Межсетевой экран экранирующий маршрутизатор

7.4. Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к гло­бальным сетям администратор сетевой безопасности должен ре­шать следующие задачи:

  • защита корпоративной или локальной сети от несанкциони­рованного удаленного доступа со стороны глобальной сети;
  • скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
  • разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установления жестких ограничений доступа к информаци­онным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпоративной сети нескольких сегментов с разными уровнями защищенности:

свободно доступные сегменты (например, рекламный WWW-сервер),

сегмент с ограниченным доступом (например, для доступа со­трудникам организации с удаленных узлов),

• закрытые сегменты (например, финансовая локальная сеть ор­ганизации).

Для защиты корпоративной или локальной сети применя­ются следующие основные схемы организации межсетевых экранов:

межсетевой экран — фильтрующий маршрутизатор;

межсетевой экран на основе двухпортового шлюза;

межсетевой экран на основе экранированного шлюза;

межсетевой экран — экранированная подсеть

Межсетевой экран — фильтрующий маршрутизатор.

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реали­зации. Он состоит из фильтрующего маршрутизатора, расположен­ного между защищаемой сетью и сетью internet (рис. 33). Фильт­рующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Рис. 33. Межсетевой экран на основе фильтрующего

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть досту­па к ним из Internet блокируется. Часто блокируются такие опасные службы, как X Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасно­сти, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено в явной форме» может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатки, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметим не­которые из них:

сложность правил фильтрации; в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от непротестированных атак; практически отсутствующие возможности регистрации событий; в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

Читайте также:  Huawei dns настройка роутера

каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

Межсетевой экран на основе двухпортового шлюза.

Межсетевой экран на базе двухпортового прикладного шлю­за включает двудомный хост-компьютер с двумя сетевыми интер­фейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения допол­нительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рис. 34). В ре­зультате между прикладным шлюзом и маршрутизатором образу­ется внутренняя экранированная подсеть. Эту подсеть можно ис­пользовать для размещения доступных извне информационных серверов.

Рис.34. Межсетевой экран с прикладным шлюзом и

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз полностью блокирует трафик IP между сетью internet и защищаемой сетью. Только полномочные серверы-посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме», при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной.

Следует отметить, что безопасность двудомного хост компьютера, используемого в качестве прикладного шлюза, долж­на поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появит­ся возможность проникнуть в защищаемую сеть.

Этот межсетевой экран может требовать от пользователей применения средств усиленной аутентификации, а также регистра­ции доступа, попыток зондирования и атак системы нарушителем.

Для некоторых сетей может оказаться неприемлемой не­достаточная гибкость схемы межсетевого экрана с прикладным шлюзом.

Межсетевой экран на основе экранированного шлюза.

Межсетевой экран на основе экранированного шлюза объ­единяет фильтрующий маршрутизатор и прикладной шлюз, раз­мещаемый со стороны внутренней сети. Прикладной шлюз реали­зуется на хост-компьютере и имеет только один сетевой интер­фейс (рис. 35).

Рис. 35. Межсетевой экран с экранированным шлюзом

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором.. Пакетная фильтрация в фильт­рующем маршрутизаторе может быть реализована одним из сле­дующих способов:

Читайте также:  Нет доступа роутеру beeline

позволять внутренним хост-компьютерам открывать соединения с хост-компьютерами, в сети Internet для определенных серви­сов (разрешая доступ к ним средствами пакетной фильтрации);

запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать полномочные серверы-посредники на прикладном шлюзе).

Эти подходы можно комбинировать для различных серви­сов, разрешая некоторым сервисам соединение непосредственно через пакетную фильтрацию, в то время как другим только непря­мое соединение через полномочные серверы-посредники. Все за­висит от конкретной политики безопасности, принятой во внутрен­ней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои полномочные серверы-посредники, обеспечивал для систем защищаемой сети такие сер­висы, как TELNET, FTP, SMTP.

Межсетевой экран, выполненный по данной схеме, получа­ется более гибким, но менее безопасным по сравнению с межсе­тевым экраном с прикладным шлюзом на базе двудомного хост-компьютера. Это обусловлено тем, что в схеме межсетевого экра­на с экранированным шлюзом существует потенциальная возмож­ность передачи трафика в обход прикладного шлюза непосредст­венно к системам локальной сети.

Основной недостаток схемы межсетевого экрана с экрани­рованным шлюзом заключается в том, что если атакующий нару­шитель сумеет проникнуть в хост-компьютер, то перед ним окажут­ся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если мар­шрутизатор окажется скомпрометированным, внутренняя сеть ста­нет доступна атакующему нарушителю.

По этим причинам в настоящее время все более популяр­ной становится схема межсетевого экрана с экранированной подсетью.

Межсетевой экран — экранированная подсеть. Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на осно­ве экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рис. 36). Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний — между экранируемой под­сетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информаци­онные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.

Рис. 36. Межсетевой экран — экранированная подсеть

Внешний маршрутизатор защищает от сети Internet как эк­ранированную подсеть, так и внутреннюю сеть. Он должен пере­сылать трафик согласно следующим правилам:

Читайте также:  Подключение маршрутизатора snr cpe w4n

разрешается трафик от объектов Internet к прикладному шлюзу;

разрешается трафик от прикладного шлюза к Internet;

разрешается трафик электронной почты от Internet к серверу электронной почты;

разрешается трафик электронной почты от сервера электронной почты к Internet;

разрешается трафик FTP, Gopher и т.д. от Internet к информа­ционному серверу;

запрещается остальной трафик.

Внешний маршрутизатор запрещает доступ из Internet к системам внутренней сети и блокирует весь трафик к Internet, идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др:). Этот мар­шрутизатор может быть использован также для блокирования дру­гих уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них [75].

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети (в случае ее ком­прометации). Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими пра­вилами:

разрешается трафик от прикладного шлюза к системам сети;

разрешается прикладной трафик от систем сети к прикладному шлюзу;

разрешается трафик электронной почты от сервера электрон­ной почты- к системам сети;

разрешается трафик электронной почты от систем сети к серверу электронной почты;

разрешается трафик FTP, Gopher и т.д. от систем сети к ин­формационному серверу;

запрещается остальной трафик.

Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из internet, и наоборот. Кроме того, четкое разделение функций меж­ду маршрутизаторами и прикладным шлюзом позволяет достиг­нуть более высокой пропускной способности.

Прикладной шлюз может включать программы усиленной аутентификации.

Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с большими объемами трафика или с высокими скоростями обмена.

Межсетевой экран с экранированной подсетью имеет и не­достатки:

• пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности, поскольку из-за ошибок при их конфигурировании могут возник­нуть провалы в безопасности всей сети;

• существует принципиальная возможность доступа в обход при­кладного шлюза.

Источник

Оцените статью
Adblock
detector