Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Сравнительный анализ аппаратных межсетевых экранов (классификация межсетевых экранов)

Содержание:

Введение

С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов. В реферате на основе анализа российского рынка рассмотрены особенности и возможности использования наиболее эффективного в настоящее время и динамично развивающегося средства сетевой защиты — межсетевых экранов.

Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны. Но наиболее часто используется термин “межсетевые экраны” (МЭ).

В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия “внутри” и “снаружи”, причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.
 

Современные требования к межсетевым экранам
 

1. Основное требование — это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.
7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.

 

Классификация межсетевых экранов

В настоящее время не существует единой и общепризнанной классификации межсетевых экранов. Выделим следующие классы межсетевых экранов:

• Фильтрующие маршрутизаторы.

• Шлюзы сеансового уровня.

• Шлюзы уровня приложений.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают лишь одну из перечисленных категорий. Тем не менее эти компоненты отражают ключевые возможности, отличающие межсетевые экраны друг от друга.
 

Фильтрующие маршрутизаторы

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов.

Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы следующих полей заголовка пакета:


  • IP-адрес отправителя;

  • IP-адрес получателя;

  • порт отправителя;

  • порт получателя.


Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются враждебными или ненадежными.

Правила фильтрации пакетов формулируются сложно, к тому же обычно не существует средств для проверки их корректности, кроме медленного ручного тестирования. При этом в отсутствие фильтрующего маршрутизатора средств протоколирования (если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор) такие пакеты не смогут быть выявлены до обнаружения последствий проникновения. Даже если администратору сети удастся создать эффективные правила фильтрации, их возможности останутся ограниченными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако в данном случае хакер для проникновения внутрь защищенной сети может осуществить атаку, которую называют подменой адреса. В таких условиях фильтрующий маршрутизатор не сумеет отличить поддельный пакет от настоящего и пропустит его.

К положительным качествам фильтрующих маршрутизаторов можно отнести следующие:


  • сравнительно невысокая стоимость;

  • гибкость в определении правил фильтрации;

  • небольшая задержка при прохождении пакетов.


Недостатки фильтрующих маршрутизаторов:


  • внутренняя сеть видна (маршрутизируется) из сети Интернет;

  • правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

  • при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;

  • отсутствует аутентификация на пользовательском уровне.


Шлюзы сеансового уровня

Данный класс маршрутизаторов представляет собой транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Как правило, пункт назначения задается заранее, в то время как источников может быть много. Используя различные порты, можно создавать разнообразные конфигурации соединений. Данный тип шлюза позволяет создать транслятор TCP-соединения для любого определенного пользователем сервиса, базирующегося на ТСР, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.

Шлюз следит за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации. Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением процедуры квитирования связи по протоколу ТСР. Эта процедура состоит из обмена ТСР-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

Первый пакет сеанса ТСР, помеченный флагом SYN и содержащий произвольное число, например 500, является запросом клиента на открытие сеанса. Внешний хост, получивший этот пакет, посылает в ответ другой, помеченный флагом АСК и содержащий число на единицу большее, чем в принятом пакете (в нашем случае 501), подтверждая тем самым прием пакета SYN от клиента.

Далее осуществляется обратная процедура: хост посылает клиенту пакет SYN с исходным числом, например 700, а клиент подтверждает его получение передачей пакета АСК, содержащего число 701. На этом процесс квитирования связи завершается.

Шлюз сеансового уровня признает завершенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в ТСР-пакетах, оказываются логически связанными между собой.

После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса ТСР, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, которые относятся к одному из сеансов связи, зафиксированных в данной таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает сеть, использовавшуюся в текущем сеансе.

Недостатком шлюзов сеансового уровня является отсутствие проверки содержимого передаваемых пакетов, что дает возможность нарушителю проникнуть через такой шлюз.



Шлюзы уровня приложений

С целью защиты ряда уязвимых мест, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба, — шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне.

Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания завершаемой услуги. Для достижения более высокого уровня безопасности и гибкости шлюзы уровня приложений и фильтрующие маршрутизаторы могут быть объединены в межсетевом экране.

Шлюзы прикладного уровня позволяют обеспечить надежную защиту, поскольку взаимодействие с внешним миром реализуется через небольшое число уполномоченных приложений, полностью контролирующих весь входящий и исходящий трафик. Следует отметить, что шлюзы уровня приложений требуют отдельного приложения для каждого сетевого сервиса.

По сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам, шлюзы прикладного уровня имеют ряд преимуществ:


  • невидимость структуры защищаемой сети из глобальной сети Интернет. Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого будет известно внешним системам;

  • надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хостов, и зарегистрирован более эффективно, чем с помощью стандартной регистрации;

  • приемлемое соотношение цены и эффективности. Дополнительные программные или аппаратные средства аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня;

  • простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем на маршрутизаторе, который самостоятельно фильтрует прикладной трафик и отправляет его большому числу внутренних систем. Маршрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной;

  • возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении.


Недостатками шлюзов уровня приложений являются:


  • относительно низкая производительность по сравнению с фильтрующими маршрутизаторами. В частности, при использовании клиент-серверных протоколов, таких как Telnet, требуется двухшаговая процедура для входных и выходных соединений;

  • более высокая стоимость по сравнению с фильтрующими маршрутизаторами.


Одним из важных элементов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя), то есть пользователь получает право воспользоваться тем или иным сервисом только после того, как будет установлено, что он действительно тот, за кого себя выдает. При этом считается, что сервис для данного пользователя разрешен (процесс определения, какие сервисы разрешены конкретному пользователю, называется авторизацией).

При получении запроса на использование сервиса от имени какого-либо пользователя межсетевой экран проверяет, какой способ аутентификации определен для данного субъекта, и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран осуществляет запрашиваемое пользователем соединение. Как правило, большинство коммерческих межсетевых экранов поддерживает несколько различных схем аутентификации, предоставляя администратору сетевой безопасности возможность сделать выбор наиболее приемлемой в сложившихся условиях схемы.



Основные способы развертывания межсетевых экранов в корпоративных сетях

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:


  • защита корпоративной или локальной сети от несанкционированного удаленного доступа со стороны глобальной сети;

  • скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;

  • разграничение доступа в защищаемую сеть из глобальной и из защищаемой сети в глобальную.


Необходимость работы с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом в организации часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:


  • свободно доступные сегменты;

  • сегменты с ограниченным доступом;

  • закрытые сегменты.


Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:


    1. Межсетевой экран, представленный как фильтрующий маршрутизатор.

    2. Межсетевой экран на основе двухпортового шлюза.

    3. Межсетевой экран на основе экранированного шлюза.

    4. Межсетевой экран с экранированной подсетью.


Межсетевой экран, представленный как фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации, представляя собой фильтрующий маршрутизатор, расположенный между защищаемой сетью и Интернетом.

Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в Интернет, в то время как большая часть доступа к ним из Интернета блокируется. В принципе, фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено» в явной форме может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и фильтрующие маршрутизаторы.

 

Межсетевой экран на основе двухпортового шлюза

Межсетевой экран на базе двухпортового прикладного шлюза представляет собой хост с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и Интернетом размещают фильтрующий маршрутизатор. В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Ее можно использовать для размещения доступного извне информационного сервера. Размещение информационного сервера увеличивает безопасность сети, поскольку даже при проникновении на него злоумышленник не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором, прикладной шлюз полностью блокирует трафик IP между Интернетом и защищаемой сетью. Только уполномоченные приложения, расположенные на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме»; при этом пользователю доступны только те службы, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны лишь межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана относительно проста и достаточно эффективна. Поскольку межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволяет выявить действия злоумышленников.

Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза обладает большей гибкостью по сравнению с межсетевым экраном, построенным на основе шлюза с двумя интерфейсами, однако эта гибкость достигается ценой некоторого уменьшения безопасности. Межсетевой экран состоит из фильтрующего маршрутизатора и прикладного шлюза, размещаемого со стороны внутренней сети. Прикладной шлюз реализуется на хосте и имеет только один сетевой интерфейс.

В данной схеме первичная безопасность обеспечивается фильтрующим маршрутизатором, который фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренних систем. Пакетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих способов:


  • внутренним хостам позволяется открывать соединения с хостами в сети Интернет для определенных сервисов (доступ к ним разрешается среде пакетной фильтрации);

  • запрещаются все соединения от внутренних хостов (им надлежит использовать уполномоченные приложения на прикладном шлюзе).


В подобной конфигурации межсетевой экран может использовать комбинацию двух политик, соотношение между которыми зависит от конкретной политики безопасности, принятой во внутренней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои уполномоченные приложения, обеспечивал для систем защищаемой сети сервисы типа Telnet, FTP, SMTP.

Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост, перед ним окажутся незащищенными системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.



Межсетевой экран с экранированной подсетью

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между Интернетом и экранируемой подсетью, а внутренний — между экранируемой подсетью и защищаемой внутренней сетью. В экранируемую подсеть входит прикладной шлюз, а также могут включаться информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает высокий уровень безопасности благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Интернета.

Внешний маршрутизатор защищает от вторжений из Интернета как экранированную подсеть, так и внутреннюю сеть. Внешний маршрутизатор запрещает доступ из Глобальной сети к системам внутренней сети и блокирует весь трафик к Интернету, идущий от систем, которые не должны являться инициаторами соединений.

Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.

Внутренний маршрутизатор защищает внутреннюю сеть от несанкционированного доступа как из Интернета, так и внутри экранированной подсети. Кроме того, он осуществляет большую часть пакетной фильтрации, а также управляет трафиком к системам внутренней сети и от них.

Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с большими объемами трафика или с высокими скоростями обмена.

К его недостаткам можно отнести то, что пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности, поскольку из-за ошибок в их конфигурировании могут возникнуть провалы в системе безопасности всей сети. Кроме того, существует принципиальная возможность доступа в обход прикладного шлюза.
 

Недостатки применения межсетевых экранов

Межсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в одну защищенную виртуальную частную сеть. Передача данных между этими локальными сетями является невидимой для пользователей, а конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.

Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Помимо описанных выше достоинств межсетевых экранов имеется ряд ограничений в их использовании, а также существуют угрозы безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов:


  • большое количество остающихся уязвимых мест. Межсетевые экраны не защищают от черных входов (люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную межсетевым экраном, атакующие могут эффективно обойти межсетевой экран;

  • неудовлетворительная защита от атак сотрудников компании. Межсетевые экраны обычно не обеспечивают защиты от внутренних угроз;

  • ограничение в доступе к нужным сервисам. Самый очевидный недостаток межсетевого экрана заключается в том, что он может блокировать ряд сервисов, которые применяют пользователи, — Telnet, FTP и др. Для решения подобных проблем требуется проведение хорошо продуманной политики безопасности, в которой будет соблюдаться баланс между требованиями безопасности и потребностями пользователей;

  • концентрация средств обеспечения безопасности в одном месте. Это позволяет легко осуществлять администрирование работы межсетевого экрана;

  • ограничение пропускной способности.