Раздел: Документация
0 ... 30 31 32 33 34 35 36 ... 125 более сложные правила. Например, большая часть пользователей будут работать с Web- или другими популярными службами через proxy-сервер. Если Web-сервер расположен в экранированной подсети, следует настроить маршрутизатор так, чтобы с ним могли взаимодействовать напрямую только некоторые клиенты. Это должны быть рабочие станции пользователей, отвечающих за создание размещаемого на сервере контента. С помощью пакетных фильтров удобно создать несколько брандмауэров, разделяющих сеть компании на функциональные компоненты. Например, требования к безопасности у исследовательского отдела и у производственных подразделений и бухгалтерии могут различаться. Поэтому бывает целесообразно установить брандмауэры между локальными сетями этих подразделений. Тогда вам, возможно, будет проще задавать правила, поскольку защиту от внешнего мира уже обеспечит находящийся на границе с ним межсетевой экран. В любом случае не забывайте о том, что пакетный фильтр, независимо от его конкретной реализации - на основе маршрутизатора или компьютера с соответствующим программным обеспечением, должен быть правильно настроен для работы в составе межсетевого экрана. Не существует простого ответа на вопрос: «Какие правила следует задать в пакетном фильтре?» Ответ зависит от того, какие сервисы вы хотите предоставить и кому, и от того, как вы намерены это осуществить. Создание правил фильтрации пакетов При выборе правил фильтрации пакетов вам необходимо ответить на следующие вопросы: О работу каких служб в сети вы собираетесь обеспечить и в каком направлении (изнутри наружу или снаружи внутрь); О собираетесь ли вы ограничивать возможности внутренних компьютеров по подключению к серверам Internet; О существуют ли какие-либо внешние доверенные узлы, которым нужна особая форма доступа в вашей внутренней сети. В разных продуктах правила создаются на основе различной информации, но чаще всего требуются такие данные: О интерфейс и направление. В каком направлении и по какому интерфейсу следует пакет; О IP-adpeca отправителя и получателя. Имеется возможность проконтролировать, откуда пакет пришел (IP-адрес отправителя), и куда он собирается направиться (IP-адрес получателя); О опции IP. Это поле необходимо проверять в особенности для блокирования маршрутизации от источника; О протокол более высокого уровня. Указывается тип протокола, работающего с IP-пакетом, например TCP или UDP; О бит АСК для TCP-пакетов. Проверка данного поля позволяет обнаружить попытки установки соединения; О тип сообщения ICMP. С помощью этих данных удается предотвратить некоторые попытки получить информацию о сети; О порт отправителя и назначения для пакетов TCP и UDP. Информация, предназначенная для определения типа службы. При создании правил фильтрации пакетов необходимо следовать нескольким важным соглашениям. I Более подробно проблема подделки IP-адреса обсуждается в главе 3. I i Во-первых, в правилах, запрещающих или разрешающих доступ к узлу сети, следует использовать IP-адрес, а не имя домена или узла. Подделать IP-адрес или имя узла относительно легко, однако в атаках многих типов такая подмена не срабатывает просто потому, что получить ответ на запрос с ложным IP-адресом достаточно трудно. Если же хакер имеет доступ к базе данных DNS, ему совсем не сложно сфальсифицировать имя узла или домена. В этом случае имя может казаться вам знакомым, но соответствовать другому адресу. Не возвращайте по внешнему интерфейсу никакие 1С MP-коды. С их помощью атакующий сумеет добыть информацию о сети, в частности о том, какие пакеты попадают внутрь, а какие нет. Если возвращать ICMP-коды только для некоторых пакетов, атакующий узнает о наличии механизма фильтрации пакетов. В этой ситуации любые сведения о вашей сети будет представлять интерес для хакера. Одна из основных функций межсетевого экрана состоит в сокрытии данных о внутренней сети. Хакер сможет определить методом исключения, что именно не работает, и в конце концов найдет способ добиться своей цели. Не возвращая ICMP-коды, вы ограничите информацию, доступную хакеру. Отбрасывайте все пакеты с адресом отправителя, соответствующим внутренней сети, приходящие по внешнему сетевому адаптеру. Эти пакеты скорее всего созданы нарушителем, пытающимся проникнуть сквозь защиту путем подделки адреса. Об этом уже говорилось, но стоит повторить еще раз. Всегда существует вероятность, что кто-либо в вашей внутренней сети создаст еще одно подключение к Internet, возможно - по ошибке, в результате неправильной настройки маршрутизатора или установки модемного входа, о котором вы не знаете. Следует всегда помнить, что межсетевой экран не в состоянии защитить вас от атаки изнутри (или от ошибок). Не забывайте, что для обеспечения безопасности нужна бдительность и регулярные проверки, а также четкое понимание того, что содержит ваша сеть и как она должна настраиваться. Опасные службы Одни службы более опасны, чем другие. Набор TCP/IP создавался до того, как сеть Internet стала широко использоваться для коммерческих или домашних применений. Тогда она объединяла сети академических и военных организаций и нескольких сотрудничавших с ними крупных компаний. Создатели TCP/IP и некоторых из популярных сетевых служб даже не задумывались о возникающих сегодня важных проблемах безопасности. Вот ряд «опасных» служб, которые следует всегда блокировать в брандмауэре: О Network File System (NFS, Сетевая файловая система). Если разрешить ее работу через брандмауэр, то на внешнем компьютере можно будет смонтировать файловую систему вашей сети и обращаться к файлам и каталогам так же, как если бы они были подключены к локальной сети нарушителя; О Network Information Services (NIS, Информационная служба сети). Посредством этой службы, когда-то известной как «Yellow Pages» (Желтые страницы), хакеры в состоянии добыть важную информацию, такую как имена узлов и пользователей в вашей сети; О X Windows. При работе с клиентами и серверами X Windows возникает множество проблем безопасности. Кроме трудностей с запуском приложений и предоставлением привилегий, сеанс X Windows бывает столь же опасным, как сеанс Telnet. Не забывайте запретить в конце списка правил все оставшиеся службы. Клиенты должны пользоваться лишь открытыми службами и только в безопасном направлении. При вызове через брандмауэр таких служб, как Telnet или FTP, следует обращаться к их версиям, обеспечивающим строгую аутентификацию, или применять proxy-сервер, как описано в следующей главе. Информация в IP-заголовке В общем случае пакетные фильтры работают только с информацией из заголовка пакета. Поскольку в каждом пакете находится несколько заголовков различных протоколов, проверяются лишь те из них, которые важны для фильтрации пакетов. Большинству пакетных фильтров не требуется информация на уровне кадра Ethernet. Здесь адрес отправителя и другие аналогичные поля представляют собой М АС-адрес либо локальной системы, либо маршрутизатора, который является последним этапом на пути пакета в Internet. На следующем уровне вверх по стеку протокола находятся сведения из заголовка IP-пакета. Видно, что они довольно ограничены (см. рис. 2.4). Какой информацией из этого заголовка может воспользоваться пакетный фильтр? Важными являются следующие данные: О IP-адреса отправителя и получателя; О протокол, например TCP, UDP или ICMP; О опции IP, такие как маршрутизация от источника. Наиболее очевидно применение адресов отправителя и получателя. Если доступ через брандмауэр должен быть разрешен лишь для ограниченного числа узлов Internet, то удобно фильтровать входящие пакеты на основе указанного в них адреса отправителя. И наоборот -пакеты, приходящие из внутренней сети, 0 ... 30 31 32 33 34 35 36 ... 125
|