Компоненты и уровни безопасности
IPsec
IPSec является совокупностью протоколов IETF (главным RFC стал RFC 2401, но существует еще множество RFC, относящихся к IPSec). Oсновными протоколами, составляющими IPSec, являются:
- Протокол аутентификации заголовка [Authentication Header (AH)]: обеспечивает для пакетов гарантию достоверности путем прикрепления к пакетам "сильно" зашифрованных контрольных сумм. В отличие от других протоколов AH покрывает весь пакет, от IP-заголовка до конца пакета. В пакете с использованием AH операция проверки контрольной суммы будет успешной, если и отправитель и получатель совместно используют один и тот же секретный ключ. Вычисление правильной контрольной суммы означает, что пакет был создан ожидаемым участником обмена и в процессе транзита не был модифицирован.
- Безопасное закрытие содержания [Encapsulating Security Payload (ESP)]: обеспечивает гарантию конфиденциальности пакетов путем их шифрования с использованием определенных алгоритмов шифрования. Успешная расшифровка пакета с применением ESP означает, что он не был перехвачен и модифицирован.
- Сжатие полезной нагрузки IP [IP payload compression (IPcomp)]: IPcomp предусматривает метод сжатия пакета до его шифрования с помощью ESP. Целью этого является улучшение эффективной пропускной способности при передаче данных, так как после шифрования пакета с помощью ESP возможность нормального сжатия данных низка или отсутствует вовсе.
- Обмен интернет-ключами [Internet Key Exchange (IKE)]: протоколы AH и ESP испытывают потребность в общем для участников обмена секретном ключе. Протокол IKE обеспечивает безопасное ведение переговоров и обмен ключами между различными адресами.
Протоколы IPSec обеспечивают безопасность передачи чувствительной информации по незащищенным IP-сетям. IPSec действует на сетевом уровне, защищая и проверяя подлинность IP-пакетов, проходящих между участвующими в обмене равноправными устройствами. В необходимости наличия клиента IPSec подобен SOCKS, однако он не требует прокси-сервера. Сетевые шлюзы IPSec используются как промежуточные сетевые прокси. Как правило, они реализуются в сетевых маршрутизаторах, так как это, по существу, прокси сетевого уровня. Как результат, IPSec обычно более эффективен, чем SOCKS, так как он работает только на трех нижних уровнях модели OSI (физическом, канальном и сетевом). Наибольшую популярность IPSec получил как средство реализации VPN-доступа (VPN – виртуальная частная сеть) из незащищенных сетей (таких, как Интернет) в доверенную, защищенную сеть.
4.1.2 Образцы брандмауэров
В наших лабораторных опытах из этого курса мы не обязательно касались самих образцов брандмауэров. Точнее, мы были более заинтересованы в том, какие из приложений Lotus и WebSphere работали или насколько правдоподобно работали при прохождении брандмауэра. В описании исполнения многозональной архитектуры не имеет значения, какой из образцов брандмауэров применяется. Предполагается, что в любом случае важной информацией для администратора брандмауэра является главным образом информация об используемых портах и протоколах. Администратор применяет эту информацию для настройки соответствующей конфигурации брандмауэра и списков управления доступом.
Далее следует короткий перечень некоторых общеизвестных марок брандмауэров, которые как минимум обеспечивают возможность фильтрации с контролем состояния и выше по характеристикам, но не достигают уровня полноценного прокси прикладного уровня. Это приведено здесь только в качестве небольшого экскурса наряду с описаниями, основанными на собственном маркетинговом материале производителей.
Внимание! Мы не настаиваем ни на одном из образцов брандмауэров и не заявляем о том, что полностью протестировали приведенные образцы. Включение в этот перечень не должно рассматриваться как указание на пригодность, и, наоборот, отсутствие в этом перечне не означает непригодность.
Firewall-1 компании Check Point
Изделие Firewall-1 компании Check Point является брандмауэром, популярность которого основана на собственном опыте команды создателей этого курса с сайтами клиентов. Модуль управления позволяет составлять правила для определения конфигурации брандмауэра. После установки конфигурация по умолчанию не позволяет ничему проходить через брандмауэр в любом из направлений. Для разрешения прохождения трафика необходимо определить правила.
Стандартные свойства Firewall-1 включают контроль состояния и трансляцию адресов (NAT). Check Point имеет в своем распоряжении интегрированные изделия для обеспечения таких технических средств, как виртуальная частная сеть (VPN).
За дополнительной информацией обращайтесь к книге Check Point Firewall-1 on AIX: A cookbook for Stand-Alone and High Availability, SG24-5492 или посетите Web-сайт компании Check Point:
Cisco PIX
Брандмауэр Cisco PIX является узкоспециализированным устройством в семействе брандмауэров компании Cisco. Cisco PIX является примером брандмауэра, который при конфигурации по умолчанию использует концепцию безопасных и небезопасных сторон. Это означает, что одна сторона брандмауэра является по умолчанию доверенной [к примеру, демилитаризованная зона (DMZ)] и весь трафик со стороны доверенной и более безопасной стороны может проходить через брандмауэр. По умолчанию весь трафик с другой стороны запрещен до определения особых правил, разрешающих его прохождение. За дополнительной информацией обратитесь к Web-сайту компании Cisco:
Raptor Firewall
Raptor Firewall является брандмауэром от компании Axent Technologies, дочерней компании Symantec. К особенностям относятся консоль управления Raptor Management Console (RMC) для легкого управления локальными и удаленными брандмауэрами, поддержка VPN на основе стандартов (IPSec и IKE) для соединения с удаленными офисами и пользователями, интегрированные в брандмауэр блокираторы контента для фильтрации групп WWW и Internet Usenet. За дополнительной информацией обратитесь к Web-сайту, посвященному изделиям компании Symantec:
IBM SecureWay Firewall
Эта технология создания брандмауэров впервые была разработана в процессе научно-исследовательской работы в компании IBM в 1985 г. и защищала ресурсы IBM и глобальных корпораций на протяжении более 10 лет. IBM SecureWay Firewall включает фильтрацию, прокси, шлюз канального уровня и поддержку VPN на основе стандарта IPSec. Более подробную информацию см. в справочниках: A Secure Way to Protect Your Network: IBM Secure Way Firewall for AIX Version 4.1, SG24-5855 и Redhat Linux Integration Guide for IBM eServers xSeries and Netfinity, SG24-5853, либо посетите Web-сайт, посвященный изделиям компании IBM:
http://www.tivoli.com/products/index/firewall
TIS Firewall Toolkit (FWTK)
Компания Trusted Information Systems, Inc. (TIS) разработала инструментарий TIS Internet Firewall Toolkit (FWTK), набор программного обеспечения для построения и эксплуатации брандмауэров сетевых комплексов. Данный набор свободно доступен под лицензией некоммерческого применения и является популярным решением для Linux.
За дополнительной информацией обратитесь по адресу:
TIS слилась с Network Associates в феврале 1998 г. Дополнительную информацию об их коммерческих продуктах можно получить по адресу:
http://www.tis.com/ или http://www.nai.com/
4.1.3 Маршрутизаторы, коммутаторы и концентраторы
Маршрутизаторы (routers), коммутаторы (switches) и концентраторы (hubs) объединены в общую группу, так как все они являются сетевыми аппаратными устройствами, выполняющими свои функции на четырех нижних уровнях модели OSI: физическом, канальном, сетевом и транспортном. Маршрутизаторы и коммутаторы являются активными устройствами, а концентраторы, как правило, являются пассивными устройствами, не обеспечивающими никаких функций безопасности.
Активные сетевые устройства, такие, как коммутаторы и маршрутизаторы, разрабатывались с такими основными целями, как производительность, скорость и удобство. Как результат, функции безопасности у них отчасти слишком просты, за исключением этих функций у устройств из верхних строк прайс-листов. В дополнение к недостатку в усовершенствованных функциях безопасности они часто имеют ограниченные возможности фильтрации для общих протоколов, использующих многочисленные порты (таких, как FTP). Конфигурация списков доступа фильтрации может быть слишком громоздкой и склонной к ошибкам, что противоречит правилу безопасности, которое гласит: "поддерживай небольшой размер и простоту". Коммутаторы и маршрутизаторы зачастую даже имеют встроенные пароли "черного хода", позволяющие хорошо осведомленному злоумышленнику запросто изменить конфигурацию устройства. Коммутаторы и маршрутизаторы обычно конфигурируются с использованием отправки паролей открытым текстом (в незашифрованном виде) по сети. Эти пароли могут быть перехвачены или даже отгаданы и повторно использованы. Коммутаторы и маршрутизаторы могут быть применены для обеспечения дополнительной фильтрации и предупреждения об опасности, но на них никогда не надо надеяться как на основные и надежные средства обеспечения безопасности бизнеса.
Маршрутизаторы
Простейшим описанием того, что делает маршрутизатор, является формулировка "передает пакеты данных из одной сети в другую". Это описание вызывает в воображении картинку переправы пассажиров между двумя островами. Однако сегодня маршрутизаторы стали очень разнообразными в диапазоне своих функций и возможностей. Таким образом, сейчас подобная картинка представляется более сложной, возможно в виде центрального аэропорта большой авиакомпании по доставке пассажиров и грузов, с пересадкой и перегрузкой на поезда, автобусы, грузовики, автомобили и т. д.
Для сетевого трафика маршрутизаторы всегда являются первой линией обороны, встающей на пути к вашей организации из Интернета. Они являются также последней точкой контроля трафика из пределов вашей организации по направлению в Интернет. Управляемый вами маршрутизатор, который непосредственно соединен с интернет-провайдером (ISP), часто называют вашим граничным маршрутизатором. Во времена до появления интернет-провайдеров телефонизированный мир называл это точкой демаркации. Это место, где заканчивается управление (и ответственность) поставщика услуг и начинается управление и ответственность вашей организации.
Как мы будем говорить позднее, обычно маршрутизатор выполняет по меньшей мере основную пакетную фильтрацию как форму управления доступом. Считайте подобное управление доступом "регулировщиком движения", который может разрешить свернуть на другую дорогу, а может и не разрешить. В этом случае мы можем считать маршрутизатор разновидностью брандмауэра. С другой стороны, когда мы говорим об использовании в маршрутизаторе любых фильтров, он соответствует самому элементарному типу брандмауэра.
Коммутаторы и концентраторы
Коммутаторы и концентраторы предоставляют виртуальную Ethernet-шину и по большому счету полностью заменили Ethernet, использующий архитектуру физической шины из коаксиального кабеля. Времена просверливания ответвлений в коаксиальном кабеле "толстого Ethernet", к счастью, давно позади. Как упоминалось ранее, преимуществом коммутационной технологии для безопасности является тот факт, что все пакеты в сегменте не передаются на все подключенные к коммутатору устройства. Это значительно уменьшает количество пакетов, которые могут быть "увидены" сниффером, подключенным к одному из портов коммутатора. Исключением из этого правила являются используемые некоторыми протоколами широковещательные пакеты (когда пакеты передаются по всем портам коммутатора).
NAT
Первоначально трансляция сетевых адресов [Network Address Translation (NAT)] была представлена в документе RFC 1918 комитета IETF как кратковременное решение проблемы исчерпания IP-адресов. Для обеспечения в Интернете взаимодействия "любого с любым" все IP-адреса официально задаются Комитетом по цифровым адресам в Интернете [организацией Internet Assigned Numbers Authority (IANA)]. Достичь этого становится все более и более затруднительным, так как количество доступных диапазонов адресов сейчас жестко ограничено. Также в прошлом многие организации использовали локально заданные IP-адреса, не предполагая необходимости в подключении к Интернету. NAT определена в документе RFC 1631.
Идея трансляции сетевых адресов основана на том факте, что в частной сети только небольшое количество хостов взаимодействуют с кем-то за пределами этой сети. Если задавать каждому хосту IP-адрес из официального пула IP-адресов только тогда, когда этому хосту необходимо соединение с кем-то за пределами частной сети, то потребуется только небольшое количество официальных адресов.
NAT модифицирует IP-адрес исходящего пакета и динамически транслирует его на внешний маршрутизируемый адрес. Трансляция NAT применяется только к адресу в заголовке IP; данные IP не изменяются. Для входящих пакетов внешний адрес транслируется во внутренний. С точки зрения двух хостов, которые обмениваются друг с другом IP-пакетами (причем один из них находится в безопасной частной сети, а другой в небезопасной внешней), NAT выглядит как стандартный IP-маршрутизатор, который пересылает IP-пакеты между двумя сетевыми интерфейсами. Таким образом, обычно мы применяем NAT везде, где это возможно, в целях скрытия подробностей частной сетевой адресации во внутренней сети.
Важно заметить, что с использованием NAT преобразовываются только пакеты TCP и UDP. Протокол управляющих сообщений [Internet Control Message Protocol (ICMP)] используется для сообщений и не будет работать в NAT-среде. К примеру, ping является сервисом ICMP, и, когда вы из среды, не использующей NAT, "пингуете" хост в NAT-среде, вы не получите обратного ответа, так как IP-адрес не будет разрешен.
Существует другая функция маршрутизации, относящаяся к NAT и называемая трансляцией адресов портов [Port Address Translation (PAT)]. Она позволяет представить отдельный порт хоста с одной стороны маршрутизатора как другой порт и IPадрес с другой стороны маршрутизатора. Наиболее часто PAT реализуется как часть брандмауэра сеансового уровня, а не сетевого маршрутизатора.