Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Клиенты, использующие Netscape Navigator, улсе поддерживают SSL и могут взаимодействовать с удаленным сервером непосредственно через брандмауэр. Proxy Server компании Netscape также позволяет клиентам, не ориентированным на SSL, осуществлять защищенные коммуникации с удаленными хостами через Internet. При таком подходе proxy-сервер запрашивается об организации защищенного соединения по поручению незащищенного клиента. Клиент связывается с посредником с помощью стандартного HTTP, а посредник взаимодействует с удаленным узлом, используя SSL, так что канал через Internet в любом случае оказывается защищенным.
Для проверки входящего трафика на предмет наличия вирусов можно использовать и дополнительные модули независимых производителей.
326 Компьютерная безопасность и практическое применение криптографии
Данные продукты должны заниматься сканированием входящего трафика HTTP и ftp, а также вложений в почтовые сообщения, благодаря этому инфицированный трафик Internet будет остановлен прежде, чем он сможет попасть на настольные системы в частной сети.
Как и многие другие виды сетевых серверов, proxy-серверы требуют особой конфигурации и постоянного управления. Требования к системе компании Netscape довольно незначительны, и продукт работает с самыми разными серверами Web. Proxy Server этой компании работает как на платформе Intel, так и с некоторыми видами UNIX: OSF компании Digital, HP-UX, AIX, IRIX компании Silicon Graphics, а также SunOS и Solaris компании Sun Microsystems. Поскольку многие брандмауэры лучше приспособлены для работы под UNIX, применение proxy-сервера с аналогичной операционной системой облегчает установку и администрирование.
Управлять продуктом Netscape можно из любого SSL-совместимого браузера, кроме того, продукт поддерживает SNMP-1, SNMP-2 и возможность автоматической конфигурации. Параметры сервера поддаются тонкой настройке. Например, пользователи, которым требуются URL с расширением .com, могут быть направлены к одному proxy-серверу, а тем, кому нужны адреса, оканчивающиеся на .edu, - к другому. В случае возникновения сбоя на одном сервере его место занимает другой proxy-сервер. Чтобы снизить трафик в Internet, оператору лучше установить proxy-сервер в каждом локальном центре и на каждом шлюзе Internet. Операторы Internet наиболее заинтересованы в предлагаемой proxy-серверами возможности кэширования.
Таким образом, proxy-серверы позволяют при доступе к защищаемому сегменту сети осуществлять идентификацию и аутентификацию удаленного пользователя и являются основой для создания VPN.
Брандмауэры и proxy-серверы имеют много общего, но для создания защищенной системы в сети должны быть установлены и те, и другие. Сетей с абсолютно надежной защитой не существует, но, по мнению автора, для обеспечения безопасности сочетание брандмауэра и proxy-сервера оптимально.
3.6.6. Виды подключения межсетевых экранов
Учитывая многообразие практических вопросов обеспечения безопасности, решаемых с помощью брандмауэров, существует несколько схем их подключения к защищаемой сети. Как уже говорилось, брандмауэр - это система или комбинация систем, позволяющих разделить сеть на две или более части и реализовать набор правил, определяющих условия прохождения
Применение межсетевых экранов
327
пакетов из одной части в другую. Пример типовой схемы подключения брандмауэра при организации VPN представлен на рис. 3.21.
Рис. 3.21. Типовая схема подключения брандмауэра
В принципе МЭ может работать в качестве внешнего маршрутизатора, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис. 3.21). Но иногда работает схема, изображенная на рис. 3.22, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка маршрутизаторов, и далее небольшие ошибки могут стать причиной серьезных нарушений в защите.
Internet
J
)
Брандмауэр
Рис. 3.22
Схема с внутренним маршрутизатором
В случае использования МЭ с несколькими сетевыми интерфейсами чаще всего подключение осуществляется через внешний маршрутизатор (рис. 3.23). При этом между внешним маршрутизатором и брандмауэром
328 Компьютерная безопасность и практическое применение криптографии
Маршрутизатор
1
Internet
Рис. 3.23
Схема подключения
с внешним
Брандмауэр
маршрутизатором
имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является для него единственной видимой снаружи машиной. Эта схема наиболее предпочтительна с точки зрения безопасности и надежности защиты.
3.6.7. Использование межсетевых экранов
Говоря об использовании брандмауэров, следует отметить, что этот вид средств защиты информации не нужно воспринимать как панацею от любой беды, поскольку межсетевые экраны в первую очередь предназначены для реализации политики разграничения уделенного доступа к ресурсам сети. Проблема заключается в том, что если, например, брандмауэр запрещает доступ данной группы IP-адресов с Web-сервера, то злоумышленник будет пытаться получить доступ к незащищенным информационным ресурсам.
