Курсоваробота
Пакетнийфільтр. Ефективний захист комп’ютерних мереж.
Зміст
1. Брандмауер з фільтрацієюпакетів. 5
1.1 Вибір політики зазамовчуванням. 7
1.2 Фільтрація вхідних пакетів. 8
1.3 Фільтрація на основі адресиджерела. 8
1.4 Фільтрація на основі адресипризначення. 9
1.5 Фільтрація на основі портуджерела. 9
1.6 Фільтрація на основі портупризначення. 10
1.7 Фільтрація на основіінформації про стан TCP-з’єднання. 10
2. Проба і сканування. 12
3. Додаткові питання фільтраціїпакетів. 13
3.1 Маршрут до джерела. 13
3.2 Фрагментація пакетів. 13
3.3 Фільтрація вихідних пакетів. 14
3.4 Фільтрація на основі адресиджерела. 15
3.5 Фільтрація на основі адресипризначення. 15
3.6 Фільтрація на основі портуджерела. 16
3.7 Фільтрація на основі портупризначення. 17
3.8 Фільтрація за значеннямипрапорів стану. 17
4. Доступ до служб локальноїмережі 19
4.1 Захист локальних служб. 20
5. Вибір серверів для установкив системі 22
6. Принципи роботи брандмауерів. 23
6.1 Характеристики брандмауерів. 24
Висновки. 28
Вступ
Термін брандмауер може набувати різнізначення в залежності від принципу, покладеного в основу роботи засобівзахисту, мережної архітектури і схеми маршрутизації. Брандмауери звичайнопідрозділяють на три типи: брандмауер з фільтрацією пакетів, прикладний шлюз іуніверсальний proxy-сервер.
Брандмауер з фільтрацією пакетів, якправило, діє на мережному і транспортному рівнях і реалізується в складіопераційної системи. Вихідною інформацією для фільтрації є вміст заголовківIP-пакетів, на основі якого брандмауер приймає рішення, по якому маршруті вартонаправити пакет.
Прикладний шлюз, чи шлюз додатківреалізується за допомогою вибору мережної архітектури і конфігурації системи.Мережний трафик ніколи не проходить через комп’ютер, на якому виконуєтьсяприкладний шлюз. Щоб звернутися в Internet, локальний користувач повинен зареєструватисяна прикладному шлюзі. Комп’ютер, що містить прикладний шлюз, може бутизахищений брандмауерами з фільтрацією пакетів як ззовні, так і з локальноїмережі.
Proxy-сервер (чи брандмауер-посередник)звичайно реалізується у виді незалежного додатка, що керує доступом до різнихтипів мережних служб. Для клієнтів proxy-сервер виконує роль сервера, а длясерверів є клієнтом-програмою. Замість того щоб безпосередньо звертатися довилучених серверів, спеціальним способом сформовані клієнти-програми, які звертаютьсядо proxy. Прийнявши звертання клієнта, ргоху-сервер установлює зв’язок звилученим вузлом, але вже не від імені клієнта, а від свого, при цьому вінзаміняє в пакеті адреса клієнта своєю адресою. Подібний сервер можеконтролювати цілісність даних, здійснювати перевірку на наявність вірусів ізабезпечувати виконання правил системної політики, що визначають обмінвисокорівневими даними.
Всі описані типи брандмауерів керуютьдоступом до служб. Кожен підхід має свої переваги перед іншими. Комерційні продукти,що реалізують брандмауери, як правило, являють собою сполучення засобів,призначених для фільтрації пакетів, організації прикладних шлюзів і роботи якуніверсальний proxy-сервер. Дана курсова в основному присвячена брандмауерам зфільтрацією пакетів.
1. Брандмауер зфільтрацією пакетів
Брандмауер з фільтрацією пакетів являєсобою сукупність засобів, які реалізують набір дозволених і заборонених правил.Ці правила визначають, які пакети можуть проходити через конкретний мережнийінтерфейс. На основі аналізу інформації, що міститься в заголовку пакета,брандмауер приймає рішення, чи варто переслати пакет на вузол призначення,видалити пакет, не приймати ніяких додаткових дій, або повернути передавальномукомп’ютеру повідомлення про помилку. Правила, що визначають долю пакетів,складають для кожної мережної карти, у них враховуються IP-адреси джерела іпризначення, номера портів TCP і UDP, прапори TCP-з’єднань, типиICMP-повідомлень. Звичайно правила для вхідних і вихідних пакетіврозрізняються.
Як правило, брандмауер установлюється длятого, щоб контролювати дані, якими комп’ютери обмінюються з Internet. Дані, щонадходять ззовні фільтруються; у результаті чого відсіваються неприпустимізвертання до вузлів мережі. Аналогічно відбувається перевірка інформації,переданої з внутрішньої мережі в Internet.
При настроюванні комп’ютера правила дляконкретного мережного інтерфейсу зручно представляти як пари введення /виведення. Тому що вхідні і вихідні пакети обробляються незалежно один відодного, процеси фільтрації вхідних і даних керуються різними наборами правил.Списки правил, що керують фільтрацією пакетів, що надходять ззовні в локальнумережу і відправляються з локальної мережі в Internet, прийнято називатиланцюжками. Термін ланцюжок використовується тому, що при перевірці пакетаправила застосовуються послідовно одне за одним, поки список правил не будевичерпаний. Таким чином, пари введення / виведення — це вхідна (input) івихідна (output) ланка, одна з них виявляє собою набір правил для вхідних, аінша — для вихідних даних.
/>
Описаний механізм досить ефективний, однаквін не забезпечує безпеки локальної мережі. Це усього лише одна з ланокзагальної схеми захисту. Аналіз заголовків пакетів — операція занадто низькогорівня для того, щоб реально виконувати аутентифікацію і контролювати доступ. Упроцесі фільтрації пакетів практично неможливо розпізнати відправникаповідомлення і проаналізувати зміст переданої інформації. З усього наборуданих, придатних для аутентифікації, на розглянутому рівні доступна тількиIP-адреса відправника, однак цю адресу дуже легко підмінити. Незважаючи на тещо засоби фільтрації пакетів дозволяють ефективно контролювати звертання допортів, використання протоколів обміну і вміст пакетів, перевірку данихнеобхідно продовжити на більш високому рівні.
Однак процес фільтрації пакетів не можнанедооцінювати. Без нього високорівнева фільтрація і робота брандмауера –посередника будуть неефективні, а можливо, і некоректні. Засоби захисту, щопрацюють на визначеному рівні мережної моделі, повинні спиратися на результатироботи процедур нижче розміщених рівнів.
1.1 Вибір політикиза замовчуванням
Кожен ланцюжок являє собою набір правил,заданих явно, і політику за замовчуванням. Пакет перевіряється на відповідністькожному з явно зазначених правил; правила вибираються зі списку послідовнодоти, поки не буде виявлена відповідність пакета одному з них. Якщо пакет незадовольняє жодному з явно заданих правил, починаються дії, визначені політикоюза замовчуванням.
При побудові брандмауерів використовуютьсядва основних підходи.
1. Забороняється проходження всіх пакетів;пропускаються лише ті, які задовольняють визначеним правилам.
2. Дозволяється проходження всіх пакетів,за винятком пакетів, що задовольняють визначеним правилам.
На практиці рекомендується використовуватипідхід, при якому пакет, що надходить, за замовчуванням відкидається. У цьомувипадку необхідний рівень безпеки досягається досить просто, але приходитьсяпередбачати можливість звертання до кожної мережної служби і використаннякожного конкретного протоколу. Це означає, що фахівець, що займаєтьсянастроюванням брандмауера, повинен чітко уявляти собі, які протоколизастосовуються при звертанні до конкретних сервісних засобів. При використанніпідходу, що передбачає заборону за замовчуванням, приходиться вживатиспеціальних заходів кожен раз, коли необхідно дозволити Internet-доступ, протев деяких комерційних брандмауерах передбачена лише політика такого типу.
Політика дозволу за замовчуванням дозволяєдомогтися роботи системи малими зусиллями, але при цьому необхідно передбачитикожен конкретний випадок, при якому потрібно заборонити доступ. Подібний підхідсполучений з визначеною небезпекою для локальної мережі. Може статися так, щонеобхідність внесення додаткових заборон стане зрозумілою лише тоді, коли врезультаті несанкціонованого доступу мережі буде нанесений значну шкоду. Крімтого, не виключено, що ви установите нову службу, не заблокувавши попередньодоступ до неї. Таким чином, якщо ви виберете політику дозволу за замовчуванням,вам доведеться виконувати великий обсяг роботи з адміністрування брандмауера,крім того, імовірність помилки істотно збільшиться.
1.2 Фільтраціявхідних пакетів
У невеликих локальних мережах принастроюванні брандмауерів основна увага звичайна приділяється вхідномуланцюжку, зв’язаної з зовнішнім мережним інтерфейсом. Як було сказано вище, прифільтрації пакетів враховуються адреса джерела, адреса призначення, портджерела, порт призначення і прапори, що визначають стан ТСР-з’єднання. Унаступних розділах докладно розглядаються дані, що можуть міститися взазначених полях і рішення, прийняті брандмауером.
1.3 Фільтрація наоснові адреси джерела
На рівні фільтрації пакетів єдиний спосібідентифікації відправника – перевірка IP-адреси джерела в заголовку пакета.Обмежені можливості брандмауера надають широкі можливості для фальсифікаціїпакетів, при якій відправник заміняє свою адресу в заголовку пакета іншимзначенням. Для підміни може бути обрана неіснуюча чи реальна адреса, щоналежить іншому вузлу. Це дозволяє зловмиснику незаконно проникнути у вашусистему чи атакувати інші вузли, ховаючись під вашим ім’ям. При цьому спробипростежити джерело повідомлень направляються по помилковому сліді.
1.4 Фільтрація наоснові адреси призначення
У більшості випадків фільтрація на основіадреси призначення виконується автоматично. Мережний інтерфейс просто ігноруєпакети, не адресовані безпосередньо йому. Виключенням є широкомовні пакети,адресовані усім вузлам мережі.
Адреса 255.255.255.255 являє собою загальнуширокомовну адресу. Ви можете визначити широкомовну адресу для конкретноїмережі, додавши до номера мережі необхідну кількість десяткових чисел 255.Припустимо, наприклад, що номер мережі вашого провайдера 192.168.0.0, а вашаIP-адреса 192.168.10.30. У цьому випадку широкомовна адреса буде мати вид192.168.255.255 або 255.255.255.255.
Широкомовний пакет, спрямований за адресою0.0.0.0, безсумнівно фальсифікований. Ціль передачі такого пакета —ідентифікувати версію UNIX. У відповідь на такий пакет система UNIX версії BSDпередає ICMP-повідомлення про помилку з кодом 3. Приведений приклад можеслужити додатковим аргументом при виборі між забороною (deny) і відмовленням упроходженні (reject) пакета. У даному випадку повідомлення про помилку і є таінформація про систему, що прагне одержати зломщик.
1.5 Фільтрація наоснові порту джерела
Номер порту джерела, що міститься взаголовку пакета, призначений для ідентифікації програми-відправникаповідомлення, що виконується на вилученому вузлі. У запитах вилучених клієнтіввашому серверу містяться різні номери портів, а у відповідях сервера клієнтам —той самий порт.
У складі запиту вилученого клієнтавказується непривілейований порт. Так, наприклад, номер порту в запиті доWeb-сервера повинний лежати в діапазоні від 1024 до 65535.
У відповіді вилученого сервера повиннийбути зазначений порт, виділений для конкретної мережної служби. Якщо визвернулися до вилученого Web-сервера, то в його відповіді буде міститися номервихідного порту, рівний 80. Цей порт використовується HTTP-серверами.
1.6 Фільтрація наоснові порту призначення
Порт призначення визначає програму навашому комп’ютері, який призначений пакет. У запитах вилучених клієнтів,переданих на сервер, міститься той самий порт призначення, а у відповідяхсервера клієнтам – різні номери портів.
У пакеті, що містить звертання клієнта досервера, знаходиться номер порту, виділений для забезпечення роботи конкретноготипу мережної служби. Так, наприклад, пакет, спрямований Web-серверу, міститьномер порту 80. У відповідях вилучених серверів на запити клієнта міститьсянепривілейований номер порту в діапазоні від 1024 до 65535.
1.7 Фільтрація наоснові інформації про стан TCP-з’єднання
У деяких правилах обробки пакетіввикористовуються прапори, що визначають стан TCP-з’єднання. Будь-яке з’єднанняпроходить через визначені стани. Стани клієнта і сервера розрізняються міжсобою.
У першому пакеті, відправленому вилученимклієнтом, установлений прапор SYN (прапор АСК скинутий). Передача такого пакетає першим кроком у встановленні TCP-з’єднання. В усіх наступних пакетах, переданихклієнтом, установлений прапор АСК, а прапор SYN скинутий. Як правило,брандмауери дозволяють проходження пакетів, що містять звертання клієнтів,незалежно від стану прапорів SYN і АСК.
Пакети, передані вилученими серверами,завжди є відповідями на попередні звертання клієнтів-програм. У кожнім пакеті,,що надійшов від вилученого сервера, повинний бути встановлений прапор АСК,оскільки TCP-з’єднання ніколи не встановлюється з ініціативи сервера.
2. Проба ісканування
Проба – це спроба установити з’єднання чиодержати відповідь при звертанні до конкретного порту. Сканування являє собоюсерію подібних спроб, початих для різних портів. Як правило, скануваннявиробляється з застосуванням автоматизованих засобів.
Самі по собі проби і сканування безпечнідля системи. Більш того, єдиний спосіб визначити, чи підтримується на вузлівизначений тип служби, – звернутися до відповідного порту, тобто зробити пробу.Проте в більшості випадків проби і сканування є частиною цілого комплексузаходів для збору інформації, після чого звичайно випливає спроба зломусистеми. У 1998 році спостерігалося різке збільшення числа випадків сканування;у цей час одержали широке поширення автоматичні скануючі програми, а в процесізбору інформації брали участь цілі групи хакерів.
3. Додатковіпитання фільтрації пакетів
Обробка пакетів з маршрутом до джерела іфрагментація безпосередньо не зв'язані з фільтрацією пакетів. Однак ці питаннятакож відносяться до забезпечення безпеки і зважуються на системному рівні.
3.1 Маршрут доджерела
Протокол IP надає можливість безпосередньовказати в складі пакета маршрут між двома комп'ютерами і позбавити проміжнімаршрутизатори права приймати рішення про шлях проходження пакета. Маршрут ускладі IP-пакета, подібно ІCMP-перенапрямленю, дозволяє хакеру “обманути”систему так, що вона буде приймати його комп’ютер за локальну машину, серверпровайдера чи інший вузол мережі, що користається довірою.
За замовчуванням Red Hat Linux 6.0 необробляє пакети, що містять маршрут до джерела. Подібним чином можна сформуватиі більш ранні версії системи, але для цього необхідно переформувати ядро. Вданий час у процесі нормального обміну даними явна вказівка маршруту до джерелапрактично не використовується, і багато маршрутизаторів попросту ігноруютьподібні пакети.
3.2 Фрагментаціяпакетів
У різних типах локальних мереж (наприклад,Ethernet, ATM, token ring) накладаються різні обмеження на довжину переданихкадрів. По шляху проходження пакета від джерела до приймача зустрічаютьсяділянки мереж, що підтримують кадри меншої довжини. Щоб передати дані черезтаку ділянку мережі, маршрутизатор змушений розбивати пакет на частини,називані фрагментами. Перший фрагмент пакета містить номера вихідного порту іпорту призначення, у наступних фрагментах ці зведення відсутні.
Конфігурація комп’ютера, що виконує функціїбрандмауера, повинна бути обрана так, щоб пакети, розбиті на фрагменти,відновлювалися перед передачею на вузол призначення. Така конфігураціяавтоматично встановлюється в Red Hat 6.0. У попередніх версіях системи засобудефрагментації повинні були бути явно включені перед компіляцією ядра.
3.3 Фільтраціявихідних пакетів
Якщо комп’ютери вашої локальної мережі ікористувачі, що працюють за ними, заслуговують довіри, питання фільтраціївихідних пакетів не так важливі, як фільтрація пакетів, адресованих локальноїмережі. Якщо брандмауер не пропускає небажані повідомлення, вузли локальноїмережі не будуть передавати відповіді на них. Проте симетрична фільтраціязабезпечує високий ступінь захисту. Якщо брандмауер фільтрує не тільки вхідні,але і вихідні пакети, вузли Internet захищені від помилок, що допускаютьсявашими користувачами.
Яку ж загрозу може представляти вашалокальна мережа для інших комп’ютерів, підключених до Internet? Якщо подіїбудуть розвиватися найгіршим образом, може статися так, що зловмисник одержитьдоступ до вашої локальної мережі. При цьому фільтрація пакетів забезпечитьвизначений рівень захисту глобальної мережі, принаймні, доти, поки зловмисникуне потрапить у руки пароль root. Одержавши права суперкористувача, він зможепопросту відключити брандмауер.
Фільтрація вихідних повідомлень дозволитьвиключити влучення повідомлень, переданих по локальній мережі, у Internet.Варто помітити, що витік конфіденційної інформації може відбуватися не тількивнаслідок незаконного проникнення в систему, але й у результаті неправильногонастроювання вузлів локальної мережі, при якій передані зведення безперешкоднопроникають у Internet. До такого неконтрольованого поширення інформації можепривести використання серверів dhcpd, timed, routed і rwhod. Служби wall іsyslogd також не ідеальні з погляду безпеки системи.
Фільтрація вихідних пакетів дозволитьприпинити небажані звертання до серверів з вузлів локальної мережі. Джереломтаких звертань можуть бути неперевірені програми, що запускаються користувачамина їхніх комп’ютерах. Так, наприклад, програми, що застаріли, розроблені безобліку особливостей мережного середовища, можуть поводитися непередбачено накомп’ютері, підключеному до Internet.
3.4 Фільтрація наоснові адреси джерела
Сформувати правила фільтрації за адресоюджерела нескладно. Якщо розміри локальної мережі невеликі, IP-адреса кожного зкомп’ютерів точно відомий. Отже, правила фільтрації повинні бути побудованітак, щоб пакет, у якому зазначена адреса джерела, не співпадав з жодним задресів комп’ютерів, не був пропущений брандмауером.
Якщо на вузлах локальної мережі встановленокілька загальнодоступних серверів, ситуація ускладнюється. Якщо комп’ютеру, щовиконує функції брандмауера, IP-адреса виділяється динамічно, фільтраціявихідних пакетів обов’язково повинна виконуватися.
3.5 Фільтрація наоснові адреси призначення
Як було сказано вище, можлива ситуація, приякій вам буде потрібно обмежити передачу пакетів за межі локальної мережіадресами окремих мереж чи окремих комп’ютерів. Ці адреси чи діапазони адресповинні бути зазначені в правилах, керуючих роботою брандмауера.
Перша категорія вихідних пакетів, щопідлягають фільтрації, являє собою звертання до вилучених серверів. Деякі типисерверів, наприклад Web чи FTP, можуть розміщатися практично по будь-якійадресі, і доступ до них звичайно не обмежується. У той же час існують служби,звертання до яких повинні строго контролюватися. Як приклади можна привестипоштовий сервер POP і службу DHCP, що динамічно розподіляє IP-адреси. Звичайнобрандмауер набудовується так, що звертання до подібних служб дозволяється лишеу випадку, якщо відповідні сервери розташовані на визначених вузлах зконкретними IP-адресами.
Друга категорія вихідних пакетів,оброблюваних у процесі фільтрації, – це відгуки локальних серверів на звертаннядо них вилучених клієнтів. І знову, якщо відповідь Web-сервера може бутиспрямована практично будь-якому комп’ютеру, підключеному до Internet, товідповіді таких служб, як Telnеt, SSH і finger, повинні одержувати лише окремівузли, що користаються довірою. Таким чином, брандмауер не тільки видаляєпакети, спрямовані деяким службам, але й обмежує число клієнтів, яким має правовідповісти сервер.
3.6 Фільтрація наоснові порту джерела
Перевірка портів, зазначених у заголовкахпакетів, виконується як для клієнтів-програм, запущених у локальній мережі, такі для серверів. Така перевірка дозволяє переконатися в тім, що програмипрацюють коректно і захищають користувачів Internet від улучення на їхнікомп’ютери графіка локальної мережі.
При звертанні локальних клієнтів довилучених серверів у заголовку пакетів повинні міститися лише непривілейованіномери портів джерела. Перевірка номерів вихідних портів брандмауеромзабезпечує додатковий контроль правильності роботи програм.
Пакети, передані сервером, обов’язковоповинні містити в заголовку порт джерела, що збігає з номером порту, виділенимдля служби даного типу. Перевірка номера порту по суті являє собою перевіркуроботи засобів підтримки протоколів. Контролюючи номера портів, брандмауервиключає несанкціоновані звертання до серверів і вилучення даних, призначенихдля передачі по локальній мережі, у Internet.
3.7 Фільтрація наоснові порту призначення
Оскільки локальні клієнти можуть звертатисядо вилучених серверів лише по конкретних номерах портів, фільтрація вихіднихпакетів є одночасно засобом контролю за використанням протоколів. Це, по-перше,запобігає випадковим установленням з’єднань з помилково обраними серверами, апо-друге, не дає можливості користувачам локальної мережі проводити скануванняпортів вилучених комп’ютерів і впливати на них іншими способами.
Вилучені клієнти при встановленні з’єднаньз вашими серверами використовують винятково непривілейовані порти, томубрандмауер повинний стежити, щоб у відповідях локальних серверів як портипризначення також указувалися порти з номерами 1024 і вище.
3.8 Фільтрація зазначеннями прапорів стану
Як і при фільтрації вхідних пакетів,обробка вихідного пакета може виконуватися на основі значень прапорів, щовизначають стан з’єднання. На різних етапах TCP-з’єднання стан клієнта ісервера змінюється.
У першому пакеті, що відправляєтьсяклієнтом у рамках конкретного TCP-з’єднання, установлений прапор SYN. В усіхнаступних пакетах прапор SYN скинутий, але встановлений прапор АСК. Такимчином, при настроюванні брандмауера необхідно задати правило, відповідно доякого в пакетах, переданих клієнтом, повинний бути встановлений або прапор SYN,або АСК.
Пакети, передані серверами, являють собоювідповіді на запити клієнтів. У кожнім з таких пакетів установлений прапор АСК.Цей факт також повинний бути відбитий у настроюваннях брандмауера.
4. Доступ до служблокальної мережі
Самий вірний спосіб спровокувати незаконнепроникнення в систему – відкрити доступ з Internet до серверів, призначеним длявикористання в межах локальної мережі. Подібні сервери ні при яких обставинахне повинні бути “видимі” ззовні, тобто з Internet. Порушення цього правилапереслідується неприємностями. Через такий сервер важлива інформація можепотрапити в руки конкурентів, тому що програма, що підтримує роботу служби,може мати недоліки в системі захисту.
Одними з перших мережних служб можнавважати команди вилученого доступу, реалізовані в системі BSD. Вони булирозроблені для зручності поділу ресурсів, при цьому вважалося, що комп’ютери,що беруть участь у процесі обміну, і користувачі, що працюють за ними,заслуговують повної довіри. Пізніше з’явилися сервісні засоби, спеціальнопризначені для роботи в Internet. У той час, коли вони розроблялися, Internetвикористовувалася в основному при проведенні наукових досліджень і являла собоювідносно безпечне середовище. В даний час ситуація докорінно змінилася;Internet перетворилася в глобальну мережу, і питання забезпечення безпекистали, мабуть, самими злободенними.
Багато служб, підтримувані в системі UNIX,надають інформацію про систему і користувачів. Звернувшись до відповідногосерверу, можна довідатися про облікові записи користувачів, про тім, хто з нихє власником програми, що виконується в системі, про стан системи і мережі, провикористовувані ресурси і про інші вузли мережі. Звичайно, у відповідяхсерверів не містяться явні зведення про недоліки в системі захисту, однак інформація,що повертається у відповідь на запит, багато чого говорить досвідченомузломщику й істотно спрощує процес незаконного проникнення в систему. Крім того,у системі міститься інформація про користувачів – імена, адреси, номерителефонів, – яку ви навряд чи згодні зробити надбанням будь-якого бажаючих.
Найбільшу небезпеку представляють служби,призначені для організації доступу до поділюваних файлових систем і мережнихпристроїв: принтерам, факсам-апаратам і т.д.
Деякі сервери, що працюють у локальній мережі,складні в настроюванні, особливо важко настроїти їх так, щоб забезпечитиналежний рівень захисту. Вибору конфігурації мережних служб присвяченіспеціальні видання, а в даній книзі це не розглядається.
Деякі служби не підтримуються в невеликихлокальних мережах і тим більше на домашніх комп’ютерах, область їхньоговикористання – корпоративні мережі. Як приклади таких сервісних засобів можнапривести маршутизаторів, програмне забезпечення великих інформаційних центрів,засобу кодування даних і т.д.
4.1 Захистлокальних служб
Найпростіший спосіб уберегтися відпроникнення в систему за допомогою одного із серверів – зробити цей сервернедоступним з Internet. Варто помітити, що не всі сервери можна ефективнозахистити засобами фільтрації пакетів. Як приклади служб, при організаціїзахисту яких приходиться вирішувати безліч проблем, можна привести RealAudio іICQ.
Один зі способів захистити служби,призначені для внутрішнього використання, – відмовитися від розміщеннявідповідних серверів на комп’ютерах, доступних із глобальної мережі. Якщокомп’ютер “не видний” з Internet, вилучений клієнт не має ніякої можливостізвернутися до розмішеного на ньому серверу. Однак у невеликих мережах не завждиє можливість реалізувати таке рішення на практиці. Часто системнийадміністратор просто не може виділити для роботи сервера окрему машину,недоступну ззовні. Тому в деяких випадках компроміси неминучі.
Для захисту сервера від звертань з Internetможна застосувати брандмауера, що виконує фільтрацію пакетів по портупризначення. Наявність такого брандмауера дозволяє запускати в локальній мережівелику кількість служб, не піддаючи серйозної небезпеки мережні ресурси.
Проте фільтрація пакетів не забезпечуєповної безпеки. Для ряду програм приходиться застосовувати засоби захисту, щопрацюють на більш високих рівнях мережної взаємодії. Для деяких програморганізувати захист настільки складно, що їхнє виконання на комп’ютері, що маєз’єднання з Internet, неминуче сполучене з ризиком.
5. Вибір серверівдля установки в системі
Одне з головних рішень, що відносяться добезпеки системи, – вибір серверів, що повинні бути встановлені на комп’ютері,що виконує роль брандмауера. Кожний із серверів по-своєму впливає на загальнубезпеку системи, тому, вибираючи програми для роботи в UNIX, треба дотримуватинаступного правила: установлювати лише ті сервери, що абсолютно необхідні длянормальної роботи мережі й особливості роботи яких ви добре собі представляєте.Перш ніж приступати до інсталяції програми, необхідно з’ясувати, які функціївона виконує і хто буде нею користатися.
У наступних розділах описані популярнісервери, що можуть бути запущені в системі Red Hat Linux. В описі службприведені рекомендації щодо того, як і на якому етапі системи повинні бутизапущені відповідні програми.
Існують три способи запуску програм, щореалізують мережні служби, у системі UNIX. Основна частина серверів автоматичнозапускається при завантаженні операційної системи під керуванням диспетчерарівнів виконання. Порядок запуску вказується в сценаріях, що зберігаються вкаталозі /etc/rc.d. Другий спосіб — запуск програм за допомогою демона inetdпри надходженні запиту від клієнта-програми. Особливості виклику серверів описуютьсяв конфігураційному файлі програми /etc/ inetd. conf. І, нарешті, мережні службиможуть безпосередньо запускатися за допомогою сценаріїв, керуючих конфігурацієюсистеми. Як правило, подібні сервери не входять у стандартний комплектпостачання Linux і інстилуються окремо.
6. Принципи роботибрандмауерів
Інформаційні системи корпорацій, урядовихзакладів і інших організацій постійно розвиваються в наступних напрямках.
• Система централізованої обробки даних, щопрацює на базі мейнфрейма, до якого безпосередньо підключене деяке числотерміналів.
• Локальна мережа, що поєднує персональнікомп’ютери і термінали один з одним і мейнфреймом.
• Об’єднана мережа, що складається здекількох локальних мереж, зв’язаних один з одним персональних комп’ютерів,серверів і, можливо, одного чи двох мейнфреймов.
• Мережа масштабу підприємства, що складаєз декількох, що знаходяться на досить великій відстані друг від другаоб’єднаних мереж, що зв’язуються між собою за допомогою відомчої глобальноїмережі.
• Зв’язок через Internet, при якій різніоб’єднані мережі виявляються підключеними до Internet і можуть бути такожзв’язаними один з одним відомчою глобальною мережею.
Сьогодні зв’язок з Internet для більшостіорганізацій уже є звичною справою. Для багатьох організацій інформація іпослуги Internet життєво необхідні. Крім того, доступ до Internet потрібнобагатьом індивідуальним користувачам, і якщо їхня локальна мережа не забезпечуєтакого доступу, вони самостійно використовують засоби вилученого доступу дляпідключення своїх персональних комп’ютерів до Internet через постачальникапослуг Internet (провайдера). Але, хоча доступ до Internet і дає організаціїочевидні переваги, вона в той же час відкриває ресурси внутрішньої мережіорганізації зовнішньому світу. Ясно, що це несе в собі визначену погрозу дляорганізації. Для захисту від цієї погрози можна обладнати кожну робочу станціюі кожен сервер внутрішньої мережі надійними засобами захисту типу системизахисту від вторгнень, але такий підхід, мабуть, непрактичний. Розглянемо,наприклад, мережу із сотнями чи навіть тисячами окремих систем, на якихпрацюють самі різні версії UNIX, так ще і Windows 95„ Windows 98 і Windows NT.Якщо буде виявлена яка-небудь вада в системі захисту, прийдеться внести зміни взасоби захисту всіх систем, що потенційно можуть показатися вразливими.Альтернативою, що стає усе більш популярною, є використання брандмауера. Цейпристрій розміщається між внутрішньою мережею організації і Internet,забезпечуючи контрольований зв’язок і споруджуючи зовнішню стіну, чи границю.Метою створення такої границі є захист внутрішньої мережі від несанкціонованогопроникнення ззовні через Internet і організація єдиного центра, у якому повиннізастосовуватися засоби захисту і контролю. Брандмауер може являти собою як окремийкомп’ютер мережі, так і групу спеціально виділених комп’ютерів, що здійснюютьфункції брандмауера мережі, взаємодіючи між собою.
У цьому розділі ми спочатку обговоримозагальні характеристики брандмауерів, а потім розглянемо брандмауерівнайпоширеніших типів. Наприкінці роздягнула приводяться деякі типовіконфігурації брандмауерів.
6.1 Характеристикибрандмауерів
У [BELL94] приводиться наступний списокосновних задач, що стоять перед розроблювачами брандмауерів.
1. Весь потік даних, що направляються звнутрішньої мережі в зовнішній світ, які йдуть у зворотному напрямку, повиннийпроходити через брандмауера. Для цього фізично блокується будь-який доступ долокальної мережі в обхід брандмауера. Як буде показано нижче, ця задача маєкілька різних конструктивних рішень.
2. З усього потоку даних, що надходять добрандмауера, пройти його можуть тільки дані, які пройшли аутентифікаціювідповідно до локальної політики захисту. Як буде показано нижче, убрандмауерах реалізуються різні типи політик захисту.
3. Брандмауер сам по собі повинен бутинедоступний для вторгнення ззовні. Це припускає наявність високонадійноїсистеми з захищеною операційною системою.
У [SMIT97] перераховані чотири основнихзасоби, за допомогою яких брандмауери здійснюють контроль доступу ізабезпечують реалізацію політик захисту відповідної обчислювальної системи.Споконвічно брандмауери здійснювали в основному керування серверами, алесьогодні на них покладені й інші задачі.
• Керування серверами. Визначення типівслужб Internet, до яких можна одержати доступ із внутрішньої мережі назовні і ззовнішнього оточення усередину. Брандмауер може фільтрувати потік даних наоснові IP-адрес і номерів портів TCP. Він пропонує такий компонент, якпрокси-сервер, через який може проходити кожен запит сервісу і який приймаєрішення про те, пропустити даний запит чи ні. Брандмауер може містити і самісерверні компоненти, наприклад, Web-сервер чи поштову службу.
• Керування напрямком руху. Визначеннянапрямку, у якому можуть ініціюватися і проходити через браудмауер запити дотих чи інших служб.
• Керування користувачами. Представленнядоступу до служб у залежності від прав доступу користувачів, що звертаються доцих служб. Ця функція звичайно застосовується до користувачів усередині мережі,що захищається за допомогою брандмауера (локальним користувачам). Однак вонаможе застосовуватися і до потоку даних, що надходить від зовнішніхкористувачів, але це вимагає реалізації в якійсь формі технологіїаутентифікації, наприклад, забезпечуваної протоколом IPSec.
• Керування поведінкою. Контроль завикористанням окремих служб. Так, брандмауер може фільтрувати електронну пошту,відсіваючи “спэм”, чи ж дозволяти доступ ззовні тільки до визначеної частиниінформації, що знаходиться на локальному Web-сервері.
Перед розглядом особливостей конфігураціїбрандмауерів різних типів визначимо вимоги, висунуті до них. Брандмауер можепропонувати наступні можливості.
1. Брандмауер визначає єдину крапку входу,у якій припиняється несанкціонований доступ зовнішніх користувачів до мережі,що захищається, забороняється потенційно уразливим службам вхід у мережу чиззовні вихід зсередини в зовнішній світ, а також забезпечується захист відрізних атак вторгнення, що використовують зміну чи маршруту вказівка помилковихIP-адрес. Наявність єдиної крапки входу спрощує задачу контролю безпеки, томущо всі засоби захисту виявляються зосередженими в одному місці.
2. Брандмауер – це місце, де здійснюєтьсямоніторинг подій, що мають відношення до захисту мережі. Для цього вбрандмауері можуть бути передбачені відповідні компоненти контролю іповідомлення.
3. Брандмауер є зручною платформою для рядуфункцій Internet, що не мають безпосереднього відношення до безпеки. До такихфункцій можна віднести трансляцію локальних мережних адрес в адреси Internet, aтакож засобу керування мережею, що контролюють використання Internet і веденнявідповідного журналу.
4. Брандмауер може служити платформою дляIPSec. Можливості тунельного режиму такого брандмауера можна використовувати припобудові віртуальних приватних мереж.
Брандмауери мають свої обмеження, описанінижче.
1. Брандмауер не захищає від атак, що йдутьв обхід. Внутрішні комп’ютерні системи можуть мати засобу вилученого доступу дозовнішнього постачальника послуг Internet. Внутрішня локальна мережа може матимодемну стійку, що забезпечує вилучений доступ до мережі співробітникам, щознаходяться в чи відрядженні працює вдома.
2. Брандмауер не може захистити відвнутрішніх погроз безпеки, наприклад, з боку незадоволеного чи службовцяспівробітника, що вступив у змову з зовнішнім порушником.
3. Брандмауер не може захистити від погрозипередачі інфікованих вірусами програм чи файлів. У зв’язку з тим що в рамкахграниць, що захищаються брандмауером, може використовуватися безліч різнихопераційних систем і додатків, для брандмауера виявляється практично неможливимперевіряти усі вхідні файли, електронну пошту й одержувані повідомлення напредмет наявності вірусів.
/>/>
Висновки
Отже, крім конфігурації, при якійбрандмауер представлений окремою системою типу фільтруючого маршрутизотора чишлюзу (див. мал.), можливі більш складні конфігурації. І саме такі конфігураціївикористовуються найчастіше. На малюнку, в основу якого покладені відповідніілюстрації з [SEME96], показані три самі розповсюджені конфігураціїбрандмауерів. Розглянемо ці конфігурації по черзі.
Конфігурація брандмауера з екранованопідмережею (мал.в) із усіх розглянутих тут варіантів забезпечує найбільшнадійний захист. У цій конфігурації встановлено два фільтруючих маршрутизатори:один між бастіонним вузлом і Internet, а другий — між бастіонним вузлом івнутрішньою мережею. Дана конфігурація створює ізольовану підмережу, що можескладатися тільки з бастіонного вузла, але може також мати й один чи кількаінформаційних серверів, а також модеми, за допомогою яких здійснюєтьсявилучений доступ до мережі. Звичайно до вузлів, що входять до складуекранованої підмережі, можна одержати доступ як з Internet, так і з внутрішньоїмережі, однак потік даних крізь підмережу блокується.