Лекции по "Информационной безопасности"

Для описания правил прохождения  пакетов составляются таблицы типа:

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

флаги

Поле "действие" может  принимать значения пропустить или  отбросить.  
Тип пакета - TCP, UDP или ICMP.  
Флаги - флаги из заголовка IP-пакета.  
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

К положительным качествам  простой пакетной фильтрации (по сравнению  с другими методами фильтрации) следует  отнести:

• относительно невысокая стоимость;

• гибкость в определении правил фильтрации;

• максимальная пропускная способность.

Недостатки  у простой фильтрации пакетов следующие:

• локальная сеть видна (маршрутизируется) из сети Интернет;

• не учитывается содержимое IP-пакетов;

• правила фильтрации пакетов трудны в описании;

• при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;

• аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;

• отсутствует аутентификация на пользовательском уровне.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.

Следует отметить, что  компьютер-инициатор не передает МЭ имя компьютера-адресата - его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.

Под безопасностью  связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.

Проверка допустимости связи выполняется МЭ непосредственно  после запроса на соединение компьютером-инициатором  и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:

• IP-адрес компьютера-инициатора,
• начальный номер (SYN) пакета TCP-соединения, 
• дополнительные параметры TCP-соединения.

 

Возможными используемыми  данными окружающей среды являются:

• ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,
• сетевой интерфейс контроля,
• текущее время запроса соединения,
• текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.

Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:

• длительность соединения,
• скорость передачи данных,
• текущие параметры окна TCP-соединения, и
• большое количество ошибок передачи данных.

Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).

Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.

К преимуществам МЭ уровня соединения следует отнести следующие:

• локальная сеть может быть сделана невидимой из глобальной сети;
• наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;
• использование политики "запрещено все, что не разрешено";
• способность гибкого регулирования (ограничения) пропускной способности;
• возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;
• возможность противостояния атакам с использованием протокола ICMP;
• возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.

Недостатками МЭ этого  типа являются:

• отсутствие аутентификации пользователя;
• нет защиты целостности и конфиденциальности передаваемых данных;
• возможность подмены злоумышленником IP-адреса компьютера-инициатора;
• возможность подмены во время связи аутентифицированного компьютера-инициатора;
• невозможность использования протокола UDP.

Сервера прикладного  уровня

МЭ прикладного уровня осуществляет посреднические услуги по передаче данных и команд прикладного уровня двумя компьютерами в сети. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух соединений прикладного уровня. В общих чертах принцип работы МЭ прикладного уровня такой же как и у МЭ уровня соединения, однако, функционирование происходит на более высоком уровне и существует возможность поддержки специальных протоколов безопасности (SSH, SSL, S/MIME, SOCKS и др.).

Прежде всего, необходимо отметить, что в отличие от МЭ уровня соединения, ориентированного на единственный протокол TCP, МЭ прикладного уровня существует много - под каждый протокол прикладного (и сеансового) уровня. Каждый МЭ допускает и защищает только тот протокол, который он поддерживает (тем самым реализуется политика "запрещено все, что не разрешено"). Наиболее популярные поддерживаемые МЭ протоколы можно разделить на следующие группы:

• гипертекстовые протоколы - HTTP, SHTTP, HTTPS, Gopher;
• протокол пересылки файлов - FTP;
• почтовые протоколы - SMTP, POP3, IMAP, NNTP;
• протоколы удаленного доступа - Telnet, rlogin, rsh, rexec, RPC, XWindow;
• протокол сетевой файловой системы - NFS, NetBEUI;
• протокол службы имен - DNS;
• "безопасные" протоколы сеансового уровня - SSH, SSL, S/MIME, SOCKS.

Так как МЭ функционирует на прикладном уровне, то у него существуют большие возможности по фильтрации прикладных команд и данных. Например, для протокола FTP возможно запрещение команды "put" - команды записи файла на сервер. Возможна организация разграничения доступа к объектам сервера дополнительно к возможностям самого сервера по разграничению доступа.

Если МЭ поддерживает "безопасный" протокол, то возможно поддержание конфиденциальности и целостности передаваемых через внешнюю сеть данных путем шифрования данных и вычисления криптографических контрольных сумм (т.е. туннелируя трафик прикладного уровня). В этом случае компьютер-инициатор тоже должен поддерживать тот же самый "безопасный" протокол (удаленная защищенная рабочая станция) либо необходим еще один МЭ прикладного уровня, поддерживающий тот же самый "безопасный" протокол (виртуальная частная сеть - VPN).

Способ реализации схемы усиленной аутентификации компьютера-инициатора и пользователя зависит от используемого протокола, поддержка МЭ (и компьютером-инициатором) "безопасного" протокола позволяют не только увеличить надежность аутентификации, но и унифицировать процесс аутентификации.

Следует также отметить, что компьютер-инициатор в начале сеанса связи передает МЭ имя компьютера-адресата и запрашиваемого сервиса (в общем случае - URL), т.е. связь с через МЭ может осуществляется от многих ко многим. Способ передачи этого имени зависит от используемого протокола. Здесь же может передаваться и имя пользователя, с правами которого будет осуществляться доступ. В схеме передачи данных между двумя соединениями вместо простого копирования используется техника высокоуровневой фильтрации, трансляции и кэширования данных (протокольный автомат).

К преимуществам МЭ прикладного уровня (по сравнению с другими методами фильтрации) следует отнести следующие:

• возможность усиленной аутентификации компьютера-инициатора и пользователя;
• возможность защиты от подмены во время связи аутентифицированного компьютера-инициатора;
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность атаки с использованием "дыр" в конкретном программном обеспечении;
• возможна защита целостности и конфиденциальности передаваемых данных и команд;
• фильтрация пересылаемых команд и данных;
• большая гибкость в протоколировании передаваемых команд и данных;
• возможность кэширования данных.

Основным недостатком МЭ этого типа является необходимость в существовании нескольких МЭ для разных сервисов.

Пакетная фильтрация инспекционного типа

Пакетная фильтрация инспекционного типа (packet state-full inspection) - способность некоторых МЭ по блокированию (уничтожению) и изменению пакетов, проходящих через МЭ, по заданному  критерию на основе данных, содержащихся в этих пакетах, данных контекстов соединений транспортного, сеансового и прикладного уровней, текущих параметров окружающей среды и статистических данных.

Технология фильтрации пакетов инспекционного (или экспертного) типа сочетает в себе элементы всех трех описанных выше технологий. Как и простая фильтрация пакетов, фильтрация инспекционного типа работает на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов и т.п. Фильтры пакетов инспекционного типа также выполняют функции посредника уровня соединения, определяя, относятся ли пакеты к соответствующему сеансу связи. И, наконец, фильтры инспекционного типа берут на себя функции многих посредников прикладного уровня (одновременно), оценивая и модифицируя содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.

Как и посредник прикладного  уровня, фильтр пакетов инспекционного типа может быть сконфигурирован  для блокирования пакетов, содержащих определенные команды, например команду "put" службы FTP. Однако, в отличие от посредников прикладного уровня, при анализе данных прикладного уровня такой фильтр не нарушает модели клиент-сервер взаимодействия в сети - фильтр инспекционного типа допускает прямые соединения между компьютером-инициатором соединения и компьютером-адресатом. Для обеспечения защиты такие фильтры перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, фильтр пакетов инспекционного типа использует специальные алгоритмы распознавания и обработки данных на уровне приложений.

Обладая всеми преимуществами трех вышерассмотренных типов фильтров и минимальным количеством недостатков, МЭ с функцией фильтрации пакетов  инспекционного типа обеспечивают один из самых высоких на сегодняшний день уровней защиты локальных сетей.

Схемы подключения МЭ

Брандмауэр может использоваться в качестве внешнего роутера, используя  поддерживаемые типы устройств для  подключения к внешней сети (см. рис. 1).

Иногда используется схема, изображенная на рис 3, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие  ошибки могут образовать серьезные  дыры в защите.