БРАНДМАУЭР ЭКСПЕРТНОГО УРОВНЯ (STATEFUL INSPECTION FIREWALL) проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.
Проблемы защиты информации являются "врожденными" практически для всех протоколов и служб Internet.
Система имен доменов (Domain Name System - DNS) представляет собой распределенную базу данных, которая преобразует имена пользователей и хостов в IP-адреса и наоборот. DNS также хранит информацию о структуре сети компании, например количестве компьютеров с IP-адресами в каждом домене. Одной из проблем DNS является то, что эту базу данных очень трудно "скрыть" от неавторизованных пользователей. В результате, DNS часто используется хакерами как источник информации об именах доверенных хостов.
FTP (File Transfer Protocol) обеспечивает передачу текстовых и двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к информации. На FTP-серверах хранятся документы, программы, графика и любые другие виды информации. Некоторые FTP-серверы ограничивают доступ пользователей к своим архивам данных с помощью пароля, другие же предоставляют свободный доступ (так называемый анонимный FTP-сервис). Если вы используете опцию анонимного FTP для своего сервера, то должны быть уверены, что на нем хранятся только файлы, предназначенные для свободного распространения.
Sendmail - популярная в Internet программа электронной почты, использующая для своей работы некоторую сетевую информацию, такую как IP-адрес отправителя. Перехватывая сообщения, отправляемые с помощью Sendmail, хакеры могут использовать эту информацию для нападений, например для спуфинга (подмены адресов).
SMTP (Simple Mail Transfer Protocol) - протокол, позволяющий осуществлять почтовую транспортную службу Internet. Одна из проблем безопасности, связанная с этим протоколом, состоит в том, что пользователь не может проверить адрес отправителя в заголовке сообщения электронной почты. В результате хакер может послать в вашу сеть большое количество почтовых сообщений, что приведет к перегрузке и блокированию работы вашего почтового сервера.
Telnet - сервис Internet, при осуществлении которого пользователи должны регистрироваться на сервере Telnet, вводя свое имя и пароль. После аутентификации пользователя его рабочая станция функционирует в режиме "тупого" терминала, подключенного к внешнему хосту. С этого терминала пользователь может вводить команды, которые обеспечивают ему доступ к файлам и возможность запуска программ. Подключившись к серверу Telnet, хакер может сконфигурировать его программу таким образом, чтобы она записывала имена и пароли пользователей.
TCP/IP - набор протоколов, используемый в Internet и интрасетях для передачи пакетов между компьютерами. В заголовках пакетов передается информация, которая может подвергнуться нападениям хакеров. Например, хакер может подменить адрес отправителя в своих "зловредных" пакетах, после чего они будут выглядеть как пакеты, передаваемые авторизованным клиентом.
World Wide Web (WWW) - система, основанная на сетевых приложениях, которые дают возможность пользователям просматривать содержимое различных серверов в Internet или интрасетях. Самым полезным свойством WWW является использование гипертекстовых документов, в которые встроены ссылки на другие документы и Web-узлы, что дает пользователям возможность легко переходить от одного узла к другому. Однако это же свойство является и наиболее слабым местом системы WWW, поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых документах, включают в себя информацию о том, как осуществляется доступ к соответствующим узлам. Используя эту информацию, хакеры могут разрушить Web-узел или получить доступ к хранящейся на нем конфиденциальной информации.
Американская Национальная ассоциация по компьютерной безопасности (NCSA) рекомендует, чтобы политика сетевой защиты каждой компании состояла из двух компонентов: политики доступа к сетевым сервисам и политики реализации брандмауэров.
В соответствии с политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Также определяются ограничения на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и PPP (Point-to-Point Protocol). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к "запрещенным" сервисам Internet обходными путями. Например, если для ограничения доступа в Internet вы устанавливаете специальный шлюз, который не дает возможности пользователям работать в системе WWW, они могут устанавливать с Web-серверами PPP-соединения по коммутируемой линии.
Политика доступа к сетевым сервисам должна основываться на одном из следующих принципов.
В соответствии с политикой реализации брандмауэров определяются правила доступа к ресурсам внутренней сети компании. Прежде всего необходимо понять, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов.
Реализация брандмауэра на основе первого принципа обеспечивает значительно большую защищенность. Однако правила, созданные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обойдется значительно дороже. При реализации второго принципа ваша сеть окажется менее защищенной от нападений хакеров, однако пользоваться ей будет удобнее и потребуется меньше затрат.
Недавно выпущенная компанией Novell система IntranetWare предназначена для компаний, которые собираются использовать Internet и интрасети для распространения информации и обеспечения доступа к ней. IntranetWare включает в себя NetWare 4.11, Novell Web Server, Netscape Navigator, NetWare MultiProtocol Router (MPR) и IPX/IP Gateway. MPR и шлюз IPX/IP обеспечивают две линии обороны от несанкционированного доступа к внутренней сети из Internet или из корпоративной интрасети.
NetWare MPR - маршрутизатор с фильтрацией пакетов - обеспечивает первую линию обороны для сети на базе IntranetWare. Используя загружаемый модуль FILTCFG.NLM (утилиту, работающую на сервере MPR), можно сконфигурировать маршрутизатор таким образом, чтобы он фильтровал входящие и исходящие пакеты в соответствии с IP-адресами и номерами портов отправителя и получателя. NetWare MPR может также фильтровать пакеты, генерируемые FTP, HTTP и Telnet.
Шлюз IPX/IP - естественный брандмауэр, обеспечиващий вторую линию обороны для сетей IntranetWare. Основное назначение этого шлюза заключается в том, чтобы дать возможность IPX-клиентам использовать сервисы Internet и интрасети, не устанавливая на их компьютерах стек протоколов TCP/IP. Вместо этого файл WINSOCK.DLL на клиентской машине "вкладывает" пакеты TCP в пакеты IPX (а не IP). Перед передачей пакетов на внешний хост шлюз IPX/IP удаляет из них IPX-заголовки и заменяет их IP-заголовками. "С точки зрения" внешнего хоста, все пакеты, передаваемые из данной сети, имеют единый IP-адрес шлюза, благодаря чему осуществляется эффективная защита от внешнего хоста сети IntranetWare.
"Прозрачная" защита. Файл WINSOCK.DLL делает работу шлюза IPX/IP "прозрачной" для пользователей. При работе с браузером Netscape Navigator пользователю достаточно ввести имя хоста, например www.novell.com. Все действия по преобразованию имени в реальный IP-адрес выполняются шлюзом IPX/IP и DNS, после чего шлюз устанавливает от имени пользователя соединение с внешним хостом и в процессе обмена информацией заменяет IPX-заголовки на IP и наоборот.
Ограничение исходящего трафика. Шлюз IPX/IP также имеет встроенный механизм контроля доступа. Сетевой администратор может ограничивать исходящие пакеты в соответствии с IP-адресами хостов или номерами портов определенных сервисов Internet. Например, можно запретить доступ отдельным пользователям или группам пользователей к Web-серверу (сервис HTTP, порт 80) в интервале между 13:00 и 17:00 часами.
Нападения на сети IPX бывают только в теории. Шлюзы IPX/IP (такие как IPX/IP Gateway компании Novell, Iware Connect компании Quarterdeck и NOV*IX for Internet компании FTP Software) являются естественными брандмауэрами. Они всегда действуют от имени авторизованного клиента, запрашивая службы в IP-сетях, и таким образом, защищают его от нападений из внешней сети. Теоретически какой-нибудь упорный хакер может найти способ обмануть такой брандмауэр, однако на сегодняшний день подобных нападений не зафиксировано.
Novell продолжает совершенствовать свои технологии защиты для сетей на базе IntranetWare. Новая разработка Novell, получившая название IntranetWare Border Services, обеспечивает кэш-посредников (proxy cache), службы виртуальной частной сети (Virtual Private Network - VPN) и службы безопасности.
Кэш-посредники хранят часто запрашиваемые HTML-страницы в локальном кэше, обеспечивая значительно более быструю доставку информации, чем в тех случаях, когда не используется кэширование. Службы VPN позволяют создать канал контролируемой шифрованной связи с Internet, гарантируя конфиденциальность пакетов, передаваемых по этому каналу. Таким образом, компании получают возможность создавать защищенные частные сети, соединенные через Internet. В VPN используется специальный метод шифрования, основанный на 40-битной реализации криптографического алгоритма RC2. Этот алгоритм обеспечивает приемлемую производительность работы на WAN-каналах и может выполняться в симметричных мультипроцессорных системах, что позволяет повысить скорость шифрования данных. Службы безопасности включают в себя фильтрацию пакетов, шлюз сеансового уровня, программу-посредника HTTP прикладного уровня и используют технологии трансляции адресов.
Используя IntranetWare Border Service, можно фильтровать и регистрировать следующую информацию, содержащуюся в пакетах:
Этот шлюз поддерживает IPX- и IP-клиентов, использующих соответствующие стеки протоколов. Вначале шлюз устанавливает контрольное соединение с клиентом, который пытается инициировать сеанс связи с удаленным хостом. Затем он запрашивает информацию в сетевом каталоге (NDS - Novell Directory Services), чтобы определить, имеет ли данный пользователь соответствующие полномочия. Если пользователь оказывается авторизованным, шлюз устанавливает соединение с хостом, а затем копирует и перенаправляет поступающие пакеты. Поскольку шлюз использует информацию, хранящуюся в базе данных NDS, администратор может использовать NDS для ограничения прав доступа пользователей к Internet точно так же, как это делается для локальной сети. С помощью утилиты NetWare Administrator, можно задать права доступа конкретного пользователя или группы пользователей к отдельным сервисам Internet (например, FTP, HTTP или Telnet), хостам или доменам. Можно также задавать ограничения по времени доступа, например указать, что группа Everyone не имеет права обращаться к хосту ABCD с 8 утра до 5 вечера, т. е. в течение рабочего дня.
Посредник HTTP является шлюзом прикладного уровня, который фильтрует HTTP-пакеты. Как и шлюз сеансового уровня, перед установлением соединения с удаленным хостом посредник HTTP использует информацию в NDS, чтобы проверить полномочия пользователя на запрашиваемый сеанс связи. После установления соединения посредник HTTP копирует, перенаправляет и фильтрует поступающие пакеты. При этом он заменяет адреса отправителей в исходящих пакетах своим собственным IP-адресом, "маскируя" адреса клиентов и серверов, отправивших эти пакеты.
IntranetWare Border Services также обеспечивает трансляцию сетевых адресов для таких систем, как Macintosh и UNIX, которые не могут использовать стеки протоколов, необходимые для работы шлюзов сеансового и прикладного уровней. Кроме того, обеспечивается трансляция адресов как для IPX-, так и для IP-пакетов. Трансляция адресов IPX позволяет преобразовать все IPX-адреса отправителей в единый сетевой адрес IPX, что дает возможность использовать дублирующиеся адреса IPX-клиентов, относящиеся к разным виртуальным сетям.
Трансляция IP-адресов может быть как динамической, так и статической. При динамической трансляции все исходные IP-адреса преобразуются в единый IP-адрес, эффективно "маскируя" реальные IP-адреса клиентов и серверов внутренней сети, осуществляющих доступ к Internet (без использования шлюза сеансового уровня и посредника HTTP). При статической трансляции отдельные адреса преобразуются фиксированные IP-адреса, что позволяет обеспечить доступ из Internet к ресурсам интрасети, например, к Web - или FTP-серверам.
Более подробную информацию о брандмауэрах вы можете найти на следующих серверах в Internet.
FTP://INFO.CERT.ORG или HTTP://WWW.CERT.ORG
Директория /pub/cert_advisories содержит список рекомендаций Координационного центра CERT, касающихся решения известных проблем сетевой безопасности. На этом узле можно также найти предупреждения о возможных нападениях в Internet.
Узел американской Национальной ассоциации по компьютерной безопасности (NCSA) содержит руководство по политике реализации брандмауэров (Firewall Policy Guide). На этом узле также можно найти список брандмауэров, сертифицированных NCSA, и ссылки на другие Web-узлы, содержащие более подробную информацию об этих брандмауэрах. NCSA занимается тестированием продуктов с целью выяснения их функциональных возможностей и эффективности защиты от типовых нападений. К продуктам, имеющим сертификат NCSA, относятся FireWall-1 компании Check Point Software Technologies, ON Guard компании ON Technology и Gauntlet Internet Firewall компании Trusted Information Systems.
Outlink - исследовательская компания, специализирующаяся на информационной безопасности и выпускающая бюллетень The Firewall Report, который поможет вам быть в курсе всех новых технологий, продуктов и услуг в области защиты информации. Этот бюллетень содержит унифицированные технические описания 20 лучших брандмауэров для Internet и интрасетей, а также необходимые сведения об их поставщиках.
HTTP://WWW.TELSTRA.COM.AU/PUB/DOCS/SECURITY
Этот узел содержит ссылки на документы, написанные признанными экспертами в области безопасности Internet.
FTP://FTP.GREATCIRCLE.COM/PUB/FIREWALLS
На этом узле вы сможете найти ответы на часто задаваемые вопросы по поводу брандмауэров. Он также содержит ссылки на книги и другие публикации, посвященные брандмауэрам.
Этот узел принадлежит Национальному институту стандартов США и содержит много ссылок на Web-узлы, содержащие сведения по информационной безопасности.
