КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Основные схемы подключения МЭ
ICMP UDP TCP IP Уровень IP получает пакеты, доставляемые нижними уровнями, например драйвером интерфейса с ЛВС, и передает их лежащим выше уровням TCP или UDP. И наоборот, IP передает пакеты, полученные от уровней TCP и UDP к нижележащим уровням. Пакеты IP являются дейтаграмами с негарантированной доставкой, потому что IP ничего не делает для обеспечения гарантии доставки пакетов IP по порядку и без ошибок. Пакеты IP содержат адрес хоста, с которого был послан пакет, называемый адресом отправителя, и адрес хоста, который должен получить пакет, называемый адресом получателя. Высокоуровневые сервисы TCP и UDP при приеме пакета предполагают, что адрес отправителя, указанный в пакете, является истинным. Другими словами, адрес IP является основой для аутентификации во многих сервисах; сервисы предполагают, что пакет был послан от существующего хоста, и именно от того хоста, чей адрес указан в пакете. IP имеет опцию, называемую опция маршрутизации источника, которая может быть использована для указания точного прямого и обратного пути между отправителем и получателем. Этот путь может задействовать для передачи пакета маршрутизаторы или хосты, обычно не использующиеся для передачи пакетов к данному хосту-получателю. Для некоторых сервисов TCP и UDP пакет IP c такой опцией кажется пришедшим от последней системы в указанном пути, а не от своего истинного отправителя. Эта опция появилась в протоколе для его тестирования, но [Bel89] отмечает, что маршрутизация источника может использоваться для обмана систем с целью установления соединения с ними тех хостов, которым запрещено с ними соединяться. Поэтому, то, что ряд сервисов доверяют указанному IP-адресу отправителя и полагаются на него при аутентификации, очень опасно и может привести к проникновению в систему. Если IP-пакеты содержат инкапсулированные пакеты TCP, программы IP передадут их вверх уровню TCP. TCP последовательно нумерует все пакеты и выполняет исправление ошибок, и реализует таким образом виртуальные соединения между хостами. Пакеты TCP содержат последовательные номера и подтверждения о приеме пакетов, поэтому пакеты, принятые не в порядке передачи, могут быть переупорядочены, а испорченные пакеты повторно посланы. TCP передает полученную информацию приложениям верхнего уровня, например клиенту или серверу TELNETа. Приложения, в свою очередь, передают информацию обратно уровню TCP, который передает ее ниже уровню IP, после чего она попадает к драйверам устройств, в физическую среду и по ней передается до хоста-получателя. Сервисы с установлением соединения, такие как TELNET, FTP, rlogin, X Windows и SMTP требуют надежности и поэтому используют TCP. DNS использует TCP только в ряде случаев(для передачи и приема баз данных доменных имен), а для передачи информации об отдельных хостах использует UDP. Как показано на рисунке 6, UDP взаимодействует с прикладными программами на том же уровне, что и TCP. Тем не менее, он не выполняет функции исправления ошибок или повторной передачи потерянных пакетов. Поэтому UDP не используется в сервисах с установлением соединения, которым требуется создание виртуального канала. Он применяется в сервисах типа запрос-ответ, таких как NFS, где число сообщений в ходе взаимодействия гораздо меньше, чем в TELNET и FTP. В число сервисов, использующих UDP, входят сервисы на базе RPC, такие как NIS и NFS, NTP(протокол сетевого времени) и DNS(также DNS использует TCP). Пакеты UDP гораздо проще подделать, чем пакеты TCP, так как нет этапа установления соединения(рукопожатия).[Ches94]. Поэтому с использованием сервисов на базе UDP сопряжен больший риск. ICMP (Протокол межсетевых управляющих сообщений) находится на том же уровне, что и IP; его назначение - передавать информацию, требуемую для управления траффиком IP. В-основном, он используется для предоставления информации о путях к хостам-получателям. Сообщения ICMP redirect информируют хосты о существовании боле коротких маршрутов к другим системам, а сообщения ICMP unreachable указывает на наличие проблем с нахождением пути к получателю пакета. Кроме того, ICMP может помочь корректно завершить соединение TCP, если путь стал недоступен. PING является широко распространенным сервисом на базе ICMP. [Bel89] рассматривает две проблемы с ICMP: старые версии Unix могут разорвать все соединения между хостами, даже если только одно из них столкнулось с проблемами. Кроме того, сообщения о перенаправлении пути ICMP могут быть использованы для обмана маршрутизаторов и хостов с целью заставить их поверить в то, что хост злоумышленника является маршрутизатором и пакеты лучше отправлять через него. Это, в свою очередь, может привести к тому, что атакующий получит доступ к системам, которым не разрешено иметь соединения с машиной атакующего или его сетью.
Пакетные фильтры. Роль МЭ с пакетной фильтрацией чаще всего играют экранирующие маршрутизаторы. МЭ с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера ТСР-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта, Для описания правил прохождения пакетов составляют таблицы типа:
Поле "Действие" может принимать значения: пропустить или отбросить. Тип пакета - TCP, UDP или ICMP. Флаги - флаги из заголовка IP-пакета. Поля "Порт источника" и "Порт назначения" имеют смысл только для TCP- и UDP-пакетов (ICMP имеет дело только с адресами). Серверы уровня соединения. Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на МЭ, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, Как правило, пункт назначения задается заранее, в то время как источников может быть много - соединение типа "один — много". Сервер уровня соединения следит за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), проверяя, является ли допустимым запрашиваемый сеанс связи. При копировании и перенаправлении пакетов в этих серверах используются так называемые канальные посредники, которые устанавливают между двумя сетями виртуальной канал связи и поддерживают несколько служб TCP/IP. Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. Серверы прикладного уровня. МЭ этого типа используют серверы конкретных сервисов - telnet, ftp, proxy server и т.д., запускаемые на МЭ и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до МЭ и от МЭ до места назначения. Использование серверов прикладного уровня позволяет решить важную задачу — скрыть от внешних пользователей структуру интрасети, включая информацию в заголовках почтовых пакетов или службы доменных имен. Другим положительным качеством является возможность аутентификации - подтверждения действительно ли пользователь является тем, за кого он себя выдает. При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации, Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик МЭ экспертного уровня. Эти МЭ сочетают в себе элементы всех трех описанных выше категорий. Как и МЭ с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. МЭ экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И наконец, МЭ экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации. При использовании метода "таможенного" контроля (stateful inspection) МЭ экспертного уровня устанавливается прозрачно между внутренней и внешней сетями, с тем чтобы проверять пакеты на линии передачи данных или на сетевом уровне по мере их прохождения, МЭ может выполнять и вполне интеллектуальную функцию отслеживания сеансов обмена информацией между клиентом и сервером, К примеру, МЭ пропустит ответ от сервера только в том случае, если запрос клиента был санкционирован. В последнее время отмечается постепенное стирание различий между двумя типами МЭ — фильтрами пакетов и шлюзами приложений, Эту тенденцию, по мнению специалистов, нельзя назвать абсолютно отрицательной, так как под ее воздействием можно сформироваться более однородный рынок МЭ.
При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от удаленного НСД со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети. Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности: · свободно доступные сегменты (например, рекламный WWW-сервер); · сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов); · закрытые сегменты (например, финансовая локальная подсеть организации). Для подключения МЭ могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик, используемых МЭ. Широкое распространение получили схемы: · защиты сети с использованием экранирующего маршрутизатора; · единой защиты локальной сети; · с защищаемой закрытой и не защищаемой открытой подсетями; · с раздельной защитой закрытой и открытой подсетей.
Рассмотрим подробнее схему с защищаемой закрытой и не защищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ (рис. 7). Этот способ обладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до МЭ.
Рис. 7. Схема с защищаемой закрытой и не защищаемой открытой подсетями
Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети. Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей. Еще один вариант подключения - с выделением так называемой "демилитаризованной зоны" (ДМЗ). Организация ДМЗ предназначена не только для защиты от атак из Internet, но и внутри от компьютеров самой организации. ДМЗ - это часть КС, содержащая шлюз (или два шлюза: внутренний и внешний) и отделенная с одной стороны от защищенной части КС внешним МЭ, а с другой - от незащищенной части КС, имеющей подключение к Internet, внутренним МЭ или маршрутизатором с фильтрами. В ДМЗ могут находиться, например, Web, FTP, SMTP, DNS-серверы. Для повышения уровня защищенности возможно использовать в одной сети несколько МЭ, стоящих друг за другом (выполняющих разные проверки пакетов) или параллельно друг другу (второй МЭ начинает работать, например, при выходе из строя первого), или выделенных в отдельную экранирующую подсеть. При этом как открытая, так и закрытая части ЛВС имеют доступ к изолированной сети. Преимуществами данного подхода являются: возможность использования механизма трансляции адресов, что позволяет скрыть внутреннюю структуру ЛВС; возможность решения вопросов большого трафика при прохождении пакетов через разные бастионы (если они установлены параллельно, а не последовательно). К недостаткам данного подхода можно отнести необходимость технического сопровождения функционирования экранирующей подсети только высококвалифицированными специалистами и необходимость использования только высокопроизводительных бастионов в связи с большим объемом вычислений.
Дата добавления: 2014-01-07; Просмотров: 553; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |