Курс лекций «Проблемы безопасности в информационных технологиях»


Глава 7. Защита систем в сети, межсетевые экраны, «периметр» сети, персональные МСЭ, IDS/IPS



жүктеу 4.51 Mb.
бет31/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   27   28   29   30   31   32   33   34   ...   44

Глава 7. Защита систем в сети, межсетевые экраны, «периметр» сети, персональные МСЭ, IDS/IPS


Несмотря на то, что название этой главы очень напоминает название главы 4, в этом разделе будут рассмотрены совершенно другие аспекты безопасности систем при работе в сети. Если в главе 4 речь шла в первую очередь о безопасной аутентификации пользователей на множестве ресурсов, едином пароле (SSO), использовании служб каталога и групп для разграничения полномочий, то в этой главе будет рассмотрена безопасность систем с точки зрения их защиты от внешнего «недружественного» и «небезопасного» сетевого окружения. Хотя персональные МСЭ, кроме указанного функционала, могут обеспечивать также безопасность как бы в другом «направлении» – защищая «внешний» мир от локальной машины, например, блокируя трафик, исходящий от внедрённого в систему вредоносного кода.

Firewall, брандмауэр, межсетевой экран


Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых («серых») адресов или портов на внешние, используемые за пределами ЛВС.

Рис.100 Расположение МСЭ (firewall) в сети
Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные помещения, предохраняя их от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.

В русскоязычных источниках часто используется аббревиатура, сокращение от довольно длинного словосочетания межсетевой экран – МСЭ.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:


  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

  • на каком уровне сетевых протоколов происходит контроль потока данных;

  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:




  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Такой МСЭ защищает периметр сети.

  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:


  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором. Другое название технологии – пакетный фильтр (packet filter);

  • сеансовом уровне (также известные как stateful) или на уровне соединения (circuit gateways) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрывах/замедление соединений, инъекции данных.

  • уровне приложений (application gateways), фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы (proxy server) с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой и глубокой, чем в классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
МСЭ, работающий на сетевом уровне (пакетный фильтр), не отслеживает текущие соединения (например, TCP) (stateless), а фильтрует поток данных исключительно на основе статических правил. МСЭ с пакетными фильтрами принимает решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта – это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:




Действие

тип пакета

адрес источника

порт источника

адрес назначения

порт назначения

флаги

Поле «действие» может принимать значения пропустить или отбросить.

Тип пакета – TCP, UDP или ICMP.

Адрес источника или адрес назначения – IP-адреса источника/получателя.

Флаги – флаги из заголовка IP-пакета.

Поля «порт источника» и «порт назначения» имеют смысл только для TCP и UDP пакетов. Правила проверяются одно за другим, до первого совпадения обрабатываемого пакета с критериями обработки. При несоответствии ни одному правилу выполняется правило по умолчанию, которые может быть как более жёстким – discard («белые» списки) – всё, что не разрешено – запрещено. Или более мягкий вариант – forward («чёрные» списки) – всё, что не запрещено – разрешено.

Очень часто обычные маршрутизаторы обладают возможностями по пакетной фильтрации, т.е. формально они могут выполнять часть функций МСЭ:


Рис.101 Фильтрующий маршрутизатор (пакетный фильтр)
МСЭ сеансового уровня (stateful) отслеживает установленные сеансы, сохраняя их состояние в своих внутренних таблицах. Таблицы состояния формируются динамически, их работу невозможно воспроизвести методами статических пакетных фильтров. Например, если через stateful МСЭ проходит исходящий пакет SYN, начинающий процедуру установления TCP-соединения, то МСЭ динамически формирует правило, разрешающее прохождение «встречного» SYN-ACK пакета. Без исходящего SYN «встречный» SYN-ACK будет отброшен. Для UDP-протокола, работающего без установления соединения, динамически строятся подобные таблицы, обеспечивающие двунаправленный трафик. В каком-то смысле эта технология превращает сеть коммутации пакетов в сеть с коммутацией каналов.

Рис.102 Шлюз уровня коммутации (сеансового)
Примером реализации шлюза сеансового уровня может служить SOCKS.
МСЭ (шлюз) прикладного уровня (по сути чаще всего представляющий собой реализацию proxy-сервера) отличается от шлюза уровня пакетного фидьтра в первую очередь тем, что между клиентом и сервером устанавливается два соединения, вместо одного: одно между клиентом и прокси-сервером, второе – между прокси и целевым сервером. Шлюз прикладного уровня обеспечивает более высокую степень защиты, за счёт узкой специализации, «знания» подробностей устройства конкретного протокола (HTTP, SMTP,…) на более глубоком уровне. Но application gateways создаёт большую нагрузку на процессор, и работает непрозрачно с точки зрения конечного пользователя (приходится явно указывать/задавать прокси-сервер и его настройки – оборотная сторона большей безопасности прикладного уровня).


Рис.103 МСЭ прикладного уровня
В технологии защиты сети существует понятия бастионного узла – системы, работающей в качестве единой точки входа в сеть, защищающей периметр сети. Чаще всего именно на бастионном узле работают МСЭ различных уровней, шлюзы VPN, системы инспекции трафика, прокси-серверы и т.п.

Для подключения МСЭ в общую сеть могут быть использованы различные схемы. Крайне нерекомендуемый вариант представлен на рисунке ниже:



Рис.104 МСЭ, стоящий в «стороне» от основного потока информации
В таком включении требуется очень аккуратная и точная настройка маршрутизатора, даже незначительные ошибки в его настройке могут образовать серьезные дыры в защите, т.к. трафик может попасть в локальную сеть, минуя firewall.

Более безопасным является включение МСЭ в «разрыв» соединения, между локальной сетью и «внешним» миром (Интернет) – в этом случае весь трафик проходит через межсетевой экран. Для реализации такого подключения МСЭ должен содержать два сетевых интерфейса (лучше разных физических).




Рис.105 МСЭ, включённый в «разрыв» между локальной и глобальной сетью
Обычно в такой схеме включения локальная сеть полностью скрыта и недоступна для обращений из «внешнего» мира. Это очень надёжный вариант с точки зрения безопасности и надёжности, но он не обеспечивает доступ из Интернета к внутренним ресурсам локальной сети, например, к web-серверу организации.

Более универсальным и сложным является вариант подключения по так называемой «трёхногой» (3-leg) схеме:



Рис.106 МСЭ, включённый по схеме 3-leg
В такой схеме включения кроме зоны локальной сети и «внешней» сети образован ещё один сегмент, т.н. «демилитаризованная зона» (DMZ). К сервисам, расположенным в DMZ, разрешён доступ из «внешней» сети, это могут быть ресурсы, которые организация предоставляет в Интернет – web-серверы, ftp-серверы, mail-серверы и т.п. МСЭ по-прежнему запрещает узлам из «внешнего» мира доступаться к машинам внутренней локальной сети. Технологически сервисы, расположенные в DMZ и доступные из Интернета, необязательно представляют собой физические машины. Часто такие виртуальные серверы реализуется техникой проброса портов, когда обращение по определённому адресу/порту транслируется (пробрасывается) на какую-либо реальную машину в локальной сети. Все современные МСЭ обладают подобным функционалом.

Межсетевой экран, используемый сам по себе, не является панацеей от всех угроз для сети. В частности, он:




  • не защищает узлы сети от проникновения через «люки» (backdoors) или уязвимости ПО;

  • не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

  • не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения двух последних проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к МСЭ и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с МСЭ копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов.

МСЭ, защищающие периметр сети, могут быть реализованы в виде готового решения (т.н. appliance), представляющего собой программно-аппаратный комплекс. К наиболее известным решениям такого класса можно отнести, например, Cisco ASA (наследники Cisco PIX, систем обнаружения вторжений Cisco IPS и VPN-концентраторов Cisco VPN). Характерным решением для очень многих аппаратных firewall-ов является сегодня использование серверов «стандартной» архитектуры x86. Как пример, МСЭ Cisco ASA поддерживают следующие возможности:


  • Межсетевое экранирование с учетом состояния соединений;

  • Глубокий анализ протоколов прикладного уровня (deep inspection);

  • Трансляция сетевых адресов;

  • IPSec VPN;

  • SSL VPN;

  • Протоколы динамической маршрутизации (RIP, EIGRP, OSPF) 1.

Кроме количественных характеристик (максимальное число поддерживаемых сессий, VPN, производительности), которые определяются в основном используемыми аппаратными компонентами, некоторые возможности МСЭ зависят от типа используемой в нём лицензии. Сегодня это типичное решение для такого класса устройств.

Ещё одним очень известным решением для МСЭ в виде appliance является продукт Firewall-1 израильской фирмы Check Point Software Technologies.

Кроме аппаратных МСЭ, существует большое количество чисто программных решений, устанавливающихся на обычные универсальные операционные системы. Среди таких МСЭ можно упомянуть Microsoft Forefront TMG 20102. Это чисто программное решение, устанавливающееся на серверную ОС Windows 2008. В дополнение к основному модулю к TMG могут быть доустановлены специализированные модули, расширяющие его функциональность, например, Forefront Protection 2010 for Exchange Servers. Доступно несколько версий Forefront TMG, различающихся по своим возможностям. Среди новых, по сравнению со своим предшественником ISA, возможностей TMG, можно отметить:




  • Работу в 64-битной моде на Windows Server 2008 и Windows Server 2008 R2

  • Поддержку Web антивируса и поддержку антивредоносного ПО.

  • Улучшенный интерфейс пользователя, с более удобным управлением и расширенными отчётами

  • Фильтрацию URL

  • HTTPS Inspection

  • Network Intrusion Prevention – предотвращение сетевых вторжений

  • SIP фильтр

  • TFTP фильтр

  • Расширенную сетевую функциональность

Особенностью Forefront TMG можно назвать тесную интеграцию со службой каталога AD. В корпоративной сети в связке AD + TMG можно организовать прозрачную централизованную авторизацию пользователей, доступающихся в Интернет. В зависимости от пользователя, групп безопасности, членом которых он является, времени суток и т.п. можно разрешить или запретить выход в Интернет, доступ к тем или иным сайтам, по тем или иным протоколам. В связке с AD может работать не только TMG, это реализовано даже для бесплатного открытого прокси-сервера Squid, но, как естественно ожидать от продуктов от одного производителя, именно AD + TMG обеспечивает наиболее удобную, гибкую и мощную комбинацию возможностей.

Основной функционал Forefront TMG включает в себя:


  • Firewall

    • VoIP Traversal (SIP)

    • Расширенный NAT

    • Избыточность соединение к ISP (только для двух ISP)

  • Web Client Protection

  • Email Protection

  • NIS (Network Inspection System) – базируется на подписке на базу данных угроз

  • Secure Web Publishing

  • VPN Server

  • Multi-layer Web Security

Т.е., кроме функции собственно МСЭ, Forefront TMG обладает довольно обширным дополнительным функционалом. Одной из наиболее интересных и, одновременно, спорных возможностей Forefront TMG, является HTTPS Inspection – возможность «вскрытия» HTTPS-соединений клиентов корпоративной сети к удалённым защищённым сайтам. Причём, если клиенты используют при работе службу AD, то «вскрытие» может быть произведено абсолютно незаметно для пользователя (с подстановкой соответствующих сертификатов).




Рис.107 Работа HTTPS через ISA сервер

Рис.108 Технология HTTPS Inspection при работе через Forefront TMG
Как упоминалось ранее, возможностью инспектировать HTTPS трафик обладает также firewall от Check Point, но, насколько известно, с ним «вскрыть» HTTPS незаметно для пользователя невозможно.

И Forefront TMG и Firewall-1 коммерческие продукты. Но существует также и значительное количество бесплатных решений от OpenSource сообщества, достаточно мощных и продвинутых. В качестве примеров можно назвать ставший стандартом для Linux пакет iptables или чрезвычайно компактный, быстрый и обладающий неплохим функционалом pf в ОС OpenBSD/FreeBSD. Оба МСЭ могут использоваться как для защиты «периметра» сети, так и в качестве персонального МСЭ, защищающего один узел.



Персональные МСЭ


Персональный МСЭ — программное обеспечение, работающее под управлением универсальной клиентской операционной системы, осуществляющее контроль сетевой активности компьютера, на котором он установлен, а также фильтрацию трафика в соответствии с заданными правилами. В отличие от МСЭ, защищающего периметр сети, персональный firewall устанавливается непосредственно на защищаемом компьютере.

Рис.109 Функционал персонального МСЭ
Функционал персонального firewall-а подобен функционалу обычного межсетевого экрана, однако, в силу своей специфики, персональный МСЭ так же может обеспечивать некоторые дополнительные возможности для защиты компьютера:


  • Контроль за приложениями, использующими порты. Персональный firewall, в отличие от обычных межсетевых экранов, способен определить не только используемый протокол и сетевые адреса, но программное обеспечение, устанавливающее или принимающее сетевое соединение.

  • Назначение раздельных правил разным пользователям без дополнительной сетевой авторизации.

  • Специальный «Режим обучения», необходимый для тонкой настройки персонального МСЭ под конкретную программную конфигурацию компьютера. В данном режиме при первичной сетевой активности любого программного обеспечения пользователь получает запрос на разрешение или запрещение сетевой активности данного приложения.

Наличие персонального firewall-а является обязательным и принципиальным элементом защиты систем. Если «большой» межсетевой экран в основном защищает локальную сеть от вторжения «снаружи» (от входящих соединений), то персональный firewall, работая на машине, может точно определить конкретную программу (процесс), инициирующий исходящее соединение и, на основании этой информации, разрешить или запретить ей установление это соединения. МСЭ на «периметре» не может различить, кто именно инициирует исходящее соединении с какого-то конкретного узла, какая это программа – «вредоносная» или «хорошая». Для него минимальной рассматриваемой единицей будет узел с определённым IP-адресом. Подробнее, с точностью до процесса на машине, разобраться в ситуации может только работающий на этой же машине персональный firewall.

Начиная с Windows XP SP2, персональный firewall стал частью базовой операционной системы. Но в XP он так и остался не вполне полноценным – он мог контролировать только входящие в машину соединения. Исходящие соединения вообще не контролировались и не проверялись. В более поздних версиях Windows – Vista, 7 – персональный firewall получил возможность контроля за исходящими соединениями. Большим достоинством встроенных в Windows персональных firewall-ов является возможность централизованного управления их настройками. Речь идёт, конечно, о корпоративных версиях Windows, работающих в доменном окружении (AD).

Современные персональные firewall-ы часто обладают функционалом проактивной защиты (обычно реализуемой с помощью технологии HIPS – Host Intrusion Prevention Systems).

Лучшие персональные firewall-ы (обычно входящие в состав комплексной системы безопасности): Comodo Firewall3, Online Armor, Outpost Firewall, ZoneAlarm Firewall и др.




Достарыңызбен бөлісу:
1   ...   27   28   29   30   31   32   33   34   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет