.



   

 Каталог

Корпоративные порталы
Информационные порталы
Экспертные порталы
Порталы приложений
Порталы совместной работы
Порталы управления знаниями
Порталы интеграции корпоративных систем

Методологии
Системы поддержки принятия решений (Decision Support Systems — DSS)
Data Warehouse - хранилища данных
Data Mart - Витрины данных
OLAP (On-Line Analytical Processing) - интерактивная аналитическая обработка
Business Intelligence (BI) - бизнес-интеллект
Интеллектуальный анализ данных (Data Mining)
Управление знаниями (Knowledge Management)

Корпоративные сети
Экстранет (Extranet , Экстрасеть)
Защита корпоративных сетей
Интернет (Internet)
Интранет (Intranet)

О проекте

             

Портал о Корпоративных порталах
Консалтинг, создание, внедрение и поддержка

УслугиЭнциклопедияСтатьиРесурсыИсторияНовости
Главная > Статьи > Корпоративные сети > Защита корпоративных сетей

Межсетевые экраны и VPN

Межсетевой экран (firewall, брандмауэр) – некое устройство, которое либо пропускает трафик через себя, либо блокирует его, основываясь на заранее определённых правилах.


Межсетевые экраны можно разделять на классы по различным признакам.

По расположению:
Персональный брандмауэр (personal firewall) – программа, которая устанавливается на каждую рабочую станцию в сети и контролирует соединения, которые пытается установить то или иное приложение.

Распределённый межсетевой экран (distributed firewall) обычно устанавливается на «разрыв» между внутренней сетью и Интернетом и проверяет весь трафик, который проходит через него. При наличии достаточно большой сети имеет смысл установка нескольких межсетевых экранов: для каждого отдела или рабочей группы – в качестве средства защиты от атак внутри сети компании.

По принципу работы:
Пакетные фильтры (packet filter, screening filter)
Пакетный фильтр в чистом виде – это устройство, которое фильтрует сетевые пакеты на основе предопределенных данных о сетевых адресах и портах источника и получателя. Однако в виде независимых программно-аппаратных комплексов межсетевые экраны этого типа уже давно не встречаются по причине недостаточной функциональности. Пакетный фильтр можно легко обойти, к примеру, подменив свой IP-адрес (IP spoofing), к тому же, пакетные фильтры обычно встраивают в маршрутизаторы.

Плюсы

  • Дешевизна
  • «Прозрачность» для приложений
  • Высокая производительность

Минусы

  • Ограниченные возможности анализа (до 4-го уровня модели OSI максимум)
  • Низкий уровень защиты, которую легко обойти
  • Сложность настройки и мониторинга

Прокси-серверы (proxy, application layer gateway)
Технология прокси-сервера заключается в том, что хосты во внутренней сети и хосты во внешней сети устанавливают соединения между собой не напрямую, а через виртуального «посредника» – отдельный сервис, который обращается с клиентом от имени сервера, а с сервером – от имени клиента. Таким образом, межсетевой экран выступает как часть соединения и, соответственно, может анализировать все происходящие при соединении события, обнаруживая, в том числе, и возможные атаки.
Прокси-серверы существуют, в основном, для нескольких наиболее популярных протоколов прикладного уровня: HTTP, FTP и некоторых других. Существует также общемировой стандарт создания прокси-серверов для собственных протоколов SOCKS5 (RFC 1928). Кроме того, в них чаще всего присутствуют возможности пакетной фильтрации.

Плюсы

  • Высокий уровень защиты
  • Проверка на всех уровнях модели OSI (до 7-го включительно)
  • Возможность осуществления контроля содержимого (фильтрации web, электронной почты и т.д.)

Минусы

  • Ограниченное число поддерживаемых протоколов
  • «Непрозрачность» – необходимость прописывать на клиентских машинах адрес прокси-сервера
  • Удвоение количества соединений
  • Низкая производительность, высокие требования к мощности сервера, на котором установлена прокси-служба
  • Плохая масштабируемость

Межсетевые экраны с контролем состояния (stateful inspection)
Межсетевые экраны данной категории производят более тонкий анализ проходящего трафика, а именно, рассматривают каждый пакет в контексте принадлежности его к конкретному соединению, в том числе, с учётом того, кем, когда и как было установлено соединение, и какая активность в рамках данного соединения была перед получением пакета. Причём, учитывая, что ряд протоколов работают без установки соединения (например, UDP), межсетевой экран производит работу с пакетами в рамках так называемого «виртуального» соединения – потока. В этом случае такие пакеты рассматриваются в едином контексте. При этом данный тип межсетевых экранов может использовать информацию не только о текущем соединении, но и о предыдущих соединениях.

Плюсы

  • Высокий уровень защиты
  • Проверка на всех уровнях модели OSI (до 7-го включительно)
  • «Прозрачность» для приложений
  • Достаточно высокая производительность (по сравнению с прокси-серверами)
  • Масштабируемость

Минусы

  • Относительно высокая стоимость

На сегодняшний день межсетевые экраны в чистом виде встречаются довольно редко. Чаще всего, кроме функций фильтрации трафика, устройства включают в себя различные дополнительные возможности по контролю содержимого (content filtering), трансляции сетевых адресов (NAT), организации виртуальных частных сетей (VPN), обнаружению наиболее распространённых атак (IDS) и другие. Поясним назначение некоторых наиболее полезных функций.

Демилитаризованная зона (Demilitarized Zone, DMZ)
Типичный для межсетевого экрана набор интерфейсов включает в себя порт для подключения внутренней сети, порт для внешней сети и один или несколько портов для демилитаризованных зон (DMZ).
Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей – там располагаются только сервера (например, сервер базы данных, web-сервер, почтовый сервер или FTP-сервер). Демилитаризованная зона как правило служит для предотвращения доступа из внешней сети к хостам внутренней сети за счёт выноса из локальной сети в особую зону всех сервисов, требующих доступа извне.

Трансляция сетевых адресов (Network Address Translation, NAT)
При использовании NAT межсетевой экран играет роль шлюза, подменяющего IP адреса пакетов, проходящих через него во внутреннюю сеть или из неё. Эта функция может быть полезной в двух случаях:
1. Для сокрытия схемы внутренней сети от внешнего мира и обеспечения частичной анонимности отправителя пакета;
2. Для преобразования приватных IP адресов внутренней сети (192.168.*.*, 172.16-31.*.*, 10.*.*.*) в реальные для возможности работы в Интернете.

Существует две разновидности NAT:

  • Статическая трансляция (Static NAT, One-to-one NAT), при которой каждому внутреннему IP адресу соответствует собственный внешний адрес;
  • Динамическая трансляция (Dynamic NAT, Hide NAT, Port Address Translation), при которой внутренних адресов больше, чем внешних. Чаще всего динамическая трансляция используется при наличии одного реального IP адреса, выданного провайдером, и нескольких компьютеров во внутренней сети, которым необходимо обеспечить доступ в Интернет. В этом случае все рабочие станции, при попытке установки соединения с Интернетом, будут использовать один и тот же внешний IP адрес. Примечание: устройство, реализующее функцию NAT, будет подменять адрес источника (из внутренней сети) своим адресом; различным станциям внутренней сети будут соответствовать разные порты источника в преобразованном пакете.
Виртуальные частные сети (Virtual Private Networks, VPN)
Технология VPN служит для объединения физически удалённых объектов (сетей или отдельных хостов) в общую виртуальную сеть, используя сети общего пользования (например, Интернет), минуя необходимость прокладывать дополнительные каналы связи. Поскольку информация проходит через сеть общего пользования, её требуется защищать от чтения и изменения. Для этого применяются различные средства кодирования. Они могут накладываться на третьем (сетевом) уровне модели OSI или использовать функцию тунелирования, что создаёт у пользователей иллюзию работы в одной локальной сети, изолированной от Интернета.

На западе чаще всего для защиты трафика применяются протоколы IPSec, PPTP, L2TP и др., использующие алгоритмы DES (56-bit), 3DES (168-bit) и AES (128-bit / 256-bit).

В нашей стране вопрос применения криптографических средств регулируется ФСБ. Опуская формальные аспекты, скажем лишь, что для защиты данных, отнесённых к категориям конфиденциальных, секретных, совершенно секретных или особой важности, требуется применение сертифицированных (Гостехкомиссией или ФСБ – в зависимости от типа) средств, реализующих алгоритм ГОСТ 28147-89. При этом при использовании таких средств требуется получение лицензии или заключение договора с компанией, которая имеет соответствующую лицензию.

Следует учесть, что для работы вышеуказанных алгоритмов на VPN-шлюзах требуются достаточно серьёзные вычислительные мощности, поэтому имеет смысл покупка не программных, а специальных аппаратных средств для создания VPN-туннелей.

Существуют две основные схемы построения VPN сетей.
Схема «сеть-сеть» обычно применяется для соединения удалённых офисов предприятия, которые могут находиться в разных городах и даже странах. В каждом из офисов устанавливается VPN-шлюз, который чаще всего бывает встроен в межсетевой экран. Следует иметь в виду, что трафик защищается только внутри самого VPN-туннеля – внутри каждой из сетей он не защищён.

Схема «точка-сеть» чаще всего служит для подключения к сети компании удалённых сотрудников, при нахождении последних вне офиса (например, в командировке). Для этого на компьютере пользователя должен быть установлен VPN-клиент (который может быть встроен в операционную систему, например, Microsoft Windows 2000/XP), которым пользователь будет подключаться к VPN-шлюзу компании через Интернет.

Критерии выбора межсетевого экрана:

  • Функциональность (поддерживаемые функции: NAT, VPN, фильтрация содержимого и прочие);
  • Следует подсчитать необходимое количество интерфейсов (DMZ, модемные пулы...);
  • Возможность интеграции с уже имеющимся оборудованием (с антивирусным ПО, с системой контроля содержимого, с системой обнаружения атак и т. д.);
  • Стоимость владения (цена устройства + необходимость дополнительного обучения администратора межсетевого экрана + зарплата такого администратора + техподдержка).
Автор:  Артем Инджикян  Secure Networks    Источник


18.04.2007



Кроме этой статьи Вы можете посмотреть по тематеке текущего раздела:
__________________
Версия для печати

 


 
 

        Поиск

   
        Расширенный поиск

Ресурсы

Межсетевые экраны

Межсетевые экраны. Часть2

Межсетевые экраны. Часть 3

Межсетевые экраны. Часть 4

Межсетевые экраны. Часть 5

CorPortal.ru Все права защищены. Инспро

Рейтинг@Mail.ru
!