Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Применение межсетевых экранов
317
защиты информации, реализованные в системе «Форт», являются «прозрачными» для пользователя.
Функции шифрования HTTP-трафика и обеспечения целостности передачи данных (при помощи ЭЦП) вызываются пользователем по мере необходимости, с помощью соответствующих функций, встроенных в Internet Explorer.
Система «Форт» способна работать «прозрачно» как с защищенными Web-серверами, так и с обычными. Она имеет открытый интерфейс, что позволяет интегрировать ее с другими программными продуктами. Система проста в инсталляции на компьютеры с операционными системами Windows NT 4.0, Windows 95 и начинает реализовывать функции шифрования автоматически сразу после установки.
«Форт» состоит из подсистемы ЭЦП и подсистемы шифрования HTTP-трафика. Они обе выполнены в виде открытых прикладных интерфейсов. В серверной части системы используется Microsoft Internet Information Server. Для обеспечения функций ЭЦП, проверки подписи, шифрования HTTP-трафика применяется СКЗИ «Верба-OW», а для генерации ключей - СКЗИ «Верба О».
3.6. Применение межсетевых экранов
В последнее время наиболее популярными среди средств защиты информационных ресурсов в Internet становятся межсетевые экраны (Firewall или брандмауэры). Понятно, что доступ к Internet расширил возможности проникновения посторонних пользователей в хранилища важной для той или иной организации информации. Поэтому следует помнить, что при наличии упреждающей политики защиты существенно легче оградить свои ресурсы от несанкционированных посягательств. Большинство экспертов в этой области рекомендуют многоуровневый подход для обеспечения безопасности сетевых ресурсов, включая шифрование и аутентификацию, однако при выборе любой архитектуры системы защиты ее ключевым компонентом является брандмауэр. Межсетевой экран размещается на шлюзе между локальной сетью и Internet. Помимо других функций брандмауэр может просматривать IP-пакеты и в зависимости от адресов отправителя и получателя пропускать или не пропускать пакеты, пытающиеся проникнуть в систему.
Межсетевой экран (МЭ) располагается на границе сети и регулирует доступ к корпоративным ресурсам. Это устройство анализирует и собирает информацию о внешних по отношению к сети пакетах и сеансах (в зависимости от типа брандмауэра). Отвечающий реализуемой политике
318 Компьютерная безопасность и практическое применение криптографии
безопасности МЭ в соответствии с принятыми правилами пропустит или не пропустит конкретный пакет и позволит или не позволит организовать конкретный сеанс.
МЭ делятся на три основных класса:
• фильтры пакетов;
• шлюзы сеансового уровня;
• шлюзы уровня приложений.
Системы фильтрации пакетов просеивают каждый IP-пакет через сито определенных пользователем правил и определяют права пакета на проход во внутреннюю часть сети. Шлюзы уровня приложений в ответ на каждый поступающий запрос о предоставлении сервиса организуют внешний сетевой сеанс; они же открывают соответствующий внутренний сеанс для санкционированного доступа и передают пакеты между внешними и внутренними соединениями. Вообще говоря, шлюзы приложений, по сравнению с фильтрами пакетов, обеспечивают более тщательный контроль за сеансом, но, как следствие, они требуют применения и более мощных вычислительных мощностей. Системы обоих типов предназначены для того, чтобы защитить сеть от таящихся вовне опасностей.
По мнению экспертов, брандмауэры должны обладать тремя важными особенностями, а именно:
• весь трафик должен проходить через одну точку;
• брандмауэр обязан контролировать и регистрировать весь проходящий трафик;
• платформа МЭ должна быть неприступна для атак.
Рынок МЭ сформировался в начале 90-х годов, хотя такие компании, как Digital Equipment и Cisco Systems, включали аналогичные технологии в свои продукты и ранее. Развитие шло настолько быстро, что уже в 1992 году технологии МЭ достигли расцвета; с этого момента рынок просто изобилует разнообразными продуктами подобного типа.
3.6.1. Пакетные фильтры
Фильтры пакетов производят оценку данных на основе IP-информации, содержащейся в заголовке пакета, а точнее в адресе отправителя и получателя пакета. Фильтр не только считывает IP-заголовок, но и сопоставляет полученную информацию со списком правил фильтрации для разрешения или запрещения передачи пакета (табл. 3.9). В правилах фильтрации содержатся поля IP-адресов, типы протоколов, номера портов отправителя и получателя.
Применение межсетевых экранов
319
Таблица 3.9. Пример правил фильтрации
Правила
Адрес отправителя
Адрес получателя
Действие
А
192.168.0.3
192.168.0.5
Разрешить Запретить Разрешить
В
0.0.0.0
0.0.0.0
С
192.168.0.4
192.168.0.5
Прежде чем разрешить пакету продолжение предполагаемого для него маршрута, фильтры пакетов сравнивают указанные в нем данные с предопределенными значениями. В целом фильтры пакетов представляют наименее дешевые решения МЭ, но, благодаря своему умению проверять пакеты различных протоколов, являются и самыми гибкими инструментами решения поставленной задачи. Кроме того, фильтры работают быстро, поскольку для принятия решения они просто просматривают информацию о пакете. Однако фильтры пакетов имеют несколько существенных недостатков: они не в состоянии отслеживать конкретный сетевой сеанс и не в силах предотвратить атаки с имитацией IP-адресов.
