Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.




Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования форму­лируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) (предложенный автором перевод английского термина firewall) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet (см. следу­ющий раздел).

Экранирование помогает поддерживать доступность сервисов внут­ренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов бе­зопасности, поскольку первоначально злоумышленник должен преодо­леть экран, где защитные механизмы сконфигурированы особенно тща­тельно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информа­ционные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации.

Подчеркнем, что экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где проис­ходит обмен сообщениями. Важнейший пример подобной среды — объ­ектно-ориентированные программные системы, когда для активизации методов объектов выполняется (по крайней мере, в концептуальном пла­не) передача сообщений. Весьма вероятно, что в будущих объектно-ори­ентированных средах экранирование станет одним из важнейших инстру­ментов разграничения доступа к объектам.

Экранирование может быть частичным, защищающим определен­ные информационные сервисы. Экранирование электронной почты опи­сано в статье «Контроль над корпоративной электронной почтой: систе­ма «Дозор-Джет»» (Jet Info, 2002, 5).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно напа­дать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамиче­ски. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипер­текстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирую­щие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрыва­ется реальная организация данных.

Архитектурные аспекты

Бороться с угрозами, присущими сетевой среде, средствами универ­сальных операционных систем не представляется возможным. Универ­сальная ОС — это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использова­ны для нелегального получения привилегий. Современная технология программирования не позволяет сделать столь большие программы безо­пасными. Кроме того, администратор, имеющий дело со сложной систе­мой, далеко не всегда в состоянии учесть все последствия производимых изменений. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами кор­поративной сети). В первом случае говорят о внешнем МЭ, во втором — о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но никак не единственной) лини­ей обороны. Первой — если смотреть на мир глазами внешнего злоумыш­ленника. Последней — если стремиться к защищенности всех компонен­тов корпоративной сети и пресечению неправомерных действий внутрен­них пользователей.

Межсетевой экран — идеальное место для встраивания средств ак­тивного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С дру­гой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в принципе может создать брешь, способствующую атакам на доступность.

На межсетевой экран целесообразно возложить идентификацию/ау­тентификацию внешних пользователей, нуждающихся в доступе к корпо­ративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внеш­них подключений обычно используется двухкомпонентное экранирова­ние (см. рис. 12.3). Первичная фильтрация (например, блокирование па­кетов управляющего протокола SNMP, опасного атаками на доступность,

или пакетов с определенными IP-адресами, включенными в «черный список») осуществляется граничным маршрутизатором (см. также следу­ющий раздел), за которым располагается так называемая демилитаризо­ванная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации — Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпора­тивной сети.

Внешняя сеть

Граничный маршрутизатор с экранирующими функциями

Демилитаризованная зона (внешние информационные сервисы организации: Web-сервер, почтовый сервер и т.п.)

Основной межсетевой экран

Внутренняя сеть

Рис. 12.3. Двухкомпонентное экранирование с демилитаризованной зоной.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейст­ва протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

Вообще говоря, и внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предпола­гает разбиение МЭ на несколько аппаратных частей и организацию спе­циализированных серверов-посредников. Основной межсетевой экран

может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик снача­ла обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких терри­ториально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согла­сованного администрирования (управления и аудита) всех компонентов.

Противоположностью составным корпоративным МЭ (или их ком­понентами) являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продукта­ми, которые устанавливаются на персональные компьютеры и защищают только их. Вторые реализуются на отдельных устройствах и защищают не­большую локальную сеть, такую как сеть домашнего офиса.

При развертывании межсетевых экранов следует соблюдать рассмо­тренные нами ранее принципы архитектурной безопасности, в первую очередь позаботившись о простоте и управляемости, об эшелонирован­ности обороны, а также о невозможности перехода в небезопасное состо­яние. Кроме того, следует принимать во внимание не только внешние, но и внутренние угрозы.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...