ндмауэром, используется процесс, называемый трансляцией адресов (address translation).

БРАНДМАУЭР ЭКСПЕРТНОГО УРОВНЯ (STATEFUL INSPECTION FIREWALL) проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.


"Врожденные слабости"

Проблемы защиты информации являются "врожденными" практически для всех протоколов и служб Internet.

Система имен доменов (Domain Name System - DNS) представляет собой распределенную базу данных, которая преобразует имена пользователей и хостов в IP-адреса и наоборот. DNS также хранит информацию о структуре сети компании, например количестве компьютеров с IP-адресами в каждом домене. Одной из проблем DNS является то, что эту базу данных очень трудно "скрыть" от неавторизованных пользователей. В результате, DNS часто используется хакерами как источник информации об именах доверенных хостов.

FTP (File Transfer Protocol) обеспечивает передачу текстовых и двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к информации. На FTP-серверах хранятся документы, программы, графика и любые другие виды информации. Некоторые FTP-серверы ограничивают доступ пользователей к своим архивам данных с помощью пароля, другие же предоставляют свободный доступ (так называемый анонимный FTP-сервис). Если вы используете опцию анонимного FTP для своего сервера, то должны быть уверены, что на нем хранятся только файлы, предназначенные для свободного распространения.

Sendmail - популярная в Internet программа электронной почты, использующая для своей работы некоторую сетевую информацию, такую как IP-адрес отправителя. Перехватывая сообщения, отправляемые с помощью Sendmail, хакеры могут использовать эту информацию для нападений, например для спуфинга (подмены адресов).

SMTP (Simple Mail Transfer Protocol) - протокол, позволяющий осуществлять почтовую транспортную службу Internet. Одна из проблем безопасности, связанная с этим протоколом, состоит в том, что пользователь не может проверить адрес отправителя в заголовке сообщения электронной почты. В результате хакер может послать в вашу сеть большое количество почтовых сообщений, что приведет к перегрузке и блокированию работы вашего почтового сервера.

Telnet - сервис Internet, при осуществлении которого пользователи должны регистрироваться на сервере Telnet, вводя свое имя и пароль. После аутентификации пользователя его рабочая станция функционирует в режиме "тупого" терминала, подключенного к внешнему хосту. С этого терминала пользователь может вводить команды, которые обеспечивают ему доступ к файлам и возможность запуска программ. Подключившись к серверу Telnet, хакер может сконфигурировать его программу таким образом, чтобы она записывала имена и пароли пользователей.

TCP/IP - набор протоколов, используемый в Internet и интрасетях для передачи пакетов между компьютерами. В заголовках пакетов передается информация, которая может подвергнуться нападениям хакеров. Например, хакер может подменить адрес отправителя в своих "зловредных" пакетах, после чего они будут выглядеть как пакеты, передаваемые авторизованным клиентом.

World Wide Web (WWW) - система, основанная на сетевых приложениях, которые дают возможность пользователям просматривать содержимое различных серверов в Internet или интрасетях. Самым полезным свойством WWW является использование гипертекстовых документов, в которые встроены ссылки на другие документы и Web-узлы, что дает пользователям возможность легко переходить от одного узла к другому. Однако это же свойство является и наиболее слабым местом системы WWW, поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых документах, включают в себя информацию о том, как осуществляется доступ к соответствующим узлам. Используя эту информацию, хакеры могут разрушить Web-узел или получить доступ к хранящейся на нем конфиденциальной информации.


Рекомендации специалистов

Американская Национальная ассоциация по компьютерной безопасности (NCSA) рекомендует, чтобы политика сетевой защиты каждой компании состояла из двух компонентов: политики доступа к сетевым сервисам и политики реализации брандмауэров.

В соответствии с политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Также определяются ограничения на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и PPP (Point-to-Point Protocol). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к "запрещенным" сервисам Internet обходными путями. Например, если для ограничения доступа в Internet вы устанавливаете специальный шлюз, который не дает возможности пользователям работать в системе WWW, они могут устанавливать с Web-серверами PPP-соединения по коммутируемой линии.

Политика доступа к сетевым сервисам должна основываться на одном из следующих принципов.

В соответствии с политикой реализации брандмауэров определяются правила доступа к ресурсам внутренней сети компании. Прежде всего необходимо понять, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов.

Реализация брандмауэра на основе первого принципа обеспечивает значительно большую защищенность. Однако правила, созданные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обойдется значительно дороже. При реализации второго принципа ваша сеть окажется менее защищенной от нападений хакеров, однако пользоваться ей будет удобнее и потребуется меньше затрат.


Встроенные "линии обороны" системы IntranetWare

Недавно выпущенная компанией Novell система IntranetWare предназначена для компаний, которые собираются использовать Internet и интрасети для распространения информации и обеспечения доступа к ней. IntranetWare включает в себя NetWare 4.11, Novell Web Server, Netscape Navigator, NetWare MultiProtocol Router (MPR) и IPX/IP Gateway. MPR и шлюз IPX/IP обеспечивают две линии обороны от несанкционированного доступа к внутренней сети из Internet или из корпоративной интрасети.

NetWare MPR - маршрутизатор с фильтрацией пакетов - обеспечивает первую линию обороны для сети на базе IntranetWare. Используя загружаемый модуль FILTCFG.NLM (утилиту, работающую на сервере MPR), можно сконфигурировать маршрутизатор таким образом, чтобы он фильтровал входящие и исходящие пакеты в соответствии с IP-адресами и номерами портов отправителя и получателя. NetWare MPR может также фильтровать пакеты, генерируемые FTP, HTTP и Telnet.

Шлюз IPX/IP - естественный брандмауэр, обеспечиващий вторую линию обороны для сетей IntranetWare. Основное назначение этого шлюза заключается в том, чтобы дать возможность IPX-клиентам использовать сервисы Internet и интрасети, не устанавливая на их компьютерах стек протоколов TCP/IP. Вместо этого файл WINSOCK.DLL на клиентской машине "вкладывает" пакеты TCP в пакеты IPX (а не IP). Перед передачей пакетов на внешний хост шлюз IPX/IP удаляет из них IPX-заголовки и заменяет их IP-заголовками. "С точки зрения" внешнего хоста, все пакеты, передаваемые из данной сети, имеют единый IP-адрес шлюза, благодаря чему осуществляется эффективная защита от внешнего хоста сети IntranetWare.

"Прозрачная" защита. Файл WINSOCK.DLL делает работу шлюза IPX/IP "прозрачной" для пользователей. При работе с браузером Netscape Navigator пользователю достаточно ввести имя хоста, например www.novell.com. Все действия по преобразованию имени в реальный IP-адрес выполняются шлюзом IPX/IP и DNS, после чего шлюз устанавливает от имени пользователя соединение с внешним хостом и в процессе обмена информацией заменяет IPX-заголовки на IP и наоборот.

Ограничение исходящего трафика. Шлюз IPX/IP также имеет встроенный механизм контроля доступа. Сетевой администратор может ограничивать исходящие пакеты в соответствии с IP-адресами хостов или номерами портов определенных сервисов Internet. Например, можно запретить доступ отдельным пользователям или группам пользователей к Web-серверу (сервис HTTP, порт 80) в интервале между 13:00 и 17:00 часами.

Нападения на сети IPX бывают только в теории. Шлюзы IPX/IP (такие как IPX/IP Gateway компании Novell, Iware Connect компании Quarterdeck и NOV*IX for Internet компании FTP Software) являются естественными брандмауэрами. Они всегда действуют от имени авторизованного клиента, запрашивая службы в IP-сетях, и таким образом, защищают его от нападений из внешней сети. Теоретически какой-нибудь упорный хакер может найти способ обмануть такой брандмауэр, однако на сегодняшний день подобных нападений не зафиксировано.


Новые средства защиты для доступа в Internet компании Novell

Novell продолжает совершенствовать свои технологии защиты для сетей на базе IntranetWare. Новая разработка Novell, получившая название IntranetWare Border Services, обеспечивает кэш-посредников (proxy cache), службы виртуальной частной сети (Virtual Private Network - VPN) и службы безопасности.

Кэш-посредники хранят часто запрашиваемые HTML-страницы в локальном кэше, обеспечивая значительно более быструю доставку информации, чем в тех случаях, когда не используется кэширование. Службы VPN позволяют создать канал контролируемой шифрованной связи с Internet, гарантируя конфиденциальность пакетов, передаваемых по этому каналу. Таким образом, компании получают возможность создавать защищенные частные сети, соединенные через Internet. В VPN используется специальный метод шифрования, основанный на 40-битной реализации криптографического алгоритма RC2. Этот алгоритм обеспечивает приемлемую производительность работы на WAN-каналах и может выполняться в симметричных мультипроцессорных системах, что позволяет повысить скорость шифрования данных. Службы безопасности включают в себя фильтрацию пакетов, шлюз сеансового уровня, программу-посредника HTTP прикладного уровня и используют технологии трансляции адресов.

Фильтрация пакетов

Используя IntranetWare Border Service, можно фильтровать и регистрировать следующую информацию, содержащуюся в пакетах:

Шлюз сеансового уровня

Этот шлюз поддерживает IPX- и IP-клиентов, использующих соответствующие стеки протоколов. Вначале шлюз устанавливает контрольное соединение с клиентом, который пытается инициировать сеанс связи с удаленным хостом. Затем он запрашивает информацию в сетевом каталоге (NDS - Novell Directory Services), чтобы определить, имеет ли данный пользователь соответствующие полномочия. Если пользователь оказывается авторизованным, шлюз устанавливает соединение с хостом, а затем копирует и перенаправляет поступающие пакеты. Поскольку шлюз использует информацию, хранящуюся в базе данных NDS, администратор может использовать NDS для ограничения прав доступа пользователей к Internet точно так же, как это делается для локальной сети. С помощью утилиты NetWare Administrator, можно задать права доступа конкретного пользователя или группы пользователей к отдельным сервисам Internet (например, FTP, HTTP или Telnet), хостам или доменам. Можно также задавать ограничения по времени доступа, например указать, что группа Everyone не имеет права обращаться к хосту ABCD с 8 утра до 5 вечера, т. е. в течение рабочего дня.

Посредник HTTP

Посредник HTTP является шлюзом прикладного уровня, который фильтрует HTTP-пакеты. Как и шлюз сеансового уровня, перед установлением соединения с удаленным хостом посредник HTTP использует информацию в NDS, чтобы проверить полномочия пользователя на запрашиваемый сеанс связи. После установления соединения посредник HTTP копирует, перенаправляет и фильтрует поступающие пакеты. При этом он заменяет адреса отправителей в исходящих пакетах своим собственным IP-адресом, "маскируя" адреса клиентов и серверов, отправивших эти пакеты.

Трансляция адресов

IntranetWare Border Services также обеспечивает трансляцию сетевых адресов для таких систем, как Macintosh и UNIX, которые не могут использовать стеки протоколов, необходимые для работы шлюзов сеансового и прикладного уровней. Кроме того, обеспечивается трансляция адресов как для IPX-, так и для IP-пакетов. Трансляция адресов IPX позволяет преобразовать все IPX-адреса отправителей в единый сетевой адрес IPX, что дает возможность использовать дублирующиеся адреса IPX-клиентов, относящиеся к разным виртуальным сетям.

Трансляция IP-адресов может быть как динамической, так и статической. При динамической трансляции все исходные IP-адреса преобразуются в единый IP-адрес, эффективно "маскируя" реальные IP-адреса клиентов и серверов внутренней сети, осуществляющих доступ к Internet (без использования шлюза сеансового уровня и посредника HTTP). При статической трансляции отдельные адреса преобразуются фиксированные IP-адреса, что позволяет обеспечить доступ из Internet к ресурсам интрасети, например, к Web - или FTP-серверам.


Надежные источники

Более подробную информацию о брандмауэрах вы можете найти на следующих серверах в Internet.

FTP://INFO.CERT.ORG или HTTP://WWW.CERT.ORG

Директория /pub/cert_advisories содержит список рекомендаций Координационного центра CERT, касающихся решения известных проблем сетевой безопасности. На этом узле можно также найти предупреждения о возможных нападениях в Internet.

HTTP://WWW.NCSA.COM

Узел американской Национальной ассоциации по компьютерной безопасности (NCSA) содержит руководство по политике реализации брандмауэров (Firewall Policy Guide). На этом узле также можно найти список брандмауэров, сертифицированных NCSA, и ссылки на другие Web-узлы, содержащие более подробную информацию об этих брандмауэрах. NCSA занимается тестированием продуктов с целью выяснения их функциональных возможностей и эффективности защиты от типовых нападений. К продуктам, имеющим сертификат NCSA, относятся FireWall-1 компании Check Point Software Technologies, ON Guard компании ON Technology и Gauntlet Internet Firewall компании Trusted Information Systems.

HTTP://WWW.OUTLINK.COM

Outlink - исследовательская компания, специализирующаяся на информационной безопасности и выпускающая бюллетень The Firewall Report, который поможет вам быть в курсе всех новых технологий, продуктов и услуг в области защиты информации. Этот бюллетень содержит унифицированные технические описания 20 лучших брандмауэров для Internet и интрасетей, а также необходимые сведения об их поставщиках.

HTTP://WWW.TELSTRA.COM.AU/PUB/DOCS/SECURITY

Этот узел содержит ссылки на документы, написанные признанными экспертами в области безопасности Internet.

FTP://FTP.GREATCIRCLE.COM/PUB/FIREWALLS

На этом узле вы сможете найти ответы на часто задаваемые вопросы по поводу брандмауэров. Он также содержит ссылки на книги и другие публикации, посвященные брандмауэрам.

HTTP://CS-WWW.NCSL.NIST.GOV

Этот узел принадлежит Национальному институту стандартов США и содержит много ссылок на Web-узлы, содержащие сведения по информационной безопасности.


Сети · #2/97
Bottom Line