Элементы проектирования защиты сетевого периметра.

⇐ ПредыдущаяСтр 7 из 11Следующая ⇒

Одной из причин того, что существует огромное количество вариантов архитектуры сетевого периметра, является различная степень важности как данных, так и сетевых ресурсов с этими данными. Как правило, web-сервер Apache со статической HTML-страницей меньше подвержен риску взлома, чем, например, база данных Oracle, хранящая информацию о сделанных клиентами заказах.

Далее будут рассмотрены некоторые основные общие модели построения защиты, призванные выработать правильно сформированный образ мышления по данному вопросу.

Брандмауэр и маршрутизатор.

Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространенными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.

Брандмауэр и виртуальная частная сеть.

Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому важно понимать основы взаимодействия брандмауэров и виртуальных частных сетей:

· В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовместимой с некоторыми реализациями VPN.

· VPN способны создавать сквозные связующие " туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный трафик.

· Только конечные точки VPN-канала обладают доступом к данным в незашифрованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств.

Многоуровневые брандмауэры.

В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.

Применение многоуровневых брандмауэров в полной мере обеспечивает способность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра.

40 Брандмауэр и маршрутизатор.

Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространенными элементами защиты сетевого периметра.

Основы фильтрации.

Маршрутизатор отвечает лишь за свои непосредственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширенные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать " бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты.

Управление доступом.

Брандмауэр несет на себе основную ответственность за контроль доступа. Брандмауэр представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с данной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реализация подобного брандмауэра превратится в неразрешимую задачу.

Размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы..

Маршрутизатор в зоне контроля поставщика Интернет-услуг.

В некоторых случаях Интернет-провайдер вполне способен предоставить клиенту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации принадлежащего провайдеру маршрутизатора. В некотором отношении это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.

Другими словами, главным ограничением подобной конфигурации является отсутствие полной информации о том, какой именно трафик блокируется маршрутизатором провайдера.

Маршрутизатор без брандмауэра.

Корректно настроенный маршрутизатор вполне способен блокировать нежелательный трафик. Особенно в случае, когда для этого применяются так называемые рефлексивные списки доступа. Типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента локальной сети, не имеющих отношения к Интернету.

41 Брандмауэр и виртуальная частная сеть.

Во время принятия решения о внедрении VPN-компонентов в сетевую архитектуру администратор сети стоит перед выбором из двух вариантов: поддержка VPN-модуля в качестве обособленного от брандмауэра устройства или же интеграция VPN в брандмауэр для обеспечения обеих функций одной системой.

Брандмауэр плюс VPN в качестве обособленного, внешнего устройства.

Существует множество вариантов проектирования сети, позволяющих сделать конечную точку VPN внешним по отношению к брандмауэру устройством.

Система трансляции адресов NAT является причиной большинства проблем, возникающих в случае обособленного по отношению к брандмауэру варианта размещения VPN-оборудования. Еще одна проблема отдельно расположенных VPN-устройств заключается в управлении адресами: некоторые из VPN-спецификации требуют, чтобы внешнее VPN-устройство обладало легальным IP-адресом. Еще одним очевидным недостатком размещения VPN-устройств перед брандмауэром является отсутствие соответствующей защиты с его стороны. Другими словами, в случае взлома VPN-системы, злоумышленник получает прямой доступ к данным, конфиденциальность которых обеспечивалась средствами VPN.

Брандмауэр и VPN, размещенные как единое целое.

Вариант устройства, объединяющего функции брандмауэра и VPN в одной системе, позволит сэкономить определенное количество денег по сравнению с решением, использующим два отдельных устройства. Правда, большая часть этой экономии не касается первоначальных затрат на приобретение соответствующего комплекса средств, поскольку добавление к брандмауэру VPN-функциональности потребует покупки дополнительных программных лицензий, а также, возможно, обновления аппаратной части. Иначе говоря, интегрированное решение оказывается менее дорогостоящим в плане своего дальнейшего технического сопровождения.

Один из главных минусов максимально удовлетворяющие запросам реализации брандмауэров могут оказаться не приспособленными к построению на их основе VPN-компонентов. А значит, вполне возможны ситуации, в которых выгоднее обратиться к ранее рассмотренному варианту применения внешнего специализированного VPN-устройства.

42 Многоуровневые брандмауэры.

Внутренние брандмауэры.

Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ограниченный доступ внешнего трафика к определенным ресурсам.

Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету расположена подсеть, тем меньшим уровнем безопасности она обладает. В приведенном на рисунке примере web-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на web-сервер, а второй брандмауэр разрешает доступ к серверам с базами данных только со стороны защищенного, внутреннего web-сервера.

Рис. 10. Внутренние брандмауэры.

Одна из самых главных проблем, связанных с корпоративными многоуровневыми брандмауэрами, заключается в сложности управления ими. Администратор должен не только установить, настроить и поддерживать несколько уровней брандмауэров, но и обеспечить их совместимость друг с другом.

Брандмауэры, расположенные параллельно.

Существует множество ситуаций, вынуждающих расположить брандмауэры параллельно друг другу. В подобных конфигурациях разные брандмауэры, как правило, защищают ресурсы с разными требованиями к уровню безопасности. Каждый брандмауэр в параллельной конфигурации защищает лишь непосредственно прикрываемые им устройства. Один из подобных сценариев отображен на рис. 11. В данном примере используются два брандмауэра, каждый из которых защищает различные системные ресурсы.

Предполагается, что для защиты доступных из Интернета устройств типа Web, SMTP и DNS-сервера, требуются надежные защитные способности уровня прокси-сервера, названного здесь " шлюзом прикладного уровня" (application gateway). Другими словами, относительно низкое быстродействие прокси-брандмауэра вполне допустимо для подобных целей. В то же время, корпоративная часть сети, состоящая из рабочих станций и серверов с данными, нуждается в брандмауэре экспертного уровня (stateful firewall). В конечном счете, только параллельное расположение двух принципиально отличных брандмауэров позволяет достичь желаемого эффекта.

Рис. 11. Брандмауэры, расположенные параллельно.

Прокси-брандмауэры.

Прокси-сервер, называемый иногда шлюзом прикладного уровня (application gateway), представляет собой специализированное приложение, обеспечивающее связь между внутренними защищенными сетями и внешним миром (Интернет) с помощью Интернет-протоколов. Прокси работают с программами, основанными на протоколе TCP/IP. Обычно прокси-серверы запускают несколько программ (прокси), которые могут быть защищенными и доверительными. Это специализированные программы, и каждый поддерживаемый протокол должен обладать собственной службой прокси или обрабатываться общим прокси. Прокси может быть также и прозрачной программой, создаваемой для передачи пакетов в любой данный порт через границы сети.

Прокси (proxy) действует по команде клиента или пользователя для доступа к услугам сети и защищает каждую сторону от прямого равноправного (pear-to-pear) соединения. Клиенты устанавливают соединения, выполняя три стадии организации соединения с прокси-сервером. После этого прокси устанавливает соединение с удаленным сервером. Прокси-сервер высылает данные, которые поступили к нему от клиента, на искомый сервер, а также пересылает данные, полученные от искомого сервера, клиенту. Строго говоря, прокси-сервер является как сервером, так и клиентом.

Типы прокси.

Рассмотрим некоторые разновидности прокси: прямые (пересылочные) прокси и реверсные (обратные) прокси, прокси прикладного уровня и прокси сеансового уровня.

Реверсный прокси.

С некоторого момента Интернет становится все более и более враждебным, и организации начинают испытывать необходимость в развертывании более защищенных периметров, чем это было возможно при использовании статических пакетных фильтров. После развертывания первых брандмауэров внутренним пользователям был необходим способ, позволяющий добраться до серверов Интернета через периметр. Эту проблему смог решить прокси. прокси одновременно является и клиентом, и сервером, поэтому трактовка прямой и реверсный прокси достаточно двусмысленна. Большинство людей считает, что если внутренний пользователь осуществляет доступ к службе Интернета через прокси, то такой прокси является прямым прокси (forward proxy). Реверсный (обратный) прокси подразумевает отличное использование технологии прокси. Реверсный прокси может использоваться с внешней стороны брандмауэра для представления внешним клиентам защищенного контент-сервера, предохраняя от прямого, неконтролируемого доступа к данным ваших серверов. Реверсный прокси может быть использован также с целью повышения производительности; перед интенсивно используемым сервером можно разместить несколько прокси – это позволит регулировать его нагрузку. Прямые или реверсные приложения могут быть тем же прокси-сервером; различие состоит только в конфигурации.

45 Преимущества прокси-брандмауэров .

· В сравнении с остальными типами брандмауэров, прокси-брандмауэры обладают целым рядом преимуществ:

· Внутренние IP-адреса защищены от внешнего мира благодаря тому, что прокси-службы не допускают прямых соединений между внешними серверами и внутренними компьютерами.

· Администраторы имеют возможность производить мониторинг нарушений политики безопасности брандмауэра, используя для этого записи аудита, генерируемые службами прокси.

· Использование прокси-брандмауэров позволяет организовать защиту, основанную на пользователях. Службы прокси эффективны при защите от неавторизованного использования на однопользовательской основе и способны поддерживать строгую аутентификацию.

· Вследствие того, что возможность организации соединений основана на службах, а не на физических соединениях, прокси-брандмауэры оказываются неуязвимыми перед IP-спуфингом (подмена IP адреса). IP-адреса хостов в пределах внутренней защищенной сети не требуют соединения посредством прокси-брандмауэра.

· Прокси-брандмауэры обладают лучшими возможностями регистрации, чем брандмауэры фильтрации и маршрутизации, и предлагают единственную точку для аудита и управления.

· Пользователи не могут войти в прокси-серверы. В бастионных хостах не требуются никакие учетные записи. Прокси-службы работают по команде пользователей.

· Прокси-сервер обеспечивает централизованную точку для сети, и наблюдение за трафиком может выполняться очень тщательно. Это, однако, может создать узкие места сетевого трафика.

· Топология внутренней защищенной сети в прокси-брандмауэрах является скрытой.

· Некоторые прокси предлагают улучшенные средства выполнения аудита, имея инструменты для мониторинга трафика.

· Прокси-брандмауэры предлагают строгую аутентификацию и регистрацию. Возможно выполнение предварительной аутентификации прикладного трафика, прежде чем он достигнет внутренних хостов, а также более эффективная регистрация по сравнению со стандартной регистрацией хоста.

· Прокси-брандмауэры имеют менее сложные правила фильтрации, нежели брандмауэры пакетных фильтров. Правила в маршрутизаторе пакетной фильтрации менее сложные, чем если бы маршрутизатору необходимо было отфильтровывать прикладной трафик и пересылать его нескольким определенным системам. Маршрутизатору необходимо разрешить только прикладной трафик, направляемый шлюзу прикладного уровня, а весь остальной трафик удалить.

46 Недостатки прокси-брандмауэров.

Несмотря на то, что прокси-брандмауэры предлагают более высокий уровень безопасности по сравнению с брандмауэрами пакетной фильтрации, они, тем не менее, имеют некоторые недостатки. К ним можно отнести следующее:

· Снижение производительности вследствие дополнительных запросов на обработку, необходимых для прикладных служб. Прикладные прокси работают медленнее по сравнению с пакетными фильтрами.

· Для каждого нового приложения или протокола, которые необходимо пропустить через брандмауэр, необходимо разрабатывать новый прокси.

· Доступным является лишь ограниченное количество служб. Доступ к другим, не предоставляемым прокси, службам (non-proxiable services), остается невозможным.

· Неотъемлемые проблемы в операционных системах и их компонентах могут негативно повлиять на безопасность сервера брандмауэра (firewall server). Прокси-службы уязвимы перед ошибками в операционных системах и ошибками на прикладном уровне.

· Операционная система хоста, содержащего прокси, остается незащищенной перед внешними угрозами и может быть подвергнута атакам.

· Процесс установки прокси-службы может оказаться довольно сложным для каждого приложения, использующего шлюз.

· Поскольку прокси-сервер может оказаться узким местом в сети, он может стать также и единственной точкой сбоя.

⇐ Предыдущая 2 3 4 5 678 9 10 11 Следующая ⇒