5.6. Захист мережі з використанням брандмауерів та
серверів-посередників
Первинне значення терміна брандмауер (firewall) –
це стіна у будівлі, зроблена з вогнетривких та незаймистих матеріалів, яка може
перешкодити поширенню пожежі. У комп’ютерній мережі брандмауер – це комп’ютер з
програмною системою, який встановлюють на межі мережі і який перепускає тільки
авторизовані певним чином пакети.
Найчастіше брандмауери захищають внутрішню
корпоративну мережу від зазіхань із зовнішньої мережі. Однак їх можна використовувати
для фільтрування вихідної інформації, обмеження доступу користувачів
внутрішньої мережі назовні.
Сервери-посередники (proxy-server). Інколи функції
брандмауера в складних системах розподілені між власне брандмауерами та
серверами-посередниками. Брандмауер захищає мережу від зовнішнього впливу. Він
фільтрує кадри канального рівня, розпізнає сеанс, який відкриває зовнішній
користувач. Сервер-посередник контролює та обмежує вихід внутрішнього
користувача назовні, а також часто є його представником. Функції
сервера-посередника: приховування адреси внутрішніх станцій, подаючи всю мережу
назовні як один комп’ютер з адресою сервера; кешування популярних web-сторінок,
файлів, так, що користувачі не змушені звертатися до зовнішньої мережі.
Популярну інформацію сервер оновлює автоматично з визначеною періодичністю.
Класифікація брандмауерів. Брандмауери
застосовують різні алгоритми фільтрування, вони мають різні ступені захисту та
вартість. Для класифікації брандмауерів їхню роботу описують з використанням
еталонної моделі OSI.
Розрізняють:
ü
брандмауери
з фільтруванням пакетів (packet filtering firewall;
працюють на канальному, мережевому рівнях);
ü
шлюзи
сеансового рівня (circuit level gateway;
працюють на сеансовому рівні, розпізнають сеанс);
ü
шлюзи
рівня застосувань (application level gateway;
фільтрують інформацію за застосуваннями);
ü
брандмауери
експертного рівня (stateful inspection farewall;
виконують функції брандмауерів усіх нижчих рівнів).
Зазвичай, чим вищий рівень роботи брандмауера, тим
більший рівень захисту він забезпечує.
Брандмауери з фільтруванням пакетів працюють разом
з апаратним або програмним маршрутизатором. Вони аналізують зміст IP-заголовків
пакетів і на підставі інформації у них та своєї таблиці правил й ухвалюють
рішення про проходження пакета чи його відкидання. Найчастіше інформацією, на
підставі якої ухвалюють рішення про проходження пакета, є його повна адресна
інформація, інформації про протокол та застосування, номери портів одержувача
та відправника. Якщо пакет не задовольняє жодного з правил, то діє правило
"за замовчуванням". Воно найчастіше відкидає пакет. Конкретна
конфігурація правил залежить від політики організації. Брандмауери генерують
невелику затримку передавання повідомлень. Часто функції фільтрування пакетів
інтегрують у маршрутизаторах. Водночас рівень захисту у таких брандмауерів
незначний – зловмисник може підмінити адресну частину ІР-пакета.
Шлюзи сеансового рівня розпізнають учасників
сеансу. Процедури перевірки виконують тільки на початку сеансу. Після того, як
автентичність клієнта та сервера підтверджена, такий шлюз просто копіює пакети,
не виконуючи фільтрування. Шлюзи сеансового рівня підтримують таблицю діючих
сеансів і, коли сеанс завершується, знищують відповідний запис. Копіювання
пакетів виконують спеціальні програми, які називають канальними посередниками
(pipe proxies). Шлюзи сеансового рівня можуть виконувати і функцію
сервера-посередника, який відображає внутрішні адреси локальної мережі в одну
(фактично адресу брандмауера). Для пакетів, що надходять у зворотному напрямі,
виконується зворотна операція. Отже, адресний простір мережі захищено –
зовнішній користувач не бачить внутрішніх адрес. Однак такі шлюзи не
забезпечують достатнього захисту і тому, зазвичай, не є окремим продуктом, їх
постачають разом зі шлюзами рівня застосувань.
Шлюзи рівня застосувань. Застосуванням
відповідають спеціальні програми-посередники. Вони можуть виконувати
фільтрування на рівні застосувань. Кожне застосування може мати свого
посередника. На відміну від посередників у шлюзах сеансового рівня, посередники
рівня застосувань аналізують пакети на рівні застосувань. Наприклад, посередник
застосування FTP може заборонити використання команди put для заборони
передавання інформації на свій сервер.
Брандмауери експертного рівня поєднують риси всіх
попередніх систем. Вони виконують фільтрування пакетів на канальному рівні,
розпізнають сеанс як шлюзи сеансового рівня і мають змогу аналізувати й
фільтрувати пакети за ознаками рівня застосувань. На відміну від брандмауерів рівня
застосувань, які фактично передають інформацію між двома розірваними ланками
передавання клієнт-шлюз та шлюз-зовнішній комп’ютер і спричинюють значну
затримку в передаванні інформації, брандмауери експертного рівня налагоджують
пряме сполучення між розпізнаним клієнтом та сервером. Для фільтрування потоку
використовують спеціальні шаблони, евристичні правила, порівняння зі зразками,
інші методи з арсеналу експертних систем. Брандмауери експертного рівня
забезпечують найвищий рівень захисту та високі параметри продуктивності.
Захист мережі за допомогою брандмауерів.
Брандмауер зазвичай встановлюється між маршрутизатором і мережею, яку
захищають, і є комп’ютером з двома мереженими і адаптерами. Один адаптер
підключений до концентратора так званої демілітаризованої мережі (DMZ), інший –
до концентратора мережі, яку захищають. Брандмауер зазвичай підключають аби
через нього проходив увесь трафік «Інтернет – мережа, яку захищають». Важливо
відмітити, що, оскільки доступ до DMZ-концентратора мають тільки маршрутизатор
і брандмауер, весь обмін даними з Інтернетом проходить через брандмауер.
Програмним забезпеченням брандмауера здійснюється:
перевірка вмісту пакета, виконання проксі-служб, шифрування, автентифікація і
генерування попереджень. Для перевірки підозрілого трафіку (наприклад,
неодноразових спроб підключення до мережі) проводиться аналіз вмісту пакетів з
однаковою IP-адресою пункту призначення. Далі дії залежать від конфігурації
брандмауера: або відкидаються всі подальші підозрілі пакети, або про цю ситуацію
повідомляється адміністратору брандмауера.
Проксі-служба є посередником між хостом, що
запрошує службу, і самою службою і застосовується з такими протоколами, як FTP,
Telnet. Брандмауер обробляє запити на з’єднання, а це означає, що він
функціонує в якості проксі-служби. Багато проксі-служб FTP дозволяють задіяти
або відключати певні FTP-команди.