Курс лекций "Сетевым технологиям"

Брандмауэры

Механизмы защиты, о которых мы говорили до сих пор, действуют в основном в пределах одной сети, т. е. ограничивают доступ пользователей одной ЛВС или интерсети только теми файлами и ресурсами, которые нужны им для работы. Защита такого рода очень важна, но, как правило, не связана с неожиданностями. Целый океан потенциальных опасностей плещется вне частной интерсети, а входят они в нее через главный канал связи с внешним миром — подключение к Интернету. Брандмауэром (firewall) называется устройство или программа, защищающая сеть от неавторизованного доступа извне. Если Ваша сеть подключена к Интернету, Вы просто обязаны оградить ее брандмауэром, чтобы враг не разрушил все то, что Вы с таким трудом и тщанием создавали.

Совет Обычно брандмауэры применяют для защиты частной сети или интерсети от неавторизованного доступа через Интернет. Однако ничто не мешает Вам использовать брандмауэры и для внутреннего употребления, чтобы защитить часть сети от неавторизованного доступа из других ее частей. Например, брандмауэром можно оградить ЛВС бухгалтерии.

Раньше  брандмауэры отличались сложностью, чрезвычайной дороговизной и применялись  лишь в профессиональных сетях. Некоторые  из них сохранили эти качества и до сих пор, но сейчас появилась  альтернатива в виде недорогих программ-брандмауэров, предназначенных для защиты небольших сетей и даже отдельных компьютеров от неавторизованного доступа через Интернет.

Для проверки сетевого трафика и обнаружения  потенциальных угроз разработано  множество методов. Помимо их реализации брандмауэры выполняют и другие функции. Например, компонент брандмауэра, известный как прокси-сервер, не только обеспечивает пользователям безопасный доступ к Web-страницам, но и кэширует их содержимое. Далее действие брандмауэров рассматривается подробнее.

Фильтрование  пакетов

В самом  простом случае действие брандмауэра  заключается в фильтровании пакетов. Фильтр принимает пакеты, поступающие на его интерфейсы, анализирует информацию, которую оставили в заголовках пакета различные протоколы, использовавшиеся при его создании, и принимает решение о возможности передачи пакета в другую сеть. Фильтрование пакетов осуществляется на нескольких уровнях эталонной модели OSI. Решая, пропустить пакет или нет, брандмауэр опирается на следующие его характеристики.

• Аппаратные адреса. Передавать данные в другую сеть разрешается только определенным компьютерам. Для защиты сетей от неавторизованного доступа через Интернет этот метод фильтрования применяется нечасто, но бывает удобен внутри интерсети. С его помощью можно, например, ограничить круг компьютеров, допущенных в определенную ЛВС.
• IP-адреса. Передавать данные в другую сеть разрешается только на заданные IP-адреса и/или пришедшие только с заданных IP-адресов. Если в Вашей сети, например, есть Web-сервер, настройте брандмауэр так, чтобы он пропускал входящий трафик Интернета только на его IP-адрес. Все остальные компьютеры сети пользователям Интернета будут недоступны.
• Идентификаторы протоколов. Через фильтр пропускаются только пакеты, IP-дейтаграммы в которых созданы заданными протоколами, например TCP, UDP или ICMP.
• Номера портов. Брандмауэр пропускает или задерживает пакеты, опираясь на номер целевого порта или порта-источника, указанный в заголовке транспортного уровня. Такое фильтрование называется зависящим от службы (service-dependent), поскольку номера портов идентифицируют приложение или службу, которые сгенерировали пакет или которым он предназначен. Например, с помощью брандмауэра можно разрешить пользователям сети доступ к Интернету через порты 110 и 25 (они обычно применяются для входящей и исходящей электронной почты), но закрыть выход в Интернет через порт 80 (обычно применяемый для доступа к Web-серверам).

Истинная  сила фильтрования пакетов проявляется  в сочетании фильтров различных типов. Вот простой пример. Чтобы предоставить службе поддержки сети возможность удаленно администрировать некоторые компьютеры, можно открыть доступ в Вашу сеть из Интернета для входящего трафика Telnet. С другой стороны, доступность порта 23 (порта Telnet) всем пользователям Интернета без исключения представляет потенциально чрезвычайно опасную брешь в защите сети. Решение состоит в том, чтобы объединить фильтр по номеру порта с фильтром по IP-адресу, чтобы доступ к сети через порт Telnet был открыт только компьютерам сетевых администраторов.

Обычно  фильтрование пакетов можно осуществлять с помощью обычного маршрутизатора Его наличие означает, что для настройки фильтров не нужны огромные дополнительные расходы. На пропускной способности маршрутизатора фильтрование пакетов обычно заметно не сказывается. Однако помните, что маршрутизатор применяет заданные Вами правила фильтрования индивидуально к каждому пакету, поэтому очень сложная система фильтров может ощутимо замедлить работу сети.

Трудность работы с фильтрами заключена в том, что для их настройки необходимо глубокое понимание коммуникаций TCP/IP и способность предугадывать преступные замыслы внешних врагов. Именно врагов, потому что иначе как «войной умов» использование фильтров для защиты сети не назовешь. Потенциальные захватчики постоянно изобретают новые пути обхода стандартных конфигураций фильтров, и Вы должны быть готовы оперативно корректировать фильтры, чтобы противостоять этим изобретениям.

NAT

Технология  трансляции сетевых адресов (Network Address Translation, NAT) действует на сетевом уровне и защищает компьютеры от вторжения из Интернета, маскируя их IP-адреса. Если Ваша сеть подключена к Интернету, но не защищена брандмауэром, каждому компьютеру в ней должен быть назначен зарегистрированный IP-адрес, чтобы он мог обмениваться информацией с другими компьютерами. Зарегистрированный IP-адрес по определению из Интернета «виден», а это означает, что любой пользователь, проявив немного изобретательности, может получить доступ к компьютерам Вашей сети и ко всем их ресурсам. Результаты могут оказаться катастрофическими. Благодаря NAT у Вас появляется возможность назначать компьютерам незарегистрированные IP-адреса, после чего доступ к ним из Интернета получить уже не удастся. Под незарегистрированными адресами понимаются адреса из диапазона, специально выделенного для использования в частных сетях. Ни за одним пользователем Интернета эти адреса не закреплены.

Если  компьютерам в сети назначены  незарегистрированные IP-адреса, внешним пользователям эти компьютеры не видны. Но это также означает, что в Вашу сеть не попадут пакеты, посылаемые серверами Интернета. Иными словами, пользователи смогут отправлять данные в Интернет, но не смогут получать их оттуда.

Чтобы сделать доступ в Интернет двусторонним, на маршрутизаторе, стоящем между сетью и Интернетом, нужно использовать NAT. Когда один из компьютеров в сети пытается выйти в Интернет, например, с помощью Web-браузера, пакет с HTTP-запросом, сгенерированный браузером, в поле IP-заголовка Source IP Address содержит частный IP-адрес компьютера. Пакет достигает маршрутизатора, там программа NAT заменяет частный адрес компьютера на свой собственный, зарегистрированный IP-адрес и отправляет пакет по назначению. Обработав запрос, сервер Интернета отправляет ответ по IP-адресу маршрутизатора NAT. Тот подставляет в поле Destination IP Address исходный частный адрес и отправляет пакет системе-клиенту. Таким образом обрабатываются все без исключения отправляемые и получаемые пакеты. Маршрутизатор NAT выступает в качестве посредника между сетью и Интернетом. Из Интернета виден только зарегистрированный IP-адрес маршрутизатора, поэтому риск нападения угрожает только ему.

NAT — очень популярное средство защиты, которое реализовано во многих брандмауэрах, начиная со сложных дорогостоящих систем до недорогих комплексов, обеспечивающих выход в Интернет с нескольких компьютеров в домашних и небольших коммерческих сетях. Именно на принципах NAT основана функция совместного доступа к Интернету ICS (Internet Connection Sharing), включенная в последние версии Windows.

Прокси-сервер

Прокси-сервер (proxy server) — это программный продукт, подобный NAT, но действует он на прикладном уровне эталонной модели OSI. Как и NAT-маршрутизатор, прокси-сервер действует как посредник между клиентами частной сети и ресурсами Интернета, к которым они хотят получить доступ. Клиент посылает запрос прокси-серверу, а тот отправляет дубликат запроса целевому серверу Интернета. Сервер Интернета отвечает прокси-серверу, а тот переадресует ответ клиенту. По сути, это опять же означает, что сеть сама по себе из Интернета не видна.

Кроме того, прокси-серверы выполняют и  другие функции. Как уже говорилось, они кэшируют информацию, поступающую  из Интернета. Если другой клиент захочет  получить доступ к той же информации, прокси-сервер немедленно предоставит ее из кэша, а обращаться за ней к интернет-серверу уже не будет. В конфигурации прокси-сервера администратор также может задать фильтрование поступающего в него трафика, заблокировав пользователям частной сети доступ к некоторым службам. Например, с помощью параметров конфигурации большинства прокси-серверов Web можно открыть пользователям доступ лишь к определенным Web-узлам.

Неудобство  прокси-серверов в том, что их использование  должно быть вручную задано в конфигурации приложений, например, с помощью окна, показанного на рис. 7. Маршрутизатор NAT защищает компьютеры в сети, оставаясь для них по существу невидимым. Процесс же настройки всех приложений на всех клиентских компьютерах на использование прокси-серверов может отнять очень много времени. Правда, в последнее время у некоторых прокси-клиентов и серверов появилась возможность автоматического распознавания, благодаря которой приложения-клиенты сами обнаруживают в сети прокси-сервер и настраиваются на его применение.

В общем, если Вы собираетесь регулировать доступ пользователей сети в Интернет, например, ограничив выбор доступных им служб и серверов, предпочтение следует  отдать прокси-серверам. Вместе с тем, с точки зрения защиты сети NAT ничуть не хуже, и к тому же не требует специальной настройки клиентов.

Краткое содержание занятия

• Брандмауэр защищает сеть от вмешательства извне, с помощью нескольких методов ограничивая трафик между нею и Интернетом.
• Фильтрование пакетов означает, что маршрутизатор решает, пропустить пакет в сеть или нет, опираясь на содержимое заголовков протоколов.
• NAT позволяет использовать для компьютеров в сети незарегистрированные IP-адреса и вместе с тем работать в Интернете. Для этого специальный маршрутизатор модифицирует содержимое IP-заголовков всех пакетов.
• Прокси-сервер действует на прикладном уровне как посредник между клиентами в сети и серверами в Интернете. На использование прокси-сервера приложение нужно настраивать. С помощью прокси-сервера администратор может ограничить доступ пользователей сети к определенным ресурсам Интернета.

Рис. 7   Диалоговое окно Параметры прокси-сервера (Proxy Settings)

Безопасные  протоколы

Помимо  основных защитных средств, типа паролей, в сетевых ОС для защиты передаваемых по сети данных применяется несколько безопасных протоколов. Их действие обычно заключается в шифровании данных, а также в определении правил обмена информацией, необходимой для их дешифровки

Протоколы IPSec

IPSec - это не протокол, а собирательный термин для нескольких черновых стандартов, опубликованных рабочей группой IETF с целью определения методологии защиты передаваемых по сети данных с помощью проверки подлинности (аутентификации) и шифрования. До появления IPSec безопасные протоколы применялись лишь в Интернете или обеспечивали защиту отдельных видов клиент-серверного трафика. Стандартного способа защиты данных в ЛВС не существовало. Доступом к ресурсам ЛВС можно было управлять с помощью приоритетов и паролей, но данные, попавшие в сетевую среду легко перехватывались.

  IPSec состоит из двух самостоятельных протоколов, обеспечивающих различные уровни защиты. Протокол АН (Authentication Header) выполняет проверку подлинности и гарантирует целостность IP-дейтаграмм, а протокол ESP (Encapsulating Security Payload) отвечает за их шифрование. Чтобы добиться максимальной защищенности, нужно использовать оба протокола.

  Протокол  АН добавляет в дейтаграмму, сгенерированную  передающим компьютером, собственный заголовок сразу после заголовка IP. После этого поле Protocol заголовка IP указывает уже не на протокол транспортного уровня, данные которого находятся в дейтаграмме, а на протокол АН. В заголовке АН содержится также номер последовательности, который не дает неавторизованным компьютерам отвечать на сообщение, и код проверки целостности (integrity check value, ICV), с помощью которого принимающий компьютер убеждается, что входящие пакеты не были изменены. Протокол ESP инкапсулирует данные транспортного уровня в каждой дейтаграмме, добавляя к ним собственные заголовок и трейлер и шифруя все данные, стоящие после заголовка ESP. Кадр ESP также содержит номер последовательности и код ICV.

  Чтобы IPSec можно было использовать в ЛВС, его должны поддерживать как передающая, так и принимающая система. Вся информация, которую IPSec добавляет к пакету, содержится внутри дейтаграммы, поэтому промежуточным системам, например, маршрутизаторам, поддержка IPSec не нужна. Протоколы IPSec реализованы в последних версиях большинства основных сетевых ОС, в том числе в Windows 2000 и различных вариантах UNIX. На компьютере под управлением Windows 2000 настройка клиента TCP/IP на использование IPSec производится на вкладке Параметры (Options) диалогового окна Дополнительные параметры TCP/IP (Advanced TCP/IP Settings). Выделив в списке вариант IP-безопасность (IP Security) и щелкнув кнопку Свойства (Properties), Вы откроете диалоговое окно IP-безопасность (IP Security), показанное на рис. 8. Установите переключатель Использовать следующую политику IP-безопасности (Use this IP security policy) и выберите один из наборов правил применения протокола IPSec.