BRANDMAU|R |KSPERTNOGO UROVNYA (STATEFUL INSPECTION FIREWALL) proveryaet soderzhimoe prinimaemyh paketov na treh urovnyah modeli OSI - setevom, seansovom i prikladnom. Dlya vypolneniya etoj zadachi ispol'zuyutsya special'nye algoritmy fil'tracii paketov, s pomoshch'yu kotoryh kazhdyj paket sravnivaetsya s izvestnym shablonom avtorizovannyh paketov.
Problemy zashchity informacii yavlyayutsya "vrozhdennymi" prakticheski dlya vseh protokolov i sluzhb Internet.
Sistema imen domenov (Domain Name System - DNS) predstavlyaet soboj raspredelennuyu bazu dannyh, kotoraya preobrazuet imena pol'zovatelej i hostov v IP-adresa i naoborot. DNS takzhe hranit informaciyu o strukture seti kompanii, naprimer kolichestve komp'yuterov s IP-adresami v kazhdom domene. Odnoj iz problem DNS yavlyaetsya to, chto etu bazu dannyh ochen' trudno "skryt'" ot neavtorizovannyh pol'zovatelej. V rezul'tate, DNS chasto ispol'zuetsya hakerami kak istochnik informacii ob imenah doverennyh hostov.
FTP (File Transfer Protocol) obespechivaet peredachu tekstovyh i dvoichnyh fajlov, poetomu ego chasto ispol'zuyut v Internet dlya organizacii sovmestnogo dostupa k informacii. Na FTP-serverah hranyatsya dokumenty, programmy, grafika i lyubye drugie vidy informacii. Nekotorye FTP-servery ogranichivayut dostup pol'zovatelej k svoim arhivam dannyh s pomoshch'yu parolya, drugie zhe predostavlyayut svobodnyj dostup (tak nazyvaemyj anonimnyj FTP-servis). Esli vy ispol'zuete opciyu anonimnogo FTP dlya svoego servera, to dolzhny byt' uvereny, chto na nem hranyatsya tol'ko fajly, prednaznachennye dlya svobodnogo rasprostraneniya.
Sendmail - populyarnaya v Internet programma elektronnoj pochty, ispol'zuyushchaya dlya svoej raboty nekotoruyu setevuyu informaciyu, takuyu kak IP-adres otpravitelya. Perehvatyvaya soobshcheniya, otpravlyaemye s pomoshch'yu Sendmail, hakery mogut ispol'zovat' etu informaciyu dlya napadenij, naprimer dlya spufinga (podmeny adresov).
SMTP (Simple Mail Transfer Protocol) - protokol, pozvolyayushchij osushchestvlyat' pochtovuyu transportnuyu sluzhbu Internet. Odna iz problem bezopasnosti, svyazannaya s etim protokolom, sostoit v tom, chto pol'zovatel' ne mozhet proverit' adres otpravitelya v zagolovke soobshcheniya elektronnoj pochty. V rezul'tate haker mozhet poslat' v vashu set' bol'shoe kolichestvo pochtovyh soobshchenij, chto privedet k peregruzke i blokirovaniyu raboty vashego pochtovogo servera.
Telnet - servis Internet, pri osushchestvlenii kotorogo pol'zovateli dolzhny registrirovat'sya na servere Telnet, vvodya svoe imya i parol'. Posle autentifikacii pol'zovatelya ego rabochaya stanciya funkcioniruet v rezhime "tupogo" terminala, podklyuchennogo k vneshnemu hostu. S etogo terminala pol'zovatel' mozhet vvodit' komandy, kotorye obespechivayut emu dostup k fajlam i vozmozhnost' zapuska programm. Podklyuchivshis' k serveru Telnet, haker mozhet skonfigurirovat' ego programmu takim obrazom, chtoby ona zapisyvala imena i paroli pol'zovatelej.
TCP/IP - nabor protokolov, ispol'zuemyj v Internet i intrasetyah dlya peredachi paketov mezhdu komp'yuterami. V zagolovkah paketov peredaetsya informaciya, kotoraya mozhet podvergnut'sya napadeniyam hakerov. Naprimer, haker mozhet podmenit' adres otpravitelya v svoih "zlovrednyh" paketah, posle chego oni budut vyglyadet' kak pakety, peredavaemye avtorizovannym klientom.
World Wide Web (WWW) - sistema, osnovannaya na setevyh prilozheniyah, kotorye dayut vozmozhnost' pol'zovatelyam prosmatrivat' soderzhimoe razlichnyh serverov v Internet ili intrasetyah. Samym poleznym svojstvom WWW yavlyaetsya ispol'zovanie gipertekstovyh dokumentov, v kotorye vstroeny ssylki na drugie dokumenty i Web-uzly, chto daet pol'zovatelyam vozmozhnost' legko perehodit' ot odnogo uzla k drugomu. Odnako eto zhe svojstvo yavlyaetsya i naibolee slabym mestom sistemy WWW, poskol'ku ssylki na Web-uzly, hranyashchiesya v gipertekstovyh dokumentah, vklyuchayut v sebya informaciyu o tom, kak osushchestvlyaetsya dostup k sootvetstvuyushchim uzlam. Ispol'zuya etu informaciyu, hakery mogut razrushit' Web-uzel ili poluchit' dostup k hranyashchejsya na nem konfidencial'noj informacii.
Amerikanskaya Nacional'naya associaciya po komp'yuternoj bezopasnosti (NCSA) rekomenduet, chtoby politika setevoj zashchity kazhdoj kompanii sostoyala iz dvuh komponentov: politiki dostupa k setevym servisam i politiki realizacii brandmauerov.
V sootvetstvii s politikoj dostupa k setevym servisam opredelyaetsya spisok servisov Internet, k kotorym pol'zovateli dolzhny imet' ogranichennyj dostup. Takzhe opredelyayutsya ogranicheniya na metody dostupa, naprimer na ispol'zovanie protokolov SLIP (Serial Line Internet Protocol) i PPP (Point-to-Point Protocol). Ogranicheniya metodov dostupa neobhodimy dlya togo, chtoby pol'zovateli ne mogli obrashchat'sya k "zapreshchennym" servisam Internet obhodnymi putyami. Naprimer, esli dlya ogranicheniya dostupa v Internet vy ustanavlivaete special'nyj shlyuz, kotoryj ne daet vozmozhnosti pol'zovatelyam rabotat' v sisteme WWW, oni mogut ustanavlivat' s Web-serverami PPP-soedineniya po kommutiruemoj linii.
Politika dostupa k setevym servisam dolzhna osnovyvat'sya na odnom iz sleduyushchih principov.
V sootvetstvii s politikoj realizacii brandmauerov opredelyayutsya pravila dostupa k resursam vnutrennej seti kompanii. Prezhde vsego neobhodimo ponyat', naskol'ko "doveritel'noj" ili "podozritel'noj" dolzhna byt' sistema zashchity. Inymi slovami, pravila dostupa k vnutrennim resursam dolzhny bazirovat'sya na odnom iz sleduyushchih principov.
Realizaciya brandmauera na osnove pervogo principa obespechivaet znachitel'no bol'shuyu zashchishchennost'. Odnako pravila, sozdannye v sootvetstvii s etim principom, mogut dostavlyat' bol'shie neudobstva pol'zovatelyam, a krome togo, ih realizaciya obojdetsya znachitel'no dorozhe. Pri realizacii vtorogo principa vasha set' okazhetsya menee zashchishchennoj ot napadenij hakerov, odnako pol'zovat'sya ej budet udobnee i potrebuetsya men'she zatrat.
Nedavno vypushchennaya kompaniej Novell sistema IntranetWare prednaznachena dlya kompanij, kotorye sobirayutsya ispol'zovat' Internet i intraseti dlya rasprostraneniya informacii i obespecheniya dostupa k nej. IntranetWare vklyuchaet v sebya NetWare 4.11, Novell Web Server, Netscape Navigator, NetWare MultiProtocol Router (MPR) i IPX/IP Gateway. MPR i shlyuz IPX/IP obespechivayut dve linii oborony ot nesankcionirovannogo dostupa k vnutrennej seti iz Internet ili iz korporativnoj intraseti.
NetWare MPR - marshrutizator s fil'traciej paketov - obespechivaet pervuyu liniyu oborony dlya seti na baze IntranetWare. Ispol'zuya zagruzhaemyj modul' FILTCFG.NLM (utilitu, rabotayushchuyu na servere MPR), mozhno skonfigurirovat' marshrutizator takim obrazom, chtoby on fil'troval vhodyashchie i ishodyashchie pakety v sootvetstvii s IP-adresami i nomerami portov otpravitelya i poluchatelya. NetWare MPR mozhet takzhe fil'trovat' pakety, generiruemye FTP, HTTP i Telnet.
SHlyuz IPX/IP - estestvennyj brandmauer, obespechivashchij vtoruyu liniyu oborony dlya setej IntranetWare. Osnovnoe naznachenie etogo shlyuza zaklyuchaetsya v tom, chtoby dat' vozmozhnost' IPX-klientam ispol'zovat' servisy Internet i intraseti, ne ustanavlivaya na ih komp'yuterah stek protokolov TCP/IP. Vmesto etogo fajl WINSOCK.DLL na klientskoj mashine "vkladyvaet" pakety TCP v pakety IPX (a ne IP). Pered peredachej paketov na vneshnij host shlyuz IPX/IP udalyaet iz nih IPX-zagolovki i zamenyaet ih IP-zagolovkami. "S tochki zreniya" vneshnego hosta, vse pakety, peredavaemye iz dannoj seti, imeyut edinyj IP-adres shlyuza, blagodarya chemu osushchestvlyaetsya effektivnaya zashchita ot vneshnego hosta seti IntranetWare.
"Prozrachnaya" zashchita. Fajl WINSOCK.DLL delaet rabotu shlyuza IPX/IP "prozrachnoj" dlya pol'zovatelej. Pri rabote s brauzerom Netscape Navigator pol'zovatelyu dostatochno vvesti imya hosta, naprimer www.novell.com. Vse dejstviya po preobrazovaniyu imeni v real'nyj IP-adres vypolnyayutsya shlyuzom IPX/IP i DNS, posle chego shlyuz ustanavlivaet ot imeni pol'zovatelya soedinenie s vneshnim hostom i v processe obmena informaciej zamenyaet IPX-zagolovki na IP i naoborot.
Ogranichenie ishodyashchego trafika. SHlyuz IPX/IP takzhe imeet vstroennyj mehanizm kontrolya dostupa. Setevoj administrator mozhet ogranichivat' ishodyashchie pakety v sootvetstvii s IP-adresami hostov ili nomerami portov opredelennyh servisov Internet. Naprimer, mozhno zapretit' dostup otdel'nym pol'zovatelyam ili gruppam pol'zovatelej k Web-serveru (servis HTTP, port 80) v intervale mezhdu 13:00 i 17:00 chasami.
Napadeniya na seti IPX byvayut tol'ko v teorii. SHlyuzy IPX/IP (takie kak IPX/IP Gateway kompanii Novell, Iware Connect kompanii Quarterdeck i NOV*IX for Internet kompanii FTP Software) yavlyayutsya estestvennymi brandmauerami. Oni vsegda dejstvuyut ot imeni avtorizovannogo klienta, zaprashivaya sluzhby v IP-setyah, i takim obrazom, zashchishchayut ego ot napadenij iz vneshnej seti. Teoreticheski kakoj-nibud' upornyj haker mozhet najti sposob obmanut' takoj brandmauer, odnako na segodnyashnij den' podobnyh napadenij ne zafiksirovano.
Novell prodolzhaet sovershenstvovat' svoi tehnologii zashchity dlya setej na baze IntranetWare. Novaya razrabotka Novell, poluchivshaya nazvanie IntranetWare Border Services, obespechivaet kesh-posrednikov (proxy cache), sluzhby virtual'noj chastnoj seti (Virtual Private Network - VPN) i sluzhby bezopasnosti.
Kesh-posredniki hranyat chasto zaprashivaemye HTML-stranicy v lokal'nom keshe, obespechivaya znachitel'no bolee bystruyu dostavku informacii, chem v teh sluchayah, kogda ne ispol'zuetsya keshirovanie. Sluzhby VPN pozvolyayut sozdat' kanal kontroliruemoj shifrovannoj svyazi s Internet, garantiruya konfidencial'nost' paketov, peredavaemyh po etomu kanalu. Takim obrazom, kompanii poluchayut vozmozhnost' sozdavat' zashchishchennye chastnye seti, soedinennye cherez Internet. V VPN ispol'zuetsya special'nyj metod shifrovaniya, osnovannyj na 40-bitnoj realizacii kriptograficheskogo algoritma RC2. |tot algoritm obespechivaet priemlemuyu proizvoditel'nost' raboty na WAN-kanalah i mozhet vypolnyat'sya v simmetrichnyh mul'tiprocessornyh sistemah, chto pozvolyaet povysit' skorost' shifrovaniya dannyh. Sluzhby bezopasnosti vklyuchayut v sebya fil'traciyu paketov, shlyuz seansovogo urovnya, programmu-posrednika HTTP prikladnogo urovnya i ispol'zuyut tehnologii translyacii adresov.
Ispol'zuya IntranetWare Border Service, mozhno fil'trovat' i registrirovat' sleduyushchuyu informaciyu, soderzhashchuyusya v paketah:
|tot shlyuz podderzhivaet IPX- i IP-klientov, ispol'zuyushchih sootvetstvuyushchie steki protokolov. Vnachale shlyuz ustanavlivaet kontrol'noe soedinenie s klientom, kotoryj pytaetsya iniciirovat' seans svyazi s udalennym hostom. Zatem on zaprashivaet informaciyu v setevom kataloge (NDS - Novell Directory Services), chtoby opredelit', imeet li dannyj pol'zovatel' sootvetstvuyushchie polnomochiya. Esli pol'zovatel' okazyvaetsya avtorizovannym, shlyuz ustanavlivaet soedinenie s hostom, a zatem kopiruet i perenapravlyaet postupayushchie pakety. Poskol'ku shlyuz ispol'zuet informaciyu, hranyashchuyusya v baze dannyh NDS, administrator mozhet ispol'zovat' NDS dlya ogranicheniya prav dostupa pol'zovatelej k Internet tochno tak zhe, kak eto delaetsya dlya lokal'noj seti. S pomoshch'yu utility NetWare Administrator, mozhno zadat' prava dostupa konkretnogo pol'zovatelya ili gruppy pol'zovatelej k otdel'nym servisam Internet (naprimer, FTP, HTTP ili Telnet), hostam ili domenam. Mozhno takzhe zadavat' ogranicheniya po vremeni dostupa, naprimer ukazat', chto gruppa Everyone ne imeet prava obrashchat'sya k hostu ABCD s 8 utra do 5 vechera, t. e. v techenie rabochego dnya.
Posrednik HTTP yavlyaetsya shlyuzom prikladnogo urovnya, kotoryj fil'truet HTTP-pakety. Kak i shlyuz seansovogo urovnya, pered ustanovleniem soedineniya s udalennym hostom posrednik HTTP ispol'zuet informaciyu v NDS, chtoby proverit' polnomochiya pol'zovatelya na zaprashivaemyj seans svyazi. Posle ustanovleniya soedineniya posrednik HTTP kopiruet, perenapravlyaet i fil'truet postupayushchie pakety. Pri etom on zamenyaet adresa otpravitelej v ishodyashchih paketah svoim sobstvennym IP-adresom, "maskiruya" adresa klientov i serverov, otpravivshih eti pakety.
IntranetWare Border Services takzhe obespechivaet translyaciyu setevyh adresov dlya takih sistem, kak Macintosh i UNIX, kotorye ne mogut ispol'zovat' steki protokolov, neobhodimye dlya raboty shlyuzov seansovogo i prikladnogo urovnej. Krome togo, obespechivaetsya translyaciya adresov kak dlya IPX-, tak i dlya IP-paketov. Translyaciya adresov IPX pozvolyaet preobrazovat' vse IPX-adresa otpravitelej v edinyj setevoj adres IPX, chto daet vozmozhnost' ispol'zovat' dubliruyushchiesya adresa IPX-klientov, otnosyashchiesya k raznym virtual'nym setyam.
Translyaciya IP-adresov mozhet byt' kak dinamicheskoj, tak i staticheskoj. Pri dinamicheskoj translyacii vse ishodnye IP-adresa preobrazuyutsya v edinyj IP-adres, effektivno "maskiruya" real'nye IP-adresa klientov i serverov vnutrennej seti, osushchestvlyayushchih dostup k Internet (bez ispol'zovaniya shlyuza seansovogo urovnya i posrednika HTTP). Pri staticheskoj translyacii otdel'nye adresa preobrazuyutsya fiksirovannye IP-adresa, chto pozvolyaet obespechit' dostup iz Internet k resursam intraseti, naprimer, k Web - ili FTP-serveram.
Bolee podrobnuyu informaciyu o brandmauerah vy mozhete najti na sleduyushchih serverah v Internet.
FTP://INFO.CERT.ORG ili HTTP://WWW.CERT.ORG
Direktoriya /pub/cert_advisories soderzhit spisok rekomendacij Koordinacionnogo centra CERT, kasayushchihsya resheniya izvestnyh problem setevoj bezopasnosti. Na etom uzle mozhno takzhe najti preduprezhdeniya o vozmozhnyh napadeniyah v Internet.
Uzel amerikanskoj Nacional'noj associacii po komp'yuternoj bezopasnosti (NCSA) soderzhit rukovodstvo po politike realizacii brandmauerov (Firewall Policy Guide). Na etom uzle takzhe mozhno najti spisok brandmauerov, sertificirovannyh NCSA, i ssylki na drugie Web-uzly, soderzhashchie bolee podrobnuyu informaciyu ob etih brandmauerah. NCSA zanimaetsya testirovaniem produktov s cel'yu vyyasneniya ih funkcional'nyh vozmozhnostej i effektivnosti zashchity ot tipovyh napadenij. K produktam, imeyushchim sertifikat NCSA, otnosyatsya FireWall-1 kompanii Check Point Software Technologies, ON Guard kompanii ON Technology i Gauntlet Internet Firewall kompanii Trusted Information Systems.
Outlink - issledovatel'skaya kompaniya, specializiruyushchayasya na informacionnoj bezopasnosti i vypuskayushchaya byulleten' The Firewall Report, kotoryj pomozhet vam byt' v kurse vseh novyh tehnologij, produktov i uslug v oblasti zashchity informacii. |tot byulleten' soderzhit unificirovannye tehnicheskie opisaniya 20 luchshih brandmauerov dlya Internet i intrasetej, a takzhe neobhodimye svedeniya ob ih postavshchikah.
HTTP://WWW.TELSTRA.COM.AU/PUB/DOCS/SECURITY
|tot uzel soderzhit ssylki na dokumenty, napisannye priznannymi ekspertami v oblasti bezopasnosti Internet.
FTP://FTP.GREATCIRCLE.COM/PUB/FIREWALLS
Na etom uzle vy smozhete najti otvety na chasto zadavaemye voprosy po povodu brandmauerov. On takzhe soderzhit ssylki na knigi i drugie publikacii, posvyashchennye brandmaueram.
|tot uzel prinadlezhit Nacional'nomu institutu standartov SSHA i soderzhit mnogo ssylok na Web-uzly, soderzhashchie svedeniya po informacionnoj bezopasnosti.
