Раздел 1. Вопрос 14. Принципы функционирования межсетевых экранов.
Межсетевой экран - это средство, которое разграничивает доступ между двумя сетями (или, в частном случае, узлами) с различными требованиями по обеспечению безопасности. В самом распространенном случае межсетевой экран устанавливается между корпоративной сетью и Internet.
Межсетевой экран решает две задачи, каждая из которых по-своему важна и в зависимости от организации, использующей межсетевой экран, имеет более высокий приоритет по сравнению с другой:
· Ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети.
· Разграничение доступа пользователей защищаемой сети к внешним ресурсам.
Все межсетевые экраны используют в своей работе один из двух взаимоисключающих принципов:
· "Разрешено все, что не запрещено в явном виде".
· "Запрещено все, не разрешено в явном виде".
Классификация
Можно выделить следующие их классы, учитывающие уровни OSI или стека TCP/IP:
· коммутаторы, функционирующие на канальном уровне;
· сетевые или пакетные фильтры, которые, как видно из названия, функционируют на сетевом уровне;
· шлюзы сеансового уровня (circuit-level proxy);
· посредники прикладного уровня (application proxy или application gateway);
· инспекторы состояния (stateful inspection).
Подробенее в Приложении А.
Показатели защищенности |
5 |
4 |
3 |
2 |
1 |
Управление доступом (фильтрация данных и трансляция адресов) |
+ |
+ |
+ |
+ |
= |
Идентификация и аутентификация |
- |
- |
+ |
= |
+ |
Регистрация |
- |
+ |
+ |
+ |
= |
Администрирование: идентификация и аутентификация |
+ |
= |
+ |
+ |
+ |
Администрирование: регистрация |
+ |
+ |
+ |
= |
= |
Администрирование: простота использования |
- |
- |
+ |
= |
+ |
Целостность |
+ |
= |
+ |
+ |
+ |
Восстановление |
+ |
= |
= |
+ |
= |
Тестирование |
+ |
+ |
+ |
+ |
+ |
Руководство администратора защиты |
+ |
= |
= |
= |
= |
Тестовая документация |
+ |
+ |
+ |
+ |
+ |
Конструкторская (проектная) документация |
+ |
= |
+ |
= |
+ |
Обозначения:
“-” - нет требований к данному классу;
“+” - новые или дополнительные требования;
“=“ - требования совпадают с требованиями к МЭ предыдущего класса.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
при обработке информации с грифом “секретно” - не ниже 3 класса;
при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
при обработке информации с грифом “особой важности” - не ниже 1 класса.
Приложение А
Коммутаторы
Данные устройства, функционирующие на канальном уровне, не принято причислять к классу межсетевых экранов, т.к. они разграничивают доступ в рамках локальной сети и не могут быть применены для ограничения трафика из Internet. Однако, основываясь на том факте, что межсетевой экран разделяет доступ между двумя сетями или узлами, такое причисление вполне закономерно.
Достоинства |
Недостатки |
Высокая скорость работы. |
Отсутствует возможность анализа прикладного уровня. |
Данная возможность встроена в большинство коммутаторов, что не требует дополнительных финансовых затрат. |
Отсутствует возможность анализа заголовков сетевого и сеансового уровней (исключая некоторые коммутаторы). |
|
Нет защиты от подмены адреса. |
Пакетные фильтры
Пакетные фильтры (packet filter) - это одни из первых и самые распространенные межсетевые экраны, которые функционируют на третьем, сетевом уровне и принимают решение о разрешении прохождения трафика в сеть на основании информации, находящейся в заголовке пакета.
В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:
· адреса отправителей и получателей;
· тип протокола (TCP, UDP, ICMP и т.д.);
· номера портов отправителей и получателей (для TCP и UDP трафика);
· другие параметры заголовка пакета (например, флаги TCP-заголовка).
С помощью данных параметров, описанных в специальном наборе правил, можно задавать достаточно гибкую схему разграничения доступа. При поступлении пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению (т.е. может ли осуществить процесс маршрутизации).
Достоинства |
Недостатки |
Высокая скорость работы. |
Отсутствует возможность анализа прикладного уровня. |
Простота реализации. |
Нет защиты от подмены адреса. |
Данная возможность встроена во все маршрутизаторы и многие ОС, что не требует дополнительных финансовых затрат. |
Сложность настройки и администрирования. |
Низкая стоимость или свободное распространение (в случае приобретения). |
При увеличении числа правил возможно снижение производительности. |
|
Требуется детальное знание сетевых услуг и протоколов. |
|
Нет контроля состояния соединения. |
|
Трудность функционирования в сетях с динамическим распределением адресов. |
Шлюзы сеансового уровня
Шлюз сеансового уровня - это другая технология, используемая в межсетевых экранах, но на сегодняшний день ее очень трудно встретить в виде единственной технологии, реализованной в межсетевом экране. Как правило, они поставляются в рамках прикладных шлюзов или инспекторов состояний. Кроме того, обеспечиваемый им уровень защиты немногим выше, чем у пакетных фильтров, при более низкой производительности.
Смысл технологии фильтрации на сеансовом уровне заключается в том, что шлюз исключает прямое взаимодействие двух узлов, выступая в качестве т.н. посредника (proxy), который перехватывает все запросы одного узла на доступ к другому и, после проверки допустимости таких запросов, устанавливает соединение. После этого шлюз сеансового уровня просто копирует пакеты, передаваемые в рамках одной сессии, между двумя узлами, не осуществляя дополнительной фильтрации. Как только авторизованное соединение установлено, шлюз помещает в специальную таблицу соединений соответствующую информацию (адреса отправителя и получателя, состояние соединения, информация о номере последовательности и т.д.). Как только сеанс связи завершается, запись о нем удаляется из этой таблицы. Все последующие пакеты, которые могут быть сформированы злоумышленником и "как бы относятся" к уже завершенному соединению, отбрасываются.
Достоинства |
Недостатки |
Высокая скорость работы. |
Отсутствует возможность анализа прикладного уровня. |
Простота реализации. |
|
Исключение прямого взаимодействия между двумя узлами. |
|
Контроль состояния соединения. |
|
Инспекторы состояния
Инспекторы состояния совмещают в себе все достоинства названных выше типов экранов, начиная анализ трафика с сетевого и заканчивая прикладным уровнями, что позволяет совместить в одном устройстве казалось бы несовместимые вещи - большую производительность и высокую защищенность. Эти межсетевые экраны позволяют контролировать:
· каждый передаваемый пакет - на основе имеющейся таблицы правил;
· каждую сессию - на основе таблицы состояний;
· каждое приложение - на основе разработанных посредников.
Завершая описание классов межсетевых экранов, хотим заметить, что термин "stateful inspection", введенный компанией Check Point Software, так полюбился производителям, что сейчас очень трудно найти межсетевой экран, который бы не относили к этой категории (даже если он и не реализует эту технологию). Таким образом, сейчас на рынке существует всего два класса межсетевых экранов - инспекторы состояний и пакетные фильтры.
Реализация
Существует два варианта реализации межсетевых экранов - программный и программно-аппаратный. Второй вариант также может быть реализован двояко - в виде специализированного устройства и в виде модуля в маршрутизаторе или коммутаторе.
Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.
March 17 2015 20:05:54