Поспелова Екатерина Викторовна

Национальный Горный Университет,Украина

Межсетевые экраны

На сегодняшний день защита от угроз, фильтрация трафика в сети современного предприятия, защита компьютерных сетей или отдельных узлов от несанкционированного доступа являются одними из основных задач. Для решения таких задачи и,по совместительству, для cистемы разграничения компьютерных сетей с различными политиками безопасности, используют межсетевой экран (МЭ).

Межсетевой экран (в переводной литературе также встречаются термины firewall брандмауэр, сетевой экран)— это локальный (однокомпонентный) или функционально-распределенный (многокомпонентный) набор программных либо аппаратных средств, который контролирует и фильтрует сетевые пакеты, поступающие в автоматизированную систему (АС) и/или исходящие из нее, в соответствии с заданным набором правил (рис. 1.). 

 

Рис. 1. Контроль периметра сети МЭ (защищаемая сеть слева)

 

Использование МЭ может значительно повысить уровень безопасности, путем решения одной или более нижеперечисленных задач:

1) защита и изоляция сервисов и приложений от трафика, поступающего из внешней сети интернет;

2) частичное ограничение, либо полный запрет доступа хостов из внутренней сети к сервисам внешней сети Internet;

3) преобразование сетевых адресов (network address translation, NAT) – это позволяет использовать один IP адрес во внутренней сети, а также одно подключение к сети Internet.

Существуют различные виды МЭ. Межсетевой экран можно отнести к тому или иному типу, в зависимости от уровня модели OSI, где информация выступает в качестве критерия фильтрации.

Пакетный фильтр (данный вид МЭ работает на сетевом уровне эталонной модели OSI)

МЭ, относящийся к данному типу, реализует разграничение доступа субъектов из одной АС к объектам другой АС, а определенный набор правил запрещает, либо разрешает передачу информации определенного типа. Интерпретация такого набора правил представлена в виде последовательности фильтров, которые разрешают передачу пакетов на следующий фильтр, либо ее запрещают.

Для МЭ данного вида доступна следующая информация для анализа:

1)     IP адреса отправителя и получателя;

2)     информация о типе протоколов;

3)     тип сообщения;

4) номера.

Для пакетного фильтрования существует 2 списка правил, которые на программном уровне представлены в виде набора фильтров:

-список разрешения;

-список запрещения.

Достоинства:

- скорость работы;

- МЭ может быть реализован аппаратно;

- cхема NAT скрывает внутренние IP адреса. 

Недостатки:

- не содержит информацию о сеансе;

- не имеет аудита;

- не распознает прикладные протоколы.

Экранирующий транспорт или МЭ уровня соединения (работает на транспортном уровне эталонной модели OSI)

Даный МЭ организовывает защиту АС с помощью «экранирующего агента» (программы-посредника), который, в свою очередь, проверяет допустимость полученного запроса. В случае, когда результат проверки положительный, устанавливается соединение с обьектом, а далее реализуется процесс обмена информацией между обьектом и субьектом.  [1]

МЭ уровня соединения анализирует только само соединение, его легитимность в рамках данного соединения (пакеты не анализируются и не проверяются), а также берет участие в формировании канала передачи данных; не пропускает пакеты, которые не относятся к разрешенным.

Достоинства:

- возможность скрытия внутренних IP адресов (при помощи NAT);

- запрещение соединения с определенными хостами.

Недостатки:

- слабая связь с высшими уровнями протоколов (ограниченный аудит);

- не реализует такие важные функции, как аутентификация, фильтрация URL;

- возникновение трудностей при тестировании правил.

Основная проблема экранирующего транспорта заключается в том, что в рамках уже установленного соединения можно передавать абсолютно любые данные, включая и вредоносные кода.

Шлюз прикладного уровня (работает на прикладном уровне эталонной модели OSI)

Данный МЭ проверяет содержимое каждого проходящего через шлюз пакета, анализирует его заголовок и сами данные  еще на прикладном уровне. Прикладной шлюз - это “proxy server” (так называемая программа – посредник, которая разработана для конкретного сервиса сети Internet и для регламентации обработки данных по своему протоколу).

МЭ данного типа выполняет такие функции защиты:

-  проверка подлинности информации, передаваемой через шлюз;

- идентификация и аутентификация пользователей при попытке установления соединений через МЭ;

-  фильтрация и преобразование потока сообщений;

-  хэширование данных, запрашиваемых из внешней сети.

Достоинства:

-  возможность ограничения доступа к определенным сетевым службам;

-  возможность работы с информацией данных пакета;

-  невозможность прямого соединения с внешними серверами, так как все внутренние имена спрятаны;

-  работа с протоколами высшего уровня (например, HTTP и FTP);

-  прозрачность proxy.

Недостатки:

-  служба proxy может запрашивать ввод дополнительных паролей;

-  для каждого контролируемого протокола должен быть добавлен свой proxy;

-   службы proxy могет быть уязвимы к ошибкам ОС и ПО прикладного уровня;

-   нет реализации проверки пакетов, которые содержатся на низших уровнях.

МЭ с динамической фильтрацией пакетов

Этот МЭ предназначен специально для протокола UDP; он осуществляет ассоциацию всех UDP пакетов, пересекающих периметр безопасности через виртуальное соединение. В случае, когда формируется пакет ответа, передаваемого источнику запроса, устанавливается виртуальное соединение и пакету разрешается пересечение сервера МЭ. Соединение считается закрытым, если пакет ответа не был получен (по причине того, что информация запоминается на краткий промежуток времени). [1]

Для данного МЭ существует 2 группы правил:

1)   статистические;

2)   динамические (отправляют сначала виртуальные копии, а затем сам файл).

Достоинства:

-  не дает возможности нежелательным пакетам UDP проникнуть во внутренню сеть;

- для поддерки ограниченного множеста команд ICMP используется динамический фильтр.

Недостатки:

-  имеет слабые возможности обработки информации внутри пакета;

-  не имеет аудида;

- из-за наличия различных служб и сложности внутренних сетей, возникают трудности с тестированием правил;

-  не отслеживает соединение.

МЭ уровня ядра (работает на уровне ядра ОС) [2]

Одним из наиболее значимых параметров при оценке реализации МЭ является его быстродействие. Учитывая то, что сложные проверки, которые реализует МЭ, приводят к снижению производительности, было принято рациональное решение для устранения данного недостатка – была разработана технология МЭ, которая функционирует на уровне ядра (Kernel Proxy).

МЭ уровня ядра состоит из следующих основных модулей:

1)ядро безопасности (реализуется на сервере);

2) модуль управления хостом (реализуется на сервере);

3) модуль управления каналами связи МЭ (реализуется частично на сервере, частично на рабочем столе);

4) агент регистрации входов (реализуется частично на сервере, частично на рабочем столе);

5) агент аутентификации (реализуется частично на сервере, частично на рабочем столе).

      Основным модулем выступает модуль ядра безопасности, работающий внутри ядра Windows, который анализирует каждый входящий и исходящий пакет, проходящий через сервер МЭ и применяет к каждому пакету свою реализацию политики безопасности.

   Компоненты ядра безопасности:

1)       перехватчик (анализатор) пакетов – перехватывает пакеты и передает в модуль верификации;

2)       модуль верификации безопасности:

-            применяет заданную политику безопасности;

-            отслеживает сеансы всех разрешенных соединений;

3)       механизмы Рroxy ядра – используют динамические стеки.

Персональные МЭ/встроенные МЭ (работают между сетевыми платами и всеми протокольными стеками).

      Такой тип МЭ выполняет две защитные функции:

-            защита от внешних атак;

-            защита от атак со стороны данного компьютера.

Распределенный МЭ

Данный вид МЭ предполагает, что функциональные компоненты респределены по узлам сети и могут обладать различной функциональностью, а в случае обнаружения подозрительных атак, его модули способны изменять состав, конфигурацию и расположение компонент.

МЭ экспертного уровня (работает на всех уровнях эталонной модели OSI)

Такой тип МЭ сочетает в себе достоинства всех выше рассмотренных компонентов и обладает высокими показателями по обеспечению уровня безопасности.

 

Литература:

 

1. Э. Мэйволд Безопасность сетей Эком. 2006 – cтр. 528

2. Дэвид В. Чепмен, мл., Энди Фокс Брандмауэры Cisco Secure PIX = Cisco® Secure PIX® Firewalls. — М.: «Вильямс», 2003. — С. 384.