Програмно – апаратні методи захисту від вилучених атак у IP мережі.
До програмно-апаратних засобів забезпечення інформаційної безпеки засобів зв'язку в обчислювальних мережах відносяться:
апаратні шифратори мережного трафіка;
методика Firewall, реалізована на базі програмно-апаратних засобів;
захищені мережні криптопротоколи;
програмно-апаратні аналізатори мережного трафіка;
захищені мережні ОС.
Опишемо дані засоби захисту, застосовувані в Internet. При цьому ми переслідуємо наступні цілі: по-перше, ще раз повернемося до міфу про "абсолютний захист" , що нібито забезпечують системи Firewall, мабуть, завдяки старанням їхніх продавців; по-друге, порівняємо існуючі версії криптопротоколів, застосовуваних у Internet, і дамо оцінку, по суті, критичному положенню в цій області; і, по-третє, ознайомимося з можливістю захисту за допомогою мережного монітора безпеки, призначеного для здійснення динамічного контролю за виникаючими ситуаціями в сегменті IP-мережі, який захищається, що свідчать про здійснення на даний сегмент однієї з вилучених атак.
Методика Firewall як основний програмно-апаратний засіб здійснення мережної політики безпеки у виділеному сегменті IP-мережі.
У загальному випадку методика Firewall реалізує наступні основні три функції:
1. Багаторівнева фільтрація мережного трафіка.
Фільтрація звичайно здійснюється на трьох рівнях OSI:
мережному (IP);
транспортному (TCP, UDP);
прикладному (FTP, TELNET, HTTP, SMTP і т.д.).
Фільтрація мережного трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережну політику безпеки у виділеному сегменті IP-мережі, тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до відповідного службам хостів чи до хостів, що знаходяться в сегменті, що захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсам зовнішньої мережі. Можна провести аналогію з адміністратором локальної ОС, що для здійснення політики безпеки в системі призначає необхідним образом відповідні відносини між суб'єктами (користувачами) і об'єктами системи (файлами, наприклад), що дозволяє розмежувати доступ суб'єктів системи до її об'єктів відповідно до заданого адміністратором правами доступу. Ті ж міркування застосовні до Firewall-фільтрації: як суб'єктів взаємодії будуть виступати
IP-адреси хостів користувачів, а як об'єкти, доступ до яких необхідно розмежувати, - IP-адреси хостів, використовувані транспортні протоколи і служби надання вилученого доступу.
2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.
Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію вилученого користувача і, по-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Зміст proxy-схеми складається в створенні з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.
3. Створення приватних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).
У тому випадку, якщо адміністратор безпеки мережі вважає за доцільне сховати щиру топологію своєї внутрішньої IP-мережі, то йому можна порекомендувати використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідно або використання на хості Firewall описаних вище proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації), тільки через який і можлива зовнішня адресація. Це відбувається через те, що використовувана у внутрішній PVN-мережі віртуальна IP-адреса, мабуть, не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому чи proxy-сервер засіб роутінгу повинний здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. До речі, ця схема зручна в тому випадку, якщо вам для створення IP-мережі виділили недостатню кількість IP-адрес (у стандарті IPv4 це случається суцільно і поруч, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера).
Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайної ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію IP-трафіка. Інша справа, пропоновані на ринку могутні Firewall-комплекси, зроблені на базі ЕОМ чи міні - ЕОМ, звичайно реалізують усі функції Firewall-методики і є повно функціональними системами Firewall. На наступному малюнку зображений сегмент мережі, відділений від зовнішньої мережі повно функціональним Firewall - хостом.
Рис. 3.1. Узагальнена схема повно функціонального хосту Firewall.
Однак адміністраторам IP-мереж, піддавшись на рекламу систем Firewall, не варто помилятися на той рахунок, що Firewall це гарантія абсолютного захисту від вилучених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування вилученого доступу до доступних ресурсів вашої мережі. Так, у тому випадку, якщо, наприклад, до даного хосту заборонений вилучений TELNET-доступ, то Firewall однозначно запобіжить можливість даного доступу. Але справа в тім, що більшість вилучених атак мають зовсім інші мети (безглуздо намагатися одержати визначений вид доступу, якщо він заборонений системою Firewall). Дійсно, задамо собі питання, а які з вилучених атак може запобігти Firewall? Аналіз мережного трафіка ? Помилковий ARP-сервер? Помилковий DNS-сервер? Ні, на жаль, Firewall вам отут не помічник. Нав'язування помилкового маршруту за допомогою протоколу ICMP? Так, цю атаку шляхом фільтрації ICMP-повідомлень Firewall легко відіб'є (хоча досить буде фільтруючого маршрутизатора, наприклад Cisco).