Безопасность в Интернет

Недавно нашел в Сети не очень свежую , но не потерявшую актуальности статью из LAN Magazine по общим вопросам безопасности. Предлагаю ее вашему вниманию.

На линии огня

Если компания выходит в Internet, то она может быть уверена, что хакеры о ней не забудут. Однако, если установить брандмауэр, сон администратора сети может стать спокойнее.

В дни черно-белого телевидения, когда сеть Internet еще не была бельмом на глазу Министерства юстиции, бал правили мэйнфреймы и закрытые протоколы передачи. Ввиду закрытости этих систем необходимость контроля и защиты сетевого трафика не возникала. Однако ситуация изменилась с принятием TCP/IP в качестве сетевой технологии и с ростом популярности Internet.

С открытием доступа из сети в Internet для работы с электронной почтой, World Wide Web и такими сервисами, как telnet и ftp, любой абонент Internet может, в принципе, получить доступ к этой сети с непредсказуемыми последствиями.

Точно так же, как хозяева вынуждены запирать двери в своих домах, компании должны защищать сетевые ресурсы от посторонних.

Любой более или менее серьезный план защиты внутренней сети от плохих парней в Internet не может обойтись без брандмауэра. Брандмауэры часто сравнивают с охранниками: они стоят на входе в сеть и проверяют каждый входящий и выходящий из шлюза в Internet пакет на наличие соответствующих прав. Брандмауэры контролируют сетевой трафик на уровне как Internet, так и Intranet и в некоторых случаях не только пропускают разрешенные пакеты, но и предотвращают попытки взлома системы извне.

Брандмауэры имеют три важные особенности: первое - весь трафик должен проходить через одну точку; второе - брандмауэр должен контролировать и регистрировать весь проходящий трафик и третье - платформа брандмауэра должна быть неприступна для атак.

Рынок брандмауэров возник только в начале 90-х, хотя такие компании, как Digital Equipment и Cisco Systems, включали аналогичные технологии в свои продукты и раньше. В 1992 г. технология брандмауэра вступила в пору расцвета; с этого момента рынок просто изобилует разнообразными продуктами.

С началом объединения территориально-разбросанных локальных сетей маршрутизаторы стали необходимым инструментом при передаче трафика локальной сети в глобальную сеть для доставки в другую локальную сеть. Маршрутизаторы занимают важное место в большинстве сетевых сред, однако они не в состоянии обеспечить безопасность системы.

В отличие от большинства типов брандмауэров маршрутизаторы не имеют надежных средств протоколирования. Как таковые маршрутизаторы достаточны для компаний, пользующихся только базовыми услугами Internet типа электронная почта. Но если компания расширяется, создает филиалы и начинает пользоваться более сложными услугами или предоставлять удаленный доступ, то обычный маршрутизатор оказывается не в состоянии обеспечить защиту.

Однако при добавлении функций маршрутизатор может действовать как фильтр пакетов, т.е. служить в качестве одного из самых типичных брандмауэров. В самом деле большинство фильтров пакетов реализуется на базе маршрутизаторов. Среди них продукты Cisco Systems и Livingston Enterprises.

Фильтры пакетов производят оценку данных на основе IP-информации, содержащейся в заголовке пакета, а точнее, адреса отправителя и получателя пакета. Фильтр не только считывает IP-заголовок пакета, но и сопоставляет полученную информацию со списком правил фильтрации для разрешения или запрещения передачи пакета. Правила фильтрации содержат такие поля, как IP-адрес, тип протокола, номер порта отправителя и номер порта получателя.

Фильтры пакетов прежде, чем разрешить пакету продолжение его предполагаемого маршрута, сравнивают эти характеристики с предопределенным значением.

В целом фильтры пакетов представляют наименее дешевые решения для брандмауэра, но, благодаря своему умению проверять пакеты различных протоколов, они являются и наиболее гибкими. Кроме того, фильтры работают быстро, поскольку они просто просматривают информацию о пакете при принятии решения. Но фильтры пакетов имеют несколько существенных недостатков: они не в состоянии отслеживать конкретный сетевой сеанс и не в силах предотвратить атаки с имитацией IP-адресов.

Имитация IP-адресов имеет место, когда хакер присваивает себе IP-адрес законного пользователя - зачастую внутренний адрес того, кто имеет доступ к ресурсам. А так как фильтры пакетов просматривают информацию об IP-адресе, то они допускают пакет с разрешенным адресом в сеть вне зависимости от того, откуда инициирован сеанс и кто скрывается за адресом.

Однако усовершенствованная версия фильтрации пакетов, известная как динамическая фильтрация пакетов, позволяет анализировать адрес, с которого некто пытается осуществить доступ, и производит ping для проверки этого адреса. Очевидно, если злоумышленник использует внутренний IP-адрес компании извне, то ping не достигнет отправителя пакета, и сеанс не получит продолжения.

Seattle Software Labs, Cisco и CheckPoint Software Technologies поддерживает также технологию преобразования сетевого адреса. Эта технология обеспечивает обычную фильтрацию пакетов с искажением. При прохождении пакета через брандмауэр его IP-адрес заменяется на один из пула адресов. Такая замена позволяет скрыть внутренние адреса от злоумышленника за пределами сети. Другие типы брандмауэров, например шлюзы уровня приложения и шлюзы уровня канала, имеют эту возможность по умолчанию.

Компаниям, которым нужен надежный страж, следует задуматься об установке шлюзов приложений, развивающих идею фильтрации пакетов. Вместо анализа IP-адресов пакетов такие шлюзы анализируют их на уровне приложений. Часто шлюзы приложений используют уполномоченное приложение для создания отдельного сеанса. В отличие от фильтра пакетов, этот сеанс не допускает прямого соединения между двумя сетями, функционируя как посредник для трафика пакетов.

Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания запрашиваемой услуги, допустим telnet, ftp, World Wide Web или электронная почта. Инициировав уполномоченный сеанс, брандмауэр по существу ограничивает доступ к определенным приложениям. Многие шлюзы приложений предоставляют также уполномоченных для HTTP, Network News Transfer Protocol (протокол для управления группам новостей Usenet), Simple Mail Transfer Protocol и SNMP.

По большей части популярные брандмауэры представляют собой шлюзы приложений, хотя они осуществляют также фильтрацию пакетов и другие функции. По самой своей природе шлюзы приложений имеют много преимуществ над фильтрами пакетов. Они выполняются на стандартном оборудовании, в частности на рабочей станции Unix, имеющей больше, чем маршрутизатор, возможностей настройки. В январе 1996 года Raptor Systems выпустила Eagle NT, первый брандмауэр на базе Windows NT, с помощью которого администраторы сетей могут сконфигурировать надежную защиту без знания Unix. С тех пор такие компании, как CheckPoint и NetGuard, также выпустили программные брандмауэры для Windows NT.

Ввиду того, что шлюзы приложений функционируют на уровне приложений, контроль доступа может быть отрегулирован значительно точнее, нежели в случае фильтров пакетов. Однако одним из недостатков такого подхода является то, что поток трафика существенно замедляется, поскольку инициация уполномоченного сеанса требует времени.

Обычно локальные сети связывают друг с другом при помощи глобальной сетевой службы, например арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками. Для многих компаний плата в тысячи долларов за выделенные линии ложится тяжелым бременем на общий бюджет ИТ. Однако, развернув виртуальную частную сеть (VPN), компании могут создать соединение между брандмауэрами без дополнительных расходов на Т-1 или другие выделенные линии. Получить надежное соединение по Internet можно посредством кодирования проходящей по каналу VPN информации.

Сеть VPN может применяться не только для связи между двумя офисами. Часто мобильному или удаленному пользователю нужен аналогичный уровень защиты и надежности при обмене информацией или доступе к сервисам Internet. CheckPoint Software использует клиентское программное обеспечение шифрования, благодаря чему удаленные пользователи имеют возможность инициировать надежное соединение либо через коммутируемые линии, либо через Internet.

CheckPoint FireWall-1 SecuRemote работает с Firewall-1. Вместе они позволяют мобильным или удаленным пользователям осуществлять защищенную передачу данных и применять сервисы Internet, даже когда прямой защищенный канал с главным офисом невозможен. При установке на портативную или другую удаленную машину SecuRemote дает возможность позвонить по локальному номеру Internet вне зависимости от местоположения пользователей, инициировать соединение VPN, отправить и получить шифрованную информацию.