<<
>>

Брандмауэры

Возможность соединять любые компьютеры друг с другом в некоторых случаях является достоинством, а в других, наоборот, недостатком. Возможность бродить по Интернету доставляет много радости домашним пользователям.
Менеджерам отдела безопасности корпораций эта возможность кажется кошмаром. Большинство компаний располагает огромными объемами конфиденциальной информации, размещенной на компьютерах, подключенных к сети, — коммерческие тайны, планы развития производства, рыночные стратегии, аналитические отчеты финансового состояния и т. д. Раскрытие этих сведений перед конкурентами может иметь ужасные последствия.

Помимо опасности утечки информации наружу, имеется опасность проникновения вредной информации, такой как вирусы, черви и прочей цифровой заразы, способной взламывать секреты, уничтожать ценные данные, на борьбу с которой уходит масса времени сетевых администраторов. Часто эту инфекцию заносят беззаботные сотрудники, желающие поиграть в новую модную компьютерную игру.

Таким образом, требуются специальные средства, удерживающие «доброкачественную» информацию внутри, а «вредную» — снаружи.

Один из способов состоит в применении 1Рзес. Этот метод защищает данные при их пересылке. Однако шифрование не спасает от вирусов и хакеров, способных проникнуть в локальную сеть. Помочь защитить сети от нежелательного проникновения снаружи может установка брандмауэров, к рассмотрению которых мы сейчас обратимся.

Брандмауэры представляют собой современную реализацию средневекового принципа обеспечения безопасности. Они напоминают ров, вырытый вокруг замка. Суть конструкции заключается в том, что все входящие и выходящие из замка должны проходить по одному подъемному мосту, где полиция ввода-вывода сможет проверить их личность. Тот же принцип может быть применен и в сетях: у компании может быть несколько локальных сетей, соединенных произвольным образом, но весь внешний трафик должен проходить через электронный подъемный мост (брандмауэр), как показано на рис.

8.25.

б

Рис. 8.25. Брандмауэр, состоящий из двух пакетных фильтров и шлюза прикладного уровня

Брандмауэр в данной конфигурации состоит из двух компонентов: двух маршрутизаторов, фильтрующих пакеты, и шлюза прикладного уровня. Существуют также и более простые конструкции, но преимущество такой разработки состоит в том, что каждый пакет, желающий войти или выйти, должен пройти через два фильтра и один шлюз прикладного уровня. Других путей нет. Читатели, полагающие, что достаточно одного контрольно-пропускного пункта, видимо, давно не летали международными авиалиниями.

Каждый пакетный фильтр представляет собой стандартный маршрутизатор с расширенными функциями, позволяющими анализировать входящие и выходящие пакеты. Пакеты, удовлетворяющие определенным критериям, пропускаются сквозь фильтр. Не сумевшие пройти проверку пакеты удаляются.

Показанный на рис. 8.25 пакетный фильтр внутренней локальной сети проверяет выходящие пакеты, а пакетный фильтр внешней локальной сети проверяет входящие пакеты. Пакеты, преодолевшие первый барьер, проходят к шлюзу прикладного уровня для дальнейшего исследования. Размещение двух фильтров в разных локальных сетях позволяет гарантировать, что ни один пакет не попадет из одной сети в другую, не пройдя через шлюз прикладного уровня. Обходного пути вокруг него нет.

Пакетные фильтры обычно управляются таблицами, настраиваемыми системным администратором. В этих таблицах перечислены допустимые и блокируемые отправители и получатели, а также правила, описывающие действия над исходящими и входящими пакетами.

В общем случае настроек TCP/IP информация о получателе или отправителе состоит из IP-адреса и номера порта. Номера портов определяют требуемую службу. Например, порт 23 используется для программы Telnet, порт 79 — для Finger, а порт 119 — для новостей сети USENET.

Компания может заблокировать все входящие пакеты для комбинаций всех IP-адресов с одним из этих номеров портов. Таким образом, никто посторонний не сможет войти в сеть через Telnet или просмотреть список текущих пользователей сети с помощью программы Finger. Кроме того, компания может таким образом не допустить, чтобы ее сотрудники весь день читали новости USENET.

Блокирование исходящих пакетов сложнее. Несмотря на то что названия большинства сайтов чаще всего соответствуют стандартным соглашениям об именах, никто не обязывает их придерживаться. Кроме того, для некоторых важных служб, таких как FTP (File Transfer Protocol — протокол передачи файлов), номера портов назначаются динамически. Более того, хотя блокирование ТСР- соединения является непростым делом, блокировать UDP-пакеты еще тяжелее, так как почти ничего нельзя сказать заранее о том, что они собираются делать. Многие пакетные фильтры по этой причине просто запрещают UDP-трафик совсем.

Вторая составляющая механизма брандмауэра представляет собой шлюз прикладного уровня. Вместо того чтобы просто разглядывать пакеты, этот шлюз работает на прикладном уровне. Например, может быть установлен почтовый шлюз, просматривающий каждое входящее и выходящее сообщение. Каждое сообщение пропускается или отвергается в зависимости от содержимого полей заголовков, размера сообщения и даже содержимого (например, шлюз, работающий на военном объекте, может реагировать особым образом на ключевые слова вроде «атомная» или «бомба»).

Может быть одновременно установлено несколько шлюзов для специфических приложений, тем не менее, осторожные организации нередко разрешают обмен электронной почтой и даже WWW, однако запрещают все остальное как слишком рискованное. В сочетании с шифрованием и фильтрацией пакетов подобные меры обеспечивают некоторый уровень безопасности ценой некоторого неудобства.

Даже в случае идеально настроенного брандмауэра остается множество проблем, связанных с безопасностью. Например, если входящие пакеты пропускаются только со стороны конкретных сетей (например, со стороны ЛВС дочерней фирмы компании), взломщик, находящийся вне зоны действия брандмауэра, может просто фальсифицировать адрес отправителя и тем самым преодолеть барьер.

Если же нечестный сотрудник компании решит переслать секретную документацию, он может зашифровать ее или вообще сфотографировать, и тогда эти данные смогут проникнуть через любые лингвистические анализаторы. Мы даже не обсуждаем тот факт, что в 70 % случаев мошенники находятся в зоне действия брандмауэра. Очень часто ими являются недовольные сотрудники (Schneier, 2000).

К тому же, существует целый класс атак, с которыми не способны справиться никакие брандмауэры. Идея, лежащая в основе брандмауэров, заключается в том, чтобы не давать взломщикам проникнуть в систему, а секретным данным — уходить наружу. К сожалению, в мире есть много людей, которые не могут найти себе лучшего занятия, нежели препятствовать работоспособности сайтов. Они отправляют вполне легитимные сообщения до тех пор, пока сайт не перестанет функционировать из-за чрезмерной нагрузки. Например, такое хулиганство может заключаться в рассылке пакетов SYN для установки соединений. Сайт выделит часть таблицы под это соединение и пошлет в ответ пакеты SYN + АСК. Если взломщик не ответит, табличная запись будет продолжать оставаться зарезервированной в течение нескольких секунд до наступления тайм-аута. Если одновременно посылаются тысячи запросов на соединение, никакие запросы от честных граждан просто не пробьются к серверу, так все ячейки таблицы окажутся заняты. Атаки, целью которых является нарушение деятельности объекта, а не получение секретных данных, называются атаками типа DoS (Denial of Service — отказ в обслуживании (запроса) — сравните с сокращением QoS — качество обслуживания). Обычно адрес отправителя в пакетах с запросами фальсифицирован, поэтому найти вандала не так просто.

Существует и более жестокий вариант такой атаки. Если сетевому хулигану уже удалось взломать несколько сотен компьютеров, расположенных по всему миру, он может приказать им всем забивать запросами один и тот же сервер. Тем самым не только повышается «убойная сила», но и уменьшаются шансы на обнаружение негодяя, так как пакеты приходят с самых разных компьютеров, ничем плохим себя ранее не зарекомендовавших. Этот тип атаки носит название DDoS (Distributed Denial of Service — распределенный отказ в обслуживании). С этой напастью бороться трудно. Даже если атакуемая машина сможет быстро распознать поддельный запрос, на его обработку и отвержение потребуется некоторое время, в течение которого придут другие запросы, и в итоге центральный процессор будет постоянно занят их обработкой.

<< | >>
Источник: Э. ТАНЕНБАУМ. КОМПЬЮТЕРНЫЕ СЕТИ 4-Е ИЗДАНИЕ. 2003

Еще по теме Брандмауэры:

  1. § 58 Ограничения права собственности по русским законам: хозяйственные, по свойству и положению имения. – Право участия общего. – Бечевник. – Специальные ограничения по роду и взаимному отношению имуществ. – Водяное право. – Право соседства. – Право прохода и проезда
  2. Л.О. Доліненко, В.О. Доліненко, С.О. Сарновська. Цивільне право України, 2006
  3. ЦИВІЛЬНЕ ПРАВО УКРАЇНИ
  4. ПЕРЕДМОВА
  5. Частина І ПРОГРАМА КУРСУ «ЦИВІЛЬНЕ ПРАВО УКРАЇНИ»
  6. Розділ І. Загальні положення цивільного права
  7. Тема 1. Поняття цивільного права. Предмет та метод, система цивільного права. Функції та принципи цивільного права
  8. Тема 2. Цивільне законодавство України
  9. Тема 3. Поняття, елементи та види цивільних правовідносин
  10. Тема 4. Здійснення цивільних прав і виконання обов’язків
  11. Тема 5. Захист цивільних прав та інтересів
  12. Тема 6. Об’єкти цивільних прав
  13. Тема 7.ФІЗИЧНІ особи як суб’єкти цивільного права
  14. Тема 8. Юридичні особи
  15. Тема 9. Держава як суб’єкт цивільного права. Територіальні громади та Автономна Республіка Крим як суб’єкти цивільного права
  16. Тема 10. Правочини: поняття, види. Умови чинності правочину
  17. Тема 11. Представництво і довіреність