концепции построения файрволлов

О файрволлах писалось и пишется достаточно много. Они упоминаются практически в любой статье по информационной безопасности – либо в теоретическом аспекте (роль файрволла в системе обеспечения безопасности), либо в виде практических советов для админов. Сейчас же предлагаем поговорить о «теории файрволлов», то бишь рассмотреть основные концепции построения таких систем. Концепции различаются по уровню безопасности, который они способны обеспечивать.

фильтрация пакетов

Следуя по данной концепции - пакетный фильтр является единственной защитой при обеспечении перехода между защищенной и незащищенной сетью. Использование пакетного фильтра может решить следующие задачи.
Управление правами доступа. Доступ разрешается только через определенные (разрешенные) протоколы и службы (номера портов) и только в определенные моменты времени.

Управление доступом на уровне доступа к сети и на сетевом уровне. Возможна установка только разрешенных соединений. Достигается это проверкой MAC- и IP-адресов получателя и отправителя.

Пакетные фильтры отлично подходят в качестве средства для решения некоторых проблем с трафиком. Например, блокировка принятия пакетов через определенный порт, или блокирование пакетов одной из служб.

Поскольку требования к безопасности большего количества сетей очень велики, поэтому для удовлетворения их потребностей недостаточно использования только пакетного фильтра. Отсюда следует, что для таких сетей концепция файрволл-систем, опирающаяся только на пакетные фильтры, не подходит.

шлюзы прикладного уровня

В соответствии с этой концепцией шлюз прикладного уровня является единственный активным элементом для обеспечения безопасности сети. Обычно шлюз прикладного уровня настраивается как узел, работающий с двумя сетевыми интерфейсами, то есть осуществляет полный контроль над всеми пакетами. При использовании шлюза прикладного уровня решению подлежат следующие задачи.

Управление на прикладном уровне. Пользователю разрешено пользоваться только теми возможностями, которые необходимы для его работы. Этого можно добиться использованием служб, управляемых через специальные фильтры.

Управление доступом на пользовательском уровне. Все пользователи, желающие передавать данные через шлюз прикладного уровня, должны пройти идентификацию и аутентификацию.

Управление доступом на сетевом уровне. Допускается установка только разрешенных логических соединений. Этого можно добиться проверкой IP- адресов отправителя и получателя.

Управление правами доступа. Доступ разрешен только через разрешенные протоколы и службы и только в определенные моменты времени. Активными могут быть только те службы, для которых установлены прокси-агенты.

Разбиение служб. Программные компоненты, которые особенно подвержены риску (например, Sendmail), доступны только по средствам вспомогательных компонентов.

Анализ регистрационного журнала. Данные о соединении, относящиеся к безопасности, сохраняются и анализируются для обнаружения нарушения безопасности и отслеживания действий пользователей.

Регистрация и оповещение. Функция оповещения позволяет в случае серьезного нарушения/сбоя вызывать рассылку сообщений заинтересованным лицам. Эта функция позволяет быстро реагировать на атаки.

Скрытие структуры внутренней сети. Даная возможность предотвращает получение злоумышленником информации о сети извне.

Так же с помощью шлюза прикладного уровня можно вести учет и отчетность по адресам IP, логинам пользователей и выполнять трансляцию сетевых адресов.

И опять же, данная концепция может быть использована только при невысоких требованиях в защите, в противном случае она не подходит.

комбинация элементов

Комбинация элементов позволяет повысить уровень безопасности по сравнению с их раздельным использованием.

Шлюз прикладного уровня с двойным подключением (Dual-homed Application Gateway) работает с двумя сетевыми интерфейсами. Пакеты поступают по одному интерфейсу, а отсылаются по другому. Таким образом, осуществляется полный контроль пакетов. Теоретически возможности обойти шлюз такого рода не существует.

В шлюзе прикладного уровня с одинарным подключением (Single-homed Application Gateway) пакеты прибывают и отсылаются через один и тот же интерфейс. Шлюз не может гарантировать полную проверку всех пакетов, да и дело таком случае мы имеем только с одной сетью.

Комбинируя пакетные фильтры со шлюзами прикладного уровня, можно добиться резкого скачка в степени защищенности.

пакетный фильтр и шлюз прикладного уровня с одинарным подключением

В такой комбинации основные функции по обеспечению безопасности возлагаются на пакетный фильтр, а шлюз обеспечивает дополнительную
безопасность, как бы страхуя фильтр (рис.1).



Рис. 1.

Пакетный фильтр можно настроить так, что поступление данных в локальную сеть из внешней станет возможным только через шлюз прикладного уровня. Таким образом, из внешней сети будет видна не вся локальная, а только шлюз. Передача данных из локальной сети во внешнюю также будет проходить через шлюз с последующей проверкой пакетным фильтром. В данной конфигурации шлюз прикладного уровня логически располагается в локальной сети. Он хорошо изолирован от внешней сети с помощью пакетного фильтра, однако практически не изолирован от локальной.

Если переместить пакетный фильтр за шлюз (рис.2), то получится картина противоположная предыдущей. Шлюз прикладного уровня в таком случае логически располагается во внешней сети, что делает его крайне уязвимым. В случае использования такой конфигурации необходимо обеспечить защиту шлюза, при этом со стороны внутренней (локальной) сети он защищен пакетным фильтром. Обмен данными между сетями осуществляется через пакетный фильтр, контролируемый шлюзом. Такая конфигурация может применяться только в том случае, когда на шлюзе прикладного уровня установлено приложение, требующее непосредственного подключения к Интернету, в противном случае ее использовать не желательно.



Рис. 2.

Использование такого рода комбинации (пакетный фильтр и шлюз прикладного уровня с одинарным подключением) делает файрволл-систему более гибкой, позволяя некоторым службам работать через шлюз, а некоторым, прокси-агент которых не установлен на шлюзе - напрямую через пакетный фильтр. Уровень безопасности тут зависит от уровня безопасности пакетного фильтра в большей мере, чем от шлюза. Но поскольку многим сетям необходима более мощная защита, данная комбинация используется редко.

пакетный фильтр и шлюз прикладного уровня с двойным подключением

Эта концепция подразумевает, как ясно из названия, использование шлюза с двойным подключением (рис.3). Это предотвращает возможность обхода шлюза злоумышленником. Если в предыдущей конфигурации злоумышленник мог направить трафик в обход шлюза, то в этой нет такой возможности. Единственный недостаток – снижение производительности системы, однако безопасность повышается.



Рис. 3.

В данном варианте шлюз защищен от внешней сети пакетным фильтром, и открыт для внутренней (локально) сети.
Рассмотрим также и вариант, когда шлюз находится за пакетным фильтром (рис.4). В таком случае, как уже говорилось, он полностью открыт для атак из внешней сети, при этом закрыт для атак из внутренней.



Рис. 4.

В таком случае полная безопасность зависит от уровня безопасности шлюза и от уровня безопасности пакетного фильтра. Совмещение позволяет существенно повысить уровень защищенности, а то, что пакетный фильтр и шлюз используют разные аналитические и интеграционные модели, позволяет защитить сеть по большему количеству параметров.

защитная подсеть

Защитная подсеть (DMZ, Demilitared Zone, демилитаризованная зона) – изолированная подсеть, которая размещается между внешней и внутренней сетями (рис.5). Основой защитной подсети являются два пакетных фильтра. Тут появляется возможность защиты компонентов защиты со всех сторон пакетными фильтрами.



Рис. 5.

Рассмотрим конфигурацию, состоящую из двух пакетных фильтров и шлюза прикладного уровня с одинарным подключением (рис.6). Шлюз находится между двумя фильтрами, что делает его защищенным со всех сторон. В данной конфигурации шлюз прикладного уровня позволяет обеспечить дополнительные возможности. В такой комбинации обмен трафиком для некоторых приложений может осуществляться только через фильтры, однако использование двух фильтров позволяет обеспечить большую безопасность, чем при использовании одного фильтра и шлюза с одинарным подключением.



Рис.6.

Если использовать два пакетных фильтра и шлюз прикладного уровня с двумя подключениями, то получится так называемая файрволл-система с высоким уровнем безопасности (рис.7).



Рис. 7.

Учитывая, что в такой схеме обход шлюза теоретически невозможен, то данная конфигурация является практически «непробиваемой» для атак, поскольку пакеты данных сначала проходят проверку пакетным фильтром, после шлюзом прикладного уровня, и завершает все еще одна проверка пакетным фильтром.

Ниже приведена характеристика файрволла высокого уровня безопасности:
Взаимная защита. Пакетным фильтром определяется, кто имеет право доступа к шлюзу прикладного уровня с двойным подключением, и осуществляется защита шлюза.

Простые правила. Настройка пакетного фильтра и шлюза прикладного уровня производится в соответствии с правилами для отдельных активных элементов файрволл-систем.

Вложенная безопасность. Любому желающему получить доступ к сети, защищенной таким файрволлом, необходимо преодолеть несколько преград: пакетный фильтр, шлюз, еще один фильтр.

Различные операционные системы. В целях безопасности файрволлов для поддержки различных активных элементов могут использоваться различные среды. Например, на пакетных фильтрах может быть установлена система реального времени, а на шлюзе прикладного уровня – UNIX. В таком случае ошибки и дыры в конкретной операционной системе влияют только на защищенность одного из элементов.

Различные возможности интеграции и анализа. Активные элементы работают с использованием разных стратегий. Пакетные фильтры интерпретируют пакеты, передаваемые на уровне доступа к сети, транспортном и сетевом уровнях. Шлюз прикладного уровня интерпретирует обмен данными на прикладном уровне. Таким образом, наличие узких мест в возможностях интеграции может повлиять только на один из элементов системы. Учитывая все это, последняя модель является наиболее защищенной.

возможности файрволлов с высоким уровнем безопасности

Информация компании, предназначенная для всеобщего доступа из сети Интернет, хранится на отдельных интернет-серверах. Любой желающий может получить эту информацию, а поэтому необходимо расположить сервер вне локальной сети, так как общий доступ к нему в данном случае может стать серьезной уязвимостью. Поэтому такого рода серверы располагают именно в демилитаризованной зоне. Это делает их защищенными и предотвращает налаживание открытого канала в локальную сеть (рис. 8).



Рис. 8.

Таким образом, нет прямой связи между внутренней и внешней сетями. Все пользователи, работающие с интернет-серверами, контролируются внешним пакетным фильтром. Советую обратить внимание на следующие вещи.

На внешнем пакетном фильтре должны работать только те службы, которые необходимы.

Службы на интернет-сервере должны быть настроены таким образом, чтобы взломщик не имел возможности получить доступ к операционной системе сервера. Этого можно добиться, если следовать следующим правилам:

- при настройке безопасности операционной системы и веб-приложений нужно стремиться к максимальной защищенности, несмотря на возможные неудобства в работе;

- разрешение на администрирование должны иметь лишь несколько человек, которые являются профессионалами;

- все ПО, в котором нет необходимости, нужно удалить;

- ко всем системам на сервере должен быть разрешен доступ только с правами на чтение.



Рис. 9.

Еще одним вариантом реализации интернет-сервера является использование отдельного пакетного фильтра для защиты именно серверов (рис. 9). Несомненно, это позволяет существенно повысить уровень безопасности, так как демилитаризованная зона, защищающая внутреннюю сеть, будет работать независимо от пакетного фильтра, защищающего серверы. Другим вариантом может быть реализация третьего сетевого интерфейса на шлюзе прикладного уровня (рис. 10).



Рис. 10.

Данные, открытые для пользователей внутренней локальной сети, могут храниться на интранет-серверах. Они могут располагаться сразу после первого пакетного фильтра в демилитаризованной зоне (рис. 11). Принцип тут такой же, как и в интернет-серверах, только с точностью до наоборот. Пакетный фильтр защищает серверы от проникновения из локальной сети.



Рис. 11.

Еще одной возможностью файрволла с высоким уровнем безопасности является возможность реализации в демилитаризованной зоне двух шлюзов прикладного уровня одновременно (рис. 12). Обычно это ведет к избыточным явлениям, значительно затрудняющим общую работу. Такого рода конструкции обычно применяются в больших организациях.



Рис. 12.

Такое расположение шлюзов прикладного уровня требует синхронизации их правил и интерфейса идентификации/аутентификации. В противном случае имеют место ситуации, когда один и тот же пользователь пройдет процедуру идентификации два раза на разных шлюзах, что недопустимо. Кроме того, в такой конструкции файрволла требуется консолидация информации, идущей со шлюзов.

Именно это и затрудняет обнаружение вторжений. Службы между шлюзами можно разделить. Например, один шлюз работает с информацией, пришедшей из внешней сети, а второй — из внутренней.

концепция универсального файрволла

При выборе системы защиты всегда преследовалась цель оптимальной защиты при максимальной работоспособности. Ниже представлены для сравнения разного рода факторы:

Надежность незащищенной сети. При расположении внутренней сети в пределах организации уровень надежности значительно возрастает. Компания отвечает за безопасность, проверки регулярны.

Надежность партнера по коммуникациям. В пределах организации надежность партнеров высокая. Партнеры в таком случае принадлежат одной и той же организации. Но определенный риск все же присутствует. При расположении за пределами организации надежность падает, так как предположений относительно партнеров сделать нельзя никаких.

Потенциал для атаки. При расположении локальной сети внутри организации возможность атак очень низкая. Требования по защите у разных организаций разные — это зависит от размера организации, от рода деятельности, от руководителей и т.д.

Ниже приведена классификация требований с необходимыми активными элементами для их реализации.

Низкие требования к защите. В таком случае отрицательный эффект в случае проникновения минимальный, ущерб составляет примерно от $100 до $1000. При расположении сети в пределах организации — пакетный фильтр, за пределами организации — шлюз прикладного уровня с двойным подключением.

Высокие требования к защите. Отрицательный эффект высокий, ущерб от $1000 до $2,5 млн. В пределах организации — пакетный фильтр и шлюз прикладного уровня с двойным подключением, вне организации — пакетный фильтр и шлюз прикладного уровня с двойным подключением.

Очень высокие требования. Предельный отрицательный эффект, потери больше $2,5 млн. В пределах организации — защитная подсеть с пакетным фильтром и шлюзом прикладного уровня, вне организации — файрволл с высоким уровнем безопасности.



Евгений Кучук


Сетевые решения. Статья была опубликована в номере 12 за 2007 год в рубрике save ass…

©1999-2024 Сетевые решения