Окружение межсетевого экрана для данной сети показано на рис.2.7.
• Внешняя DMZ-сеть соединена с Интернетом через пакетный фильтр, служащий пограничным роутером, - выше были указаны причин, по которым использование пакетного фильтра является предпочтительным.
• Основной межсетевой экран является VPN-шлюзом для удаленных пользователей; такие пользователи должны иметь ПО VPN-клиента для соединения с межсетевым экраном.
• Входящий SMTP-трафик должен пропускаться основным межсетевым экраном.
• Исходящий HTTP-трафик должен проходить через внутренний межсетевой экран, который передает данный HTTP-трафик прикладному НТТР-прокси, размещенному во внутренней DMZ.
Основные и внутренние межсетевые экраны должны поддерживать технологию stateful inspection и могут также включать возможности прикладного прокси. Основной межсетевой экран должен выполнять следующие действия:
• разрешать внешним пользователям соединяться с VPN-сервером, где они должны аутентифицироваться;
• пропускать внутренние SMTP-соединения и данные к прокси-серверу, где данные могут быть отфильтрованы и переданы системам назначения;
• выполнять роутинг исходящего HTTP-трафика от HTTP-прокси и исходящего SMTP-трафика от SMTP-сервера;
• после этого запретить весь другой исходящий HTTP- и SMTP-трафик;
• после этого разрешить весь другой исходящий трафик;
Внутренний межсетевой экран должен принимать входящий трафик только от основного межсетевого экрана, прикладного HTTP-прокси и SMTP-сервера. Кроме того, он должен принимать SMTP- и HTTP-трафик только от прокси, но не от основного межсетевого экрана. Наконец, он должен разрешать все исходящие соединения от внутренних систем.
Чтобы сделать данный пример применимым к окружениям с более высокими требованиями к безопасности, можно добавить следующие сервисы:
• могут быть добавлены внутренний и внешний DNS-серверы, чтобы спрятать внутренние системы;
• может попользоваться NAT для дальнейшего сокрытия внутренних систем;
• исходящий трафик от внутренних систем может фильтроваться, что может включать фильтрование трафика к определенным сайтам или сервисам в соответствии с политикой управления;
• может быть использовано несколько межсетевых экранов для увеличения производительности;
Рис.2.7. Пример окружения межсетевого экрана с двумя DMZ-сетямиИнтранет
Интранет является сетью, которая выполняет те же самые сервисы, приложения и протоколы, которые присутствуют в Интернете, но без наличия внешнего соединения с Интернетом. Например, сеть предприятии, поддерживающая семейство протоколов TCP/IP, можно рассматривать как Интранет.
Большинство организаций в настоящее время имеет некоторый тип Интранета. Во внутренней сети (интранет) могут быть созданы еще меньшие Интранеты, используя внутренние межсетевые экраны. Например, можно защитить свою собственную персональную сеть внутренним межсетевым экраном, и получившаяся защищенная сеть может рассматриваться как персональная интранет.
Так как Интранет использует те же самые протоколы и прикладные сервисы, что и Интернет, многие проблемы безопасности, унаследованные из Интернета, также присутствуют в Интранете.
Экстранет
Термин «Экстранет» применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN. Экстранет может быть определена как business-to-business Интранет. Эта сеть позволяет обеспечить ограниченный, управляемый доступ удаленных пользователей посредством той же формы аутентификации и шифрования, которые имеются в VPN.
Экстранет имеет те же самые характеристики, что и интранет, за исключением того, что экстранет использует VPN для создания защищенных соединений через публичный Интернет. Целью интранет является предоставление доступа к потенциально чувствительной информации удаленным пользователям или организациям, но при этом запрещая доступ всем остальным внешним пользователям и системам. Экстранет использует протоколы TCP/IP и те же самые стандартные приложения и сервисы, которые используются в Интернете. На рис. 2.8 показан пример топологии сети экстранет.
Рис.2.8. VPN и экстранет, соединяющие две сети Интранета
Компоненты инфраструктуры: концентраторы и коммутаторы
Дополнительно к роутерам и межсетевым экранам, связь между системами обеспечивают такие инфраструктурные устройства, как концентраторы (hubs) и коммутаторы (switches). Наиболее простым из них является сетевой концентратор. Концентраторы — это устройства, которые функционируют на уровне 1 модели OSI. Другими словами, они предназначены только для предоставления физического подсоединения сетевых систем или ресурсов.
У сетевых концентраторов существует много слабых мест. Первое и основное состоит в том, что концентраторы позволяют любому устройству, присоединенному к ним, просматривать весь сетевой трафик. По этой причине они не должны использоваться для построения DMZ-сетей или окружений межсетевого экрана.
Более развитыми инфраструктурными устройствами являются сетевые коммутаторы. Это устройства уровня 2, то есть они обладают определенной информацией при создании присоединения сетевых систем или компонент.
Основное свойство коммутаторов состоит в том, что системы, присоединенные к коммутатору, не могут «подсматривать» трафик друг друга; поэтому они лучше подходят для реализации DMZ-сетей и окружений межсетевых экранов.
Важно заметить, что коммутаторы не должны использоваться для предоставления каких-либо возможностей межсетевого экрана или обеспечения изолирования трафика вне окружения межсетевого экрана, так как при этом возможны DoS-атаки, которые могут привести к тому, что коммутаторы переполнят присоединенные сети пакетами.
В соответствии с уровень защищенности межсетевых экранов оценивается по следующим показателям:
1. Управление доступом (фильтрация данных и трансляция адресов)
2. Идентификация и аутентификация
3. Регистрация
4. Администрирование: идентификация и аутентификация
5. Администрирование: регистрация
6. Администрирование: простота использования
7. Целостность
8. Восстановление
9. Тестирование
10. Руководство администратора защиты
11. Тестовая документация
12. Конструкторская (проектная) документация
Для каждого класса защищенности определяются требования к указанным показателям.
Далее следуют требования к межсетевому экрану в соответствии с документом Государственной Технической Комиссии по межсетевым экранам для пятого и четвертого класса защищенности и описание уровня соответствия этим требованиям.
1. Управление доступом.
Требования к пятому классу:
Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Требования к четвертому классу:
Данные требования полностью включают аналогичные требования пятого класса. Дополнительно межсетевой экран должен обеспечивать:
· фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
· фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
· фильтрацию с учетом любых значимых полей сетевых пакетов.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования четвертого класса.
Дополнительно межсетевой экран должен обеспечивать:
· фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
· фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
· фильтрацию с учетом даты/времени.
2. Идентификация и аутентификация
Нет требований к четвертому и пятому классу. Требования к третьему классу:
Межсетевой экран должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.
3. Регистрация
Нет требований к пятому классу. Требования к четвертому классу:
Межсетевой экран должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
Требования к третьему классу:
Данные требования включают аналогичные требования четвертого класса.
Дополнительно межсетевой экран должен обеспечивать:
· регистрацию и учет запросов на установление виртуальных соединений;
· локальную сигнализацию попыток нарушения правил фильтрации.
4. Администрирование: идентификация и аутентификация
Требования к пятому классу:
Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ. Межсетевой экран должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.