Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Элементы проектирования защиты сетевого периметра.



Одной из причин того, что существует огромное количество вариантов архитек­туры сетевого периметра, является различная степень важности как данных, так и сетевых ресурсов с этими данными. Как правило, web-сервер Apache со статической HTML-страницей меньше подвержен риску взлома, чем, например, база данных Oracle, хранящая информацию о сделанных клиентами заказах.

Далее будут рассмотрены некоторые основные общие модели построения защиты, призванные выработать правильно сформированный образ мышления по данному вопросу.

Брандмауэр и маршрутизатор.

Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространен­ными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.

Брандмауэр и виртуальная частная сеть.

Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому важно понимать основы взаимодействия брандмауэров и вир­туальных частных сетей:

· В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовмес­тимой с некоторыми реализациями VPN.

· VPN способны создавать сквозные связующие " туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный тра­фик.

· Только конечные точки VPN-канала обладают доступом к данным в незашиф­рованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств.

Многоуровневые брандмауэры.

В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.

Применение многоуровневых брандмауэров в полной мере обеспечивает способ­ность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра.

40 Брандмауэр и маршрутизатор.

Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространен­ными элементами защиты сетевого периметра.

Основы фильтрации.

Маршрутизатор отвечает лишь за свои непос­редственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширен­ные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать " бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты.

Управление доступом.

Брандмауэр несет на себе основную ответ­ственность за контроль доступа. Брандмауэр представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с дан­ной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реа­лизация подобного брандмауэра превратится в неразрешимую задачу.

Размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы..

Маршрутизатор в зоне контроля поставщика Интернет-услуг.

В некоторых случаях Интернет-провайдер вполне способен предоставить клиен­ту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации при­надлежащего провайдеру маршрутизатора. В некотором отноше­нии это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.

Другими словами, главным ограничением подобной конфигурации является от­сутствие полной информации о том, какой именно трафик блокируется маршрути­затором провайдера.

Маршрутизатор без брандмауэра.

Корректно настроенный маршрути­затор вполне способен блокировать нежелательный трафик. Особенно в случае, ког­да для этого применяются так называемые рефлексивные списки доступа. Типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента ло­кальной сети, не имеющих отношения к Интернету.

 

41 Брандмауэр и виртуальная частная сеть.

Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому важно понимать основы взаимодействия брандмауэров и вир­туальных частных сетей:

· В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовмес­тимой с некоторыми реализациями VPN.

· VPN способны создавать сквозные связующие " туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный тра­фик.

· Только конечные точки VPN-канала обладают доступом к данным в незашиф­рованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств.

Во время принятия решения о внедрении VPN-компонентов в сетевую архитектуру администратор сети стоит перед выбором из двух вариантов: поддержка VPN-модуля в качестве обособленного от брандмауэра устройства или же интегра­ция VPN в брандмауэр для обеспечения обеих функций одной системой.

Брандмауэр плюс VPN в качестве обособленного, внешнего устройства.

Существует множество вариантов проектирования сети, позволяющих сделать конечную точку VPN внешним по отношению к брандмауэру устройством.

Система трансляции адресов NAT является причиной большинства проблем, возникающих в случае обособленного по отношению к брандмауэру варианта раз­мещения VPN-оборудования. Еще одна проблема отдельно расположенных VPN-устройств заключается в управлении адресами: некоторые из VPN-спецификации требуют, чтобы внешнее VPN-устройство обладало легальным IP-адресом. Еще одним очевидным недостатком размещения VPN-устройств перед брандма­уэром является отсутствие соответствующей защиты с его стороны. Другими слова­ми, в случае взлома VPN-системы, злоумышленник получает прямой доступ к дан­ным, конфиденциальность которых обеспечивалась средствами VPN.

Брандмауэр и VPN, размещенные как единое целое.

Вариант устройства, объединяющего функции брандмауэра и VPN в одной сис­теме, позволит сэкономить определенное количество денег по сравне­нию с решением, использующим два отдельных устройства. Правда, большая часть этой экономии не касается первоначальных затрат на приобретение соответствую­щего комплекса средств, поскольку добавление к брандмауэру VPN-функциональ­ности потребует покупки дополнительных программных лицензий, а также, воз­можно, обновления аппаратной части. Иначе говоря, интегрированное решение оказывается менее дорогостоящим в плане своего дальнейшего технического сопро­вождения.

Один из главных минусов максимально удовлетворяющие запросам реализации брандмауэ­ров могут оказаться не приспособленными к построению на их основе VPN-компо­нентов. А значит, вполне возможны ситуации, в которых выгоднее обратиться к ранее рассмотренному варианту применения внешнего специализированного VPN-устройства.

42 Многоуровневые брандмауэры.

В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.

Применение многоуровневых брандмауэров в полной мере обеспечивает способ­ность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра.

Внутренние брандмауэры.

Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ог­раниченный доступ внешнего трафика к определенным ресурсам.

Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету рас­положена подсеть, тем меньшим уровнем безопасности она обладает. В приведен­ном на рисунке примере web-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на web-сервер, а второй брандмауэр разрешает дос­туп к серверам с базами данных только со стороны защищенного, внутреннего web-сервера.

 

Рис. 10. Внутренние брандмауэры.

 

Одна из самых главных проблем, связанных с корпоративными многоуровневы­ми брандмауэрами, заключается в сложности управления ими. Администратор дол­жен не только установить, настроить и поддерживать несколько уровней брандмауэ­ров, но и обеспечить их совместимость друг с другом.

Брандмауэры, расположенные параллельно.

Существует множество ситуаций, вынуждающих расположить брандмауэры па­раллельно друг другу. В подобных конфигурациях разные брандмауэры, как прави­ло, защищают ресурсы с разными требованиями к уровню безопасности. Каждый брандмауэр в параллельной конфигурации защищает лишь непосредственно прикрываемые им устройства. Один из подобных сценариев отображен на рис. 11. В данном примере используются два брандмауэра, каждый из которых защищает различные системные ресурсы.

Предполагается, что для защиты доступных из Интернета устройств типа Web, SMTP и DNS-сервера, требуются надежные защитные способности уровня прокси-сервера, названного здесь " шлюзом прикладного уровня" (application gateway). Другими словами, относительно низкое быстродействие прокси-брандмауэра вполне допус­тимо для подобных целей. В то же время, корпоративная часть сети, состоящая из рабочих станций и серверов с данными, нуждается в брандмауэре экспертного уров­ня (stateful firewall). В конечном счете, только параллельное расположение двух принципиально отличных брандмауэров позволяет достичь желаемого эффекта.

 

Рис. 11. Брандмауэры, расположенные параллельно.

 

Прокси-брандмауэры.

Прокси-сервер, называемый иногда шлюзом прикладного уровня (application gateway), представляет собой специализированное приложение, обеспечиваю­щее связь между внутренними защищенными сетями и внешним миром (Интернет) с помощью Интернет-протоколов. Прокси работают с программа­ми, основанными на протоколе TCP/IP. Обычно прокси-серверы запускают не­сколько программ (прокси), которые могут быть защищенными и доверительными. Это специализированные программы, и каждый поддерживаемый протокол должен обладать собственной службой прокси или обрабатываться общим прокси. Прокси может быть также и прозрачной программой, создаваемой для передачи пакетов в любой данный порт через границы сети.

Прокси (proxy) действует по команде клиента или пользователя для доступа к ус­лугам сети и защищает каждую сторону от прямого равноправного (pear-to-pear) со­единения. Клиенты устанавливают соединения, выполняя три стадии организации соединения с прокси-сервером. После этого прокси устанавливает соединение с удаленным сервером. Прокси-сервер вы­сылает данные, которые поступили к нему от клиента, на искомый сервер, а также пересылает данные, полученные от искомого сервера, клиенту. Строго говоря, прокси-сервер является как сервером, так и клиентом.

 

Типы прокси.

Рассмотрим некоторые разно­видности прокси: прямые (пересылочные) прокси и реверсные (обратные) прокси, прокси приклад­ного уровня и прокси сеансового уровня.

Реверсный прокси.

С некоторого момента Интернет становится все более и более враждебным, и организации начинают испытывать необходимость в развертывании более защи­щенных периметров, чем это было возможно при использовании статических па­кетных фильтров. После развертывания первых брандмауэров внутренним пользова­телям был необходим способ, позволяющий добраться до серверов Интернета через периметр. Эту проблему смог решить прокси. прокси одновре­менно является и клиентом, и сервером, поэтому трактовка прямой и реверсный прокси достаточно двусмысленна. Большинство людей счита­ет, что если внутренний пользователь осуществляет доступ к службе Интернета через прокси, то такой прокси является прямым прокси (forward proxy). Реверсный (обратный) прокси подразумевает отличное использо­вание технологии прокси. Реверсный прокси может использоваться с внешней сто­роны брандмауэра для представления внешним клиентам защищенного контент-сервера, предохраняя от прямого, неконтролируемого доступа к данным ваших серверов. Реверсный прокси может быть использован также с целью повышения производительности; перед интенсивно используемым сервером можно размес­тить несколько прокси – это позволит регулировать его нагрузку. Прямые или реверсные приложения могут быть тем же прокси-сервером; различие состоит толь­ко в конфигурации.

45 Преимущества прокси-брандмауэров .

· В сравнении с остальными типами брандмауэров, прокси-брандмауэры обладают целым рядом преимуществ:

· Внутренние IP-адреса защищены от внешнего мира благодаря тому, что прокси-службы не допускают прямых соединений между внешними серверами и внутренними компьютерами.

· Администраторы имеют возможность производить мониторинг нарушений политики безопасности брандмауэра, используя для этого записи аудита, ге­нерируемые службами прокси.

· Использование прокси-брандмауэров позволяет организовать защиту, осно­ванную на пользователях. Службы прокси эффективны при защите от неавто­ризованного использования на однопользовательской основе и способны поддерживать строгую аутентификацию.

· Вследствие того, что возможность организации соединений основана на службах, а не на физических соединениях, прокси-брандмауэры оказываются неуязвимыми перед IP-спуфингом (подмена IP адреса). IP-адреса хостов в пределах внутренней защищенной сети не требуют соединения посредством прокси-брандмауэра.

· Прокси-брандмауэры обладают лучшими возможностями регистрации, чем брандмауэры фильтрации и маршрутизации, и предлагают единственную точ­ку для аудита и управления.

· Пользователи не могут войти в прокси-серверы. В бастионных хостах не тре­буются никакие учетные записи. Прокси-службы работают по команде пользователей.

· Прокси-сервер обеспечивает централизованную точку для сети, и наблюде­ние за трафиком может выполняться очень тщательно. Это, однако, может создать узкие места сетевого трафика.

· Топология внутренней защищенной сети в прокси-брандмауэрах является скрытой.

· Некоторые прокси предлагают улучшенные средства выполнения аудита, имея инструменты для мониторинга трафика.

· Прокси-брандмауэры предлагают строгую аутентификацию и регистрацию. Возможно выполнение предварительной аутентификации прикладного тра­фика, прежде чем он достигнет внутренних хостов, а также более эффектив­ная регистрация по сравнению со стандартной регистрацией хоста.

· Прокси-брандмауэры имеют менее сложные правила фильтрации, нежели брандмауэры пакетных фильтров. Правила в маршрутизаторе пакетной филь­трации менее сложные, чем если бы маршрутизатору необходимо было от­фильтровывать прикладной трафик и пересылать его нескольким определен­ным системам. Маршрутизатору необходимо разрешить только прикладной трафик, направляемый шлюзу прикладного уровня, а весь остальной трафик удалить.

46 Недостатки прокси-брандмауэров.

Несмотря на то, что прокси-брандмауэры предлагают более высокий уровень бе­зопасности по сравнению с брандмауэрами пакетной фильтрации, они, тем не ме­нее, имеют некоторые недостатки. К ним можно отнести следующее:

· Снижение производительности вследствие дополнительных запросов на об­работку, необходимых для прикладных служб. Прикладные прокси работают медленнее по сравнению с пакетными фильтрами.

· Для каждого нового приложения или протокола, которые необходимо пропу­стить через брандмауэр, необходимо разрабатывать новый прокси.

· Доступным является лишь ограниченное количество служб. Доступ к другим, не предоставляемым прокси, службам (non-proxiable services), остается невозмож­ным.

· Неотъемлемые проблемы в операционных системах и их компонентах могут негативно повлиять на безопасность сервера брандмауэра (firewall server). Прокси-службы уязвимы перед ошибками в операционных системах и ошиб­ками на прикладном уровне.

· Операционная система хоста, содержащего прокси, остается незащищенной перед внешними угрозами и может быть подвергнута атакам.

· Процесс установки прокси-службы может оказаться довольно сложным для каждого приложения, использующего шлюз.

· Поскольку прокси-сервер может оказаться узким местом в сети, он может стать также и единственной точкой сбоя.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 1046; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.029 с.)
Главная | Случайная страница | Обратная связь