Лясин Д.Н., Саньков С.Г. Методы и средства защиты компьютерной информации

Подождите немного. Документ загружается.

(например, Telnet и RealAudio) для компьютеров интрасети, использующих

протоколы TCP/IP или IPX/SPX, поддерживает VPN, выполняет функции фильтра

пакетов. Работает в среде Windows.

Squid - высокопроизводительный кэширующий proxy-сервер для web-

клиентов с поддержкой протоколов FTP, gopher и HTTP, имеющий реализации как

под Unix, так и под Windows- платформы. Squid хранит метаданные и особенно

часто запрашиваемые объекты в ОЗУ, кэширует DNS-запросы, поддерживает

неблокирующие DNS-запросы и реализует негативное кэширование неудачных

запросов. Поддерживает протокол ICP (Internet Casing Protocol), позволяющий

организовывать нескольким серверам иерархические структуры кэширования.

Помимо перечисленных, на практике могут быть использованы так

называемые персональные межсетевые экраны. Они устанавливаются на компьютер

пользователя, и все правила безопасности задаются для обмена этого компьютера с

внешней сетью. Это позволяет настроить политику безопасности персонально под

каждого пользователя непосредственно на его рабочей станции. Примером

подобного МСЭ является брандмауэр AtGuard, который включает в себя функции

proxy-сервера и локального пакетного фильтра. AtGuard способен блокировать

баннеры, файлы cookie, Java -скрипты и апплеты, а также элементы ActiveX. Еще

одна особенность AtGuard – способность работать в режиме обучения, когда при

каждой попытке подключиться к какому-либо порту запрашивается разрешение на

установку соединения, и сделанный пользователем выбор становится правилом для

дальнейшей работы программы.

Используемые на практике МСЭ представляют собой интегрированную

систему защиты, включающую и пакетный фильтр, и proxy-сервер. Они могут

располагаться как на одном, так и на нескольких компьютерах, в связи с чем

существует возможность выбора архитектуры используемого МСЭ [8].

Архитектура с использованием в качестве МСЭ компьютера с двумя сетевыми

интерфейсами похожа на схему подключения пакетного фильтра (рис. 5.3), но на

МСЭ должна быть отключена возможность маршрутизации пакетов. Это позволяет

полностью блокировать трафик во внешнюю сеть на этом компьютере, а все

необходимые сервисы должны обеспечиваться proxy-серверами, работающими на

двухканальном компьютере. Для обеспечения дополнительной защиты можно

поместить маршрутизатор с фильтрацией пакетов между внешней сетью и

двухканальным компьютером.

Архитектура с экранированным узлом предполагает использование

одновременно и пакетного фильтра, и proxy-сервера (рис.5.5).

На границе с внешней сетью устанавливается пакетный

фильтр, который должен блокировать потенциально опасные

пакеты, чтобы они не достигли прикладного шлюза (proxy-сервера)

и локальной сети. Он отвергает или пропускает трафик в

соответствии со следующими правилами:

 трафик из внешней сети к прикладному шлюзу пропускается;

 прочий трафик из внешней сети блокируется;

 пакетный фильтр блокирует любой трафик из локальной сети во внешнюю,

если он не идет от прикладного шлюза.

Прикладной шлюз должен обеспечивать функции proxy-сервера для всех

потенциально опасных служб и для работы ему достаточно одного сетевого

интерфейса. Подобная схема подключения брандмауэра отличается большей

гибкостью по сравнению с двухканальным МСЭ, поскольку пакетный фильтр может

позволить пропустить запросы к надежным сервисам в обход прикладного шлюза.

Этими надежными сервисами могут быть те сервисы, для которых нет proxy-

сервера, и которым можно доверять в том смысле, что риск использования этих

сервисов считается приемлемым.

Локальная

сеть

Internet

Пакетный

фильтр

Рис.5.5. МСЭ с использованием экранированного узла

Proxy-

сервер

Развитием концепции изолированного узла стала архитектура с

изолированной подсетью. Здесь используется два пакетных фильтра (рис.5.6) для

организации изолированной подсети, которую еще называют демилитаризованной

зоной (DMZ).

Внутри изолированной подсети должен находиться

прикладной шлюз, а также могут находиться различные

информационные серверы (mail, WWW, FTP), модемные пулы и т.п.

Пакетный фильтр, установленный на границе с внешней сетью,

должен фильтровать пакеты по следующим правилам:

 пропускать прикладной трафик от прикладного шлюза во внешнюю сеть;

 пропускать прикладной трафик из внешней сети к прикладному шлюзу;

 все остальные виды трафика блокировать.

Внутренний пакетный фильтр управляет трафиком «локальная

сеть – демилитаризованная зона» согласно следующим правилам:

 трафик от прикладного шлюза к внутренним системам пропускается;

 трафик к прикладному шлюзу от внутренних систем пропускается;

 трафик к информационным серверам внутри DMZ пропускается;

 все остальные виды трафика блокировать.

Такая схема дает возможность еще более гибко формировать

политику безопасности, задавая различные правила фильтрации

для двух пакетных фильтров (например, можно разрешить

Локальная

сеть

Internet

Пакетный

фильтр

Рис.5.6. МСЭ с использованием экранированной подсети

Proxy-

сервер

Пакетный

фильтр

DMZ

прохождения FTP-пакетов в DMZ из локальной сети для

обновления информации на WWW-сервере и запретить доступ по

FTP-протоколу к DMZ из внешней сети). Компьютеры,

расположенные в демилитаризованной зоне, подвержены

большему количеству атак, чем компьютеры локальной сети.

Поэтому все компьютеры, находящиеся в DMZ, должны быть

максимально укреплены (bastion host, укрепленный компьютер). На

них должны быть удалены все неиспользуемые службы,

максимально активизированы средства безопасности

операционных систем (ужесточаются права доступа к объектам,

минимизируется количество зарегистрированных субъектов,

ведется строгий аудит).

Очевидно, что можно создать несколько экранированных

подсетей, отделенных друг от друга собственным пакетным

фильтром с определением правил доступа для каждой из

подсетей. Выбор конкретной архитектуры МСЭ зависит от стоящих

перед администратором задач, условий функционирования,

стоимости того или иного решения.

Рассмотрим пример реализации межсетевого экрана. Предположим, что

существует некоторая организация, имеющая собственную локальную сеть,

подключенную к глобальной сети Интернет. Будем считать, что провайдер выделил

нашей организации один статический IP адрес 195.209.133.1. Внутри локальной сети

администратор может использовать любой из диапазонов адресов, предназначенных

для применения в частных сетях: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Для

примера возьмем диапазон 10.0.0.0/8. Доступ в глобальную сеть Интернет будет

осуществляться через компьютер, имеющий два сетевых интерфейса, один из

которых подключен к глобальной сети Интернет и имеет IP адрес 195.209.133.1, а

второй подключен к локальной сети организации и имеет IP адрес 10.0.0.1. Далее

будем обозначать этот компьютер символом S. Также допустим, что у нашей

организации существуют официальный WEB-сервер www.myorg.ru и почтовый

сервер, обслуживающий домен myorg.ru. Данные сервера, а также основной DNS-

сервер для зоны myorg.ru будут установлены на компьютере S. Вспомогательный

DNS-сервер для зоны myorg.ru поддерживается провайдером. Кроме того,

предположим, что на компьютере S также установлены локальный FTP-сервер и

proxy-сервер, обеспечивающий доступ в сеть Интернет для остальных компьютеров,

принадлежащих нашей организации. Также предположим, что в нашей организации

существуют два компьютера рекламного отдела, далее R1 и R2, два компьютера

отдела продаж P1 и P2, компьютер директора D, компьютер заместителя директора

Z, два компьютера бухгалтерии B1 и B2, компьютер отдела кадров O и

демонстрационный компьютер W. Для всех компьютеров организации необходимо

обеспечить доступ к почтовому серверу, к локальному FTP-серверу, а также к

WWW-серверу организации. Исключением является компьютер W, для которого

необходимо обеспечить доступ только к WWW-серверу. Кроме того, для

компьютеров R1, R2, P1, P2, Z и D необходимо обеспечить доступ к глобальной сети

Интернет через proxy-сервер.

Для выполнения всех предъявленных выше требований, а также для

обеспечения безопасности и исключения несанкционированного доступа

целесообразно на компьютере S установить пакетный фильтр. Рассмотрим

примерную таблицу правил для нашего случая. Назначим IP адреса для

компьютеров нашей организации: R1 – 10.0.0.16, R2 – 10.0.0.17, P1 – 10.0.0.20, P2 –

10.0.0.21, D – 10.0.0.24, Z – 10.0.0.25, B1 – 10.0.0.32, B2 – 10.0.0.33, O – 10.0.0.36, W

– 10.0.0.38. Такое неравномерное распределение адресов было выбрано для

обеспечения возможности использования диапазонов IP адресов для компьютеров

разных отделов. Например, компьютеры рекламного отдела принадлежат диапазону

10.0.0.16/30. А компьютеры рекламного отдела, отдела продаж, заместителя

директора и директора - диапазону 10.0.0.16/28. Подобная группировка значительно

упрощает администрирование и сокращает количество правил для пакетного

фильтра. Кроме того, в данном примере оставлены диапазоны IP адресов для

дальнейшего расширения организации. Например, если в дальнейшем появятся

компьютеры R3 и P3, то им можно будет назначить IP адреса 10.0.0.18 и 10.0.0.22

соответственно. При этом изменения в правилах пакетного фильтра и других

конфигурационных файлах будут минимальными. Вся сеть нашей организации в

бесклассовой модели адресации будет представлена как 10.0.0.0/26.

Широковещательным адресом для нашей локальной сети будет адрес 10.0.0.63. В

общем случае при использовании диапазонов частных адресов администратор

может использовать любую маску подсети, доступную для выбранного диапазона.

Например, в нашем случае можно было бы использовать сеть 10.0.0.0/24 с

широковещательным адресом 10.0.0.255. Схема описанной выше локальной сети

приведена на рис.5.7. Данная схема реализует архитектуру двухканального

компьютера.

Рис. 5.7 Схема локальной сети организации

В соответствии со всеми приведенными выше требованиями и учитывая

назначенные IP адреса, получаем набор для пакетного фильтра компьютера S,

приведенный в таблице 5.1. Будем считать, что proxy-сервер работает на TCP порту

3128. Данный proxy-сервер обеспечивает доступ к WWW-серверам глобальной сети

Интернет, работающим на TCP порту 80 по протоколу http, и к WWW-серверам,

работающим на TCP порту 443 по протоколу HTTPS. Кроме того, будем считать,

что вспомогательный DNS-сервер поддерживается провайдером и имеет адрес

195.209.133.2. Компьютер S подключен к локальной сети через сетевой адаптер, а

10.0.0.16

10.0.0.1

195.209.133.1

modem

Internet

Provider

10.0.0.0/26

PPP0

10.0.0.17

10.0.0.20

10.0.0.21

10.0.0.24

10.0.0.25

10.0.0.32

10.0.0.33

10.0.0.36

10.0.0.38

RL0

связь с провайдером осуществляется с помощью модема. Далее будем обозначать

эти сетевые интерфейсы в нотации операционных систем семейства UNIX, т.е. RL0

и PPP0 соответственно. Приведенная ниже таблица содержит следующие поля: № -

номер правила, «протокол» - протокол стека протоколов TCP/IP (ALL для любого

протокола, работающего поверх IP), «Отправитель.Адрес» - IP адрес либо диапазон

адресов отправителя IP дейтаграммы, «Отправитель.Порт» - TCP или UDP порт

отправителя TCP сегмента или UDP дейтаграммы, «Получатель.Адрес» - IP адрес

либо диапазон адресов получателя IP дейтаграммы, «Получатель.Порт» - TCP или

UDP порт получателя TCP сегмента или UDP дейтаграммы, «Действие» - действие,

которое необходимо выполнить, если пакет удовлетворяет правилу (возможные

варианты: allow – пропустить пакет, deny – отклонить пакет), «Интерфейс» - сетевой

интерфейс, через который отправляется или принимается пакет, «Направление» -

направление пакета (IN пакет приходит через данный интерфейс, OUT – пакет

отправляется через данный интерфейс).

Таблица 5.1

Правила пакетного фильтра компьютера S.

№

Прото

кол

Отправитель Получатель

Действие

Интер

фейс

Напр

авл.

Адрес Порт Адрес Порт

100 ALL ANY - ANY - ALLOW LO0 -

150 ICMP ANY - ANY - ALLOW ANY -

200 UDP 195.209.133.1 ANY ANY 53 ALLOW PPP0 OUT

201 UDP ANY 53 195.209.133.1 ANY ALLOW PPP0 IN

210 UDP ANY ANY 195.209.133.1 53 ALLOW PPP0 IN

211 UDP 195.209.133.1 53 ANY ANY ALLOW PPP0 OUT

220 TCP 195.209.133.2 ANY 195.209.133.1 53 ALLOW PPP0 IN

221 TCP 195.209.133.1 53 195.209.133.2 ANY ALLOW PPP0 OUT

300 TCP 195.209.133.1 ANY ANY 25 ALLOW PPP0 OUT

301 TCP ANY 25 195.209.133.1 ANY ALLOW PPP0 IN

310 TCP ANY ANY 195.209.133.1 25 ALLOW PPP0 IN

311 TCP 195.209.133.1 25 ANY ANY ALLOW PPP0 OUT

400 TCP ANY ANY 195.209.133.1 80 ALLOW PPP0 IN

401 TCP 195.209.133.1 80 ANY ANY ALLOW PPP0 OUT

500 TCP 195.209.133.1 ANY ANY 80,443 ALLOW PPP0 OUT

501 TCP ANY 80,443 195.209.133.1 ANY ALLOW PPP0 IN

1000 UDP 10.0.0.0/26 ANY 10.0.0.1 53 ALLOW RL0 IN

1001 UDP 10.0.0.1 53 10.0.0.0/26 ANY ALLOW RL0 OUT

1100 TCP 10.0.0.0/26 ANY 10.0.0.1 80 ALLOW RL0 IN

1101 TCP 10.0.0.1 80 10.0.0.0/26 ANY ALLOW RL0 OUT

1200 TCP 10.0.0.38 ANY 10.0.0.1 25,110,21 DENY RL0 IN

1300 TCP 10.0.0.0/26 ANY 10.0.0.1 25,110 ALLOW RL0 IN

1301 TCP 10.0.0.1 25,110 10.0.0.0/26 ANY ALLOW RL0 OUT

1310 TCP 10.0.0.0/26 ANY 10.0.0.1 20,21 ALLOW RL0 IN

1311 TCP 10.0.0.1 20,21 10.0.0.0/26 ANY ALLOW RL0 OUT

1400 TCP 10.0.0.16/28 ANY 10.0.0.1 3128 ALLOW RL0 IN

1401 TCP 10.0.0.1 3128 10.0.0.16/28 ANY ALLOW RL0 OUT

65535 ALL ANY - ANY - DENY ANY -

Рассмотрим приведенные выше правила более подробно. Номера правил

выбраны произвольно, однако следует отметить, что правила с меньшими номерами

обрабатываются раньше. Порядок обработки правил очень важен. По умолчанию в

большинстве пакетных фильтров, если пакет удовлетворяет условию правила, то

выполняется действие, указанное в правиле, и следующие правила не проверяются.

В данном примере правила с нечетными номерами являются «обратными» и

обеспечивают прохождение пакетов, которые являются ответами на правила с

предыдущим номером. В некоторых пакетных фильтрах данные правила

добавляются автоматически, либо существуют специальные опции для

автоматической генерации подобных правил. Примером может служить

использование динамических правил и опций check-state и keep-state в пакетном

фильтре ipfw операционных систем семейства Unix.

Правило 100 обеспечивает прохождение всех IP-дейтаграмм через локальный

интерфейс. Данный интерфейс обычно имеет адрес 127.0.0.1 и существует на

каждом хосте и шлюзе IP-сети. Он необходим для внутренней работы стека TCP/IP

и называется также локальной «заглушкой» или локальной «петлей». Под это

правило также попадают все IP-пакеты, имеющие в качестве адресов отправителя и

получателя любой из локальных адресов данного компьютера. Для нашего случая

это адреса 127.0.0.1, 10.0.0.1 и 195.209.133.1. Другими словами, данное правило

разрешает весь «внутренний» трафик компьютера S. Правило 150 обеспечивает

работу межсетевого протокола управляющих сообщений ICMP. Данный протокол

необходим для корректной работы таких утилит, как ping и traceroute, а также для

работы с сообщениями о недоступности хоста, сети и порта, контроля за

перегрузкой сети и т.д. Иногда целесообразно запретить некоторые из этих

сообщений, например, сообщение с типом 5 – сообщение о переадресации. Правила

200 и 201 разрешают нашему DNS-серверу запросы к другим DNS-серверам и

необходимы для корректной работы нашего кэширующего DNS-сервера. Правила

210 и 211 разрешают запросы других DNS-серверов к нашему основному DNS-

серверу. Правила 220 и 221 разрешают зонную пересылку между вспомогательным

DNS-сервером провайдера, обслуживающим зону myorg.ru, и нашим основным

DNS-сервером. Правила 300 и 301 разрешают нашему SMTP-серверу отправлять

почту на другие сервера. Правила 310 и 311 разрешают другим SMTP-серверам

присылать почту нашему серверу. Правила 400 и 401 обеспечивают доступ к WWW-

серверу организации из сети Интернет. Правила 500 и 501 обеспечивают доступ

proxy-сервера к WEB- и HTTPS-серверам глобальной сети Интернет. Далее идут

правила для компьютеров локальной сети. Правила 1000 и 1001 обеспечивают

доступ всех компьютеров локальной сети к DNS-серверу. Правила 1100 и 1101

обеспечивают доступ всех компьютеров локальной сети к WWW-серверу

организации. Правило 1200 следует отметить особо. Это правило запрещает

компьютеру W доступ к почтовым серверам SMTP и POP3, а также к FTP-серверу.

Следующие правила 1300, 1310 будут разрешать доступ к этим серверам для всех

компьютеров локальной сети, к которым конечно относится и компьютер W.

Однако, поскольку правило 1200 будет обработано первым, то в случае совпадения

остальные правила обработаны не будут и доступ к почтовым и FTP серверам

организации для компьютера W будет запрещен. Отметим также, что для этого

правила нет «обратного». Поскольку будет запрещен первый же TCP-сегмент с

флагом SYN отправленный компьютером W, который инициирует установку TCP-

соединения. Соответственно TCP модуль компьютера S даже не будет знать о

желании компьютера W установить соединение на порты 21,25,110 и поэтому не

будет генерировать никаких ответных пакетов. Правила 1300 и 1301 разрешают

доступ к SMTP- и POP3-серверу для всех компьютеров локальной сети. Правила

1310 и 1311 обеспечивают работу всех компьютеров локальной сети с локальным

FTP-сервером. В данном случае разрешается только активный режим работы FTP-

сервера. Порт 20 не был запрещен в правиле 1200, поскольку он используется

только при установке соединения данных. А данное соединение не может быть

установлено без предварительной установки соединения команд на порту 21.

Правила 1400 и 1401 разрешают доступ к proxy-серверу для компьютеров

R1,R2,P1,P2,Z и D. В общем случае эти правила разрешают доступ к proxy-серверу

для компьютеров из диапазона 10.0.0.16 – 10.0.0.31. И, наконец, правило 65535

запрещает прохождение всех остальных IP-пакетов.

Таким образом, используя данную таблицу правил для пакетного фильтра, мы

обеспечили выполнение всех поставленных требований. Кроме того, исключили

возможность каких-либо атак или несанкционированного доступа к компьютеру S

как из сети Интернет, так и из локальной сети. Рассмотренная выше таблица правил

содержит только базовый набор правил. Реальные таблицы могут содержать гораздо

больше правил и быть намного сложнее. В данном примере был использован

принцип «запрещено все, что не разрешено».

Межсетевые экраны являются мощными средствами

обеспечения безопасности работы локальной сети при ее

подключении к внешней сети, обеспечивающими защиту от

нежелательных вторжений извне по всем протоколам модели OSI.

Использование МСЭ является неотъемлемой частью при

обеспечении безопасности и корректной работы локальной сети,

подключенной к сети Интернет. Правильная настройка МСЭ

позволяет избежать множества проблем и существенно упростить

решение остальных задач при администрировании сети.

5.4. Вывод

Современные информационные системы функционируют в условиях

постоянных угроз, исходящих из сети Интернет. Для защиты от этих угроз

существует множество средств на различных уровнях. Для обеспечения

конфиденциальности и целостности передаваемой по глобальной сети информации

можно использовать защищенные сетевые протоколы, которые используют

криптографические методы. Для предотвращения вторжения извне, защиты от атак

типа DoS необходимо использовать межсетевые экраны, основная задача которых –

фильтрация входящего и исходящего сетевого трафика в зависимости от принятой

политики безопасности.