МЕТОДИ ЗАХИСТУ ЛОКАЛЬНИХ КОМП'ЮТЕРНИХ МЕРЕЖ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ ЗОВНІ

3.1 Програмно - апаратні методи захисту по мережі INTERNET

До програмно-апаратних засобів забезпечення інформаційної безпеки засобів зв'язку в обчислювальних мережах відносяться:

Опишемо дані засоби захисту, що застосовуються в мережі Internet. По-перше, звернемо увагу на помилкову точку зору стосовно думки про "абсолютний захист", що нібито забезпечують системи Firewall, по-друге, порівняємо існуючі версії криптопротоколів, застосовуваних у Internet, і дамо оцінку, критичному положенню в цій області; і, по-третє, ознайомимося з можливістю захисту за допомогою мережного монітора безпеки, призначеного для здійснення динамічного контролю за виникаючими ситуаціями в сегменті ІР-мережі, який захищається, що свідчать про здійснення на даний сегмент однієї з вилучених атак.

3.2 Основна методика програмно-апаратного засобу безпеки у виділеному сегменті мережі-INTERNET

У загальному випадку методика Firewall реалізує наступні основні три функції:

1 Багаторівнева фільтрація мережного трафіка.

Фільтрація звичайно здійснюється на трьох рівнях OSI:

мережному (IP); *

транспортному (TCP, UDP); *

прикладному (FTP, TELNET, HTTP, SMTP і т.д.).

Фільтрація мережного трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережну політику безпеки у виділеному сегменті IP-мережі, тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до відповідного службам хостів чи до хостів, що знаходяться в сегменті, що захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсам зовнішньої мережі. Можна провести аналогію з адміністратором локальної ОС, що для здійснення політики безпеки в системі призначає необхідним образом відповідні відносини між суб'єктами (користувачами) і об'єктами системи (файлами, наприклад), що дозволяє розмежувати доступ суб'єктів системи до її об'єктів відповідно до заданого адміністратором правами доступу. Ті ж міркування застосовні до Firewall-фільтрації: як суб'єктів взаємодії будуть виступати IP-адреси хостів користувачів, а як об'єкти, доступ до яких необхідно розмежувати, - ІР-адреск хостів, використовувані транспортні протоколи і служби надання вилученого доступу.

2 Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію вилученого користувача і, по-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Зміст proxy-схеми складається в створенні з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.

3. Створення приватних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У тому випадку, якщо адміністратор безпеки мережі вважає за доцільне сховати щиру топологію своєї внутрішньої IP-мережі, то йому можна порекомендувати використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідно або використання на хості Firewall описаних вище proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації), тільки через який і можлива зовнішня адресація. Це відбувається через те, що використовувана у внутрішній PVN-мережі віртуальна IP-адреса, мабуть, не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому чи proxy-сервер засіб роутінгу повинний здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. До речі, ця схема зручна в тому випадку, якщо вам для створення ІР-мережі виділили недостатню кількість IP-адрес (у стандарті IPv4 це случається суцільно і поруч, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера).

Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайної ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Інша справа, пропоновані на ринку могутні Firewall-комплекси, зроблені на базі ЕОМ чи мічі -ЕОМ, звичайно реалізують усі функції Firewall-методики і є повно функціональними системами Firewall. На наступному малюнку зображений сегмент мережі, відділений від зовнішньої мережі повно функціональним Firewall - хостом.

Однак адміністраторам IP-мереж, піддавшись на рекламу систем Firewall, не варто помилятися на той рахунок, що Firewall це гарантія абсолютного захисту від вилучених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування вилученого доступу до доступних ресурсів вашої мережі Так, у тому випадку, якщо, наприклад, до даного хосту заборонений вилучений TELNET-доступ, то Firewall однозначно запобіжить можливість даного доступу. Але справа в тім, що більшість вилучених атак мають зовсім інші мети (безглуздо намагатися одержати визначений вид доступу, якщо він заборонений системою Firewall). Дійсно, задамо собі питання, а які з вилучених атак може запобігти Firewall? Аналіз мережного трафіка ? Помилковий ARP-сервер? Помилковий DNS-сервер? Ні, на жаль, Firewall вам отут не помічник. Нав'язування помилкового маршруту за допомогою протоколу ІСМР? Так, цю атаку шляхом фільтрації ІСМР-повідомлень Firewall легко відіб'є (хоча досить буде фільтруючого маршрутизатора, наприклад Cisco). Підміна одного із суб'єктів TCP-з'єднання? Відповідь негативна; Firewall отут абсолютно не при чому. Порушення працездатності хосту шляхом створення спрямованого шторму помилкових запитів чи переповнення черги запитів? У цьому випадку застосування Firewall тільки погіршить усю справу. Атакуючому для того, щоб вивести з ладу (відрізати від