Смекни!
smekni.com

Безопасность Internet (стр. 6 из 8)

Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к гло­бальным сетям администратор сетевой безопасности должен ре­шать следующие задачи:

·защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;

·скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,

·разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной сети нескольких сегментов с разными уровнями защищенности

·свободно доступные сегменты (например, рекламный WWW-сервер),

·сегмент с ограниченным доступом (например, для доступа со­трудникам организации с удаленных узлов),

·закрытые сегменты (например, локальная финансовая сеть организации) .

Для защиты корпоративной или локальной сети применя­ются следующие основные схемы организации межсетевых экранов:

·межсетевой экран - фильтрующий маршрутизатор;

·межсетевой экран на основе двупортового шлюза;

·межсетевой экран на основе экранированного шлюза;

·межсетевой экран – экранированная подсеть.


Межсетевой экран – фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реали­зации. Он состоит из фильтрующего маршрутизатора, расположен­ного между защищаемой сетью и сетью Internet (рис. 8.6). Фильт­рующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть досту­па к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасно­сти, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено в явной форме" может быть затруднена.

Локальная сеть


Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатка, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметим не­которые из них:

·сложность правил фильтрации, в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

·невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;

в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

·каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

Межсетевой экран на базе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлю­за включает двудомный хост-компьютер с двумя сетевыми интер­фейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения допол­нительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рисунок). В ре­зультате между прикладным шлюзом и маршрутизатором образу­ется внутренняя экранированная подсеть. Эту подсеть можно ис­пользовать для размещения доступных извне информационных серверов .

Фильтрующий

маршрутизатор

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз полностью блокирует трафик IР между сетью internet и защищаемой сетью. Только полномочные сервера - посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, только маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной.

Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве прикладного шлюза, долж­на поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появит­ся возможность проникнуть в защищаемую сеть.

Этот межсетевой экран может требовать от пользователей применение средств усиленной аутентификации, а также регистрации доступа, попыток зондирования и атак системы нарушителем.

Для некоторых сетей может оказаться неприемлемой не­достаточная гибкость схемы межсетевого экрана с прикладным шлюзом.

Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост – компьютере и имеет только один сетевой интерфейс(рисунок).


Фильтрующий

маршрутизатор

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором. Пакетная фильтрация в фильт­рующем маршрутизаторе может быть реализована одним из сле­дующих способов:

·позволять внутренним хост – компьютерам открывать соединения с хост – компьютерами в сети Internet для определения сервисов

·запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать полномочные серверы-посредники на прикладном шлюзе).

Эти подходы можно комбинировать для различных сервисов, разрешая некоторым сервисам соединение непосредственно через пакетную фильтрацию, в то время как другим только непря­мое соединение через полномочные серверы-посредники. Все за­висит от конкретной политики безопасности, принятой во внутрен­ней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои полномочные серверы-посредники, обеспечивал для систем защищаемой сети такие сервисы, как TELNET, FTP, SMTP.

Межсетевой экран выполненный по данной схеме, получается более глубоким, но менее безопасным по сравнению с межсетевым экраном с прикладным шлюзом на базе двудомного хост – компьютера . Это обусловлено тем, что в схеме межсетевого экрана с экранированным шлюзом существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системе локальной сети .

Основной недостаток схемы межсетевого экрана с экрани­рованным шлюзом заключается в том, что если атакующий нару­шитель сумеет проникнуть в хост-компьютер, то перед ним окажут­ся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если мар­шрутизатор окажется скомпрометированным, внутренняя сеть ста­нет доступна атакующему нарушителю.

По этим причинам в настоящее время все более популяр­ной становится схема межсетевого экрана с экранированной подсетью.

Межсетевой экран – экранированная подсеть

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на осно­ве экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рисунок). Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой под­сетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.


Внешний Внутренний

Маршрутизатор маршрутизатор


Экранированная