Дулатбаева С.Ш.
Таразский государственный университет им. М.Х. Дулати, Казахстан
АЛГОРИТМ
РАБОТЫ ТЕХНОЛОГИЯ МЕЖСЕТЕВЫХ
СРЕДСТВ
ЗАЩИТЫ СЕТИ
Сквозная опосредованная аутентификация (cut-through
proxy). Система сквозной опосредованной аутентификации устройства защиты Cisco
ASA выполняет начальную проверку пользователя на уровне приложения (подобно
стандартному proxy-серверу), но как только пользователь идентифицирован с
помощью сервера базы данных защиты типа TACACS+ или RADIUS, устройство защиты
Cisco ASA авторизует пользователя в соответствии с политикой безопасности и
открывает запрашиваемое соединение. Последующий же трафик для этого соединения
больше не аутентифицируется на уровне приложений, а только инспектируется
алгоритмом ASA на все время сопровождения состояния сеанса TCP/IP (эта система
действует на существенно более быстром сетевом уровне), что значительно
улучшает производительность.
Использование стандартной аутентификации с помощью
proxy-сервера может замедлять обработку транзакций из-за работы на прикладном
уровне. Скорость работы на прикладном уровне полностью зависит от скорости
компьютера хоста и ограничивается скоростью процессора.
Инспектирование протоколов и приложений (Applications
Inspection). Некоторые протоколы и приложения, которые используют организации в
сетевых коммуникациях, могут блокироваться брандмауэром. Особенно протоколы,
которые, динамически договариваются о портах (HTTP, ESMTP, FTP и H.323).
Поэтому хороший межсетевой экран должен инспектировать пакеты выше сетевого уровня
модели OSI и выполнять следующие требования протоколов либо приложений:
- безопасно
открывает и закрывает динамически выделяемые порты или IP адреса для
разрешенных клиент-серверных соединений;
- использует
сетевую трансляцию адреса (NAT) внутри IP пакета;
- использует трансляцию портов (PAT) внутри пакета;
- инспектирует
пакеты на предмет неправильного (злонамеренного) использования приложений.
Cisco ASA как раз удовлетворяет этим требованиям, и
позволяют открывать защищенные коммуникации для ряда протоколов и приложений.
Виртуальный межсетевой экран (Security Contexts). С
седьмой версии операционной системы Cisco ASA поддерживает технологию
виртуальных межсетевых экранов (Security Contexts) представленного на рисунке 1.
Она позволяет в одном физическом устройстве определить
несколько отдельных межсетевых экранов, каждый из которых может работать
независимо - со своей конфигурацией, логическими интерфейсами, политикой
безопасности, таблицей маршрутизации и администрированием. Однако данная
функциональность лицензируется и доступна не на всех моделях устройств защиты.
Поддержка отказоустойчивости (Failover). Cisco ASA
поддерживает конфигурацию отказоустойчивости (Failover), когда два одинаковых
устройства защиты конфигурируются в паре, одно работает активным, а второе
резервным. Только активное устройство выполняет свою функциональность, а
резервное лишь ведет мониторинг и готово заменить активный межсетевой экран,
если он даст сбой. С седьмой версии программного обеспечения поддерживается
конфигурация активный/активный, когда оба устройства могут обрабатывать трафик.
Данная конфигурация требует поддержки виртуальных межсетевых экранов (security
contexts).
Рисунок 1. Виртуальный
межсетевой экран
На каждом устройстве конфигурируется два виртуальных
межсетевых экрана. При нормальных условиях, в каждом из физических устройств
один виртуальный межсетевой экран - активный, а другой - резервный. При выходе
одного устройства из строя, второе задействует резервный виртуальный межсетевой
экран и обрабатывает весь трафик. Также может быть сконфигурирована
динамическая отказоустойчивость (stateful failover). Это значит, что при выходе
активного устройства из строя, существующие соединения не теряются.
Прозрачный межсетевой экран (Transparent Firewalls).
Начиная с седьмой версии, Cisco ASA могут функционировать в режиме прозрачного
межсетевого экрана (режим моста), то есть в режиме устройства второго
канального уровня модели OSI, обеспечивая при этом защиту сети до седьмого
уровня. Это позволяет внедрять устройство защиты в существующую сеть без
необходимости изменения адресации в сети.
Cisco ASA Series предоставляет расширенные
поддерживаемые приложениями сервисы межсетевых экранов с контролем доступа на
основе идентификации, защиту от атак типа «отказ в обслуживании» и целый ряд
дополнительных сервисов, созданных на основе апробированной рынком технологии
устройства защиты Cisco PIX.
Устройство защиты ASA - обеспечивает надежную защиту
корпоративных сетей посредством контроля состояния соединений, и демонстрирует
высокую производительность. Он предлагает широкие возможности защиты, полностью
скрывая архитектуру внутренней сети от внешнего наблюдателя, и действует как
“пограничник” между корпоративной сетью и Интернет, выполняя функции контроля.
Охрана корпоративной сети от вторжений должна
осуществляться непрерывно. “Хранители” корпоративной сети должны использовать
средства, гарантирующие безопасность сетевых соединений с сетью Интернет. Это
вполне по силам устройству адаптивной защиты ASA. Некоторые сетевые инженеры
вместо специализированных устройств защиты применяют в своих сетях решения,
основанные на использовании соответствующих функциональных возможностей
маршрутизаторов. После обновления программного обеспечения (а иногда и
аппаратных элементов) маршрутизаторы действительно могут выполнять функции
межсетевого экрана. Такое решение оправдывают тем, что специализированные
межсетевые экраны слишком дороги и их сложно устанавливать. Но маршрутизаторы
предназначены для обработки информации о маршрутах пакетов, а не для выполнения
функций межсетевого экрана, контролирующего соединения. Поэтому возможностей
маршрутизатора для построения системы обнаружения вторжений, работающий в
реальном масштабе времени, часто оказывается недостаточно. Достаточно сложные
маршрутизаторы могут выполнять некоторые функции межсетевого экрана с помощью
списков доступа, фильтров и "хитроумных" настроек конфигурации. На
первых порах это может оказаться достаточно эффективным, но такое решение
требует больших усилий с точки зрения управления и имеет ограниченные
возможности масштабирования.
Компании, применяющие средства защиты на основе
маршрутизаторов, отмечают их эффективность против "случайных
хакеров", но по мере развития технологий хакеры стали более искушенными,
начали читать техническую литературу и быстро распространять новую информацию
через электронную почту, Web-узлы и "комнаты общения" (chat room).
Для многих экспертов сетевой защиты стало правилом регулярно посещать Web-узлы
известных групп хакеров, чтобы быть в курсе самых последних событий в области
развития средств сетевых вторжений.
Устройства защиты ASA имеет следующие
особенности:
Встроенная операционная система. Cisco ASA
работает под управлением встроенной защищенной операционной системы реального
времени, не зависящей от проблем защиты UNIX или Windows. Операционная система
ASA специально была усилена с точки зрения защиты от сетевых атак. Она и
разрабатывалась с целью защиты.
Алгоритм ASA (Adaptive Security Algorithm). Алгоритм
ASA записывает характеристики соединений, сохраняя эту информацию в таблице и
используя ее для проверки исходящих и входящих пакетов, чтобы убедиться, что
"состояние сеанса" остается точно таким же, как и при открытии
соединения. Пока изменений не обнаруживается, трафик пропускается без задержки.
При обнаружении какого-то несоответствия пересылка данных прекращается.
После запроса соединения алгоритм ASA записывает
IP-адреса источника и адресата, порты источника и порядковые номера TCP,
связанные с интерфейсом, по которому приходит запрос. На основе этих данных
создается шифрованная подпись, которая используется устройством защиты ASA для
того, чтобы распознать соответствующий хост в дальнейшем. Подпись действительна
только в течение времени существования данного соединения. После закрытия
соединения подпись становится недействительной. При каждом новом запросе
соединения для хоста создается новая подпись.
Нарушителям, чтобы пройти через устройство защиты ASA
и получить доступ к узлу внутренней сети, необходимо имитировать работу
алгоритма ASA и в реальном масштабе времени генерировать полноценные пакеты (со
"случайными" порядковыми номерами TCP, подходящими IP-адресами и
номерами портов) в соответствии с записями базы данных соединений алгоритма
ASA. Это должно оказаться непосильной задачей, чтобы хакер сразу же отказался
от дальнейших попыток проникнуть в сеть и предпочел поискать другие, более
доступные цели.
Преимущества алгоритма ASA:
- Ни один из пакетов, в которых информация о
соединении и состоянии не соответствует данным таблицы алгоритма ASA, не сможет
пройти через устройство защиты ASA.
- Разрешаются все исходящие соединения и состояния,
кроме тех, которые специально запрещены выходными списками доступа. Исходящим
называется соединение или состояние, в котором инициатор или клиент имеет
интерфейс с более высоким уровнем безопасности, чем адресат или сервер.
Внутренний интерфейс всегда имеет наивысший уровень безопасности, а внешний -
самый низкий. Для дополнительных интерфейсов (типа ДМЗ) могут определяться
уровни безопасности между уровнями внутреннего и внешнего интерфейсов.
Входящие соединения и состояния запрещаются, если
только они специально не разрешены каналами. Входящим называется соединение или
состояние, в котором инициатор или клиент имеет интерфейс с более низким
уровнем безопасности, чем адресат или сервер. Каждая трансляция адресов
допускает множество исключений, что позволяет разрешить доступ с любой машины,
из любой сети или с любого хоста в Интернете к хосту, заданному трансляцией.
- Все попытки обойти указанные правила отвергаются, и
серверу syslog посылается соответствующее сообщение.
- Отвергаются все пакеты ICMP, кроме тех, которые
специально разрешены командой conduit permit icmp или access-list.