Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между компьютерной сетью организации и сети Интернет.
Экранированная подсеть
Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.
Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.
Межсетевые экраны являются устройствами или системами, которые управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. В большинстве современных приложений межсетевые экраны и их окружения обсуждаются в контексте соединений в Интернете и, следовательно, использования стека протоколов TCP/IP. Однако межсетевые экраны применяются и в сетевых окружениях, которые не требуют обязательного подключения к Интернету. Например, многие корпоративные сети предприятия ставят межсетевые экраны для ограничения соединений из и во внутренние сети, обрабатывающие информацию разного уровня чувствительности, такую как бухгалтерская информация или информация о заказчиках. Ставя межсетевые экраны для контроля соединений с этими областями, организация может предотвратить неавторизованный доступ к соответствующим системам и ресурсам внутри чувствительных областей. Тем самым, использование межсетевого экрана обеспечивает дополнительный уровень безопасности, который иначе не может быть достигнут.
В настоящее время существует несколько типов межсетевых экранов. Одним из способов сравнения их возможностей является перечисление уровней модели OSI, которые данный тип межсетевого экрана может анализировать- Модель OSI является абстракцией сетевого взаимодействия между компьютерными системами и сетевыми устройствами. Рассмотрим только уровни модели OSI относящиеся к межсетевым экранам. На рис. 2.1 показана стек протоколов модели OSI.
Рис.2.1. Стек протоколов модели OSI
Уровень 1 представляет собой реальную аппаратуру физического соединения и среду, такую как Ethernet.
Уровень 2 — уровень, на котором сетевой трафик передается по локальной сети (LAN). Он также является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельную машину. Адреса назначаются на сетевые интерфейсы и называются MAC (Media Access Control) адресами. Ethernet - адрес, принадлежащий Ethernet-карте, является примером МАС - адреса уровня 2.
Уровень 3 является уровнем, отвечающим за доставку сетевого трафика по WAN. В Интернете адреса уровня 3 называются IP-адресами; адреса обычно являются уникальными, но при определенных обстоятельствах, например, при трансляции сетевых адресов (NAT) возможны ситуации, когда различные физические системы имеют один и тот же IP-адрес уровня 3.
Уровень 4 идентифицирует конкретное сетевое приложение и коммуникационную сессию в дополнение к сетевым адресам; система может иметь большое число сессий уровня 4 с другими ОС. Терминология, связанная с семейством протоколов TCP/IP, включает понятие портов, которые могут рассматриваться как конечные точки сессий: номер порта источника определяет коммуникационную сессию на исходной системе; номер порта назначения определяет коммуникационную сессию системы назначения. Более высокие уровни (5, 6 и 7) представляют приложения и системы конечного пользователя.
Мостиковые межсетевые экраны
Данный класс межсетевого экрана, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой межсетевой экран.
Мостиковые межсетевые экраны появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами (frame, кадр).
К достоинствам подобных межсетевых экранов можно отнести:
• Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов межсетевого экрана.
• Высокая производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных.
• Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке. Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира. Если такой межсетевой экран недоступен, то как его атаковать? Атакующие даже не будут знать, что существует межсетевой экран, проверяющий каждый их пакет.
Фильтрующие маршрутизаторы
Межсетевой экран с фильтрацией пакетов (Packet - filtering firewall) - межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)
• Работают на 3 уровне
• Также известны, как межсетевой экран на основе порта
• Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя)
• Недорогой, быстрый (производительный в силу простоты), но наименее безопасный
• Технология 20-летней давности
• Пример: список контроля доступа (ACL, access control lists) маршрутизатора
Шлюз сеансового уровня
Шлюз сеансового уровня (Circuit-level gateway) — межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. На рис. 2.2 показано схема функционирование шлюза сеансового уровня.
Рис. 2.2. Схема функционирование шлюза сеансового уровня
После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными межсетевым экраном, что исключает прямой контакт между внутренней и внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть.
• Работает на 4 уровне
• Передает TCP подключения, основываясь на порте
• Недорогой, но более безопасный, чем фильтр пакетов
• Вообще требует работы пользователя или программы конфигурации для полноценной работы
• Пример: SOCKS межсетевой экран
Шлюз прикладного уровня
Шлюз прикладного уровня (Application-level gateways) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. На рис. 2.3 показано функционирование шлюза прикладного уровня.
Рис.2.3. Схема функционирование шлюза прикладного уровня
Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.
Возможности:
• Идентификация и аутентификация пользователей при попытке установления соединения через межсетевой экран;
• Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
• Регистрация событий и реагирование на события;
• Кэширование данных, запрашиваемых из внешней сети.
На этом уровне появляется возможность использования функций посредничества (Proxy).
Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников – HTTP-посредник, FTP-посредник и т.д. Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Также, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС.