Рассылка закрыта
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Безопасность в Интернет
| Безопасность в Интернет #15 | октябрь 2000 |
Продолжение вчерашней статьи
Фильтры пакетов с контекстной проверкой
Фильтры обрабатывают пакеты очень быстро, но их вряд ли можно признать идеальным средством защиты, так как они просматривают только некоторые поля в заголовке пакета.
Другим типом межсетевых экранов, пионером в разработке которых была компания CheckPoint Software, является контекстная проверка сеансов между клиентами и серверами. Не ограничиваясь фильтрацией, межсетевые экраны этого типа перехватывают пакеты на сетевом уровне и принимают решения на основании высокоуровневой информации путем анализа данных в пакетах. Данные подразделяются на "хорошие" (данные, которые правила безопасности разрешают пропустить), "плохие" (данные, которые правила безопасности запрещают пропускать) и "неизвестные" (данные, для которых никаких правил не определено). Межсетевой экран с контекстной проверкой обрабатывает их следующим образом: данные, признаваемые хорошими, пропускаются; данные, признаваемые плохими, изымаются, а неизвестные данные фильтруются, т. е. по отношению к ним брандмауэр действует как фильтр пакетов. Еще одной сильной стороной технологии контекстной проверки является хорошая пропускная способность.
Среди межсетевых экранов с контекстной проверкой наибольшим вниманием пользуются два продукта: Firewall-1 компании CheckPoint Software и PIX компании Cisco. Более того, именно эти два продукта делят между собой (примерно поровну) 80% рынка межсетевых экранов. Оба они реализуют одну и ту же базовую технологию, а отличаются, главным образом, второстепенными деталями: операционной системой, поддержкой, удобством использования (пользовательским интерфейсом). Кроме того, Firewall-1 - это целиком программное решение, в то время как PIX представляет собой аппаратно-программный комплекс. PIX опирается на Internetwork Operating System (IOS) компании Cisco, выполняемую на маршрутизаторах производства этой компании. По утверждению Cisco, вся обработка осуществляется во флэш-памяти, а это исключает необходимость в записи на диск.
Сервер уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много - соединение типа "один - много". Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. В частности, областью применения сервера уровня соединения может быть организация так называемых виртуальных частных сетей (VPN - Virtual Private Network). Обычно локальные сети (например, головной организации и ее филиалов) связывают друг с другом при помощи глобальной сетевой службы, например арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками. Развернув виртуальную частную сеть (VPN), компании могут создать соединение между межсетевыми экранами без дополнительных расходов на выделенные линии.
Серверы прикладного уровня
Межсетевые экраны этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения прикладного уровня: от клиента до межсетевого экрана и от межсетевого экрана до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного межсетевого экрана. Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS).
Другим положительным качеством является возможность централизованной аутентификации - подтверждения действительно ли пользователь является тем, за кого он себя выдает. При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Отметим положительные и отрицательные стороны данного типа межсетевых экранов:
Преимущества:
- локальная сеть невидима из Internet;
- защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
- при организации аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатки:
- более высокая, чем для пакетных фильтров стоимость;
- производительность ниже, чем для пакетных фильтров.
Ввиду того, что серверы прикладного уровня (шлюзы приложений) функционируют на уровне приложений, контроль доступа может быть отрегулирован значительно точнее, нежели в случае фильтров пакетов. Однако одним из недостатков такого подхода является то, что поток трафика существенно замедляется, поскольку инициация уполномоченного сеанса требует времени. Многие шлюзы приложений поддерживают скорости вплоть до уровня Т-1 (1,544 Мбит/с), но, если компании развертывают несколько брандмауэров или число сеансов увеличивается, заторы становятся настоящей проблемой. Шлюзы приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса. Межсетевые экраны, не имеющие соответствующего приложения, не позволят осуществить доступ к данному сервису. С технической точки зрения, это означает, что при появлении новой версии какого-либо приложения она должна быть загружена в межсетевой экран.
Алексей Казаковский, Центр защиты информации ВолгГТУ.
| Ваши отклики - andboc@mail.ru |
 |
 |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
| В избранное | ||
