего поколения предоставляют средства шифрования для ис­ходящих пакетов, но при использовании этих средств брандмауэры полу­чателя и отправителя должны быть одинаковыми, что, конечно же, не всегда выполняется.
РАЗРАБОТКА БРАНДМАУЭРА
Необходимость в брандмауэре возникает тогда, когда компания хочет соединить свою локальную сеть со всем остальным миром с помощью Internet. Можно начать определение конструкции брандмауэра с анализа всего разнообразия ком­муникаций, которые, как вы считаете, будут осуществляться между локальной сетью и Internet. Вот некоторые из вопросов, по которым вам следует опреде­литься, прежде чем выбрать и сконструировать брандмауэр:
• Хотите ли вы, чтобы пользователи Internet могли загружать свои файлы на сервер вашей сети.
• Хотите ли вы, чтобы пользователи Internet могли загружать файлы с сервера
вашей сети.
• Хотите ли вы, чтобы определенным пользователям (например, конкурен­там) было отказано в доступе к вашей сети.
• Должна ли сеть включать доступные из Internet Web-страницы.
• Будет ли ваш сайт поддерживать Telnet.
• Определите, какие права доступа к Internet нужно предоставить вашим сотрудникам.
• Выделите ли вы отдельных сотрудников, которые будут заниматься вопро­сами обеспечения безопасности брандмауэра.
• Определите самое худшее, что может произойти с вашей сетью и данны­ми, если кто-то взломает ее.
ТРИ   ТИПА БРАНДМАУЭРОВ
Для того чтобы удовлетворить требованиям широкого круга пользователей, су­ществует три типа брандмауэров: сетевого уровня, уровня приложений и уровня схем. Каждый из этих трех типов использует свой, отличный от других подход к защите сети. После того как вы определите, для чего вам требуется брандмауэр, ответив на все вопросы предыдущего раздела, рассмотрите отдельно каждый тип. Ваше решение должно учитывать тип и степень защиты, требуемой для сети, а именно это и определяет необходимую конструкцию брандмауэра.
Помните, что большинство брандмауэров поддерживают один или несколько уровней шифрования (encryption). Шифрование — это способ защитить передава­емую информацию от перехвата. В следующей главе вы узнаете о том, что для защиты от атак нужно зашифровывать всю информацию, исходящую из вашей сети. Многие брандмауэры, которые предоставляют возможности шифрования,
защищают исходящие из сети данные, автоматически зашифровывая их перед отправлением в Internet. Кроме того, они автоматически расшифровывают при­ходящие данные, прежде чем отправить их в локальную сеть. Используя функ­ции шифрования, предоставляемые брандмауэрами, можно пересылать данные через Internet удаленным пользователям, не беспокоясь о том, что кто-то может случайно перехватить и прочесть их. показан процесс шифрова­ния брандмауэром.
Использование функций шифрования некоторыми брандмауэрами.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика