Раздел: Документация
0 ... 24 25 26 27 28 29 30 ... 125 О доступ к внешним узлам через Telnet разрешен только сотрудникам исследовательского отдела и запрещен всем остальным пользователям. Пользователи, которые могут войти в сеть снаружи, должны подключаться с помощью модема, установленного на защищенном сервере, помещенном в экранированную подсеть; О запрещен доступ по протоколу FTP в обоих направлениях; О серверы DNS в экранированной подсети выполняют преобразование адресов межсетевых экранов и proxy-серверов, но не клиентов во внутренней локальной сети. Это краткий список. Его легко составить, следуя принципу запрета всего, что не разрешено. Кроме определения разрешенных сервисов и способа их реализации (при помощи proxy-сервера или пакетного фильтра, для всех пользователей или только для избранных узлов), следует также включить в политику брандмауэра пункты, задающие частоту просмотра log-файлов, настройку предупреждений и т.д. И наконец, проявляйте гибкость при подходе к запросам пользователей и делайте исключения, но не заходите в этом слишком далеко, иначе вы рискуете допустить столько исключений, что брандмауэр станет практически бесполезным! Стратегии брандмауэра Завершив определение требований к безопасности сети и формулирование политики безопасности, вы будете готовы приступить к проектированию брандмауэра. Выбор компонентов зависит от типа служб, которые вы собираетесь предоставить пользователям локальной сети, а выбор служб - от того, как они соотносятся с действиями, разрешенными политикой безопасности. Два основных компонента для создания межсетевого экрана: О пакетный фильтр; О proxy-сервер. Вы можете использовать оба или только один из них. Эти компоненты реализуются различными способами и обеспечивают разный уровень защиты. Способ настройки компонентов межсетевого экрана называется его архитектурой. На выбор предоставляется одна из следующих архитектур: О пакетный фильтр на основе компьютера или маршрутизатора; О двухканальный шлюз; О экранированный узел; О экранированная подсеть. Применение пакетного фильтра В наше время межсетевой экран может состоять из одного или нескольких маршрутизаторов или компьютеров с соответствующим программным обеспечением, использующих различные методы для разрешения или запрета доступа в вашу локальную сеть или из нее. Но первым типом межсетевых экранов, который начал широко применяться, стал простой экранирующий маршрутизатор (screening router), сейчас обычно называемый пакетным фильтром (packet filter). Более подробное обсуждение применяемых в брандмауэрах пакетных фильтров вы можете найти в главе 5. Маршрутизатор (router) - это сетевое устройство с несколькими интерфейсами, подключенное к нескольким сетям. Когда компьютеру или сети необходимо переслать пакет компьютеру в другой сети, он передает пакет маршрутизатору, который затем определяет наилучший метод доставки данных к месту назначения. Маршрутизатор принимает решение на основе адресной информации в заголовке пакета. Когда маршрутизатор способен определить, что пакет предназначается для узла в одной из подсетей, непосредственно подключенных к одному из его сетевых интерфейсов, пакет быстро пересылается в нужную подсеть. Если маршрутизатор обнаруживает, что необходимо доставить пакет в какую-то другую сеть, он передает его следующему маршрутизатору (в следующий «пор» - сегмент маршрута), который может знать, как доставить пакет к месту назначения. Если же маршрутизатору не удастся найти следующий сегмент, в который можно отправить пакет, он просто отбросит его и вернет источнику соответствующее сообщение ICMP «адресат недоступен». Экранирующий маршрутизатор - это маршрутизатор, в котором задан набор правил, устанавливающих разрешенные типы сетевого трафика, которые имеют право проходить через подключенные к нему сетевые интерфейсы. Другими словами, после того, как маршрутизатор определит, может ли он доставить пакет (в следующий сегмент или конечному адресату), он сверяется с набором правил, проверяя, должен ли он его передавать. Предположим, например, что маршрутизатор получает от какого-либо узла Internet пакет с запросом на создание сеанса Telnet с узлом вашей внутренней локальной сети. Маршрутизатор сразу же определяет, что он может доставить пакет - для этого достаточно просто передать его в интерфейс, к которому подключен адресат, поместив в пакет МАС-адрес соответствующего узла. Но экранирующему маршрутизатору необходимо предварительно проверить пакет на соответствие правилам. В данном случае входящие Telnet-соединения должны блокироваться. Поэтому, как видно на рис. 4.1, узлы во внутренней локальной сети защищены от возможного проникновения нарушителя при помощи Telnet. Основной метод фильтрации пакетов называется фильтрацией без памяти (stateless packet filtering), поскольку каждый пакет обрабатывается по отдельности - только на основе информации в его заголовке. При новом методе фильтрации пакетов, который называется фильтрацией с памятью (stateful packet filtering или stateful inspection), в памяти сохраняются сведения о состоянии текущих сеансов. Рабочая станция
Сервер
Рис. 4.1 Пакетный фильтр отбирает пакеты, которые можно передавать между вашей локальной сетью и Internet Если полученный пакет якобы является ответом на пакет, переданный из локальной сети, пакетный фильтр с памятью проверяет, действительно ли был сделан соответствующий запрос. Таким образом, при наличии фильтра с памятью потенциальному нарушителю будет сложнее проникнуть в сеть путем подмены адресов пакетов. Какой информацией располагает пакетный фильтр? Пакетный фильтр работает с информацией из заголовка сетевого пакета, и различные продукты могут выполнять фильтрацию на основе одного или нескольких из следующих параметров: •IP-адрес отправителя и адресата; •протокол (например, TCP, UDP или ICMP); •порт TCP или UDP отправителя или адресата; •тип сообщения (для сообщений ICMP). Кроме того, важны не только сведения, содержащиеся в самом пакете, — имеет значение и интерфейс, по которому он прибывает! Например, если фильтр получает пакет по интерфейсу, подключенному к внешней сети, а адрес отправителя соответствует локальной сети, этот пакет должен быть отброшен фильтром, поскольку такое сочетание для обычных пакетов невозможно. До сих пор мы рассуждали о фильтрации пакетов только с помощью маршрутизатора, однако многие коммерческие межсетевые экраны также обеспечивают такую возможность. Часто оказывается даже, что фильтрацию пакетов предпочтительнее выполнять на компьютере, а не на маршрутизаторе, благодаря простоте работы с ним и возможностям регистрации. Настройка маршрутизатора бывает достаточно сложной задачей, в особенности если при этом необходимо задавать большое число правил. 0 ... 24 25 26 27 28 29 30 ... 125
|