Ocenite etot tekst:


Original of this document is at Open Systems. Nets #2/97
http://www.osp.ru/nets/nt_2_97/source/88.htm


Seti · # 2/97 · str. 88-99


Takoj bezzashchitnyj TCP/IP
CHto takoe brandmauer?
Brandmauery s fil'traciej paketov
Nastrojka pravil
Nizkaya stoimost' i slabaya zashchita?
SHlyuzy seansovogo urovnya
SHlyuzy prikladnogo urovnya
Brandmauery ekspertnogo urovnya
Moj dom - moya krepost'
Glossarij
"Vrozhdennye slabosti"
Rekomendacii specialistov
Vstroennye "linii oborony" sistemy IntranetWare
Novye sredstva zashchity dlya dostupa v Internet kompanii Novell
Nadezhnye istochniki

Predstav'te sebe takuyu situaciyu. Podklyuchivshis' k sisteme World Wide Web (WWW), vy obnaruzhivaete vmesto domashnej stranicy svoej kompanii, cvetnuyu fotografiyu obnazhennoj divy ili, eshche huzhe, Adol'fa Gitlera v okruzhenii svastik. Navernoe, v etom sluchae pervoe, chto pridet vam v golovu, budet: "Gospodi, chem zhe teper' zanimaetsya moya kompaniya?" Odnako ne toropites' bezhat' s etim voprosom k svoemu shefu - profil' vashej organizacii ne izmenilsya, prosto ee Web-uzel podvergsya napadeniyu ocherednogo vandala, podmenivshego domashnyuyu stranicu.

Podobnye "napadeniya" dostatochno bezvredny, drugie zhe, naprotiv, mogut prichinit' ves'ma znachitel'nyj vred vashej kompanii. Naprimer, hakery, vtorgshiesya v komp'yuternuyu sistemu kompanii MCI, ukrali okolo 50 tys. nomerov kreditnyh kartochek. Kompaniya Digital Equipment Corporation (DEC) soobshchaet, chto ee poteri ot vtorzheniya odnogo neizvestnogo hakera sostavili neskol'ko millionov dollarov. I chto samoe nepriyatnoe, chislo podobnyh "napadenij" postoyanno rastet. Po dannym finansiruemoj pravitel'stvom SSHA organizacii CERT Coordination Center, chislo vyyavlennyh "vzlomov" sistem zashchity v Internet vyroslo so 130 sluchaev, zafiksirovannyh v 1990 g., do 2400 v 1995 g.

Takoj bezzashchitnyj TCP/IP

Podobnye napadeniya vozmozhny (bolee togo, dostatochno legko osushchestvimy) vsledstvie togo, chto Internet sozdavalas' kak otkrytaya sistema, prednaznachennaya dlya svobodnogo obmena informaciej. Poetomu sovsem ne udivitel'no, chto TCP/IP - nabor protokolov, kotoryj obespechivaet kommunikacii v Internet i v poluchayushchih vse bol'shuyu populyarnost' intrasetyah, - imeet "vrozhdennye" nedostatki zashchity. To zhe samoe mozhno skazat' i o sluzhbah na baze TCP/IP, takih kak FTP i Domain Naming System (DNS).

Esli vy ispol'zuete sluzhby, osnovannye na TCP/IP, i podklyucheny k Internet ili k korporativnoj intraseti, to dlya zashchity vashej seti neobhodim brandmauer. Konechno, esli v vashej seti hranitsya sverhsekretnaya informaciya (naprimer, imeyushchaya otnoshenie k nacional'noj bezopasnosti), to brandmauerom vam ne obojtis' (skoree, ponadobitsya instrument dlya obrezki provodov). Ni odin brandmauer ne mozhet garantirovat' polnoj zashchity vashej seti pri vseh vozmozhnyh obstoyatel'stvah, poetomu osobo vazhnuyu informaciyu prosto ne sleduet hranit' v setyah, v kotoryh ispol'zuetsya TCP/IP. Odnako dlya bol'shinstva kommercheskih organizacij ustanovka brandmauera yavlyaetsya neobhodimym usloviem obespecheniya zashchity seti - takim zhe, kak ustanovka zamka na vhodnuyu dver' dlya zashchity kvartiry.

CHto takoe brandmauer?

Vne komp'yuternoj otrasli brandmauerom (firewall) nazyvaetsya stena, sdelannaya iz negoryuchih materialov i prepyatstvuyushchaya rasprostraneniyu pozhara. V sfere komp'yuternyh setej brandmauer predstavlyaet soboj bar'er, zashchishchayushchij ot figural'nogo pozhara - popytok zloumyshlennikov vtorgnut'sya v set', dlya togo chtoby skopirovat', izmenit' ili steret' informaciyu libo chtoby vospol'zovat'sya polosoj propuskaniya, pamyat'yu ili vychislitel'noj moshchnost'yu rabotayushchih v etoj seti komp'yuterov. Brandmauer ustanavlivaetsya na granice zashchishchaemoj seti i fil'truet vse vhodyashchie i ishodyashchie dannye, propuskaya tol'ko avtorizovannye pakety.

Brandmauer yavlyaetsya naborom komponentov, nastroennyh takim obrazom, chtoby realizovat' opredelennuyu politiku kontrolya vneshnego dostupa k vashej seti. Obychno brandmauery zashchishchayut vnutrennyuyu set' kompanii ot "vtorzhenij" iz Internet, odnako oni mogut ispol'zovat'sya i dlya zashchity ot "napadenij", naprimer, iz korporativnoj intraseti, k kotoroj podklyuchena i vasha set'. Kak i v sluchae realizacii lyubogo drugogo mehanizma setevoj zashchity, organizaciya, vyrabatyvayushchaya konkretnuyu politiku bezopasnosti, krome vsego prochego, dolzhna opredelit' tip trafika TCP/IP, kotoryj budet vosprinimat'sya brandmauerom kak "avtorizovannyj". Naprimer, neobhodimo reshit', budet li ogranichen dostup pol'zovatelej k opredelennym sluzhbam na baze TCP/IP, i esli budet, to do kakoj stepeni. Vyrabotka politiki bezopasnosti pomozhet ponyat', kakie komponenty brandmauera vam neobhodimy i kak ih skonfigurirovat', chtoby obespechit' te ogranicheniya dostupa, kotorye vy zadali (sm. vrezku "Rekomendacii specialistov").

Rabota vseh brandmauerov osnovana na ispol'zovanii informacii raznyh urovnej modeli OSI (tablica 1). Model' OSI, razrabotannaya Mezhdunarodnoj organizaciej po standartizacii (International Standards Organization - ISO), opredelyaet sem' urovnej, na kotoryh komp'yuternye sistemy vzaimodejstvuyut drug s drugom, - nachinaya s urovnya fizicheskoj sredy peredachi dannyh i zakanchivaya urovnem prikladnyh programm, ispol'zuemyh dlya kommunikacij. V obshchem sluchae, chem vyshe uroven' modeli OSI, na kotorom brandmauer fil'truet pakety, tem vyshe i obespechivaemyj im uroven' zashchity.

Tablica 1.
Brandmauery i modeli OSI.

Uroven' modeli OSI
Protokoly Internet
Kategoriya brandmauera
Prikladnoj
Telnet, FTP, DNS, NFS, PING, SMTP, HTTP
SHlyuz prikladnogo urovnya, brandmauer ekspertnogo urovnya
Predstavleniya dannyh
Seansovyj
TCP
SHlyuz seansovogo urovnya
Transportnyj
TCP
Setevoj
IP
Brandmauer s fil'traciej paketov
Kanal'nyj
Fizicheskij

Sushchestvuyushchie brandmauery sil'no otlichayutsya drug ot druga kak po urovnyu zashchity, tak i po ispol'zuemym v nih sposobah zashchity. Odnako bol'shinstvo brandmauerov, postavlyaemyh kak kommercheskie produkty, mozhno (vprochem, dostatochno uslovno) otnesti k odnoj iz chetyreh kategorij:

Lish' nemnogie brandmauery otnosyatsya tol'ko k odnoj iz perechislennyh kategorij, eshche men'she - v tochnosti sootvetstvuet tem opredeleniyam, kotorye budut dany nizhe dlya kazhdoj iz kategorij. Tem ne menee eti opredeleniya otrazhayut klyuchevye vozmozhnosti, otlichayushchie odin vid brandmauerov ot drugogo.

Brandmauery s fil'traciej paketov

Brandmauer s fil'traciej paketov predstavlyaet soboj marshrutizator ili rabotayushchuyu na servere programmu, skonfigurirovannye takim obrazom, chtoby fil'trovat' vhodyashchie i ishodyashchie pakety. Brandmauer propuskaet ili otbrakovyvaet pakety v sootvetstvii s informaciej, soderzhashchejsya v IP-zagolovkah paketov. Naprimer, bol'shinstvo brandmauerov s fil'traciej paketov mozhet propuskat' ili otbrakovyvat' pakety na osnove informacii, pozvolyayushchej associirovat' dannyj paket s konkretnymi otpravitelem i poluchatelem (polnoj associacii), kotoraya sostoit iz sleduyushchih elementov:

Vse marshrutizatory (dazhe te, kotorye ne skonfigurirovany dlya fil'tracii paketov), obychno proveryayut polnuyu associaciyu paketa, chtoby opredelit', kuda ego nuzhno napravit'. Brandmauer s fil'traciej paketov, krome togo, pered otpravkoj paketa poluchatelyu sravnivaet ego polnuyu associaciyu s tablicej pravil, v sootvetstvii s kotorymi on dolzhen propustit' ili otbrakovat' dannyj paket.

Brandmauer prodolzhaet proverku do teh por, poka ne najdet pravila, s kotorym soglasuetsya polnaya associaciya paketa. Esli brandmauer poluchil paket, ne sootvetstvuyushchij ni odnomu iz tablichnyh pravil, on primenyaet pravilo, zadannoe po umolchaniyu, kotoroe takzhe dolzhno byt' chetko opredeleno v tablice brandmauera. Iz soobrazhenij bezopasnosti eto pravilo obychno ukazyvaet na neobhodimost' otbrakovki vseh paketov, ne udovletvoryayushchih ni odnomu iz drugih pravil.

Nastrojka pravil

Vy mozhete zadat' pravila fil'tracii paketov, kotorye budut "ukazyvat'" brandmaueru, kakie pakety dolzhny byt' propushcheny, a kakie otbrakovany. Naprimer, mozhno opredelit' pravila takim obrazom, chtoby brandmauer otbrakovyval pakety, postupayushchie ot vneshnih serverov (ih obychno nazyvayut Internet-hostami), IP-adresa kotoryh ukazany v tablice. Mozhno takzhe zadat' pravilo, v sootvetstvii s kotorym budet razresheno propuskat' tol'ko vhodyashchie soobshcheniya elektronnoj pochty, adresovannye pochtovomu serveru, ili pravilo blokirovki vseh pochtovyh soobshchenij, postupayushchih ot vneshnego hosta, kotoryj kogda-to "navodnil" vashu set' gigabajtami nenuzhnyh dannyh.

Krome togo, mozhno skonfigurirovat' brandmauer dlya fil'tracii paketov na osnove nomerov portov, zadavaemyh v zagolovkah paketov TCP i UDP (User Datagram Protocol). V etom sluchae mozhno budet propuskat' otdel'nye vidy paketov (naprimer, Telnet ili FTP), tol'ko esli oni napravlyayutsya k opredelennym serveram (sootvetstvenno k Telnet ili FTP). Odnako uspeshnoe vypolnenie podobnogo pravila zavisit ot togo, kakie soglasheniya prinyaty v vashej seti, funkcioniruyushchej na osnove TCP/IP: dlya raboty prilozhenij TCP/IP servery i klienty obychno ispol'zuyut konkretnye porty (kotorye chasto nazyvayut izvestnymi, t.e. zaranee opredelennymi), odnako eto ne yavlyaetsya obyazatel'nym usloviem.

Naprimer, prilozhenie Telnet na serverah seti s TCP/IP obychno rabotaet cherez port 23. CHtoby razreshit' seansy Telnet tol'ko s opredelennym serverom, neobhodimo zadat' pravila, odno iz kotoryh "zastavit" brandmauer propuskat' vse pakety, zaprashivayushchie port 23 po adresu 123.45.6.7 (IP-adres vashego servera Telnet), a drugoe - otbrakovyvat' vhodyashchie pakety, zaprashivayushchie etot port po drugim adresam.

Konechno, real'nye pravila sozdavat' namnogo slozhnee, chem opisano vyshe. Bolee slozhnye primery mozhno najti, naprimer, v pravilah konfigurirovaniya marshrutizatorov kompanii Cisco, kotorye dostupny cherez Internet.

Nizkaya stoimost' i slabaya zashchita?

Glavnoe preimushchestvo ispol'zovaniya brandmauerov s fil'traciej paketov sostoit v nevysokoj stoimosti ih realizacii i minimal'nom vliyanii na proizvoditel'nost' seti. Esli v vashej seti uzhe ustanovlen apparatnyj ili programmnyj IP-marshrutizator, obespechivayushchij vozmozhnost' fil'tracii paketov (naprimer, proizvodstva Cisco Systems, Bay Networks ili Novell), nastrojka brandmauera obojdetsya vam darom (ne schitaya vremeni, kotoroe pridetsya potratit' na sozdanie pravil fil'tracii paketov).

Nesmotrya na privlekatel'nost' takih brandmauerov s tochki zreniya minimizacii zatrat, oni, kak pravilo, ne mogut obespechit' adekvatnuyu zashchitu ot hakerov, "ispytyvayushchih interes" k vashej seti. Pravil'naya nastrojka pravil fil'tracii paketov mozhet okazat'sya dostatochno slozhnoj proceduroj, odnako dazhe esli vam udastsya sozdat' dostatochno effektivnye pravila, ih vozmozhnosti vse ravno ostanutsya ogranichennymi.

Naprimer, vy sozdadite pravilo, v sootvetstvii s kotorym brandmauer budet otbrakovyvat' vse pakety s neizvestnym adresom otpravitelya. Odnako haker mozhet prosto ispol'zovat' v kachestve adresa otpravitelya v svoem "zlovrednom" pakete real'nyj adres doverennogo (avtorizovannogo) klienta. V etom sluchae brandmauer ne sumeet otlichit' poddel'nyj paket ot nastoyashchego i propustit ego, "predpolagaya", chto ostal'naya informaciya v polnoj associacii paketa takzhe sootvetstvuet razreshayushchemu pravilu. Praktika pokazyvaet, chto podobnyj vid napadenij, nazyvaemyj "address-spoofing" (podmena adresa), dovol'no shiroko rasprostranen v Internet i, k sozhaleniyu, ochen' chasto okazyvaetsya effektivnym.

Poskol'ku brandmauer s fil'traciej paketov rabotaet tol'ko na setevom urovne modeli vzaimodejstviya otkrytyh sistem (Open Systems Interconnection - OSI) obychno proveryaet tol'ko informaciyu, soderzhashchuyusya v IP-zagolovkah paketov, to "obmanut'" ego ne sostavlyaet truda: haker prosto sozdaet zagolovok, kotoryj udovletvoryaet razreshayushchim pravilam brandmauera. Krome zagolovka paketa, nikakaya drugaya soderzhashchayasya v nem informaciya brandmauerami dannoj kategorii ne proveryaetsya.

SHlyuzy seansovogo urovnya

SHlyuz seansovogo urovnya sledit za podtverzhdeniem (kvitirovaniem) svyazi mezhdu avtorizovannym klientom i vneshnim hostom (i naoborot), opredelyaya, yavlyaetsya li zaprashivaemyj seans svyazi dopustimym. Pri fil'tracii paketov shlyuz seansovogo urovnya osnovyvaetsya na informacii, soderzhashchejsya v zagolovkah paketov seansovogo urovnya protokola TCP, t. e. funkcioniruet na dva urovnya vyshe, chem brandmauer s fil'traciej paketov.

Kontrol' kvitirovaniya svyazi

CHtoby opredelit', yavlyaetsya li zapros na seans svyazi dopustimym, shlyuz seansovogo urovnya vypolnyaet primerno sleduyushchuyu proceduru. Kogda avtorizovannyj klient zaprashivaet nekotoruyu uslugu, shlyuz prinimaet etot zapros, proveryaya, udovletvoryaet li klient bazovym kriteriyam fil'tracii (naprimer, mozhet li DNS-server opredelit' IP-adres klienta i associirovannoe s nim imya). Zatem, dejstvuya ot imeni klienta, shlyuz ustanavlivaet soedinenie s vneshnim hostom i sledit za vypolneniem procedury kvitirovaniya svyazi po protokolu TCP. |ta procedura sostoit iz obmena TCP-paketami, kotorye pomechayutsya flagami SYN (sinhronizirovat') i ACK (podtverdit').

Pervyj paket seansa TCP, pomechennyj flagom SYN i soderzhashchij proizvol'noe chislo, naprimer 1000, yavlyaetsya zaprosom klienta na otkrytie seansa. Vneshnij host, poluchivshij etot paket, posylaet v otvet paket, pomechennyj flagom ACK i soderzhashchij chislo, na edinicu bol'shee, chem v prinyatom pakete (v nashem sluchae 1001), podtverzhdaya, takim obrazom, priem paketa SYN ot klienta. Posle etogo osushchestvlyaetsya obratnaya procedura: host posylaet klientu paket SYN s ishodnym chislom (naprimer, 2000), a klient podtverzhdaet ego poluchenie peredachej paketa ACK, soderzhashchego chislo 2001. Na etom process kvitirovaniya svyazi zavershaetsya.

SHlyuz seansovogo urovnya "schitaet" zaproshennyj seans dopustimym tol'ko v tom sluchae, esli pri vypolnenii procedury kvitirovaniya svyazi flagi SYN i ACK, a takzhe chisla, soderzhashchiesya v TCP-paketah, okazyvayutsya logicheski svyazannymi mezhdu soboj.

Kanal'nye posredniki

Posle togo kak shlyuz "opredelil", chto doverennyj klient i vneshnij shlyuz yavlyayutsya avtorizovannymi uchastnikami seansa TCP, i proveril dopustimost' dannogo seansa, on ustanavlivaet soedinenie. Nachinaya s etogo momenta shlyuz prosto kopiruet i perenapravlyaet pakety tuda i obratno, ne provodya nikakoj fil'tracii. On podderzhivaet tablicu ustanovlennyh soedinenij, propuskaya dannye, otnosyashchiesya k odnomu iz seansov svyazi, kotorye zafiksirovany v etoj tablice. Kogda seans zavershaetsya, shlyuz udalyaet sootvetstvuyushchij element iz tablicy i razryvaet cep', ispol'zovavshuyusya v dannom seanse.

Dlya kopirovaniya i perenapravleniya paketov v shlyuzah seansovogo urovnya ispol'zuyutsya special'nye prilozheniya, kotorye inogda nazyvayut kanal'nymi posrednikami (pipe proxies), poskol'ku oni ustanavlivayut mezhdu dvumya setyami virtual'nuyu cep', ili kanal, a zatem razreshayut paketam (kotorye generiruyutsya prilozheniyami TCP/IP) prohodit' po etomu kanalu.

Kanal'nye posredniki podderzhivayut neskol'ko sluzhb TCP/IP, poetomu shlyuzy seansovogo urovnya mogut ispol'zovat'sya dlya rasshireniya vozmozhnostej shlyuzov prikladnogo urovnya, rabota kotoryh osnovyvaetsya na programmah-posrednikah konkretnyh prilozhenij. V dejstvitel'nosti bol'shinstvo shlyuzov seansovogo urovnya ne yavlyayutsya samostoyatel'nymi produktami, a postavlyayutsya v komplekte so shlyuzami prikladnogo urovnya. Primerami takih shlyuzov yavlyayutsya Gauntlet Internet Firewall kompanii Trusted Information Systems, AltaVista Firewall kompanii DEC i ANS Interlock kompanii ANS (tablica 2).

Tablica 2.
Nekotorye populyarnye brandmauery.

Kompaniya
Produkt
Tip brandmauera
Web-uzel
ANS, Inc
ANS InterLock
SHlyuz prikladnogo urovnya*
http://www.ans.net
Check Point Software Technologies, Ltd.
FireWall-1
Brandmauer ekspertnogo urovnya
http://www.checkpoint.com
CyberGuard Corporation
CyberGuard Firewall
SHlyuz prikladnogo urovnya
http://www.cyberguardcorp.com
Digital Equipment Corporation (DEC)
AltaVista Firewall
SHlyuz prikladnogo urovnya
http://altavista.software. digital.com
Global Internet
Centri Firewall
SHlyuz prikladnogo urovnya
http://www.globalinternet.com
Milkyway Networks Corporation
Black Hole
SHlyuz prikladnogo urovnya
http://www.milkyway.com
NEC Technologies, Inc.
PrivateNet
SHlyuz prikladnogo urovnya
http://www.privatenet.nec.com
ON Technology
ON Guard
Brandmauer ekspertnogo urovnya
http://www.onguard.on.com
Raptor Systems, Inc.
Eagle
SHlyuz prikladnogo urovnya
http://www.raptor.com
Secure Computing Corporation
BorderWare Firewall Server, Sidewinder Security Server
SHlyuz prikladnogo urovnya
http://www.sctc.com
Trusted Information Systems, Inc.
Gauntlet Internet Firewall
SHlyuz prikladnogo urovnya
http://www.tis.com
* Zdes' i dalee vse ukazannye shlyuzy prikladnogo urovnya obespechivayut podderzhku shlyuzov seansovogo urovnya dlya otdel'nyh sluzhb TCP/IP, ne zashchishchaemyh programmami-posrednikami prilozhenij.

Naprimer, AltaVista Firewall ispol'zuet kanal'nye posredniki prikladnogo urovnya dlya kazhdoj iz shesti sluzhb TCP/IP, k kotorym otnosyatsya, naprimer, FTP, HTTP (HyperText Transport Protocol) i Telnet. Krome togo, brandmauer kompanii DEC obespechivaet shlyuz seansovogo urovnya, podderzhivayushchij drugie obshchedostupnye sluzhby TCP/IP, takie kak Gopher i SMTP (Simple Mail Transfer Protocol), dlya kotoryh brandmauer ne predostavlyaet posrednikov prikladnogo urovnya.

Servery-posredniki

SHlyuz seansovogo urovnya vypolnyaet eshche odnu vazhnuyu funkciyu zashchity: on ispol'zuetsya v kachestve servera-posrednika (proxy server). I hotya etot termin predpolagaet nalichie servera, na kotorom rabotayut programmy-posredniki (chto spravedlivo dlya shlyuza seansovogo urovnya), v dannom sluchae on oznachaet neskol'ko drugoe. Serverom-posrednikom mozhet byt' brandmauer, ispol'zuyushchij proceduru translyacii adresov (address translation), pri kotoroj proishodit preobrazovanie vnutrennih IP-adresov v odin "nadezhnyj" IP-adres. |tot adres associiruetsya s brandmauerom, iz kotorogo peredayutsya vse ishodyashchie pakety.

V rezul'tate v seti so shlyuzom seansovogo urovnya vse ishodyashchie pakety okazyvayutsya otpravlennymi iz etogo shlyuza, chto isklyuchaet pryamoj kontakt mezhdu vnutrennej (avtorizovannoj) set'yu i yavlyayushchejsya potencial'no opasnoj vneshnej set'yu. IP-adres shlyuza seansovogo urovnya stanovitsya edinstvennym aktivnym IP-adresom, kotoryj popadaet vo vneshnyuyu set'. Takim obrazom, shlyuz seansovogo urovnya i drugie servery-posredniki zashchishchayut vnutrennie seti ot napadenij tipa spoofing (imitaciya adresov), o kotoryh bylo rasskazano vyshe.

Obhodnye manevry

SHlyuzy seansovogo urovnya ne imeyut "vrozhdennyh" uyazvimyh mest, odnako posle ustanovleniya svyazi takie shlyuzy fil'truyut pakety tol'ko na seansovom urovne modeli OSI, t. e. ne mogut proveryat' soderzhimoe paketov, peredavaemyh mezhdu vnutrennej i vneshnej set'yu na urovne prikladnyh programm. I poskol'ku osushchestvlyaetsya eta peredacha "vslepuyu", haker, nahodyashchijsya vo vneshnej seti, mozhet "protashchit'" svoi "zlovrednye" pakety cherez shlyuz. Posle etogo haker obratitsya napryamuyu k vnutrennemu Web-serveru, kotoryj sam po sebe mozhet ne obespechivat' funkcii brandmauera.

Inymi slovami, esli procedura kvitirovaniya svyazi uspeshno zavershena, shlyuz seansovogo urovnya ustanovit soedinenie i budet "tupo" kopirovat' i perenapravlyat' vse posleduyushchie pakety nezavisimo ot ih soderzhimogo. CHtoby fil'trovat' pakety, generiruemye opredelennymi setevymi sluzhbami v sootvetstvii s ih soderzhimym, neobhodim shlyuz prikladnogo urovnya.

SHlyuzy prikladnogo urovnya

Tak zhe kak i shlyuz seansovogo urovnya, shlyuz prikladnogo urovnya perehvatyvaet vhodyashchie i ishodyashchie pakety, ispol'zuet programmy-posredniki, kotorye kopiruyut i perenapravlyayut informaciyu cherez shlyuz, a takzhe funkcioniruet v kachestve servera-posrednika, isklyuchaya pryamye soedineniya mezhdu doverennym serverom ili klientom i vneshnim hostom. Odnako posredniki, ispol'zuemye shlyuzom prikladnogo urovnya, imeyut vazhnye otlichiya ot kanal'nyh posrednikov shlyuzov seansovogo urovnya: vo-pervyh, oni svyazany s prilozheniyami, a vo-vtoryh, mogut fil'trovat' pakety na prikladnom urovne modeli OSI.

Posredniki prilozhenij

V otlichie ot kanal'nyh posrednikov, posredniki prikladnogo urovnya propuskayut tol'ko pakety, sgenerirovannye temi prilozheniyami, kotorye im porucheno obsluzhivat'. Naprimer, programma-posrednik sluzhby Telnet mozhet kopirovat', perenapravlyat' i fil'trovat' lish' trafik, generiruemyj etoj sluzhboj. Esli v seti rabotaet tol'ko shlyuz prikladnogo urovnya, to vhodyashchie i ishodyashchie pakety mogut peredavat'sya lish' dlya teh sluzhb, dlya kotoryh imeyutsya sootvetstvuyushchie posredniki. Tak, esli shlyuz prikladnogo urovnya ispol'zuet tol'ko programmy-posredniki FTP i Telnet, to on budet propuskat' pakety etih sluzhb, blokiruya pri etom pakety vseh ostal'nyh sluzhb.

Fil'traciya na prikladnom urovne

V otlichie ot shlyuzov seansovogo urovnya, kotorye kopiruyut i "slepo" perenapravlyayut vse postupayushchie pakety, posredniki prikladnogo urovnya (samogo vysokogo v modeli OSI) proveryayut soderzhimoe kazhdogo prohodyashchego cherez shlyuz paketa. |ti posredniki mogut fil'trovat' otdel'nye vidy komand ili informacii v protokolah prikladnogo urovnya, kotorye im porucheno obsluzhivat'.

Takie produkty, kak Eagle kompanii Raptor Systems, ANS InterLock kompanii ANS i Sidewinder Security Server kompanii Secure Computing Corporation, vklyuchayut v sebya programmy-posredniki prikladnogo urovnya dlya sluzhb FTP, HTTP i Telnet. Utility etih shlyuzov pozvolyayut fil'trovat' opredelennye komandy, ispol'zuemye etimi sluzhbami. Naprimer, mozhno skonfigurirovat' shlyuz takim obrazom, chtoby on predotvrashchal ispol'zovanie klientami komandy FTP Put, kotoraya daet vozmozhnost' pol'zovatelyu, podklyuchennomu k FTP-serveru, zapisyvat' na nego informaciyu. Mnogie setevye administratory predpochitayut zapretit' ispol'zovanie etoj komandy, chtoby umen'shit' risk sluchajnogo povrezhdeniya hranyashchejsya na FTP-servere informacii i veroyatnost' zapolneniya ego gigabajtami hakerskih dannyh, peresylaemyh na server dlya zapolneniya ego diskovoj pamyati i blokirovaniya raboty.

Drugie zashchitnye funkcii

V dopolnenie k fil'tracii paketov mnogie shlyuzy prikladnogo urovnya registriruyut vse vypolnyaemye serverom dejstviya i, chto naibolee vazhno, preduprezhdayut setevogo administratora o vozmozhnyh narusheniyah zashchity. Naprimer, pri popytkah proniknoveniya v sistemu izvne BorderWare Firewall Server kompanii Secure Computing pozvolyaet fiksirovat' adresa otpravitelya i poluchatelya paketov, vremya, v kotoroe eti popytki byli predprinyaty, i ispol'zuemyj protokol. Produkt Black Hole kompanii Milkyway Networks takzhe registriruet vse dejstviya servera i preduprezhdaet administratora o vozmozhnyh narusheniyah, posylaya emu soobshchenie po elektronnoj pochte ili na pejdzher. Analogichnye funkcii obespechivayut i produkty Eagle i Sidewinder Security Server.

Predstaviteli

Bol'shinstvo shlyuzov prikladnogo urovnya prednaznacheny dlya odnoj ili neskol'kih raznovidnostej operacionnoj sistemy UNIX. YArkim predstavitelem etogo bol'shogo semejstva produktov yavlyaetsya Black Hole kompanii Milkyway Networks, kotoryj rabotaet na komp'yuterah so SPARC-arhitekturoj pod upravleniem SunOS ili Solaris. V otlichie ot etih shlyuzov, BorderWare Firewall Server kompanii Secure Computing i Gauntlet Internet Firewall kompanii Trusted Information Systems rabotayut na PK s processorom Pentium pod upravleniem operacionnyh sistem, yavlyayushchihsya sobstvennymi razrabotkami sootvetstvuyushchih kompanij. Produkty Centri Firewall kompanii Global Internet i Eagle kompanii Raptor Systems rabotayut pod SunOS, Solaris i Windows NT.

Ukazannye shlyuzy prikladnogo urovnya mozhno ustanavlivat' i v seti NetWare, ispol'zuyushchej protokoly TCP/IP. Dlya togo chtoby nachat' ispol'zovat' TCP/IP v seti, rabotayushchej po protokolu IPX, neobhodimo ustanovit' shlyuz IPX/IP ili ustanovit' stek TCP/IP kazhdomu klientu NetWare, kotoryj budet rabotat' so shlyuzom prikladnogo urovnya (naprimer, ispol'zuya produkt LAN WorkPlace ili LAN WorkGroup kompanii Novell).

Nemnogo o "prozrachnosti"

SHlyuzy prikladnogo urovnya obespechivayut odin iz samyh vysokih na segodnyashnij den' urovnej zashchity, odnako sushchestvuet mnenie, chto takaya vysokaya stepen' zashchity imeet i oborotnuyu storonu, a imenno - otsutstvie "prozrachnosti" raboty shlyuza dlya pol'zovatelej. V ideale vse brandmauery dolzhny byt' "prozrachnymi", t.e. ih rabota dolzhna ostavat'sya nezametnoj dlya pol'zovatelej, obrashchayushchihsya iz svoej vnutrennej seti v Internet. Odnako v real'noj zhizni brandmauery vnosyat zaderzhki v process peredachi dannyh ili trebuyut ot pol'zovatelej vypolneniya neskol'kih procedur registracii pri podklyuchenii k Internet ili korporativnoj intraseti.

Mnogie postavshchiki utverzhdayut, chto ih shlyuzy prikladnogo urovnya yavlyayutsya "prozrachnymi", odnako rekomenduyut konfigurirovat' ih takim obrazom, chtoby oni vypolnyali autentifikaciyu pol'zovatelej pri ih obrashchenii k vneshnej seti (t.e. proceduru, kotoraya narushaet "prozrachnost'" raboty shlyuza). Naprimer, shlyuz Black Hole kompanii Milkyway Networks mozhno skonfigurirovat' tak, chto pol'zovateli budut vyhodit' vo vneshnyuyu set', ne registriruyas' na etom shlyuze. Odnako Milkyway Networks rekomenduet takuyu konfiguraciyu shlyuza, pri kotoroj pol'zovateli dolzhny budut registrirovat'sya na nem libo odin raz v techenie ustanovlennogo perioda, libo pri kazhdom zaprose na ustanovlenie seansa svyazi. Analogichnym obrazom mozhet byt' nastroen shlyuz Gauntlet Internet Firewall kompanii Trusted Informa-tion Systems.

Pri rabote shlyuza v "neprozrachnom" rezhime pol'zovatel' podklyuchaetsya k posredniku sootvetstvuyushchej sluzhby (naprimer, Telnet) i soobshchaet emu imya hosta, k kotoromu on sobiraetsya podklyuchit'sya. Posle etogo pol'zovatel' poluchaet i otpravlyaet informaciyu tak, kak esli by bylo ustanovleno pryamoe soedinenie klienta s vneshnim hostom. V "prozrachnom" zhe rezhime podklyuchenie pol'zovatelya k udalennomu hostu vypolnyaetsya bez predvaritel'nogo vzaimodejstviya so shlyuzom, odnako zatem shlyuz perehvatyvaet vse zaprosy pol'zovatelya.

Drugie proizvoditeli brandmauerov, otnosyashchihsya k kategorii shlyuzov prikladnogo urovnya, pytayutsya reshit' problemu "prozrachnosti" inymi sposobami. Naprimer, kompanii CyberGuard i NEC Technologies ispol'zuyut vmesto svyazannyh s prilozheniyami programm-posrednikov variant protokola SOCKS dlya marshrutizacii trafika, generiruemogo sluzhbami TCP/IP, cherez svoi shlyuzy Cyber-Guard Firewall i PrivateNet sootvetstvenno. SOCKS yavlyaetsya standartom, predlagaemym inzhenernoj gruppoj IETF (Internet Engineering Task Force) i obespechivayushchim "prozrachnuyu" autentifikaciyu pol'zovatelej, kotorye zaprashivayut soedineniya s vneshnimi hostami cherez brandmauer. Odnako ispol'zovanie SOCKS yavlyaetsya "neprozrachnym" dlya administratorov, kotorye dolzhny modificirovat' vse prilozheniya, ispol'zuemye klientami dlya dostupa k vneshnim resursam cherez brandmauer. Krome togo, hotya SOCKS i predpolagaet ispol'zovanie drugih mehanizmov zashchity (naprimer, shifrovaniya s lichnym i otkrytym klyuchami), on ne obespechivaet fil'tracii otdel'nyh paketov. Poetomu produkty, ispol'zuyushchie SOCKS, skoree mozhno otnesti k kategorii shlyuzov seansovogo, a ne prikladnogo urovnya.

Brandmauery ekspertnogo urovnya

|ti brandmauery sochetayut v sebe elementy vseh treh opisannyh vyshe kategorij. Kak i brandmauery s fil'traciej paketov, oni rabotayut na setevom urovne modeli OSI, fil'truya vhodyashchie i ishodyashchie pakety na osnove proverki IP-adresov i nomerov portov. Brandmauery ekspertnogo urovnya takzhe vypolnyayut funkcii shlyuza seansovogo urovnya, opredelyaya, otnosyatsya li pakety k sootvetstvuyushchemu seansu. I nakonec, brandmauery ekspertnogo urovnya berut na sebya funkcii shlyuza prikladnogo urovnya, ocenivaya soderzhimoe kazhdogo paketa v sootvetstvii s politikoj bezopasnosti, vyrabotannoj v konkretnoj organizacii.

Luchshaya proizvoditel'nost', luchshaya zashchita?

Kak i shlyuz prikladnogo urovnya, brandmauer ekspertnogo urovnya mozhet byt' skonfigurirovan dlya otbrakovki paketov, soderzhashchih opredelennye komandy, naprimer komandy Put i Get sluzhby FTP. Odnako, v otlichie ot shlyuzov prikladnogo urovnya, pri analize dannyh prikladnogo urovnya takoj brandmauer ne narushaet klient-servernoj modeli vzaimodejstviya v seti.

SHlyuz prikladnogo urovnya ustanavlivaet dva soedineniya: odno - mezhdu avtorizovannym klientom i shlyuzom, vtoroe - mezhdu shlyuzom i vneshnim hostom. Posle etogo on prosto peresylaet informaciyu mezhdu etimi dvumya soedineniyami. Nesmotrya na vysokij uroven' zashchity, obespechivaemyj podobnymi shlyuzami, takaya shema mozhet skazat'sya na proizvoditel'nosti raboty. V protivopolozhnost' etomu brandmauery ekspertnogo urovnya dopuskayut pryamye soedineniya mezhdu klientami i vneshnimi hostami. Dlya obespecheniya zashchity takie brandmauery perehvatyvayut i analiziruyut kazhdyj paket na prikladnom urovne modeli OSI. Vmesto primeneniya svyazannyh s prilozheniyami programm-posrednikov, brandmauery ekspertnogo urovnya ispol'zuyut special'nye algoritmy raspoznavaniya i obrabotki dannyh na urovne prilozhenij. S pomoshch'yu etih algoritmov pakety sravnivayutsya s izvestnymi shablonami dannyh, chto, teoreticheski, dolzhno obespechit' bolee effektivnuyu fil'traciyu paketov.

Poskol'ku brandmauery ekspertnogo urovnya dopuskayut pryamoe soedinenie mezhdu avtori-zovannym klientom i vneshnim hostom, nekotorye utverzhdayut, chto brandmauery etoj kategorii obespechivayut menee vysokij uroven' zashchity, chem shlyuzy prikladnogo urovnya. Drugie zhe priderzhivayutsya protivopolozhnogo mneniya.

Predstaviteli

Brandmauery ekspertnogo urovnya yavlyayutsya ochen' populyarnym resheniem dlya zashchity uzlov Internet i intrasetej, poskol'ku oni "prozrachny" dlya pol'zovatelej, rabotayut na samom vysokom urovne modeli OSI i ne trebuyut vneseniya izmenenij v klientskoe PO i ustanovleniya otdel'nyh posrednikov dlya kazhdoj zashchishchaemoj brandmauerom sluzhby. Odin iz samyh populyarnyh kommercheskih brandmauerov FireWall-1 kompanii Check Point Software Techno-logies yavlyaetsya imenno brandmauerom ekspertnogo urovnya. |tot produkt nachal postavlyat'sya v 1993 g., i sejchas ego dolya na rynke brandmauerov sostavlyaet okolo 40%.

Drugoj vedushchij brandmauer ekspertnogo urovnya - ON Guard kompanii ON Technology. Razrabotannyj special'no dlya zashchity setej NetWare 3.11, 3.12 i 4.h, brandmauer ON Guard rabotaet na standartnyh PK s processorom Intel 486 i vyshe. Poskol'ku ON Guard mozhet fil'trovat' kak IP-, tak i IPX-pakety, ego mozhno ispol'zovat' i dlya zashchity seti NetWare ot IP-trafika, postupayushchego iz Internet ili intraseti, a takzhe dlya zashchity otdel'nyh serverov NetWare ot vnutrennego "neavtorizovannogo" IPX-trafika. Odnoj iz sil'nyh storon produkta ON Guard yavlyaetsya ispol'zovanie 32-bitnoj operacionnoj sistemy Secure32OS, special'no razrabotannoj kompaniej ON Technology dlya etogo brandmauera. Dannaya OS yavlyaetsya znachitel'no bolee zashchishchennoj, chem universal'nye OS, takie kak UNIX i Windows NT.

ON Guard, kak i drugie brandmauery prikladnogo i ekspertnogo urovnej, obespechivaet horoshuyu zashchitu vnutrennej seti ot hakerskih napadenij tipa spoofing, besporyadochnogo skanirovaniya IP-adresov i blokirovki sluzhb (denial-of-service). Napadeniya poslednego tipa zaklyuchayutsya v perepolnenii servera zaprosami zloumyshlennika, chto delaet ego nedostupnym dlya drugih pol'zovatelej.

Moj dom - moya krepost'

Brandmauery ekspertnogo urovnya obespechivayut odin iz samyh vysokih na segodnyashnij den' urovnej zashchity korporativnyh setej, i, po utverzhdeniyu specialistov, obmanut' ih ochen' ne prosto. Tem ne menee, ne stoit zabyvat', chto dazhe eti nadezhnye brandmauery ne obespechivayut 100%-noj bezopasnosti. Tak stoit li voobshche ustanavlivat' brandmauer? |to nuzhno delat' po toj zhe prichine, po kotoroj vy ustanavlivaete zamok na svoyu vhodnuyu dver', nesmotrya na to, chto ni odin zamok ne mozhet garantirovat' polnoj zashchity. Ostaviv svoyu set' bez brandmauera, vy prosto ostavlyaete dver' otkrytoj. Tak chto "dumajte sami, reshajte sami...".


Stat'ya podgotovlena nauchnym redaktorom zhurnala "Seti" Igorem Kovalerchikom po materialam zhurnala NetWare Connection, izdavaemogo mezhdunarodnoj associaciej NetWare Users International.

Glossarij

SHLYUZ PRIKLADNOGO UROVNYA (APPLICATION-LEVEL GATEWAY) isklyuchaet pryamoe vzaimodejstvie mezhdu avtorizovannym klientom i vneshnim hostom. SHlyuz fil'truet vse vhodyashchie i ishodyashchie pakety na prikladnom urovne modeli OSI. Svyazannye s prilozheniyami programmy-posredniki perenapravlyayut cherez shlyuz informaciyu, generiruemuyu konkretnymi servisami TCP/IP.

HOST-BASTION (BASTION HOST) - komp'yuter-shlyuz, na kotorom rabotaet programmnoe obespechenie brandmauera i kotoryj ustanavlivaetsya mezhdu vnutrennej i vneshnej setyami. Host-bastionami yavlyayutsya shlyuzy seansovogo i prikladnogo urovnya, a takzhe brandmauery ekspertnogo urovnya.

SHLYUZ SEANSOVOGO UROVNYA (CIRCUIT-LEVEL GATEWAY) isklyuchaet pryamoe vzaimodejstvie mezhdu avtorizovannym klientom i vneshnim hostom. On prinimaet zapros doverennogo klienta na opredelennye uslugi i, posle proverki dopustimosti zaproshennogo seansa, ustanavlivaet soedinenie s vneshnim hostom. Posle etogo shlyuz prosto kopiruet pakety v oboih napravleniyah, ne osushchestvlyaya ih fil'tracii.

DVUDOMNYJ SHLYUZ (DUAL-HOMED GATEWAY) - komp'yuter, na kotorom rabotaet programmnoe obespechenie brandmauera i kotoryj imeet dve setevye interfejsnye platy: odna podklyuchena k vnutrennej seti, a drugaya - k vneshnej. SHlyuz peredaet informaciyu iz odnoj seti v druguyu, isklyuchaya pryamoe vzaimodejstvie mezhdu nimi. SHlyuzy seansovogo i prikladnogo urovnya otnosyatsya k dvudomnym shlyuzam.

BRANDMAU|R (FIREWALL) yavlyaetsya zashchitnym bar'erom, sostoyashchim iz neskol'kih komponentov (naprimer, marshrutizatora ili shlyuza, na kotorom rabotaet programmnoe obespechenie brandmauera). Brandmauer konfiguriruetsya v sootvetstvii s prinyatoj v organizacii politikoj kontrolya dostupa k vnutrennej seti. Vse vhodyashchie i ishodyashchie pakety dolzhny prohodit' cherez brandmauer, kotoryj propuskaet tol'ko avtorizovannye pakety.

BRANDMAU|R S FILXTRACIEJ PAKETOV (PACKET-FILTERING FIREWALL) yavlyaetsya marshrutizatorom ili komp'yuterom, na kotorom rabotaet programmnoe obespechenie, skonfigurirovannoe takim obrazom, chtoby otbrakovyvat' opredelennye vidy vhodyashchih i ishodyashchih paketov. Fil'traciya paketov osushchestvlyaetsya na osnove informacii, soderzhashchejsya v TCP- i IP- zagolovkah paketov (adresa otpravitelya i poluchatelya, ih nomera portov i dr.).

POSREDNIK (PROXY) - prilozhenie, vypolnyaemoe na shlyuze, kotoroe peredaet pakety mezhdu avtorizovannym klientom i vneshnim hostom. Posrednik prinimaet zaprosy ot klienta na opredelennye servisy Internet, a zatem, dejstvuya ot imeni etogo klienta (t.e. vystupaya ego posrednikom), ustanavlivaet soedinenie dlya polucheniya zaproshennogo servisa. Vse shlyuzy prikladnogo urovnya ispol'zuyut svyazannye s prilozheniyami programmy-posredniki. Bol'shinstvo shlyuzov seansovogo urovnya ispol'zuyut kanal'nye posredniki, kotorye obespechivayut te zhe funkcii perenapravleniya zaprosov, no podderzhivayut bol'shuyu chast' servisov TCP/IP.

SERVER-POSREDNIK (PROXY SERVER) - brandmauer, v kotorom dlya preobrazovaniya IP-adresov vseh avtorizovannyh klientov v IP-adresa, associirovannye s brandmauerom, ispol'zuetsya process, nazyvaemyj translyaciej adresov (address translation).

BRANDMAU|R |KSPERTNOGO UROVNYA (STATEFUL INSPECTION FIREWALL) proveryaet soderzhimoe prinimaemyh paketov na treh urovnyah modeli OSI - setevom, seansovom i prikladnom. Dlya vypolneniya etoj zadachi ispol'zuyutsya special'nye algoritmy fil'tracii paketov, s pomoshch'yu kotoryh kazhdyj paket sravnivaetsya s izvestnym shablonom avtorizovannyh paketov.


"Vrozhdennye slabosti"

Problemy zashchity informacii yavlyayutsya "vrozhdennymi" prakticheski dlya vseh protokolov i sluzhb Internet.

Sistema imen domenov (Domain Name System - DNS) predstavlyaet soboj raspredelennuyu bazu dannyh, kotoraya preobrazuet imena pol'zovatelej i hostov v IP-adresa i naoborot. DNS takzhe hranit informaciyu o strukture seti kompanii, naprimer kolichestve komp'yuterov s IP-adresami v kazhdom domene. Odnoj iz problem DNS yavlyaetsya to, chto etu bazu dannyh ochen' trudno "skryt'" ot neavtorizovannyh pol'zovatelej. V rezul'tate, DNS chasto ispol'zuetsya hakerami kak istochnik informacii ob imenah doverennyh hostov.

FTP (File Transfer Protocol) obespechivaet peredachu tekstovyh i dvoichnyh fajlov, poetomu ego chasto ispol'zuyut v Internet dlya organizacii sovmestnogo dostupa k informacii. Na FTP-serverah hranyatsya dokumenty, programmy, grafika i lyubye drugie vidy informacii. Nekotorye FTP-servery ogranichivayut dostup pol'zovatelej k svoim arhivam dannyh s pomoshch'yu parolya, drugie zhe predostavlyayut svobodnyj dostup (tak nazyvaemyj anonimnyj FTP-servis). Esli vy ispol'zuete opciyu anonimnogo FTP dlya svoego servera, to dolzhny byt' uvereny, chto na nem hranyatsya tol'ko fajly, prednaznachennye dlya svobodnogo rasprostraneniya.

Sendmail - populyarnaya v Internet programma elektronnoj pochty, ispol'zuyushchaya dlya svoej raboty nekotoruyu setevuyu informaciyu, takuyu kak IP-adres otpravitelya. Perehvatyvaya soobshcheniya, otpravlyaemye s pomoshch'yu Sendmail, hakery mogut ispol'zovat' etu informaciyu dlya napadenij, naprimer dlya spufinga (podmeny adresov).

SMTP (Simple Mail Transfer Protocol) - protokol, pozvolyayushchij osushchestvlyat' pochtovuyu transportnuyu sluzhbu Internet. Odna iz problem bezopasnosti, svyazannaya s etim protokolom, sostoit v tom, chto pol'zovatel' ne mozhet proverit' adres otpravitelya v zagolovke soobshcheniya elektronnoj pochty. V rezul'tate haker mozhet poslat' v vashu set' bol'shoe kolichestvo pochtovyh soobshchenij, chto privedet k peregruzke i blokirovaniyu raboty vashego pochtovogo servera.

Telnet - servis Internet, pri osushchestvlenii kotorogo pol'zovateli dolzhny registrirovat'sya na servere Telnet, vvodya svoe imya i parol'. Posle autentifikacii pol'zovatelya ego rabochaya stanciya funkcioniruet v rezhime "tupogo" terminala, podklyuchennogo k vneshnemu hostu. S etogo terminala pol'zovatel' mozhet vvodit' komandy, kotorye obespechivayut emu dostup k fajlam i vozmozhnost' zapuska programm. Podklyuchivshis' k serveru Telnet, haker mozhet skonfigurirovat' ego programmu takim obrazom, chtoby ona zapisyvala imena i paroli pol'zovatelej.

TCP/IP - nabor protokolov, ispol'zuemyj v Internet i intrasetyah dlya peredachi paketov mezhdu komp'yuterami. V zagolovkah paketov peredaetsya informaciya, kotoraya mozhet podvergnut'sya napadeniyam hakerov. Naprimer, haker mozhet podmenit' adres otpravitelya v svoih "zlovrednyh" paketah, posle chego oni budut vyglyadet' kak pakety, peredavaemye avtorizovannym klientom.

World Wide Web (WWW) - sistema, osnovannaya na setevyh prilozheniyah, kotorye dayut vozmozhnost' pol'zovatelyam prosmatrivat' soderzhimoe razlichnyh serverov v Internet ili intrasetyah. Samym poleznym svojstvom WWW yavlyaetsya ispol'zovanie gipertekstovyh dokumentov, v kotorye vstroeny ssylki na drugie dokumenty i Web-uzly, chto daet pol'zovatelyam vozmozhnost' legko perehodit' ot odnogo uzla k drugomu. Odnako eto zhe svojstvo yavlyaetsya i naibolee slabym mestom sistemy WWW, poskol'ku ssylki na Web-uzly, hranyashchiesya v gipertekstovyh dokumentah, vklyuchayut v sebya informaciyu o tom, kak osushchestvlyaetsya dostup k sootvetstvuyushchim uzlam. Ispol'zuya etu informaciyu, hakery mogut razrushit' Web-uzel ili poluchit' dostup k hranyashchejsya na nem konfidencial'noj informacii.


Rekomendacii specialistov

Amerikanskaya Nacional'naya associaciya po komp'yuternoj bezopasnosti (NCSA) rekomenduet, chtoby politika setevoj zashchity kazhdoj kompanii sostoyala iz dvuh komponentov: politiki dostupa k setevym servisam i politiki realizacii brandmauerov.

V sootvetstvii s politikoj dostupa k setevym servisam opredelyaetsya spisok servisov Internet, k kotorym pol'zovateli dolzhny imet' ogranichennyj dostup. Takzhe opredelyayutsya ogranicheniya na metody dostupa, naprimer na ispol'zovanie protokolov SLIP (Serial Line Internet Protocol) i PPP (Point-to-Point Protocol). Ogranicheniya metodov dostupa neobhodimy dlya togo, chtoby pol'zovateli ne mogli obrashchat'sya k "zapreshchennym" servisam Internet obhodnymi putyami. Naprimer, esli dlya ogranicheniya dostupa v Internet vy ustanavlivaete special'nyj shlyuz, kotoryj ne daet vozmozhnosti pol'zovatelyam rabotat' v sisteme WWW, oni mogut ustanavlivat' s Web-serverami PPP-soedineniya po kommutiruemoj linii.

Politika dostupa k setevym servisam dolzhna osnovyvat'sya na odnom iz sleduyushchih principov.

V sootvetstvii s politikoj realizacii brandmauerov opredelyayutsya pravila dostupa k resursam vnutrennej seti kompanii. Prezhde vsego neobhodimo ponyat', naskol'ko "doveritel'noj" ili "podozritel'noj" dolzhna byt' sistema zashchity. Inymi slovami, pravila dostupa k vnutrennim resursam dolzhny bazirovat'sya na odnom iz sleduyushchih principov.

Realizaciya brandmauera na osnove pervogo principa obespechivaet znachitel'no bol'shuyu zashchishchennost'. Odnako pravila, sozdannye v sootvetstvii s etim principom, mogut dostavlyat' bol'shie neudobstva pol'zovatelyam, a krome togo, ih realizaciya obojdetsya znachitel'no dorozhe. Pri realizacii vtorogo principa vasha set' okazhetsya menee zashchishchennoj ot napadenij hakerov, odnako pol'zovat'sya ej budet udobnee i potrebuetsya men'she zatrat.


Vstroennye "linii oborony" sistemy IntranetWare

Nedavno vypushchennaya kompaniej Novell sistema IntranetWare prednaznachena dlya kompanij, kotorye sobirayutsya ispol'zovat' Internet i intraseti dlya rasprostraneniya informacii i obespecheniya dostupa k nej. IntranetWare vklyuchaet v sebya NetWare 4.11, Novell Web Server, Netscape Navigator, NetWare MultiProtocol Router (MPR) i IPX/IP Gateway. MPR i shlyuz IPX/IP obespechivayut dve linii oborony ot nesankcionirovannogo dostupa k vnutrennej seti iz Internet ili iz korporativnoj intraseti.

NetWare MPR - marshrutizator s fil'traciej paketov - obespechivaet pervuyu liniyu oborony dlya seti na baze IntranetWare. Ispol'zuya zagruzhaemyj modul' FILTCFG.NLM (utilitu, rabotayushchuyu na servere MPR), mozhno skonfigurirovat' marshrutizator takim obrazom, chtoby on fil'troval vhodyashchie i ishodyashchie pakety v sootvetstvii s IP-adresami i nomerami portov otpravitelya i poluchatelya. NetWare MPR mozhet takzhe fil'trovat' pakety, generiruemye FTP, HTTP i Telnet.

SHlyuz IPX/IP - estestvennyj brandmauer, obespechivashchij vtoruyu liniyu oborony dlya setej IntranetWare. Osnovnoe naznachenie etogo shlyuza zaklyuchaetsya v tom, chtoby dat' vozmozhnost' IPX-klientam ispol'zovat' servisy Internet i intraseti, ne ustanavlivaya na ih komp'yuterah stek protokolov TCP/IP. Vmesto etogo fajl WINSOCK.DLL na klientskoj mashine "vkladyvaet" pakety TCP v pakety IPX (a ne IP). Pered peredachej paketov na vneshnij host shlyuz IPX/IP udalyaet iz nih IPX-zagolovki i zamenyaet ih IP-zagolovkami. "S tochki zreniya" vneshnego hosta, vse pakety, peredavaemye iz dannoj seti, imeyut edinyj IP-adres shlyuza, blagodarya chemu osushchestvlyaetsya effektivnaya zashchita ot vneshnego hosta seti IntranetWare.

"Prozrachnaya" zashchita. Fajl WINSOCK.DLL delaet rabotu shlyuza IPX/IP "prozrachnoj" dlya pol'zovatelej. Pri rabote s brauzerom Netscape Navigator pol'zovatelyu dostatochno vvesti imya hosta, naprimer www.novell.com. Vse dejstviya po preobrazovaniyu imeni v real'nyj IP-adres vypolnyayutsya shlyuzom IPX/IP i DNS, posle chego shlyuz ustanavlivaet ot imeni pol'zovatelya soedinenie s vneshnim hostom i v processe obmena informaciej zamenyaet IPX-zagolovki na IP i naoborot.

Ogranichenie ishodyashchego trafika. SHlyuz IPX/IP takzhe imeet vstroennyj mehanizm kontrolya dostupa. Setevoj administrator mozhet ogranichivat' ishodyashchie pakety v sootvetstvii s IP-adresami hostov ili nomerami portov opredelennyh servisov Internet. Naprimer, mozhno zapretit' dostup otdel'nym pol'zovatelyam ili gruppam pol'zovatelej k Web-serveru (servis HTTP, port 80) v intervale mezhdu 13:00 i 17:00 chasami.

Napadeniya na seti IPX byvayut tol'ko v teorii. SHlyuzy IPX/IP (takie kak IPX/IP Gateway kompanii Novell, Iware Connect kompanii Quarterdeck i NOV*IX for Internet kompanii FTP Software) yavlyayutsya estestvennymi brandmauerami. Oni vsegda dejstvuyut ot imeni avtorizovannogo klienta, zaprashivaya sluzhby v IP-setyah, i takim obrazom, zashchishchayut ego ot napadenij iz vneshnej seti. Teoreticheski kakoj-nibud' upornyj haker mozhet najti sposob obmanut' takoj brandmauer, odnako na segodnyashnij den' podobnyh napadenij ne zafiksirovano.


Novye sredstva zashchity dlya dostupa v Internet kompanii Novell

Novell prodolzhaet sovershenstvovat' svoi tehnologii zashchity dlya setej na baze IntranetWare. Novaya razrabotka Novell, poluchivshaya nazvanie IntranetWare Border Services, obespechivaet kesh-posrednikov (proxy cache), sluzhby virtual'noj chastnoj seti (Virtual Private Network - VPN) i sluzhby bezopasnosti.

Kesh-posredniki hranyat chasto zaprashivaemye HTML-stranicy v lokal'nom keshe, obespechivaya znachitel'no bolee bystruyu dostavku informacii, chem v teh sluchayah, kogda ne ispol'zuetsya keshirovanie. Sluzhby VPN pozvolyayut sozdat' kanal kontroliruemoj shifrovannoj svyazi s Internet, garantiruya konfidencial'nost' paketov, peredavaemyh po etomu kanalu. Takim obrazom, kompanii poluchayut vozmozhnost' sozdavat' zashchishchennye chastnye seti, soedinennye cherez Internet. V VPN ispol'zuetsya special'nyj metod shifrovaniya, osnovannyj na 40-bitnoj realizacii kriptograficheskogo algoritma RC2. |tot algoritm obespechivaet priemlemuyu proizvoditel'nost' raboty na WAN-kanalah i mozhet vypolnyat'sya v simmetrichnyh mul'tiprocessornyh sistemah, chto pozvolyaet povysit' skorost' shifrovaniya dannyh. Sluzhby bezopasnosti vklyuchayut v sebya fil'traciyu paketov, shlyuz seansovogo urovnya, programmu-posrednika HTTP prikladnogo urovnya i ispol'zuyut tehnologii translyacii adresov.

Fil'traciya paketov

Ispol'zuya IntranetWare Border Service, mozhno fil'trovat' i registrirovat' sleduyushchuyu informaciyu, soderzhashchuyusya v paketah:

SHlyuz seansovogo urovnya

|tot shlyuz podderzhivaet IPX- i IP-klientov, ispol'zuyushchih sootvetstvuyushchie steki protokolov. Vnachale shlyuz ustanavlivaet kontrol'noe soedinenie s klientom, kotoryj pytaetsya iniciirovat' seans svyazi s udalennym hostom. Zatem on zaprashivaet informaciyu v setevom kataloge (NDS - Novell Directory Services), chtoby opredelit', imeet li dannyj pol'zovatel' sootvetstvuyushchie polnomochiya. Esli pol'zovatel' okazyvaetsya avtorizovannym, shlyuz ustanavlivaet soedinenie s hostom, a zatem kopiruet i perenapravlyaet postupayushchie pakety. Poskol'ku shlyuz ispol'zuet informaciyu, hranyashchuyusya v baze dannyh NDS, administrator mozhet ispol'zovat' NDS dlya ogranicheniya prav dostupa pol'zovatelej k Internet tochno tak zhe, kak eto delaetsya dlya lokal'noj seti. S pomoshch'yu utility NetWare Administrator, mozhno zadat' prava dostupa konkretnogo pol'zovatelya ili gruppy pol'zovatelej k otdel'nym servisam Internet (naprimer, FTP, HTTP ili Telnet), hostam ili domenam. Mozhno takzhe zadavat' ogranicheniya po vremeni dostupa, naprimer ukazat', chto gruppa Everyone ne imeet prava obrashchat'sya k hostu ABCD s 8 utra do 5 vechera, t. e. v techenie rabochego dnya.

Posrednik HTTP

Posrednik HTTP yavlyaetsya shlyuzom prikladnogo urovnya, kotoryj fil'truet HTTP-pakety. Kak i shlyuz seansovogo urovnya, pered ustanovleniem soedineniya s udalennym hostom posrednik HTTP ispol'zuet informaciyu v NDS, chtoby proverit' polnomochiya pol'zovatelya na zaprashivaemyj seans svyazi. Posle ustanovleniya soedineniya posrednik HTTP kopiruet, perenapravlyaet i fil'truet postupayushchie pakety. Pri etom on zamenyaet adresa otpravitelej v ishodyashchih paketah svoim sobstvennym IP-adresom, "maskiruya" adresa klientov i serverov, otpravivshih eti pakety.

Translyaciya adresov

IntranetWare Border Services takzhe obespechivaet translyaciyu setevyh adresov dlya takih sistem, kak Macintosh i UNIX, kotorye ne mogut ispol'zovat' steki protokolov, neobhodimye dlya raboty shlyuzov seansovogo i prikladnogo urovnej. Krome togo, obespechivaetsya translyaciya adresov kak dlya IPX-, tak i dlya IP-paketov. Translyaciya adresov IPX pozvolyaet preobrazovat' vse IPX-adresa otpravitelej v edinyj setevoj adres IPX, chto daet vozmozhnost' ispol'zovat' dubliruyushchiesya adresa IPX-klientov, otnosyashchiesya k raznym virtual'nym setyam.

Translyaciya IP-adresov mozhet byt' kak dinamicheskoj, tak i staticheskoj. Pri dinamicheskoj translyacii vse ishodnye IP-adresa preobrazuyutsya v edinyj IP-adres, effektivno "maskiruya" real'nye IP-adresa klientov i serverov vnutrennej seti, osushchestvlyayushchih dostup k Internet (bez ispol'zovaniya shlyuza seansovogo urovnya i posrednika HTTP). Pri staticheskoj translyacii otdel'nye adresa preobrazuyutsya fiksirovannye IP-adresa, chto pozvolyaet obespechit' dostup iz Internet k resursam intraseti, naprimer, k Web - ili FTP-serveram.


Nadezhnye istochniki

Bolee podrobnuyu informaciyu o brandmauerah vy mozhete najti na sleduyushchih serverah v Internet.

FTP://INFO.CERT.ORG ili HTTP://WWW.CERT.ORG

Direktoriya /pub/cert_advisories soderzhit spisok rekomendacij Koordinacionnogo centra CERT, kasayushchihsya resheniya izvestnyh problem setevoj bezopasnosti. Na etom uzle mozhno takzhe najti preduprezhdeniya o vozmozhnyh napadeniyah v Internet.

HTTP://WWW.NCSA.COM

Uzel amerikanskoj Nacional'noj associacii po komp'yuternoj bezopasnosti (NCSA) soderzhit rukovodstvo po politike realizacii brandmauerov (Firewall Policy Guide). Na etom uzle takzhe mozhno najti spisok brandmauerov, sertificirovannyh NCSA, i ssylki na drugie Web-uzly, soderzhashchie bolee podrobnuyu informaciyu ob etih brandmauerah. NCSA zanimaetsya testirovaniem produktov s cel'yu vyyasneniya ih funkcional'nyh vozmozhnostej i effektivnosti zashchity ot tipovyh napadenij. K produktam, imeyushchim sertifikat NCSA, otnosyatsya FireWall-1 kompanii Check Point Software Technologies, ON Guard kompanii ON Technology i Gauntlet Internet Firewall kompanii Trusted Information Systems.

HTTP://WWW.OUTLINK.COM

Outlink - issledovatel'skaya kompaniya, specializiruyushchayasya na informacionnoj bezopasnosti i vypuskayushchaya byulleten' The Firewall Report, kotoryj pomozhet vam byt' v kurse vseh novyh tehnologij, produktov i uslug v oblasti zashchity informacii. |tot byulleten' soderzhit unificirovannye tehnicheskie opisaniya 20 luchshih brandmauerov dlya Internet i intrasetej, a takzhe neobhodimye svedeniya ob ih postavshchikah.

HTTP://WWW.TELSTRA.COM.AU/PUB/DOCS/SECURITY

|tot uzel soderzhit ssylki na dokumenty, napisannye priznannymi ekspertami v oblasti bezopasnosti Internet.

FTP://FTP.GREATCIRCLE.COM/PUB/FIREWALLS

Na etom uzle vy smozhete najti otvety na chasto zadavaemye voprosy po povodu brandmauerov. On takzhe soderzhit ssylki na knigi i drugie publikacii, posvyashchennye brandmaueram.

HTTP://CS-WWW.NCSL.NIST.GOV

|tot uzel prinadlezhit Nacional'nomu institutu standartov SSHA i soderzhit mnogo ssylok na Web-uzly, soderzhashchie svedeniya po informacionnoj bezopasnosti.


Seti · #2/97
Bottom Line


Last-modified: Sat, 12 Jul 1997 11:55:01 GMT
Ocenite etot tekst: