Special'naya
publikaciya NIST 800-10
Dzhon Vek i Liza
Karnahan "Soderzhanie seti vashej
organizacii v bezopasnosti pri
rabote s Internetom( Vvedenie v
mezhsetevye ekrany(brandmauery))"
|tot dokument soderzhit
obzor problem, svyazannyh s
bezopasnost'yu v Internete. On takzhe
kratko opisyvaet vse komponenty
brandmauera i osnovnye prichiny,
privodyashchie k neobhodimosti
ispol'zovat' brandmauery.
Opisyvaetsya neskol'ko tipov
politik setevogo dostupa i
tehnicheskaya realizaciya etih
politik. V konce dokument soderzhit
bibliografiyu po dannoj teme.
Cel'yu etogo dokumenta
yavlyaetsya pomoshch' pol'zovatelyam
ponyat' prirodu problem, svyazannyh s
bezopasnost'yu v Internete, i to,
kakie tipy brandmauerov mogut
reshit' eti problemy. Pol'zovateli
mogut ispol'zovat' etot dokument
kak rukovodstvo pri proektirovanii
ili priobretenii brandmauera.
Predislovie
Internet - eto
ob容dinenie v masshtabe vsej
planety gruppy setej, kotoroe
ispol'zuet edinyj protokol dlya
peredachi dannyh. Bol'shoe chislo
organizacij sejchas prisoedinyayutsya
k Internetu dlya togo, chtoby
vospol'zovat'sya preimushchestvami i
resursami Interneta. Biznesmeny i
gosudarstvennye organizacii
ispol'zuyut Internet v samyh
razlichnyh celyah - vklyuchaya obmen
elektronnoj pochtoj,
rasprostranenie informacii sredi
zainteresovannyh lic i provedenie
issledovanij. Mnogie organizacii
segodnya prisoedinyayut sushchestvuyushchie
lokal'nye seti k Internetu , chtoby
rabochie stancii etih LVS mogli
poluchit' pryamoj dostup k servisam
Interneta.
Prisoedinenie k
Internetu mozhet dat' ogromnye
preimushchestva, hotya pri etom nuzhno
ser'ezno uchest' voprosy, svyazannye
s bezopasnost'yu soedineniya.
Sushchestvuyut dostatochno ser'eznye
riski bezopasnosti, svyazannye s
Internetom, kotorye zachastuyu
yavlyayutsya neochevidnymi dlya
pol'zovatelej-novichkov. V
chastnosti, v mire nablyudaetsya
deyatel'nost' zloumyshlennikov, pri
etom imeetsya mnogo uyazvimyh mest,
kotorye mogut ee oblegchit'.
Dejstviya zloumyshlennikov trudno
predskazat' i poroj ee byvaet
trudno obnaruzhit' i prekratit'.
Mnogie organizacii uzhe poteryali
mnogo vremeni i ponesli
znachitel'nye finansovye poteri
iz-za deyatel'nosti
zloumyshlennikov; nekotorym
organizaciyam byl nanesen uron ih
reputacii, kogda stalo izvestno o
proniknoveniyah v ih seti.
|ta publikaciya budet
rassmatrivat' voprosy, svyazannye s
bezopasnost'yu, kotorye nuzhno
uchest' kak organizaciyam,
sobirayushchimsya prisoedinit'sya k
Internetu , tak i organizaciyam, uzhe
prisoedinennym k Internetu. V
chastnosti, eto dokument podrobno
rassmatrivaet brandmauery dlya
Interneta, kak odin iz mehanizmov i
metodov, ispol'zuemyh dlya zashchity
vnutrennih setej ot ugroz,
svyazannyh s Internetom. |tot
dokument rekomenduet organizaciyam
ispol'zovat' tehnologiyu
brandmauerov i drugie, svyazannye s
nimi, sredstva, dlya fil'tracii
soedinenij i upravleniya dostupom v
seti.
Cel'
Cel' etogo dokumenta -
ob座asnit', kak rabotayut
brandmauery, i kakie shagi
neobhodimy dlya ih realizacii.
Pol'zovateli mogut ispol'zovat'
eto dokument kak pomoshch' pri
proektirovanii ili priobretenii
brandmauera.
Dlya kogo
napisana eta kniga
V-osnovnom, eta
publikaciya dlya tehnicheskih
administratorov, to est' dlya teh,
kto mozhet otvechat' za realizaciyu
ili podderzhanie soedinenij s
Internetom. Ona takzhe budet polezna
i dlya drugogo rukovodyashchego sostava,
kto hochet uznat' bol'she o
bezopasnosti soedineniya s
Internetom.
Predpolagaetsya znanie
nekotoryh osnov v oblastyah
komp'yuternoj bezopasnosti i setej
peredachi dannyh. Tem ne menee, etot
dokument yavlyaetsya vvedeniem; bolee
detal'naya informaciya o
behopasnosti v Internete i
brandmauerah mozhet byt' najdena v
literature, ukazannoj v
bibliografii.
Struktura
dokumenta
|tot dokument nachinaetsya
s obzora Interneta i ego osnovnyh
servisov. Detal'no opisyvayutsya
problemy bezopasnosti, svyazannye s
Internetom, svyazannye s razlichnymi
servisami TCP/IP, a takzhe drugie
faktory, kotorye privodyat k
nebezopasnosti raboty v Internete.
Glava 2 opisyvaet brandmauery, ih
preimushchestva i nedostatki, i posle
etogo, razlichnye komponenty
brandmauera, vklyuchaya sredstva
usilennoj autentifikacii i
politiku setevogo dostupa. Glava 3
opisyvaet razlichnye konfiguracii
brandmauerov, kotorye
illyustriruyut, kak komponenty
brandmauera soedinyayutsya drug s
drugom, i mogut byt' ispol'zovany
dlya realizacii razlichnyh politik.
Glava 4 rassmatrivaet voprosy
nadzora, administrativnye voprosy
i drugie dejstviya, kotorye dolzhny
predprinyat' organizacii dlya zashchity
svoih sistem, prisoedinennyh k
Internetu. Prilozhenie A soderzhit
spisok literatury i drugih
istochnikov infomacii o
brandmauerah i bezopasnosti v
Internete. Prilozhenie V soderzhit
nabor chasto zadavaemyh voprosov o
brandmauerah, kotoryj dostupen v
rezhime online.
Terminologiya
Internetovskie
brandmauery chasto nazyvayutsya v
literature bezopasnymi
Internetovskimi shlyuzami. |tot
dokument ispol'zuet termin
brandmauer dlya oboznacheniya
bezopasnogo Internetovskogo shlyuza.
Brandmauer, soglasno
dannomu dokumentu, vklyuchaet ryad
elementov, takih kak politika,
vnesenie izmenenij v strukturu
seti, a takzhe tehnicheskie sredstva
i organizacionnye mery. |tot
dokument budet ispol'zovat' termin
sistema brandmauera dlya
oboznacheniya hostov ili
marshrutizatorov, realizuyushchih
brandmauer.
Set', zashchishchaemaya
brandmauerom, nazyvaetsya zashchishchennoj
podset'yu ili zashchishchennoj LVS.
Nekotorye lyudi ne mogut
ponyat', sleduet li rassmatrivat'
protokoly TCP/IP kak protokoly ili kak
servisy. Mozhno, naprimer,
dokazyvat', chto TELNET yavlyaetsya
protokolom, servisom ili komandoj.
Tam, gde eto nuzhno, v dokumente
ispol'zuetsya termin protokol, v
ostal'nyh sluchayah ispol'zuetsya
termin servis.
V etom dokumente prikladnymi shlyuzami nazyvayutsya ryad sistem brandmauerov v protivopolozhnost' hostam-bastionam.
Naskol'ko eto vozmozhno,
etot dokument izbegaet
ispol'zovaniya takih terminov, kak
haker i kraker, i ispol'zuet vmesto
etogo menee tendecioznye terminy
zloumyshlennik i atakuyushchij.
Predystoriya
Internet stal zhiznenno neobhodimoj i postoyanno rastushchej set'yu, kotoraya izmenila obraz zhiznedeyatel'nosti mnogih lyudej i organizacij. Tem ne menee, iz-za Interneta vozniklo mnogo ser'eznyh problem s bezopasnost'yu. Mnogie organizacii byli atakovany ili zondirovany zloumyshlennikami( Zloumyshlenniki chasto proveryayut seti organizacij na vozmozhnost' proniknoveniya v nih putem metodicheskogo skanirovaniya sistem v nih na nalichie uyazvimyh mest. Zloumyshlenniki chasto ispol'zuyut sredstva avtomaticheskogo zondirovaniya, to est' programmy, kotorye skaniruyut vse hosty, prisoedinennye k seti organizacii. |ta deyatel'nost' nazyvaetsya inogda zondirovanie seti organizacii ) chto privelo k bol'shim poteryam vo vremeni i ushcherbu reputacii. V nekotoryh sluchayah, organizacii vynuzhdeny byli vremenno otsoedinit'sya ot Interneta, i potratit' znachitel'nye sredstva dlya resheniya voznikshih problem s konfiguraciej hostov i seti. Seti organizacij, kotorye neosvedomleny ili ignoriruyut eti problemy, podvergayut sebya bol'shomu risku byt' atakovannymi setevymi zloumyshlennikami. Dazhe te organizacii, v kotoryh bezopasnosti udelyaetsya vnimanie, mogut podvergat'sya risku iz-za poyavleniya novyh uyazvimyh mest v setevom programmnom obespechenii ili uporstva nekotoryh zloumyshlennikov.
Dannoe polozhenie del
slozhilos' po ryadu prichin. Odnoj iz
osnovnyh prichin mozhet byt' to, chto
pri razrabotke Internet trebovaniya
bezopasnosti ne uchityvalis', tak
kak glanym trebovaniem pri
realizacii Interneta bylo
trebovanie udobstva pri obmene
informaciej pri provedenii nauchnyh
issledovanij. Tem ne menee,
fenomenal'nyj uspeh Interneta v
sochetanii s poyavleniem bol'shogo
chisla kategorij pol'zovatelej ,
vklyuchaya pol'zovatelej , u kotoryh
otsutstvuet ponyatie etiki,
usugubilo sushchestvuyushchie nedostatki
v obespechenii bezopasnosti do
takoj stepeni, chto seti, otkrytye
dlya dostupa so storony Interneta,
stali podvergat'sya risku
proniknovenij v nih i naneseniya im
razrushenij. Drugimi prichinami
yavlyayutsya sleduyushie:
Reshenie
K schast'yu, sushchestvuyut prostye i nadezhnye resheniya, kotorye mogut byt' ispol'zovany dlya uluchsheniya bezopasnosti seti organizacii. Sistema brandmauera yavlyaetsya odnim iz sposobov, kotoryj dokazal svoyu vysokuyu effektivnost' pri povyshenii obshchej bezopasnosti seti. Sistema brandmauera - eto nabor sistem i marshrutizatorov, dobavlennyh v set' v mestah ee soedineniya s Internetom i politiki dostupa, opredelyayushchej pravila ih raboty. Brandmauer zastavlyaet vse setevye soedineniya prohodit' cherez shlyuz, gde oni mogut byt' proanalizirovany i oceneny s tochki zreniya bezopasnosti, i predostavlyaet drugie sredstva, takie kak mery usilennoj autentifikacii vmesto parolej. Krome togo, brandmauer mozhet ogranichit' dostup k tem ili inym sistemam ili dostup k Internetu ot nih, blokirovat' opredelennye servsiy TCP/IP, ili obespechit' drugie mery bezopasnosti. Horosho skonfigurirovannaya sistema brandmauera mozhet vypolnyat' rol' press-sluzhby organizacii i pomoch' sformirovat' u pol'zovatelej Interneta horoshee vpechatlenie ob organizacii.
Samoj prostoj politikoj
setevogo dostupa, kotoraya mozhet
byt' realizovana s pomoshch'yu
brandmauera, yavlyaetsya
predostavlenie dostupa ot
vnutrennih k vneshnim sistemam i
zapret, polnyj ili chastichnyj,
dostupa ot vneshnih k vnutrennim
sistemam. No ispol'zovanie
brandmauera ne dolzhno pozvolyat'
administratoram zabyt' o
neobhodimosti obespecheniya
bezopasnosti otdel'nyh sistem.
Sushchestvuet bol'shoe chislo sredstv
dlya sistemnyh administratorov,
pozvolyayushchih povysit' bezopasnost'
sistem i obespechit' uluchshyennye
vozmozhnosti po protokolirovaniyu.
Takie sredstva mogut proveryat'
paroli, zhurnaly s informaciej o
soedineniyah, obnaruzhivat'
izmeneniya sistemnyh fajlov ili
obespechivat' drugie mery
bezopasnosti, kotorye pomogut
administratoram obnaruzhit'
deyatel'nost' zloumyshlennikov i
proniknoveniya v ih sistemy.
Rekomendacii
avtorov
My rekomenduem
organizaciyam pered prisoedineniem
k Internetu razrabotat' politiku,
kotoraya by yasno ukazyvala, kakie
servisy Interneta budut
ispol'zovat'sya, i kak oni budut
ispol'zovat'sya. |ta politika
dolzhna byt' prostoj, chetkoj i
ponyatnoj, so vstroennymi
mehanizmami po ee izmeneniyu.
Organizacii dolzhny rassmotret'
vozmozhnost' ispol'zovaniya sistem
brandmauerov kak chast' plana po
realizacii etoj politiki. (Obrazec
takoj politiki priveden v
prilozhenii). Takzhe rekomenduetsya
ispol'zovat' mery usilennoj
autentifikacii: smartkarty ili
drugie mehanizmy odnorazovyh
parolej kak sostavnuyu chast'
brandmauerov pri autentifikacii
soedinenij s sistemami seti.
Hotya prisoedinenie k Internetu predostavlyaet ogromnye vygody v vide dostupa k kolossal'nomu ob容mu informacii, ono ne obyazatel'no yavlyaetsya horoshim resheniem dlya organizacij s nizkim urovnem bezopasnosti. Internet stradaet ot ser'eznyh problem s bezopasnost'yu, kotorye, esli ih ignorirovat', mogut privesti k uzhasnym posledstviyam dlya nepodgotovlennyh setej. Oshibki pri proektirovanii servisov TCP/IP, slozhnost' konfigurirovaniya hostov, uyazvimye mesta, poyavivshiesya v hode napisaniya programm, i ryad drugih prichin v sovokupnosti delayut nepodgotovlennye seti otkrytymi dlya deyatel'nosti zloumyshlennikov i uyazvimymi k svyazannymi s etim problemam.
Sleduyushchie punkty kratko
opisyvayut Internet, TCP/IP, a zatem
rasskazyvayut o nekotoryh problemah
bezopasnosti v Internete i
prichinah, delayushchih dostatochno
ser'eznymi.
1.1 Internet
Internet - eto vsemirnaya
set' setej, kotoraya ispol'zuet dlya
vzaimodejstviya stek protokolov
TCP/IP. Vnachale Internet byl sozdan
dlya uluchsheniya vzaimodejstviya mezhdu
nauchnymi organizaciyami,
vypolnyavshimi raboty v interesah
pravitel'stva SSHA. V techenie 80-h
godov k Internetu podklyuchilis'
obrazovatel'nye uchrezhdeniya,
gosudarstvennye organizacii,
razlichnye amerikanskie i
inostrannye firmy. V 90-e gody
Internet perezhivaet fenomenal'nyj
rost, prichem uvelichenie chisla
soedinenij prevyshaet vse tempy,
imevshie mesto ranee. Teper' k
Internetu prisoedineny mnogie
milliony pol'zovatelej, prichem
tol'ko polovina iz nih
kommercheskie pol'zovateli[Cerf93].
Sejchas Internet ispol'zuetsya kak
osnova dlya Nacional'noj
Informacionnoj Infrastruktury(NII)
SSHA.
Sushchestvuet ryad servisov,
svyazannyh s TCP/IP i Internetom.
Naibolee rasprostranennym
servisom yavlyaetsya elektronnaya
pochta, realizovannaya na baze
protokola SMTP(Prostoj Protokol
Peredachi Pisem). Takzhe shiroko
ispol'zuyutsya TELNET(emulyaciya
udalennogo terminala) i FTP(protokol
peredachi fajlov). Pomimo nih
sushchestvuet ryad servisov i
protokolov dlya udalennoj pechati,
predostavleniya udalennogo dostupa
k fajlam i diskam, raboty s
raspredelennymi bazami dannyh i
organizacii drugih informacionnyh
servisov. Dalee privoditsya kratkij
spisok naibolee rasprostranennyh
servisov:
Hotya servisy TCP/IP mogut v
ravnoj stepeni ispol'zovat'sya kak
v lokal'nyh setyah, tak i v
global'nyh setyah, v lokal'nyh
setyah, kak pravilo, primenyaetsya
sovmestnoe ispol'zovanie fajlov i
printerov, a elektronnaya pochta i
udalennyj terminal'nyj dostup - v
oboih sluchayah. S kazhdym godom
vozrastaet populyarnost' gopher i www .
Oba etih servisa privodyat k
vozniknoveniyu problem dlya
razrabotchikov brandmauerov i budut
rassmotreny v sleduyushchih glavah.
Na mnogih sistemah, podklyuchennyh k Internetu, rabotaet odna iz versij OS Unix. Vpervye TCP/IP byl realizovan v nachale 80-h godov v versii Unix, napisannoj v universitete v Kalifornii v Berkli, izvestnoj kak BSD(Berkeley Software Distribution). Mnogie sovremennye versii Unix pozaimstvovali teksty setevyh programm iz etoj versii, poetomu Unix obespechivaet bolee ili menee standartnyj nabor servisov TCP/IP. |to privelo k tomu, chto mnogo razlichnyh versij Unixa imeyut odni i te zhe uyazvimye mesta, pravda, eto takzhe privelo k celesoobraznosti shirokogo primeneniya strategij brandmauerov, takih kak fil'traciya IP. Sleduet otmetit', chto ishodnye teksty BSD UNIX mozhno legko poluchit' v ryade Internetovskih serverov, poetomu kak horoshie, tak i plohie lyudi mogut izuchit' teksty programm i najti v nih potencial'nye uyazvimye mesta i ispol'zovat' ih dlya proniknoveniya.
Hotya Unix i yavlyaetsya
naibolee rasprostranennoj OS v
Internete, k nemu prisoedineno
mnogo razlichnyh tipov komp'yuterov
s drugimi OS, vklyuchaya sistemy s DEC VMS,
NeXT, MVS i OS personal'nyh
komp'yuterov, takie kak DOS, Microsoft Windows,
Windows'95, Windows NT i Apple. Hotya
personal'nye komp'yutery
obespechivayut tol'ko klientskuyu
chast' servisov, to est', ispol'zuya
TELNET, mozhno podklyuchit'sya s
personal'nogo komp'yutera, no ne k
personal'nomu komp'yuteru, vse
vozrastayushchaya moshchnost' P|VM
nachinaet takzhe obespechivat'
predostavlenie teh zhe servisov,
kotorye sejchas predostavlyayutsya
bol'shimi komp'yuterami, tol'ko
gorazdo deshevle. Versii Unix dlya P|VM,
vklyuchaya Linux, FreeBSD i BSDi, a takzhe drugie
OS, takie kak Microsoft Windows NT, mogut
sejchas obespechit' te zhe samye
servisy i prilozheniya, kotorye ranee
byli tol'ko na bol'shih sistemah.
Sledstviem etogo yavlyaetsya to, chto
sejchas polnyj nabor servisov TCP/IP
ispol'zuetsya nebyvalym
kolichestvom lyudej. Hotya eto i
horosho v tom smysle, chto setevye
servisy stali obshchedostupny,
otricatel'nye posledstviya
zaklyuchayutsya v vozniknovenii
ogromnyh vozmozhnostej dlya
soversheniya prestuplenij u
zloumyshlennikov( a takzhe u
negramotnyh pol'zovatelej, kotorye
v nekotoryh sluchayah mogut
rassmatrivat'sya kak vid
zloumyshlennikov) .
|tot razdel soderzhit kratkoe opisanie TCP/IP v ob容me, dostatochnom dlya posleduyushchego obsuzhdeniya problem bezopasnosti, svyazannyh s Internetom. [Com91a],[Com91b],[Hunt92] i [Bel89] soderzhat gorazdo bolee podrobnoe opisanie; chitateli, kotorye hotyat poluchit' bolee glubokoe predstavlenie, dolzhny obratit'sya k etim istochnikam.
Otchasti populyarnost' steka protokolov TCP/IP ob座asnyaetsya vozmozhnost'yu ego realizacii na baze bol'shogo chisla raznoobraznyh kanalov i protokolov kanal'nogo urovnya, takih kak T1 i H.25, Ethernet i linii RS-232. Bol'shinstvo organizacij ispol'zuet v svoih LVS Ethernet dlya ob容dineniya hostov i klientskih sistem, a zatem prisoedinyaet eti seti s pomoshch'yu T1 k regional'noj seti.( naprimer, regional'noj magistral'noj seti TCP/IP), kotoraya soedinyaet v svoyu ochered' s setyami drugih organizacij i drugimi magistral'nymi kanalami. Kak pravilo, organizacii imeyut odno soedinenie s Internetom, no bol'shie organizacii mogut imet' dva i bolee soedinenij. Skorosti modemov uvelichivayutsya po mere poyavleniya novyh kommunikacionnyh standartov, poetomu versii TCP/IP, kotorye rabotayut v srede kommutiruemyh telefonnyh kanalov, stanovyatsya vse bolee populyarnymi. Mnogie organizacii i prosto otdel'nye lyudi ispol'zuyut PPP (Point-to-Point Protocol) i SLIP(Serial Line IP) dlya podklyucheniya svoih setej i rabochih stancij k drugim setyam, ispol'zuya telefonnye kanaly.
Esli govorit' strogo, to TCP/IP - eto stek protokolov, vklyuchayushchij TCP, IP, UDP( User Datagram Protocol), ICMP( Internet Control Message Protocol), i ryad drugih protokolov. Stek protokolov TCP/IP ne sootvetstvuet modeli vzaimodejstviya otkrytyh sistem( VOS), i ego struktura pokazana na risunke 1.1
Uroven' IP poluchaet pakety, dostavlemye nizhnimi urovnyami, naprimer drajverom interfejsa s LVS, i peredaet ih lezhashchim vyshe urovnyam TCP ili UDP. I naoborot, IP peredaet pakety, poluchennye ot urovnej TCP i UDP k nizhelezhashchim urovnyam.
Pakety IP yavlyayutsya dejtagramami s negarantirovannoj dostavkoj, potomu chto IP nichego ne delaet dlya obespecheniya garantii dostavki paketov IP po poryadku i bez oshibok. Pakety IP soderzhat adres hosta, s kotorogo byl poslan paket, nazyvaemyj adresom otpravitelya, i adres hosta, kotoryj dolzhen poluchit' paket, nazyvaemyj adresom poluchatelya.
Vysokourovnevye servisy
TCP i UDP pri prieme paketa
predpolagayut, chto adres
otpravitelya, ukazannyj v pakete,
yavlyaetsya istinnym. Drugimi slovami,
adres IP yavlyaetsya osnovoj dlya
autentifikacii vo mnogih servisah;
servisy predpolagayut, chto paket byl
poslan ot sushchestvuyushchego hosta, i
imenno ot togo hosta, chej adres
ukazan v pakete. IP imeet opciyu,
nazyvaemuyu opciya marshrutizacii
istochnika, kotoraya mozhet byt'
ispol'zovana dlya dlya ukazaniya
tochnogo pryamogo i obratnogo puti
mezhdu otpravitelem i poluchatelem.
|tot put' mozhet zadejstvovat' dlya
peredachi paketa marshrutizatory ili
hosty, obychno ne ispol'zuyushchiesya dlya
peredachi paketov k dannomu
hostu-poluchatelyu. Dlya nekotoryh
servisov TCP i UDP paket IP c takoj
opciej kazhetsya prishedshim ot
poslednej sistemy v ukazannom puti,
a ne ot svoego istinnogo
otpravitelya. |ta opciya poyavilas' v
protokole dlya ego testirovaniya, no
[Bel89] otmechaet, chto marshrutizaciya
istochnika mozhet ispol'zovat'sya dlya
obmana sistem s cel'yu ustanovleniya
soedineniya s nimi teh hostov,
kotorym zapreshcheno s nimi
soedinyat'sya. Poetomu, to, chto ryad
servisov doveryayut ukazannomu
IP-adresu otpravitelya i polagayutsya
na nego pri autentifikacii, ochen'
opasno i mozhet privesti k
proniknoveniyu v sistemu.
Esli IP-pakety soderzhat inkapsulirovannye pakety TCP, programmy IP peredadut ih vverh urovnyu TCP. TCP posledovatel'no numeruet vse pakety i vypolnyaet ispravlenie oshibok, i realizuet takim obrazom virtual'nye soedineniya mezhdu hostami. Pakety TCP soderzhat posledovatel'nye nomera i podtverzhdeniya o prieme paketov, poetomu pakety, prinyatye ne v poryadke peredachi, mogut byt' pereuporyadocheny , a isporchennye pakety povtorno poslany.
TCP peredaet poluchennuyu
informaciyu prilozheniyam verhnego
urovnya, naprimer klientu ili
serveru TELNETa. Prilozheniya, v svoyu
ochered', peredayut informaciyu
obratno urovnyu TCP, kotoryj peredaet
ee nizhe urovnyu IP, posle chego ona
popadaet k drajveram ustrojstv, v
fizicheskuyu sredu i po nej
peredaetsya do hosta-poluchatelya.
Servisy s ustanovleniem
soedineniya, takie kak TELNET, FTP, rlogin, X
Windows i SMTP trebuyut nadezhnosti i
poetomu ispol'zuyut TCP. DNS ispol'zuet
TCP tol'ko v ryade sluchaev( dlya
peredachi i priema baz dannyh
domennyh imen), a dlya peredachi
informacii ob otdel'nyh hostah
ispol'zuet UDP .
Kak pokazano na risunke 1.1, UDP vzaimodejstvuet s prikladnymi programmami na tom zhe urovne, chto i TCP. Tem ne menee, on ne vypolnyaet funkcii ispravleniya oshibok ili povtornoj peredachi poteryannyh paketov. Poetomu UDP ne ispol'zuetsya v servisah s ustanovleniem soedineniya, kotorym trebuetsya sozdanie virtual'nogo kanala. On primenyaetsya v servisah tipa zapros-otvet, takih kak NFS, gde chislo soobshchenij v hode vzaimodejstviya gorazdo men'she, chem v TELNET i FTP. V chislo servisov, ispol'zuyushchih UDP, vhodyat servisy na baze RPC, takie kak NIS i NFS, NTP( protokol setevogo vremeni) i DNS(takzhe DNS ispol'zuet TCP).
Pakety UDP gorazdo proshche
poddelat', chem pakety TCP, tak kak net
etapa ustanovleniya soedineniya(
rukopozhatiya).[Ches94]. Poetomu s
ispol'zovaniem servisov na baze UDP
sopryazhen bol'shij risk.
ICMP(Protokol mezhsetevyh upravlyayushchih soobshchenij) nahoditsya na tom zhe urovne, chto i IP; ego naznachenie - peredavat' informaciyu, trebuemuyu dlya upravleniya traffikom IP. V-osnovnom, on ispol'zuetsya dlya predostavleniya informacii o putyah k hostam-poluchatelyam. Soobshcheniya ICMP redirect informiruyut hosty o sushchestvovanii bole korotkih marshrutov k drugim sistemam, a soobshcheniya ICMP unreachable ukazyvaet na nalichie problem s nahozhdeniem puti k poluchatelyu paketa. Krome togo, ICMP mozhet pomoch' korrektno zavershit' soedinenie TCP, esli put' stal nedostupen. PING yavlyaetsya shiroko rasprostranennym servisom na baze ICMP.
[Bel89] rassmatrivaet dve
problemy s ICMP: starye versii Unix
mogut razorvat' vse soedineniya
mezhdu hostami, dazhe esli tol'ko
odno iz nih stolknulos' s
problemami. Krome togo, soobshcheniya o
perenapravlenii puti ICMP mogut byt'
ispol'zovany dlya obmana
marshrutizatorov i hostov s cel'yu
zastavit' ih poverit' v to, chto host
zloumyshlennika yavlyaetsya
marshrutizatorom i pakety luchshe
otpravlyat' cherez nego. |to, v svoyu
ochered', mozhet privesti k tomu, chto
atakuyushchij poluchit dostup k
sistemam, kotorym ne razresheno
imet' soedineniya s mashinoj
atakuyushchego ili ego set'yu.
Servisy TCP i UDP ispol'zuyutsya s pomoshch'yu shemy klient-server. Naprimer, process servera TELNET vnachale nahoditsya v sostoyanii ozhidaniya zaprosa ustanovleniya soedineniya. V kakoj-nibud' moment vremeni pol'zovatel' zapuskaet process klienta TELNET, kotoryj iniciiruet soedinenie s serverom TELNET. Klient posylaet dannye serveru, tot chitaet ih, i posylaet obratno klientu otvet. Klient chitaet otvet i soobshchaet o nem pol'zovatelyu. Poetomu, soedinenie yavlyaetsya dvunapravlennym i mozhet byt' ispol'zovano kak dlya chteniya, tak i dlya zapisi.
Kak mnogo odnovremennyh soedinenij TELNET mozhet byt' ustanovleno mezhdu sistemami? Soedinenie TCP ili UDP unikal'nym obrazom identificiruetsya s pomoshch'yu chetyreh polej, prisutstvuyushchih v kazhdom soedinenii:
Port - eto programmnoe ponyatie, kotoroe ispol'zuetsya klientom ili serverom dlya posylki ili priema soobshchenij; port identificiruetsya 16-bitvym chislom. Servernye processy obychno associiruyutsya s fiksirovannym chislom, naprimer chislom 25 dlya SMTP ili 6000 dlya X Windows; nomer porta yavlyaetsya izvestnym, tak kak on trebuetsya, pomimo IP-adresa poluchatelya, pri ustanovlenii soedineniya s konkretnym hostom i servisom. Klientskie processy, s drugoj storony, zaprashivayut nomer porta u operacionnoj sistemy v nachale raboty; i nomer porta yavlyaetsya sluchajnym, hotya v nekotoryh sluchayah on yavlyaetsya sleduyushchim v spiske svobodnyh nomerov portov.
Dlya illyustracii togo, kak ispol'zuyutsya porty dlya posylki i priema soobshchenij, rassmotrim protokol TELNET. Server TELNET slushaet prihodyashchie soobshcheniya na portu 23, i sam posylaet soobshcheniya na port 23. Klient TELNET, na toj zhe ili drugoj sisteme, snachala zaprashivaet neispol'zuemyj nomer porta u OS, a zatem ispol'zuet ego pri posylke i prieme soobshchenij. On dolzhen ukazyvat' eto nomer porta, naprimer 3097, v paketah, prednaznachennyh dlya servera TELNET, chtoby etot server pri otvete na soobshchenie klienta mog pomestit' eto nomer v posylaemye im TCP-pakety. Host klienta po priemu soobshcheniya dolzhen posmotret' nomer porta v soobshchenii i reshit', kakoj iz klientov TELNET dolzhen prinyat' eto soobshchenie. |tot process pokazan na risunke 1.2
Risunok 1.2
Vzaimodejstvie pri TELNET
Sushchestvuet dostatochno rasprostranennoe pravilo, soglasno kotoromu tol'uo privilegirovannye processy servera, to est' te processy, kotorye rabotayut s privilegiyami superpol'zovatelya UNIX, mogut ispol'zovat' porty s nomerami men'she, chem 1024( tak nazyvaemye privilegirovannye porty). Servera v-osnovnom ispol'zuyut porty s nomerami men'she, chem 1024, a klienty kak pravilo dolzhny zaprashivat' neprivilegirovannye porty u OS. Hotya eto pravilo i ne yavlyaetsya obyazatel'nym dlya ispolneniya i ne trebuetsya specifikaciej protokolov TCP/IP, sistemy na osnove BSD soblyudayut ego.
V rezul'tate vsego etogo brandmauery mogut blokirovat' ili fil'trovat' dostup k sluzhbam na osnove proverki nomerov portov v TCP- i UDP-paketah i posleduyushchego propuskaniya cherez sebya ili udaleniya paketa na osnove politiki, ukazyvayushchej dostup k kakim sluzhbam razreshen ili zapreshchen. (bolee detal'no eto opisano v glave 2).
Ne vse servery i klienty
TCP i UDP ispol'zuyut porty takim
prostym sposobom, kak TELNET, no v
celom, procedura, opisannaya zdes',
polezna v kontekste brandmauera.
Naprimer, mnogie OS personal'nyh
komp'yuterov ne ispol'zuyut ponyatiya
superpol'zovatelya UNIX, no vse-taki
ispol'zuyut porty opisannym vyshe
sposobom( hotya net standarta,
trebuyushchego eto).
Kak bylo ustanovleno ranee, Internet stradaet ot ser'eznyh problem s bezopasnost'yu. Organizacii, kotorye ignoriruyut eti problemy, podvergayut sebya znachitel'nomu risku togo, chto oni budut atakovany zloumyshlennikami, i chto oni mogut stat' startovoj ploshchadkoj pri atakah na drugie seti. Dazhe te organizacii, kotorye zabotyatsya o bezopasnosti, imeyut te zhe samye problemy iz-za poyavleniya novyh uyazvimyh mest v setevom programmnom obespechenii(PO) i otsutstviya mer zashchity ot nekotoryh zloumyshlennikov.
Nekotorye iz problem
bezopasnosti v Internete -
rezul'tat nalichiya uyazvimyh mest
iz-za oshibok pri proektirovanii v
sluzhbah( i v protokolah, ih
realizuyushchih) , v to vremya kak drugie
- rezul'tat oshibok pri
konfigurirovanii hosta ili sredstv
upravleniya dostupom, kotorye ili
ploho ustanovleny ili nastol'ko
slozhny, chto s trudom poddayutsya
administrirovaniyu. Krome togo: rol'
i vazhnost' administrirovaniya
sistemy chasto upuskaetsya pri
opisanii dolzhnostnyh obyazannostej
sotrudnikov, chto pri privodit k
tomu, chto bol'shinstvo
administratorov v luchshem sluchae
nanimayutsya na nepolnyj rabochij
den' i ploho podgotovleny. |to
usugublyaetsya bystrym rostom
Interneta i haraktera
ispol'zovaniya Interneta;
gosudarstvennye i kommercheskie
organizacii teper' zavisyat ot
Interneta( inogda dazhe bol'she: chem
oni dumayut) pri vzaimodejstvii s
drugimi organizaciyami i
issledovaniyah i poetomu ponesut
bol'shie poteri pri atakah na ih
hosty. Sleduyushchie glavy opisyvayut
problemy v Internete i prichiny,
privodyashchie k ih vozniknoveniyu.
V dokazatel'stvo togo, chto opisannye vyshe ugrozy real'ny, tri gruppy incidentov imeli mesto v techenie neskol'kih mesyacev drug posle druga. Snachala, nachalos' shirokoe obsuzhdenie obnaruzhennyh uyazvimyh mest v programme UNIX sendmail( eto transportnaya pochtovaya programma na bol'shinstve hostov s Unix. |to ochen' bol'shaya i slozhnaya programma, i v nej uzhe neskol'ko raz byli najdeny uyazvimye mesta, kotorye pozvolyayut zloumyshlenniku poluchit' dostup v sistemy, v kotoryh zapushchena sendmail). Organizaciyam, kotorye ne imeli ispravlennyh versij programmy, prishlos' srochno ispravlyat' eti oshibki v svoih programmah sendmail do togo, kak zloumyshlenniki ispol'zuyut eti uyazvimye mesta dlya ataki na ih seti. Tem ne menee, iz-za slozhnosti programmy sendmail i setevogo PO v celom tri posleduyushchie versii sendmail takzhe soderzhali ryad uyazvimyh mest[CIAC94a]. Programma sendmail shiroko ispol'zovalas', poetomu organizaciyam bez brandmauerov, dlya togo chtoby ogranichit' dostup k etoj programme, prishlos' bystro regirovat' na voznikavshie problemy i obnaruzhivaemye uyazvimye mesta.
Vo-vtoryh, obnaruzhilos', chto populyarnaya versiya svobodno rasprostranyaemogo FTP-servera soderzhala troyanskogo konya, pozvolyavshego poluchit' privilegirovannyj dostup k serveru. Organizaciyam, ispol'zovavshim etot FTP-server, ne obyazatel'no zarazhennuyu versiyu, takzhe prishlos' bystro reagirovat' na etu situaciyu[CIAC94c]. Mnogie organizacii polagayutsya na horoshee kachestvo svobodnogo PO, dostupnogo v Internete, osobenno na PO v oblasti bezopasnosti s dopolnitel'nymi vozmozhnostyami po protokolirovaniyu, upravleniyu dostupom i proverke celostnosti, kotoroe ne vhodit v sostav OS, postavlyaemoj ee proizvoditelem. Hotya eto PO chasto ochen' vysokogo kachestva, organizacii mogut okazat'sya v tyazhelom polozhenii, esli v PO budut najdeny uyazvimye mesta ili s nim vozniknut drugie problemy, i dolzhny budut polagat'sya tol'ko na ego avtorov.( Spravedlivosti radi, stoit otmetit', chto dazhe PO, sdelannoe proizvoditelem OS, mozhet stradat' ot takih zhe problem i ego ispravlenie mozhet okazat'sya bolee prodolzhitel'nym).
Tret'ya problema imela samye ser'eznye posledstviya: [CERT94] i [CIAC94b] soobshchili, chto zloumyshlenniki pronikli v tysyachi sistem vo vsem Internete, vklyuchaya shlyuzy mezhdu bol'shimi setyami i ustanovili analizatory paketov dlya perehvata v setevom traffike imen pol'zovatelej i staticheskih parolej, vvodimyh pol'zovatelyami dlya podklyucheniya k setevym sistemam. Zloumyshlenniki takzhe ispol'zovali drugie izvestnye tehnologii dlya proniknoveniya v sistemy, a takzhe perehvachennye imi paroli. Odnim iz vyvodov, kotorye mozhno poetomu sdelat' yavlyaetsya to, chto staticheskie ili povtorno ispol'zuemye paroli ne dolzhny ispol'zovat'sya dlya upravleniya dostupom. Fakticheski, pol'zovatel', podklyuchayushchijsya k setevoj sisteme cherez Internet, mozhet neumyshlenno podvergnut' etu sistemu risku byt' atakovannoj zloumyshlennikami, kotorye mogli perehvatit' setevoj traffik, idushchij k etoj udalennoj sisteme.
Sleduyushchie razdely bolee
detal'no opisyvayut problemy s
bezopasnost'yu v Internete. [Garf92],
[Cur92],[ Bel89], [Ches94] i [Farm93] yavlyayutsya
knigami, gde vy najdete bolee
detal'nuyu informaciyu.
Gruppy ulazhivaniya incidentov schitayut, chto bol'shinstvo incidentov proizoshlo iz-za ispol'zovaniya slabyh, staticheskih parolej. Paroli v Internete mogut byt' "vzlomany" ryadom sposobov, no dvumya samymi rasprostranennymi yavlyayutsya vzlom zashifrovannoj formy parolya i nablyudenie za kanalami peredachi dannyh s cel'yu perehvata paketov s parolyami. OS Unix obychno hranit paroli v zashifrovannoj forme v fajle, kotoryj mozhet byt' prochitan lyubym pol'zovatelem. |tot fajl parolej mozhet byt' poluchen prostym kopirovaniem ego ili odnim iz drugih sposobov, ispol'zuemyh zloumyshlennikami. Kak tol'ko fajl poluchen, zloumyshlennik mozhet zapustit' legko-dostupnye programmy vzloma parolej dlya etogo fajla. Esli paroli slabye, to est' me'she, chem 8 simvolov, yavlyayutsya slovami, i t.d., to oni mogut byt' vzlomany i ispol'zovany dlya polucheniya dostupa k sisteme.
Drunaya problema s autentifikaciej voznikaet iz-za togo, chto nekotorye sluzhby TCP i UDP mogut autentificirovat' tol'ko otdel'nyj host, no ne pol'zovatelya. Naprimer, server NFS(UDP) ne mozhet dat' dostup otdel'nomu pol'zovatelyu na hoste, on mozhet dat' ego vsemu hostu. Administrator servera mozhet doveryat' otdel'nomu pol'zovatelyu na hoste i dat' emu dostup, no administrator ne mozhet zapretit' dostup drugih pol'zovatelej na etom hoste i poetomu avtomaticheski dolzhen predostavit' ego vsem pol'zovatelyam ili ne davat' ego voobshche.
Sleduet otmetit', chto kogda pol'zovatel' ustanovil seansa s udalennym hostom, ispol'zuya TELNET ili FTP, to parol' pol'zovatelya peredaetsya po Internetu v nezashifrovannom vide. Poetomu drugim sposobom proniknoveniya v sistemy yavlyaetsya nablyudenie za soedineniem s cel'yu perehvata IP-paketov, soderzhashchih imya i parol', i posleduyushchee ispol'zovanie ih dlya normal'nogo vhoda v sistemu. Esli perehvachennyj parol' yavlyaetsya parolem administratora, to zadacha polucheniya privilegirovannogo dostupa stanovitsya gorazdo legche. Kak uzhe ranee otmechalos', sotni i dazhe tysyachi sistem v Internete byli skomprometirovany v rezul'tate perehvata imen i parolej.
|lektronnaya pochta, a takzhe soderzhimoe seansov TELNET i FTP, mozhet perehvatyvat'sya i ispol'zovat'sya dlya polucheniya informacii ob organizacii i ee vzaimodejstvii s drugimi organizaciyami v hode povsednevnoj deyatel'nosti. Bol'shinstvo pol'zovatelej ne shifruyut pochtu, tak kak mnogie polagayut, chto elektronnaya pochta bezopasna i s ee pomoshch'yu mozhno peredavat' kriticheskuyu informaciyu.
Sistema X Windows,
stanovyashchayasya vse bolee populyarnoj,
takzhe uyazvima perehvatu dannyh. X
pozvolyaet otkryvat' neskol'ko okon
na rabochej stancii dlya raboty s
graficheskimi i mul'timedijnymi
prilozheniyami( naprimer,
WWW-brauzerom Netscape). Zloumyshlenniki
mogut inogda otkryvat' okna na
drugih sistemah i perehvatyvat'
tekst, nabiraemyj na klaviature,
kotoryj mozhet soderzhat' paroli i
kriticheskuyu informaciyu.
Kak uzhe otmechalos' v chasti 1.2.1, predpolagaetsya, chto IP-adres hosta pravil'nyj, i sluzhby TCP i UDP poetomu mogut doveryat' emu. Problema zaklyuchaetsya v tom, chto isol'zuya marshrutizaciyu IP-istochnika , host atakuyushchego mozhet zamaskirovat'sya pod doverennogo hosta ili klienta. Korotko govorya, marshrutizaciya IP-istochnika - eto opciya, s pomoshch'yu kotoroj mozhno yavno ukazat' marshrut k naznacheniyu i put', po kotoromu paket budet vozvrashchat'sya k otpravitelyu. |to put' mozhet vklyuchat' ispol'zovanie drugih marshrutizatorov ili hostov, kotorye v obychnyh usloviyah ne ispol'zuyutsya pri peredache paketov k naznacheniyu. Rassmotrim sleduyushchij primer togo, kak eto mozhet byt' ispol'zovano dlya maskirovki sistemy atakuyushchego pod doverennyj klient kakogo-to servera:
Mnogie hosty Unix prinimayut pakety s marshrutizaciej istochnika i budut peredavat' ih po puti, ukazannomu v pakete. Mnogie marshrutizatory takzhe prinimayut pakety s marshrutizaciej istochnika, v to vremya kak nekotorye marshrutizatory mogut byt' skonfigurirovany takim obrazom, chto budut blokirovat' takie pakety.
Eshche bolee prostym sposobom maskirovki pod klienta yavlyaetsya ozhidanie togo momenta vremeni, kogda klientskaya sistema budet vyklyuchena, i posleduyushchaya maskirovka pod nee. Vo mnogih organizaciyah sotrudniki ispol'zuyut personal'nye |VM s setevoj matematikoj TCP/IP dlya podklyucheniya k hostam s Unixom i ispol'zuyuyut mashiny s Unix kak servery LVS. P|VM chasto ispol'zuyut NFS dlya polucheniya dostupa k direktoriyam i fajlam na servere(NFS ispol'zuet tol'ko IP-adresa dlya autentifikacii klientov). Atakuyushchij mozhet skonfigurirovat' po okonchanii raboty svoj P|VM takim obrazom, chto on budet imet' to zhe samoe imya i IP-adres, chto i drugaya mashina, a zatem iniciirovat' soedinenie s Unixovskim hostom, kak esli by on byl doverennym klientom. |to ochen' prosto sdelat' i imenno tak postupayut atakuyushchie-sotrudniki organizacii.
|lektronnuyu pochtu v Internete osobenno legko poddelat', i ej voobshche nel'zya doveryat', esli v nej ne primenyayutsya rasshireniya, takie kak elektronnaya podpis' pis'ma[NIST94a]. Naprimer, davajte rassmotrim vzaimodejstvie mezhdu hostami Interneta pri obmene pochtoj. Vzaimodejstvie proishodit s pomoshch'yu prostogo protokola, ispol'zuyushchego tekstovye komandy. Zloumyshlennik mozhet legko vvesti eti komandy vruchnuyu, ispol'zuya TELNET dlya ustanovleniya seansa s portom SMTP( prostoj protokol peredachi pochty). Prinimayushchij host doveryaet tomu, chto zayavlyaet o sebe host-otpravitel', poetomu mozhno legko ukazat' lozhnyj istochnik pis'ma, vvedya adres elektronnoj pochty kak adres otpravitelya, kotoyrj budet otlichat'sya ot istinnogo adresa. V rezul'tate, lyuboj pol'zovatel', ne imeyushchij nikakih privilegij, mozhet fal'sificirovat' elektronnoe pis'mo.
V drugih servisah, takih kak DNS, takzhe mozhno zamaskirovat'sya pod druguyu mashinu, no sdelat' eto neskol'ko slozhnee, chem dlya elektronnoj pochty. Dlya etih servisov do sih por sushchestvuyut ugrozy, i ih nado uchityvat' tomu, kto sobiraetsya pol'zovat'sya imi.
Hosty tyazhelo podderzhivat' v bezopasnom sostoyanii i eto zanimaet mnogo vremeni. Dlya uproshcheniya upravleniya hostami i bol'shego ispol'zovaniya preimushchestv LVS, nekotorye organizacii ispol'zuyut takie servisy, kak NIS(Network Information Service) i NFS(Network File system). |ti servisy mogut sil'no umen'shit' vremya na konfigurirovanie hostov, pozvolyaya upravlyat' ryadom baz dannyh, takih kak fajly parolej, s pomoshch'yu udalennogo dostupa k nim i obespechivaya vozmozhnost' sovmestnogo ispol'zovaniya fajlov i dannyh. K sozhaleniyu, eti servisy nebezopasny po svoej prirode i mogut ispol'zovat'sya dlya polucheniya dostupa gramotnymi zloumyshlennikami. Esli skomprometirovan central'nyj server, to drugie sistemy, doveryayushchie central'noj sisteme, takzhe mogut byt' legko skomprometirovany.
Nekotorye servisy, takie kak rlogin, pozvolyayut hostam "doveryat'" drug drugu dlya udobstva raboty pol'zovatelej i oblegcheniya sovmestnogo ispol'zovaniya sistem i ustrojstv. Esli v sistemu bylo soversheno proniknovenie ili ee obmanuli s pomoshch'yu maskarada, i etoj sisteme drugie sistemy, to dlya zloumyshlennika ne sostavit truda poluchit' dostup k drugim sistemam. Naprimer, pol'zovatel', zaregistrirovannyj na neskol'kih mashinah, mozhet izbavit'sya ot neobhodimosti vvodit' parol', skonfigurirovav sebya na etih mashinah tak, chto oni budut doveryat' podklyucheniyu s osnovnoj sistemy pol'zovatelya. Kogda pol'zovatel' ispol'zuet rlogin dlya podklyucheniya k hostu, to mashina, k kotoroj podklyuchayutsya, ne budet sprashivat' parol', a podklyuchenie budet prosto razresheno. Hotya eto i ne tak uzh ploho, tak kak parol' pol'zovatelya ne peredaetsya i ne smozhet byt' perehvachen, eto imeet tot nedostatok, chto esli zloumyshlennik proniknet na osnovnuyu mashinu pod imenem pol'zovatelya, to zloumyshlennik legko smozhet vospol'zovat'sya rlogin dlya proniknoveniya v scheta pol'zovatelya na drugih sistemah. Po etoj prichine ispol'zovanie vzaimnogo doveriya hostov drug k drugu ne rekomenduetsya[Bel89][Ches94].
Sistemy upravleniya dostupom v hostah chasto slozhny v nastrojke i tyazhelo proverit', pravil'no li oni rabotayut. V reuzl'tate nepravil'no skonfigurirovannye mery zashchity mogut privesti k proniknoveniyu zloumyshlennikov. Neskol'ko krupnyh proizvoditelej Unix vse eshche prodayut svoi sistemy s sistemoj upravleniya dostupom, skonfigurirovannoj tak, chto pol'zovatelyam predostavlen maskimal'nyj ( to est' naimenee bezopasnyj) dostup, kotoryj mozhet privesti k neavtorizovannomu dostupu, esli ne budet proizvedena perekonfiguraciya.
Ryad incidentov s
bezopasnost'yu proizoshel v
Internete otchasti iz-za togo, chto
zloumyshlenniki obnaruzhili
uyazvimye mesta( pozdnee ih
obnaruzhili pol'zovateli, gruppy
komp'yuternoj bezopasnosti i sami
proizvoditeli) . Tak kak bol'shaya
chast' sovremennyh variantov Unix
pozaimstvovala svoj setevoj kod iz
versii BSD, i tak kak ishodnyj kod
etoj versii shiroko dostupen,
zloumyshlenniki smogli izuchit' ego
na predmet oshibok i uslovij, pri
kotoryh ih mozhno ispol'zovat' dlya
polucheniya dostupa k sistemam.
Otchasti oshibki sushchestvuyut iz-za
slozhnosti programm i nevozmozhnosti
proverit' ih vo vseh sredah, v
kotoryh oni dolzhny rabotat'. Inogda
oshibki legko obnaruzhivayutsya i
ispravlyayutsya, no byvaet i tak, chto
nado, kak minimum, perepisat' vse
prilozhenie, chto yavlyaetsya poslednim
sredstvom( programma sendmail tomu
primer).
Bezopasnost' na urovne hostov ploho shkaliruetsya: po mere togo, kak vozrastaet chislo hostov v seti, vozmozhnosti po obespecheniyu garantij bezopasnosti na vysokom urovne dlya kazhdogo hosta umen'shayutsya. Uchityvaya to, chto adminstrirovanie dazhe odnoj sistemy dlya podderzhaniya bezopasnosti v nej mozhet okazat'sya slozhnym, upravlenie bol'shim chsislom takih sistem mozhet legko privesti k oshibkam i upushcheniyam. Vazhno takzhe pomnit', chto zachastuyu vazhnost' raboty sistemnyh administratorov ne ponimaetsya i eta rabota vypolnyaetsya koe-kak. V rezul'tate nekotorye sistemy mogut okazat'sya menee bezopasnymi, chem drugie, i imenno eti sistemy stanut slabym zvenom, kotoroe v konechnom schete privedet k poyavleniyu uyazvimogo mesta v sisteme bezopasnosti.
Esli obnaruzhivaetsya uyazvimost' v setevom PO, seti, kotoraya ne zashchishchena brandmauerom, nuzhno srochno ispravit' oshibku na vseh sistemah, gde ona obnaruzhena. Kak uzhe govorilos' v punkte 1.3.2, nekotorye uyazvimye mesta pozvolyayut poluchit' legkij dostup s pravami superpol'zovatelya Unix. Organizaciya, imeyushchaya mnogo Unix-hostov, budet osobenno uyazvima k atakam zloumyshlennikov v takoj situacii. Zadelyvanie uyazvimyh mest na mnogih sistemah za korotkij promezhutok vremeni prosto nevozmozhno, i esli isopl'zuyutsya razlichnye versii OS, mozhet okazat'sya voobshche nevozmozhnym. Takie seti budutt prosto-taki naprashivat'sya na ataki zloumyshlennikov.
Kak uzhe otmechalos' v predydushchih razdelah, ryad sluzhb TCP i UDP ploho obespechivayut bezopasnost' v sovremennoj srede v Internete. Pri millionah pol'zovatelej, podklyuchennyh k Internetu, i pri tom, chto pravitel'stva i promyshlennost' zavisyat ot Interneta, nedostatki v etih sluzhbah, a takzhe legkodostupnost' ishodnogo koda i sredstv dlya avtomatizacii proniknoveniya v sistemy mogut sdelat' seti uyazviymi k proniknoveniyam v nih. Tem ne menee, nastoyashchij risk pri ispol'zovanii Interneta trudno ocenit', i neprosto skazat', naskol'ko uyazvima set' k atakam zloumyshlennikov. Takoj statistiki ne vedetsya.
Koordinacionnyj Centr po grupp rassledovaniya proisshestvij s komp'yuternoj bezopasnost'yu(CERT/CC) vedet nekotoruyu statistiku o chisle incidentov, kotorye oni rassledovali posle ego sozdaniya v 1988 godu. CHisla v etoj statistike uvelichivayutsya skachkoobrazno kazhdyj god, no sleduet pomnit', chto i chislo mashin v Internete takzhe rastet. V nekotoryh sluchayah CERT schitaet neskol'ko proniknovenij odnogo i togo zhn tipa odnim proisshestviem, poetomu odno proisshestvie mozhet sostoyat' iz neskol'kih soten proniknovenij v ryad sistem. Trudno skazat', naskol'ko proporcional'ny chislo incidentov i chislo proniknovenij. |ta problema takzhe oslozhnyaetsya tem, chto chem bol'she lyudej znayut o sushchestvovanii grupp po rassledovaniyu incidentov, tem bol'she veroyatnost' togo, chto oni soobshchat o proisshestvii, poetomu na samom dele neponyatno, to li proishodit vse bol'she proisshestvij, to li soobshchaetsya o vse bol'shem ih procente.
NIST schitaet, chto Internet, hotya i yavlyaetsya ochen' poleznoj i vazhnoj set'yu, v to zhe samoe vremya ochen' uyazvim k atakam. Seti, kotorye soedineny s Internetom, podvergayutsya nekotoromu risku togo, chto ih sistemy budut atakovany ili podvergnuty nekotoromu vozdejstviyu so storony zloumyshlennikov, i chto risk etogo znachitelen. Sleduyushchie faktory mogut povliyat' na uroven' riska:
CHem bol'she sistem v seti, tem trudnee kontrolirovat' ih bezopasnost'. Analogichno, esli set' soedinena s Internetom v neskol'kih mestah, to ona budet bolee uyazvima chem set' s odnim shlyuzom. V to zhe samoe vremya, to, naskol'ko gotova k atake organizaciya, ili to, naskol'ko ona zavisit ot Interneta, mozhet uvelichit' ili umen'shit' risk. Set', imeyushchaya privlekatel'nyj dlya zloumyshlennikov profil', mozhet podvergnut'sya bol'shemu chislu atak s cel'yu polucheniya informacii, hranyashchejsya v nej. Hotya, stoit skazat', chto "molchalivye" malo poseshchaemye seti takzhe privlekatel'ny dlya zloumyshlennikov, tak kak im legche budet skryt' svoyu aktivnost'.
NIST zayavlyaet, chto seti,
kotorye ispol'zuyut
rekomendovannye procedury i mery
zashchity dlya povysheniya komp'yuternoj
bezopasnosti, budut podvergat'sya
znachitel'no men'shemu risku atak.
Brandmauery v sochetanii s
odnorazovymi parolyami, kotorye
ustojchivy k ih perehvatu, mogut
uvelichit' obshchij uroven'
bezopasnosti seti i sdelat'
ispol'zovanie Interneta
dostatochno bezopasnym. Sleduyushchie
glavy soderzhat bolee detal'noe
opisanie brandmauerov i togo, kak
oni mogut ispol'zovany dlya zashchity
ot mnogih ugroz i uyazvimyh mest,
opisannyh v etoj glave.
Mozhno najti reshenie ryad problem s bezopasnost'yu v Internete, opisannyh v glave 1, ili, po krajnej mere, sdelat' ih menee opasnymi, esli ispol'zovat' sushchestvuyushchie i horosho izvestnye tehnologii i mery zashchity na urovne hostov. Brandmauer mozhet znachitel'no povysit' uroven' bezopasnosti seti organizacii i sohranit' v to zhe vremya dostup ko vsem resursam Internete. |ta glava daet obzor brandmauerov, kotoryj vklyuchaet v sebya opisanie togo, kak oni ustranyayut opasnost' uyazvimyh mest, opisannyh v glave 1, ot chego ne zashchishchayut brandmauery i komponenty, sostavlyayushchie brandmauer. |ta glava osoboe vnimanie obrashchaet na ispol'zovanie usilennoj autentifikacii i vazhnost' politiki bezopasnosti pri opredelenii togo, kak brandmauer budet realizovyvat' shemu zashchity.
Risunok 2.1 Primer brandmauera s marshrutizatorom i prikladnym shlyuzom
Navernoe, luchshe vsego nachat' s opisaniya togo, chto NE yavlyaetsya brandmauerom: brandmauer - eto ne prosto marshrutizator, host ili gruppa sistem, kotorye obespechivayut bezopasnost' v seti. Skoree, brandmauer - eto podhod k bezopasnosti; on pomogaet realizovat' politiku bezopasnosti, kotoraya opredelyaet razreshennye sluzhby i tipy dostupa k nim, i yavlyaetsya realizaciej etoj politiki v terminah setevoj konfiguracii, neskol'kih hostov i marshrutizatorov, i drugih mer zashchity, takih kak usilennaya autentifikaciya vmesto staticheskih parolej. Osnovnaya cel' sistemy brandmauera - upravlenie dostupom K ili IZ zashchishchaemoj seti. On realizuet politiku setevogo dostupa, zastavlyaya prohodit' vse soedineniya s set'yu cherez brandmauer, gde oni mogut byt' proanalizirovany i razresheny libo otvergnuty.
Sistema brandmauera mozhet byt' marshrutizatorom, personal'nym komp'yuterom, hostom, ili gruppoj hostov, sozdannoj special'no dlya zashchity seti ili podseti ot nepravil'nogo ispol'zovaniya protokolov i sluzhb hostami, nahodyashchimisya vne etoj podseti. Obychno sistema brandmauera sozdaetsya na osnove marshrutizatorov verhnego urovnya, obychno na teh, kotorye soedinyayut set' s Internetom, hotya mozhet byt' sozdana i na drugih marshrutizatorah, dlya zashchity tol'ko chasti hostov ili podsetej.
Osnvonoj prichinoj ispol'zovaniya brandmauerov yavlyaetsya tot fakt, chto bez brandmauera sistemy podseti podvergayutsya opasnosti ispol'zovaniya uyazvimyh mest sluzhb, takih NFS i NIS, ili skanirovaniya i atak so storony hostov v Internete. V srede bez brandmauera setevaya bezopasnost' celikom zavisit ot bezopasnosti hostov i vse hosty dolzhny v etom sluchae vzaimodejstvovat' dlya dostizheniya odinakovo vysokogo urovnya bezopasnosti. CHem bol'she podset', tem trudnee podderzhivat' vse hosty na odnom urovne bezopasnosti. Oshibki i upushcheniya v bezopasnosti stali rasprostranennymi, proniknoveniya proishodyat ne v rezul'tate hitroumnyh atak, a iz-za prostyh oshibok v konfigurirovanii i ugadyvaemyh parolej.
Podhod s ispol'zovaniem brandmauera imeet mnogochislennye preimushchestva dlya setej i pomogaet povysit' bezopasnost' hostov. Sleduyushchie razdely kratko opisyvayut vygody ispol'zovaniya brandmauera.
Brandmauer mozhet znachitel'no povysit' setevuyu bezopasnost' i umen'shit' riski dlya hostov v podseti putem fil'tracii nebezopasnyh po svoej prirode sluzhb. V rezul'tate podset' budet podvergat'sya gorazdo men'shemu chislu opasnostej, tak kak tol'ko cherez brandmauer smogut projti tol'ko bezopasnye protokoly.
Naprimer, brandmauer mozhet zapretit', chtoby takie uyazvimye sluzhby, kak NFS, ne ispol'zovalis' za predelami etoj podseti. |to pozvolyaet zashchitit'sya ot ispol'zovaniya etih sluzhb postoronnimi atakuyushchimi, no prodolzhat' ispol'zovat' ih vnutri seti, ne podvergayas' osoboj opasnosti. Poetomu mozhno budet spokojno ispol'zovat' takie udobnye sluzhby, kak NFS i NIS, special'no razrabotannye dlya umen'sheniya zatrat na administrirovanie v lokal'noj seti.
Brandmauery takzhe mogut obespechit' zashchitu ot atak s ispol'zovaniem marshrutizacii, takih kak marshrutizaciya istochnika i popytok izmenit' marshruty peredachi dannyh s pomoshch'yu komand perenapravleniya ICMP. Brandmauer mozhet zablokirovat' vse pakety s marshrutizaciej istochnika i perenapravlenya ICMP, a zatem informirovat' administratorov ob incidentah.
Brandmauer takzhe predostavlyaet vozmozhnosti po upravleniyu dostupom k hostam seti. Naprimer, nekotorye hosty mogut byt' sdelany dostizhimymi iz vneshnih setej, v to vremya kak dostup k drugim sistemam izvne budet zapreshchen. Set' mozhet zapretit' dostup k svoim hostam izvne, za isklyucheniem osobyh sluchaev, takih kak pochtovye servera ili informacionnye servera.
|ti svojstva brandmauerov trebuyutsya pri politike upravleniya dostupom, postroennoj po principu: ne predostavlyat' dostup k hostam ili sluzhbam, k kotorym dostup ne trebuetsya. Drugimi slovami, zachem davat' dostup k hostam i sluzhbam, kotorye mogut ispol'zovat'sya atakuyushchimi, kogda na samom dele on ne nuzhen ili ne trebuetsya? Esli, naprimer, pol'zovatelyu ne nuzhno, chtoby kto-to v seti mog poluchit' dostup k ego rabochej stancii, to brandmauer kak raz i mozhet realizovat' etot vid politiki.
Brandmauer mozhet na samom dele okazat'sya nedorogim dlya organizacii iz-za togo, chto bol'shinstvo ili vse izmeneniya v programmah i dopolnitel'nye programmy po bezopasnosti budut ustanovleny na sisteme brandmauera, a ne raspredeleny po bol'shomu chislu hostov. V chastnosti, sistemy odnorazovyh parolej i drugie dopolnitel'nye programmy usilennoj autentifikacii mogut byt' ustanovleny tol'ko na brandmauere, a ne na kazhdoj sisteme, kotoroj nuzhno obrashchat'sya k Internetu.
Drugie podhody k setevoj bezopasnosti, takie kak Kerberos[NIST94c] trebuyut modifikacii programm na kazhdoj sisteme v seti. Poetomu, hotya Kerberos i drugie tehnologii takzhe dolzhny rassmatrivat'sya iz-za ih preimushchestv i mogut okazat'sya naibolee podhodyashchimi, chem brandmauery v opredelennyh situaciyah, vse-taki brandmauery proshche v realizacii, tak kak special'nye programmy trebuyutsya tol'ko na brandmauere.
Konfidencial'nost' ochen' vazhna dlya nekotoryh organizacij, tak kak to, chto obychno schitaetsya bezobidnoj informaciej, mozhet na samom dele soderzhat' poleznye podskazki dlya atakuyushchego. Ispol'zuya brandmauer, nekotorye seti mogut zablokirovat' takie sluzhby, kak finger i domennuyu sluzhbu imen. finger daet informaciyu o pol'zovatelyah, takuyu kak vremya poslednego seansa, chitalas' li pochta, i drugie dannye. No finger mozhet dat' atakuyushchemu informaciyu o tom, kak chasto ispol'zuetsya sistema, rabotayut li sejchas v etoj sisteme pol'zovateli, i mozhet li byt' sistema atakovana, ne privlekaya pri etom vnimaniya.
Brandmauery takzhe mogut byt' ispol'zovany dlya blokirovaniya informacii DNS o sistemah seti, poetomu imena i IP-adresa hostov v seti ne stanut izvestny hostam v Internete. Nekotorye organizacii uzhe ubedilis' v tom, chto blokiruya etu informaciyu, oni skryvayut tu informaciyu, kotoraya byla by polezna dlya atakuyushchego.
Esli vse dostup k Internetu i iz Interneta osushchestvlyaetsya cherez brandmauer, to brandmauer mozhet protokolirovat' dostup i predostavit' statistiku ob ispol'zovanii seti. Pri pravil'no nastroennoj sisteme signalov o podozritel'nyh sobytiyah (alarm), brandmauer mozhet dat' detal'nuyu informaciyu o tom, byli li brandmauer ili set' atakovany ili zondirovany.
Vazhno sobirat' statistiku ispol'zovaniya seti i dokazatel'stva zondirovaniya po ryadu prichin. Prezhde vsego nuzhno znat' navernyaka, chto brandmauer ustojchiv k zondirovaniyu i atakam, i opredelit', adekvatny li mery zashchity brandmauera. Krome togo, statistika ispol'zovaniya seti vazhna v kachestve ishodnyh dannyh pri provedenii issledovanij dlya formulirovaniya trebovanij k setevomu oborudovaniyu i programmam i analize riska.
I nakonec, samoe vazhnoe - brandmauer predostavlyaet sredstva realizacii i pretvoreniya v zhizn' politiki setevogo dostupa. Fakticheski, brandmauer obespechivaet upravlenie dostupom dlya pol'zovatelej i sluzhb. Poetomu, politika setevogo dostupa mozhet byt' realizovana s pomoshch'yu brandmauera, v to vremya kak bez nego, takaya politika zavisit celikom ot dobroj voli pol'zovatelej. Organizaciya mozhet zaviset' ot svoih pol'zovatelej, no ne dolzhna zaviset' ot dobroj voli vseh pol'zovatelej Interneta.
Pomimo opisannyh vyshe preimushchestv ispol'zovaniya brandmauerov, imeet mesto ryad nedostatkov pri ih ispol'zovanii i ryad problem, ot kotoryh brandmauery ne mogut zashchitit'. Brandmauer ne yavlyaetsya panaceej ot vseh problem bezopasnosti, svyazannyh s Internetom.
Samym ochevidnym nedostatkom brandmauera yavlyaetsya to, chto on mozhet blokirovat' ryad sluzhb, kotorye ispol'zuyut pol'zovateli, takie kak TELNET, FTP, X Windows, NFS i dr. Tem ne menee, eti nedostatki ne prisushchi tol'ko brandmaueram; setevoj dostup takzhe mozhet ogranichivat'sya pri zashchite na urovne hostov v sootvetstvii s politikoj bezopasnosti. Horosho produmannaya politika bezopasnosti, v kotoroj najden balans mezhdu trebovaniyami bezopasnosti i potrebnostyami pol'zovatelej, mozhet sil'no pomoch' pri reshenii problem iz-za ogranichenij v dostupe k sluzhbam.
Nekotorye seti mogut imet' topologiyu, kotoraya ne pozvolyaet primenit' brandmauer, ili ispol'zovat' sluzhby, takie kak NFS, takim obrazom, chto ispol'zovanie brandmauera potrebuet ser'eznyh ogranichenij pri rabote v seti. Naprimer, v seti mozhet trebovat'sya ispol'zovanie NFS i NIS cherez osnovnye marshrutizatory. V takoj situacii stoimost' ustanovki brandmauera nuzhno sravnit' s ushcherbom, kotoryj poneset organizaciya ot ataki, ispol'zuyushchej uyazvimye mesta, zashchishchaemye brandmauerom, to est' provesti analiz riska, a zatem prinyat' reshenie na osnovanii ego rezul'tatov. Mogut okazat'sya bolee umestnymi drugie resheniya, takie kak Kerberos, no eti resheniya takzhe imeyut svoi nedostatki. [NIST94c] soderzhit dopolnitel'nuyu informaciyu o Kerberos i drugih potencial'nyh resheniyah.
Vo-vtoryh, brandmauery ne zashchishchayut ot chernyh vhodov(lyukov) v seti. Naprimer, esli mozhno osushchestvit' neogranichennyj dostup po modemu v set', zashchishchennuyu brandmauerom, atakuyushchie mogut effektivno obojti brandmauer[ Iiaf91] . Sejchas skorosti modemov dostatochny dlya togo, chtoby sdelat' vozmozhnym ispol'zovanie SLIP(Serial Line IP) i PPP(Point-to-Point Protocol); SLIP ili PPP-soedinenie vnutri zashchishchennoj seti po suti yavlyaetsya eshche odnim soedineniem s set'yu i potencial'nym uyazvimym mestom. Zachem nuzhen brandmauer, esli razreshen neogranichennyj dostup po modemu?
Brandmauery obychno ne obespechivayut zashchity ot vnutrennih ugroz. Hotya brandmauer mozhet zashchishchat' ot polucheniya postoronnimi licami kriticheskih dannyh, on ne zashchishchaet ot kopirovaniya svoimi sotrudnikami dannyh na lentu ili disketu i vynosa ee za predely seti. Poetomu, bylo by oshibkoj dumat', chto nalichie brandmauera zashchishchaet ot atak iznutri ili atak, dlya zashchity ot kotoryh nuzhen ne brandmauer. Navernoe, ne stoit vkladyvat' znachitel'nye resursy v brandmauer, esli est' drugie sposoby ukrast' dannye.
S brandmauerom takzhe svyazan ryad drugih problem:
Nesmotrya na eti nedostatki NIST rekomenduet, chtoby organizacii zashchishchali svoi resursy s pomoshch'yu brandmauerov i drugih sredstv bezopasnosti.
Osnovnymi komponentami brandmauera yavlyayutsya:
Sleduyushchie razdely opisyvayut bolee detal'no kazhduyu iz etih komponent.
Imeetsya dva vida politiki setevogo dostupa, kotorye vliyayut na proektirovanie, ustanovku i ispol'zovanie sistemy brandmauera. Politika verhnego urovnya yavlyaetsya problemnoj konceptual'noj politikoj, kotoraya opredelyaet, dostup k kakim servisam budet razreshen ili yavno zapreshchen iz zashchishchaemoj seti, kak eti servisy budut ispol'zovat'sya, i pri kakih usloviyah budet delat'sya isklyuchenie i politika ne budet soblyudat'sya. Politika nizhnego urovnya opisyvaet, kak brandmauer dolzhen na samom dele ogranichivat' dostup i fil'trovat' servisy, kotorye ukazany v politike verhnego urovnya. Sleduyushchie razdely kratko opisyvayut eti politiki.
Politika dostupa k servisam dolzhna fokusirovat'sya na problemah ispol'zovaniya Interneta, opisannyh vyshe, i, sudya po vsemu, na vsem dostupe k seti izvne( to est' politika dostupa po modemam, soedinenij SLIP i PPP). |ta politika dolzhna byt' utochneniem obshchej politiki organizacii v otnoshenii zashchity informacionnyh resursov v organizacii. CHtoby brandmauer uspeshno zashchishchal ih, politika dostupa k servisam dolzhna byt' realistichnoj i soglasovyvat'sya s zainteresovannymi licami pered ustanovkoj brandmauera. Realisticheskaya politika - eto takaya politika, v kotoroj najden balans mezhdu zashchitoj seti ot izvestnyh riskov, no v to zhe vremya obespechen dostup pol'zovatelej k setevym resursam. Esli sistema brandmauera zapreshchaet ili ogranichivaet ispol'zovanie nekotoryh servisov, to v politike dolzhna byt' yavno opisana strogost', s kotoroj eto delaetsya, chtoby predotvratit' izmenenie parametrov sredstv upravleniya dostupom siyuminutnym obrazom. Tol'ko podderzhivaemaya rukovodstvom realisticheskaya politika mozhet obespechit' eto.
Brandmauer mozhet realizovyvat' ryad politik dostupa k servisam, no tipichnaya politika mozhet zapreshchat' dostup k seti iz Interneta, i razreshat' tol'ko dostup k Internetu iz seti. Drugoj tipichnoj politikoj mozhet byt' razreshenie nekotorogo dostupa iz Interneta, no tol'ko k izbrannym sistemam, takim kak informacionnye servera i pochtovye servera. Brandmauery chasto realizuyut politik dostupa k servisam, kotorye pozvolyayut pol'zovatelyam seti rabotat' iz Interneta s nekotorymi izbrannymi hostami, no etot dostup predostavlyaetsya, tol'ko esli on sochetaetsya s usilennoj autentifikaciej.
Ona specifichna dlya konkretnogo brandmauera. Ona opredelyaet pravila, ispol'zuemye dlya realizacii politiki dostupa k servisam. Nel'zya razrabatyvat' etu politiku, ne ponimaya takie voprosy, kak vozmozhnosti i ogranicheniya brandmauera, i ugrozy i uzyavimye mesta, svyazannye s TCP/IP. Kak pravilo, realizuetsya odna iz dvuh bazovyh politik proekta:
Brandmauer, kotoryj realizuet pervuyu politiku, propuskaet vse servisy v set' po umolchaniyu, nsli tol'ko etot servis ne byl yavno ukazan v politike upravleniya dostupom kak zapreshchennyj. Brandmauer, kotoryj realizuet vtoruyu politiku, po umolchaniyu zapreshchaet vse servisy, no propuskaet te, kotorye ukazany v spiske razreshennyh servisov. Vtoraya politika sleduet klassicheskoj modeli dostupa, ispol'zuemoj vo vseh oblastyah informacionnoj bezopasnosti.
Pervaya politika menee zhelatel'na, tak kak ona predostavlyaet bol'she sposobov obojti brandmauer, naprimer, pol'zovateli mogut poluchit' dostup k novym servisam, ne zapreshchaemym politikoj( ili dazhe ne ukazannyh v politike), ili zapustit' zapreshchennye servisy na nestandartnyh portah TCP/UDP, kotorye ne zapreshcheny politikoj. Opredelennye servisy, takie kak X Windows , FTP, ARCHIE i RPC, slozhno fil'trovat' [Chap92],[Ches94], i dlya nih luchshe podhodit brandmauer, realizuyushchij pervuyu politiku. Vtoraya politika strozhe i bezopasnee, no ee tyazhelee realizovat' i ona mozhet povliyat' na rabotu pol'zovatelej v tom otnoshenii, chto ryad servisov, takie, kak opisannye vyshe, mogut okazat'sya blokirovannymi ili ispol'zovanie ih budet ogranicheno.
Vzaimosvyaz' mezhdu konceptual'noj politikoj dostupa k servisam i sootvetstvuyushchej ej vtoroj chast'yu opisana vyshe. |ta vzaimosvyaz' sushchestvuet iz-za togo, chto realizaciya politiki dostupa k servisam sil'no zavisit ot vozmozhnostej i ogranichenij sistemy brandmauera, a takzhe uyazvimyh mest, imeyushchihsya v razreshennyh internetovskih servisah. Naprimer, mozhet okazat'sya neobhodimym zapretit' servisy, razreshennye politikoj dostupa k servisam, esli uyazvimye mesta v nih ne mogut effektivno kontrolirovat'sya politikoj nizhnego urovnya i, esli bezopasnost' seti vazhnee vsego. S drugoj storony, organizaciya, kotoraya sil'no zavisit ot etih servisov pri reshenii svoih zadach, mozhet prinyat' eto bolee vysokij risk i razreshit' dostup k etim servisam. |ta vzaimosvyaz' privodit k tomu, chto formulirovanie oboih politik stanovitsya iterativnym processom.
Politika dostupa k servisam - samyj vazhnyj komponent iz chetyreh, opisannyh vyshe. Ostal'nye tri komponenta ispol'zuyutsya dlya realizacii politiki. ( I, kak otmechalos' vyshe, politika dostupa k servisam dolzhna otrazhat' obshchuyu politiku bezopasnosti organizacii). |ffektivnost' sistemy brandmauera pri zashchite seti zavisit ot tipa ispol'zuemoj realizacii ego, ot pravil'nosti procedur raboty s nim, i ot politiki dostupa k servisam.
Razdely 1.3, 1.3.1 i 1.3.2 opisyvali incidenty v Internete, proizoshedshie otchasti iz-za uyazvimosti tradicionnyh parolej. Uzhe mnogo let pol'zovatelyam rekomenduetsya vybirat' takie paroli, kotorye bylo by tyazhelo ugadat' i ne soobshchat' ih nikomu. Tem ne menee, dazhe esli pol'zovatel' sleduet etomu sovetu( a mnogie i etogo ne delayut), to tot fakt, chto zloumyshlenniki mogut nablyudat' za kanalami v Internete i perehvatyvat' peredayushchiesya v nih paroli, delaet tradicionnye paroli ustarevshimi.
Razrabotan ryad mer usilennoj autentifikacii, takih kak smart-karty, biometricheskie mehanizmy, i programmnye mehanizmy, dlya zashchity ot uyazvimosti obychnyh parolej. Hotya oni i otlichayutsya drug ot druga, vse oni odinakovy v tom otnoshenii, chto paroli, generiruemye ustrojstvom usilennoj autentifikacii, ne mogut byt' povtorno ispol'zovany atakuyushchim, kotoryj perehvatyvaet traffik soedineniya. Tak kak problema s parolyami v Internete yavlyaetsya postoyannoj, brandmauer dlya soedineniya s Internetom, kotoryj ne imeet sredstv usilennoj autentifikacii ili ne ispol'zuet ih, bessmyslenen.
Ryad naibolee populyarnyh ustrojstv usilennoj autentifikacii,
ispol'zuemyh segodnya, nazyvayutsya sistemami s odnorazovymi parolyami.
Smart-karta, naprimer, generiruet otvet, kotoryj host ispol'zuet vmesto
tradicionnogo parolya. Tak kak smart-karta rabotaet sovmestno s programmoj
ili oborudovaniem na hoste, generiruemye otvety unikal'ny dlya kazhdogo ustanovleniya
seansa. Rezul'tatom yavlyaetsya odnorazovyj parol', kotoryj, esli perehvatyvaetsya,
ne mozhet byt' ispol'zovan zloumyshlennikom dlya ustanovleniya seansa s hostom
pod vidom pol'zovatelya. [NIST94a] i [NIST91a] bolee detal'no opisyvayut
ustrojstva usilennoj autentifikacii i sredstva zashchity na ih osnove.
Risunok 2.2 Ispol'zovanie usilennoj autentifikacii v brandmauere dlya predvaritel'noj autentifikacii trafika TELNET, FTP
Tak kak brandmauery mogut centralizovat' upravlenie dostupom v seti, oni yavlyayutsya logichnym mestom dlya ustanovki programm ili ustrojstv usilennoj autentifikacii. Hotya mery usilennoj autentifikacii mogut ispol'zovat'sya na kazhdom hoste, bolee praktichnym yavlyaetsya ih razmeshchenie na brandmauere. Risunok 2.2 pokazyvaet, chto v seti bez brandmauera, ispol'zuyushchego mery usilennoj autentifikacii, neautentificirovannyj traffik takih prilozhenij kak TELNET ili FTP, mozhet napryamuyu prohodit' k sistemam v seti. Esli hosty ne ispol'zuyut mer usilennoj autentifikacii, zloumyshlennik mozhet popytat'sya vzlomat' paroli ili perehvatyvat' setevoj trafik s cel'yu najti v nem seansy, v hode kotoryh peredayutsya paroli. Risunok 2.2 takzhe pokazyvaet set' s brandmauerom, ispol'zuyushchim usilennuyu autentifikaciyu, pri kotoroj seansy TELNET ili FTP, ustanavlivaemye so storony Interneta s sistemami seti, dolzhny prohodit' proverku s pomoshch'yu usilennoj autentifikacii pered nachalom raboty. Sami sistemy seti mogut prodolzhat' trebovat' staticheskie paroli pered dostupom k sebe, no eti paroli nel'zya budet ispol'zovat', dazhe esli ih perehvatit', tak kak mery usilennoj autentifikacii i drugie komponenty brandmauera ne pozvolyat zloumyshlenniku proniknut' ili obojti brandmauer.
CHasti 2.4.4 i 3 soderzhat dopolnitel'nuyu informaciyu ob
ispol'zovanii mer usilennoj autentifikacii s brandmauerami. Smotri [NIST94b]
dlya polucheniya bolee podrobnoj informacii ob ispol'zovanii mer usilennoj
autentifikacii na hostah.
Fil'traciya IP-paketov obychno vypolnyaetsya s pomoshch'yu marshrutizatora s fil'traciej paketov, osushchestvlyayushchego ee, kogda pakety peredayutsya mezhdu interfejsami marshrutizatora. Fil'truyushchij marshrutizator obychno mozhet fil'trovat' IP-pakety na osnove gruppy polej iz sleduyushchih polej paketa:
Ne vse fil'truyushchie marshrutizatory sejchas fil'truyut po TCP/UDP-portu otpravitelya, no mnogie proizvoditeli nachali vklyuchat' takuyu vozmozhnost'. Nekotorye marshrutizatory proveryayut, s kakogo setevogo interfejsa marshrutizatora prishel paket, i zatem ispol'zuyut etu informaciyu kak dopolnitel'nyj kriterij fil'tracii. Nekotorye versii Unix imeyut vozmozhnost' fil'tracii paketov, no daleko ne vse.
Fil'traciya mozhet byt' ispol'zovana razlichnym obrazom dlya blokirovaniya soedinenij ot ili k otdel'nym hostam ili setyam, i dlya blokirovaniya soedinenij k razlichnym portam. Organizacii mozhet ponadobit'sya blokirovat' soedineniya ot specificheskih adresov, takih kak hosty ili seti, kotorye schitayutsya vrazhdebnymi ili nenadezhnymi. Ili zhe organizaciya mozhet zahotet' blokirovat' soedineniya ot vseh adresov, vneshnih po otnosheniyu k organizacii( s nebol'shimi isklyucheniyami, takimi kak SMTP dlya polucheniya pochty).
Dobavlenie fil'tracii po portam TCP i UDP k fil'tracii po IP-adresam daet bol'shuyu gibkost'. Napomnim glavu 1, v kotoroj govorilos', chto servera, takie kak demon TELNET, svyazany obychno s konkretnymi portami, takimi kak port 23 dlya TELNET. Esli brandmauer mozhet blokirovat' soedineniya TCP ili UDP k ili ot opredelennyh portov, to mozhno realizovat' politiku, pri kotoroj opredelennye vidy soedinenij mogut byt' osushchestvleny tol'ko s konkretnymi hostami, no ne s drugimi. Naprimer, organizaciya mozhet zahotet' blokirovat' vse vhodyashchie soedineniya dlya vseh hostov, krome neskol'kih sistem, vhodyashchih v sostav brandmauera. Dlya etih sistem mogut byt' razresheny tol'ko opredelennye servisy, takie kak SMTP dlya odnoj sistemy, i TELNET ili FTP dlya drugoj. Pri fil'tracii po portam TCP i UDP eta politika mozhet byt' legko realizovana marshrutizatorom s fil'traciej paketov ili hostom s vozmozhnost'yu fil'tracii paketov.
Risunok 2.3 Primer fil'tracii paketov dlya TELNET i SMTP
Dlya primera rassmotrim politiku, v kotoroj razreshayutsya tol'ko opredelennye soedineniya s set'yu s adresom 123.4.*.* Soedineniya TELNET razreshayutsya tol'ko s odnim hostom, 123.4.5.6, kotoryj mozhet byt' prikladnym TELNET-shlyuzom seti, a SMTP-soedineniya razreshayutsya tol'ko s dvumya hostami, 123.4.5.7 i 123.4.5.8, kotorye mogut byt' dvumya pochtovymi shlyuzami seti. NNTP(Network News Transfer Protocol) razreshaetsya tol'ko ot vzaimodejstvuyushchego s set'yu servera novostej, 129.6.48.254, i tol'ko s NNTP-serverom seti, 123.4.5.9, a protokol NTP(setevogo vremeni) razreshen dlya vseh hostov. Vse drugie servisy i pakety blokiruyutsya. Primer nabora pravil priveden nizhe:
| Tip | Adres otpravitelya | Adres poluchatelya | Port istochnika | Port poluchatelya | Dejstvie |
|
tcp |
* |
123.4.5.6 |
>1023 |
23 |
razreshit' |
|
tcp |
* |
123.4.5.7 |
>1023 |
25 |
razreshit' |
|
tcp |
* |
123.4.5.8 |
>1023 |
25 |
razreshit' |
|
tcp |
129.6.48.254 |
123.4.5.9 |
>1023 |
119 |
razreshit' |
|
udp |
* |
123.4.*.* |
>1023 |
123 |
razreshit' |
|
* |
* |
* |
* |
* |
zapretit' |
Pervoe pravilo pozvolyaet propuskat' pakety TCP iz Interneta ot lyubogo istochnika, imeyushchie port otpravitelya bol'she chem 1023, k adresu 123.4.5.6, esli soedinenie ustanavlivaetsya s portom 23. Port 23 - eto port, svyazannyj s serverom TELNETa, a vse klienty TELNETa dolzhny ispol'zovat' neprivilegirovannye porty bol'she, chem 1024. Vtoroe i tret'e pravilo rabotayut analogichno, krome togo, chto razreshayutsya adresa naznacheniya 123.4.5.7 i 123.4.5.8 i port 25 - SMTP. CHetvertoe pravilo propuskaet pakety k NNTP-serveru seti, no tol'ko ot adresa 129.6.48.254 k adresu 123.4.5.9 s portom naznacheniya 119( 129.6.48.254 - edinstvennyj NNTP-server, ot kotorogo set' poluchaet novosti, poetomu dostup k seti v otnoshenii NNTP ogranichen tol'ko etoj sistemoj). Pyatoe pravilo razreshaet traffik NTP, kotoryj ispol'zuet UDP, a ne TCP, ot lyubogo istochnika k lyuboj sisteme v seti. Nakonec, shestoe pravilo blokiruet vse ostal'nye pakety - esli etogo pravila ne bylo by, marshrutizator mog blokirovat', a mog i ne blokirovat' drugie tiy paketov. |to ochen' prostoj primer fil'tracii paketov. Nastoyashchie pravila pozvolyayut osushchestvit' bolee slozhnuyu fil'traciyu i yavlyayutsya bolee gibkimi.
Reshenie o tom, kakie protokoly ili gruppy portov fil'trovat', zavisit ot politiki setevogo dostupa, to est' ot togo, kakie sistemy dolzhny imet' dostup k Internetu i kakie tipy dostupa razresheny. Opisannye nizhe servisy potencial'no uyazvimy k atakam i obychno blokiruyutsya na brandmauere pri vhode v set' ili vyhode iz nee[Chap92],[Garf92].
Ryad drugih sredstv takzhe obychno fil'truetsya ili ih ispol'zovanie razreshaetsya tol'ko dlya teh sistem, kotorym oni na samom dele nuzhny. V eto spisok vhodyat:
Hotya nekotorye iz etih sluzhb, takie kak TELNET i FTP,
yavlyayutsya opasnymi po svoej suti, polnoe blokirovanie dostupa k drugim mozhet
okazat'sya nepriemlemym dlya mnogih organizacij. Tem ne menee, ne vse sistemy
trebuyut dostupa ko vsem sluzhbam. Naprimer, razreshenie dostupa po TELNET
i FTP iz Interneta tol'ko k tem sistemam, kotorym nuzhen etot vid dostupa,
mozhet uluchshit' bezopasnost', ne prichinyaya neudobstva pol'zovatelyam. Takie
sluzhby, kak NNTP, na pervyj vzglyad ne predstavlyayut osoboj opasnosti, no
razreshenie etih sluzhb tol'ko dlya teh sistem, kotorym oni nuzhny, pomozhet
sozdat' bolee uporyadochennuyu setevuyu sredu i umen'shit veroyatnost' ih ispol'zovaniya
atakuyushchimi iz-za nalichiya v nih eshche neizvestnyh uyazvimyh mest.
Marshrutizatory s fil'traciej paketov imeyut ryad nedostatkov, opisannyh v [Chap92]. Pravila fil'tracii paketov slozhno formuliruyutsya i obychno net sredstv dlya testirovaniya ih korrektnosti( krome kak ruchnoe testirovanie). U nekotoryh marshrutizatorov net sredstv protokolirovaniya, poetomu esli pravila fil'tracii paketov vse-taki pozvolyat opasnym paketam projti marshrutizatora, takie pakety ne smogut byt' vyyavleny do obnaruzheniya proniknoveniya.
CHasto trebuetsya sdelat' isklyucheniya iz pravil, chtoby razreshit' opredelennye vidy dostupa, kotorye obychno blokiruyutsya. No isklyucheniya iz pravil fil'tracii inogda mogut sdelat' pravila fil'tracii takimi slozhnymi, chto oni stanut nekontroliruemymi. Naprimer, dostatochno prosto napisat' pravilo dlya blokirovaniya vseh vhodyashchih soedinenij k portu 23( serveru TELNETa). Esli zhe delayutsya isklyucheniya, to est' esli s nekotorymi sistemami seti razreshaetsya imet' pryamye soedineniya po TELNET, to dolzhno byt' dobavleno pravilo dlya kazhdoj takoj sistemy. Inogda dobavlenie opredelennyh pravil mozhet uslozhnit' vsyu shemu fil'tracii. Kak bylo uzhe skazano, testirovanie slozhnogo nabora pravil na ih korrektnost' mozhet okazat'sya ochen' trudnym.
Nekotorye marshrutizatory s fil'traciej paketov ne fil'truyut po portu TCP/UDP otpravitelya, chto mozhet sdelat' nabor pravil fil'tracii ochen' slozhnym i sozdat' "dyry" v sheme fil'tracii. [Chap92] opisyvaet podobnye problemy s setyami, v kotoryh byli razresheny vhodyashchie i ishodyashchie SMTP-soedineniya . Soglasno punktu 1.2.5, TCP-soedineniya imeyut port otpravitelya i port poluchatelya. Esli sistema iniciiruet SMTP-soedinenie s serverom, portom istochnika budet sluchajno vybrannyj port s nomerom bol'she 1024, a portom poluchatelya budet budet port s nomerom 25, port, kotoryj slushaet server SMTP. Server budet vozvrashchat' pakety s nomerom porta otpravitelya 25, i nomerom porta poluchatelya, ravnym sluchajno vybrannomu klientom nomeru porta. Esli v seti razresheny vhodyashchie i ishodyashchie SMTP-soedineniya, to marshrutizator dolzhen razreshat' soedineniya s portami otpravitelya i poluchatelya, bol'shimi 1023, v oboih napravleniyah. Esli marshrutizator mozhet fil'trovat' po portu otpravitelya, on mozhet blokirovat' vse pakety, vhodyashchie v set' organizacii, u kotoryh port poluchatelya bol'she 1023, a port otpravitelya ne raven 25. Esli on ne mozhet fil'trovat' pakety po portu otpravitelya, marshrutizator dolzhen razreshit' soedineniya, kotorye ispol'zuyut porty otpravitelya i poluchatelya bol'she 1024. Pol'zovateli inogda mogut special'no zapustit' servera na portah, bol'shih 1023, i obhodit' takim obrazom politiku fil'tracii( to est' obychno server telnet v sisteme slushaet port 23, no mozhet byt' skonfigurirovan tak, chto budet slushat' vmesto etogo port 9876; i pol'zovateli v Internete smogut organizovat' telnet-seans s etim serverom dazhe, esli marshrutizator blokiruet soedineniya s portom naznacheniya 23).
Drugoj problemoj yavlyaetsya to, chto ryad sluzhb RPC ochen' trudno zablokirovat' iz-za togo, chto servera dlya etih sluzhb slushayut porty, sluchajno vybiraemye v processe zagruzki sistemy. Sluzhba, izvestnaya pod nazvaniem portmapper otobrazhaet pervonachal'nye vyzovy sluzhb RPC v naznachennye im nomera sluzhb, no ee ekvivalenta ne sushchestvuet dlya marshrutizatora s fil'traciej paketov. Tak kak marshrutizatoru nel'zya soobshchit', s kakim portom rabotaet sluzhba, nel'zya polnost'yu zablokirovat' eti sluzhby, razve chto zablokirovat' polnost'yu vse pakety UDP( RPC-sluzhby v-osnovnom ispol'zuyut UDP). Blokirovanie vseh paketov UDP privedet k blokirovaniyu ryada drugih poleznyh sluzhb, takih kak DNS. Poetomu blokirovanie RPC privodit k dilemme.
Marshrutizatory s fil'traciej paketov s bolee chem dvumya interfejsami inogda ne imeyut vozmozhnostej po fil'tracii paketov v zavisimosti ot togo, s kakogo interfejsa prinyaty pakety, i kuda dolzhny byt' napravleny. Fil'traciya vhodyashchih i ishodyashchih paketov uproshchaet pravila fil'tracii paketov i pozvolyaet marshrutizatoru legko opredelit', kakoj IP-adres nastoyashchij, a kakoj - fal'shivyj. Marshrutizatory bez takoj vozmozhnosti zatrudnyayut realizaciyu strategij fil'tracii.
Krome togo, marshrutizatory s fil'traciej paketov mogut realizovyvat' obe konceptual'nye strategii, opisannye v punkte 2.4.1. Nabor pravil, kotoryj menee gibok, to est' ne fil'truet po portu otpravitelya ili po tipu interfejsa( vhodyashchij ili vyhodyashchij), umen'shaet vozmozhnosti marshrutizatora po pretvoreniyu v zhizn' vtoroj i bolee sil'noj politiki, pri kotoroj zapreshchayutsya vse servisy, krome teh, chto yavno razresheny. Naprimer, problematichnye sluzhby, takie, kak te, kotorye baziruyutsya na RPC, stanovitsya eshche trudnee fil'trovat' s menee gibkim naborom pravil; otsutstvie fil'tracii po portu otpravitelya zastavlyaet razreshat' soedineniya s portami, bol'shimi 1023. Pri menee gibkom nabore pravil marshrutizator imeet men'she vozmozhnostej po realizacii sil'noj politiki, i poetomu obychno ispol'zuyut pervuyu politiku - razreshat' vse sredstva, krome teh, chto yavno zapreshcheny.
CHitatelyam rekomenduetsya prochitat' [Chap92], v kotorom
dano bolee detal'no opisanie fil'tracii paketov i svyazannyh s nej problem.
Hotya fil'traciya paketov ochen' vazhna, nuzhno znat' sushchestvuyushchie problemy
i puti ih resheniya.
CHtoby zashchitit'sya ot ryad uyazvimyh mest, svyazannyh s marshrutizatorami s fil'traciej paketov, v brandmauerah nuzhno ispol'zovat' prikladnye programmy dlya perenapravleniya i fil'tracii soedinenij s takimi sluzhbami, kak TELNET i FTP. Takoe prilozhenie nazyvaetsya proksi-sluzhboj, a host, na kotorom rabotaet proksi-sluzhba - prikladnym shlyuzom. Prikladnye shlyuzy i marshrutizatory s fil'traciej paketov mogut byt' ob容dineny dlya dostizheniya bolee vysokoj bezopasnosti i gibkosti, chem byla by dostignuta, esli by oni ispol'zovalis' otdel'no.
Naprimer, rassmotrim set', v kotoroj blokiruyutsya vhodyashchie soedineniya TELNET i FTP s pomoshch'yu marshrutizatora s fil'traciej paketov. |tot marshrutizator pozvolyaet propuskat' pakety TELNET ili FTP tol'ko k odnoj mashine, prikladnomu shlyuzu TELNET/FTP. Pol'zovatel', kotoryj hochet soedinit'sya snaruzhi s sistemoj v seti, dolzhen snachala soedinit'sya s prikladnym shlyuzom, a zatem uzh s nuzhnym hostom :
Risunok 2.4 Virtual'nye soedineniya, realizuemye s pomoshch'yu
prikladnogo shlyuza i proksi-sredstv
|tot primer demonstriruet neskol'ko preimushchestv ispol'zovaniya proksi-sluzhb. Vo-pervyh, proksi- sluzhby razreshayut tol'ko te sluzhby, dlya kotoryh est' proksi. Drugimi slovami, esli prikladnoj shlyuz soderzhit proksi dlya FTP i TELNET, to v zashchishchaemoj podseti budut razresheny tol'ko FTP i TELNET, a drugie sluzhby budut polnost'yu blokirovany. Dlya nekotoryh organizacij takoj vid bezopasnosti vazhen, tak kak garantiruet, chto tol'ko te sluzhby, kotorye schitayutsya bezopasnymi, budut propuskat'sya cherez brandmauer. |tot podhod takzhe predohranyaet ot vozmozhnosti razrabotki novyh nebezopasnyh sluzhb bez uvedomleniya administratorov brandmauera.
Drugim preimushchestvom ispol'zovaniya proksi-sluzhb yavlyaetsya to, chto mozhet byt' osushchestvlena fil'traciya protokolov. Naprimer, nekotorye brandmauery, mogut fil'trovat' ftp-soedineniya i zapreshchat' ispol'zovanie komandy FTP put, chto bylo by polezno dlya polucheniya garantij togo, chto pol'zovateli ne mogut, naprimer, pisat' na anonimnyj FTP-server.
Prikladnye shlyuzy imeyut ryad ser'eznyh preimushchestv po sravneniyu s obychnym rezhimom, pri kotorom prikladnoj traffik propuskaetsya napryamuyu k vnutrennim hostam. Oni vklyuchayut v sebya:
Nedostatok prikladnogo shlyuza zaklyuchaetsya v tom, chto pri ispol'zovanii klient-servernyh protokolov, takih kak TELNET, trebuetsya dvuhshagovaya procedura dlya vhozhdeniya vnutr' ili vyhoda naruzhu. Nekotorye prikladnye shlyuzy trebuyut modificirovannyh klientov, chto mozhet rassmatrivat'sya libo kak nedostatok, libo kak preimushchestvo, v zavisimosti ot togo, delayut li modificirovannye klienty bolee legkim ispol'zovaniem brandmauera. Prikladnoj shlyuz TELNET neobyazatel'no trebuet modificirovannogo klienta TELNET, tem ne menee on trebuet drugoj logiki dejstvij ot pol'zovatelya: pol'zovatel' dolzhen ustanovit' soedinenie(no ne seans) s brandmauerom, a ne napryamuyu ustanovit' seans s hostom. No modificirovannyj klient TELNET delaet brandmauer prozrachnym, pozvolyaya pol'zovatelyu ukazat' konechnuyu sistemu( a ne brandmauer) v komande TELNET. Brandmauer yavlyaetsya kak by dorogoj k konechnoj sisteme i poetomu perehvatyvaet soedinenie, a zatem vypolnyaet dopolnitel'nye shagi, takie kak zapros odnorazovogo parolya. Pol'zovatelyu ne nuzhno v etom sluchae nichego delat', no na kazhdoj sisteme dolzhen byt' ustanovlen modificirovannyj klient.
Pomimo TELNET, obychno prikladnye shlyuzy ispol'zuyutsya dlya FTP i elektronnoj pochty, a takzhe X Windows i ryada drugih sluzhb. Nekotorye prikladnye shlyuzy FTP imeyut vozmozhnosti blokirovaniya komand get i put dlya nekotoryh hostov. Naprimer, vneshnij pol'zovatel', ustanovivshij FTP-seans(cherez prikladnoj shlyuz FTP) s vnutrennej sistemoj, takoj, kak anonimnyj FTP-server, mozhet popytat'sya skopirovat' fajly na server. Prikladnoj shlyuz mozhet fil'trovat' FTP-protokol i blokirovat' vse komandy put dlya anonimnogo FTP-servera; eto pozvolit garantirovat', chto nikto ne smozhet zagruzit' na server chego-libo, i dast bol'shie garantii, chem prostaya uverennost' v tom, chto prava dostupa k fajlam na anonimnom FTP-servere ustanovleny korrektno( nekotorye organizacii vveli politiki, v kotoryh zapreshchayutsya komandy get i put dlya opredelennyh direktorij; nalichie brandmauera, fil'truyushchego FTP-komandy, bylo by osobenno polezno v etoj situacii. Nekotorye mesta zapretili komandy get dlya vneshnih hostov, chtoby pol'zovateli ne mogli schitat' informaciyu ili programmy s vneshnih hostov. V drugih zhe setyah zapreshchena komanda put dlya vneshnih hostov, chtoby pol'zovateli ne mogli sohranit' lokal'nuyu informaciyu na vneshnih FTP-serverah. No tipovym yavlyaetsya variant. Kogda zapreshchayutsya vhodyashchie komandy put, chtoby vneshnie pol'zovateli ne mogli pisat' na FTP-servera v seti)
Prikladnoj shlyuz dlya elektronnoj pochty sluzhit dlya centralizovannogo
sbora elektronnoj pochty i rasprostraneniya ee po vnutrennim hostam i pol'zovatelyam.
Dlya vneshnih pol'zovatelej vse vnutrennie pol'zovateli budut imet' adres
vida pol'zovatel'@pochtovyj_host,
gde pochtovyj host - imya shlyuza dlya pochty. SHlyuz dolzhen prinimat' pochtu
ot vneshnih pol'zovatelej, a zatem perepravlyat' ee na drugie vnutrennie
sistemy. Pol'zovateli, posylayushchie elektronnye pis'ma s vnutrennih sistem,
mogut posylat' ih napryamuyu s vnutrennih sistem, ili, esli vnutrennie imena
sistem ne izvestny snaruzhi seti, pis'mo dolzhno byt' poslano na prikladnoj
shlyuz, kotoryj zatem perepravit ego k hostu naznacheniya. Nekotorye pochtovye
shlyuzy ispol'zuyut bolee bezopasnuyu versiyu programmy sendmail
dlya priema pochty.
[Ches94] opisyvaet
druguyu komponentu brandmauera, kotoruyu drugie avtory inogda vklyuchayut v
kategoriyu prikladnyh shlyuzov. SHlyuz transportnogo urovnya propuskaet cherez
sebya TCP-soedineniya, no ne delaet nikakoj
fil'tracii protokola. Naprimer, opisannyj vyshe primer prikladnogo shlyuza
TELNET mozhet sluzhit' primerom shlyuza
transportnogo urovnya, tak kak posle ustanovleniya soedineniya mezhdu istochnikom
i naznacheniem brandmauer prosto peredaet potok dannyh mezhdu etimi dvumya
sistemami. Drugim primerom shlyuza transportnogo urovnya mozhet byt' shlyuz dlya
NNTP, v kotorom NNTP-server
soedinyaetsya s brandmauerom, a zatem - s vnutrennej sistemoj cherez brandmauer.
Zdes' brandmauer prosto peredaet potok dannyh.
Last-modified: Mon, 07 Dec 1998 13:21:02 GMT