Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер – это программа или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например,
Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT – Network Address Translation). Когда какой-то узел внутренней сети хочет передавать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).
Существует ряд классификаций межсетевых экранов по различным критериям:
1. В зависимости от охвата контролируемых потоков данных.
• Традиционный межсетевой экран – программа, установленная на шлюзе (сервере переедающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Основная задача такого брандмауэра – предотвращение несанкционированного доступа во внутреннюю сеть организации.
• Персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
• Работающие на сетевом уровне – фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором.
• Работающие на сеансовом уровне – отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP. Такие пакеты часто используются в злонамеренных операциях: сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т. д.
• Работающие на уровне приложений – фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Передача потенциально опасной и нежелательной информации блокируется на основании политик и настроек.
3. В зависимости от отслеживания активных соединений.
• Stateless (простая фильтрация) – не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил.
• Stateful (фильтрация с учетом контекста) – отслеживают текущие соединения и пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.
Популярные брандмауэры, реализованные в виде прикладных программ.
1. Outpost Firewall Pro. Персональный брандмауэр, обладает следующими функциональными возможностями:
• предотвращение несанкционированного доступа к данным;
• сокрытие присутствия защищаемой системы в сети (таким образом она делается "невидимой" для взломщиков);
• анализ входящих почтовых сообщений и блокировка потенциально опасных;
• мониторинг и анализ сетевой активности системы;
• блокировка доступа к "запрещенным" сайтам.
2. Zone Alarm Pro. Брандмауэр с гибко настраиваемыми функциональными возможностями, включающими:
• фильтр приложений, позволяющий устанавливать права для каждой программы, используемой в сети;
• поддержку цифровой подписи;
• подробный лог-файл событий и средства для его анализа, с последующей выдачей текстовых и графических отчетов;
• настраиваемый контроль cookies;
• механизм мгновенной автоматической или ручной блокировки доступа приложений к Интернет;
• автоматическую проверку вложений электронной почты.
Виртуальные частные сети (VPN)
Виртуальная частная сеть (VPN) – логическая сеть, создаваемая поверх другой сети, чаще всего Интернет. Все данные, передающиеся между узлами этой сети, шифруются. Поэтому, хотя физически данные передаются по публичным сетям с использованием небезопасных протоколов, по сути, VPN представляет собой закрытые от посторонних каналы обмена информацией.
Канал между двумя узлами, защищенный за счет шифрования проходящего по нему трафика, называется туннелем.
Выделяют два основных класса VPN:
1. Защищенные. Наиболее распространенный вариант. C его помощью на основе ненадежной сети (как правило, Интернета) создается надежная и защищенная подсеть. Примером защищенных VPN являются: IPSec, OpeN VPN и PPTP (протокол тунеллирования от точки к точке).
2. Доверительные. Используются для создания виртуальной подсети в рамках другой, надежной и защищенной сети, т. е. задача обеспечения безопасности информации не ставится. К доверительным VPN относятся протоколы MPLS и L2TP.
По архитектуре технического решения выделяют следующие классы VPN:
1. Внутрикорпоративные. Предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными связями, включая выделенные линии.
2. VPN с удаленным доступом. Предназначены для обеспечения защищенного удаленного доступа мобильных или удаленных сотрудников компаний к корпоративным информационным ресурсам.
3. Межкорпоративные (extran et VPN). Обеспечивают прямой защищенный доступ из сети одной компании к сети другой компании (партнера, клиента и т. д.).
По способу технической реализации различают VPN на основе маршрутизаторов (задача шифрования трафика ложится на маршрутизаторы, через которые проходит вся исходящая из локальных сетей информация), на основе межсетевых экранов, на основе программного обеспечения и на основе специализированных аппаратных средств.
Рассмотрим набор протоколов IPSec, предназначенный для обеспечения защиты данных, передаваемых по протоколу IP. Он позволяет осуществлять подтверждение подлинности и шифрование IP-пакетов, а также включает протоколы для защищенного обмена ключами через Интернет.
Протоколы IPsec работают на сетевом уровне модели OSI. Они подразделяются на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов (ESP, AH), и протоколы обмена ключами (IKE). Протоколы защиты передаваемого потока могут работать в двух режимах – в транспортном режиме и в режиме туннелирования. В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета, а заголовок не затрагивается (поэтому процедура маршрутизации не изменяется). В туннельном режиме IP-пакет шифруется целиком. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. Именно этот режим используется для организации виртуальной частной сети.
Режим IPSec-тунеллирования работает следующим образом:
1. IP-пакет посылается на отправляющее IPSec-устройство (межсетевой экран или маршрутизатор), где он должен быть зашифрован и направлен в конечную систему по локальной сети.
2. Отправляющее IPSec-устройство проводит аутентификацию принимающего устройства.
3. Два IPSec-устройства "договариваются" о шифре и алгоритме аутентификации, которыми будут пользоваться.
4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает его в другой пакет с AH (аутентифицирующим заголовком).
5. Пакет пересылается по сети (по протоколам TCP/IP).
6. Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и извлекает зашифрованное вложение для расшифровки.
7. Принимающее устройство отправляет исходный пакет в пункт его назначения.
Системы обнаружения вторжений (IDS)
Система обнаружения вторжений (Intrusion Detection System – IDS) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими (в основном через Интернет).
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, нарушающие безопасность системы или сети. К ним относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (вирусов, "троянских коней").
Структурно IDS состоит из следующих компонентов: 1. Сенсорная подсистема отслеживает события, которые могут затрагивать безопасность защищаемой системы.
2. Подсистема анализа выявляет среди этих событий те, которые представляют угрозу или нарушения безопасности (атаки, подозрительные действия). В пассивных IDS при обнаружении такого события информация о нем помещается в хранилище, после чего сигнал опасности по определенному каналу направляется администратору системы. Активные IDS (системы предотвращения вторжений) могут также предпринять ответные действия (например, прервать соединение или автоматически настроить межсетевой экран для блокирования трафика от злоумышленника).
3. Хранилище обеспечивает накопление и хранение данных сенсорной подсистемы и результатов их анализа.
4. Консоль управления используется для настройки IDS, наблюдения за состоянием защищаемой системы, просмотра выявленных подсистемой анализа инцидентов.