Безопасность. Межсетевые экраны (firewall)

Download Report

Transcript Безопасность. Межсетевые экраны (firewall) 

Межсетевые экраны и
proxy-серверы
Межсетевой экран, брандмауэр (firewall) – средство контроля
доступа.



Компьютер,
маршрутизатор,
специализированное устройство
с установленным на нем специальным программным
обеспечением, защищающим от попыток злоумышленников
вторгнуться в сеть
Экран может разграничивать части корпоративной сети
Экраны базируются на двух основных приемах
защиты:
¨
1. пакетной фильтрации,
¨
2. серверах-посредниках (proxy-server)
Т и п ы м е ж с е те в ы х э к р а н о в
У р о в ен ь а р х и т ек т у р ы T C P /IP
П р и клад н о й
П ротоколы
T eln et, F T P , D N S ,
N F S , P IN G , S M T P ,
HTTP
Т р ан сп о р тн ы й
TCP
У р о вен ь м еж сетево го
взаи м о д ей стви я
IP
К а т его р и я м еж сет ев о го эк р а н а
Ш лю з
п р и клад н о го
ур о вн я, (ap p licatio n lev el g atew ay ),
б р ан д м ауэр эксп ер тн о го ур о вн я (statefu l
in sp ectio n firew all)
Ш лю з
сеан со во го
ур о вн я
(circu it-lev el
g atew ay )
экр ан с ф и льтр ац и ей
п акето в
(p ack etfilterin g firew all)
Packet filtering firewall
Б р а н д м а у э р с ф и л ь тр а ц и е й п а к е то в
П р и н ц и п р а б о ты :
 Ф и льтр ует п о зад ан н о м у п р ави лу н а о сн о ве заго ло вко в IP , T C P и U D P
(IP -ад р еса, н о м ер а п о р то в)
 К р о м е заго ло вка п акета, н и какая и н ф о р м ац и я н е п р о вер яется
П р еи м у щ еств а :
 н евы со кая сто и м о сть
 м и н и м альн о е вли ян и е н а п р о и зво д и тельн о сть сети
Н едо ста тк и :
 м о ж ет о казаться д о стато ч н о сло ж н о й п р о ц ед ур а н астр о й ки п р ави л
ф и льтр ац и и п акето в
 уступ аю т п о ур о вн ю защ и ты д р уги м ти п ам м еж сет евы х экр ан о в
п о д м ен ы
 зло ум ы ш лен н и к м о ж ет во сп о льзо ваться во зм о ж н о стью
п о лей IP -заго ло вка
IP-spoofing
К б р ан д м ауэр ам с ф и льтр ац и ей п акето в
м о ж ет б ы ть о тн есен о б ы ч н ы й
м ар ш р ути зато р , п о д д ер ж и ваю щ и й ф ун кц и и ф и ль тр ац и и в In tern et 8 0 % п акетн ы х ф и льтр о в р аб о таю т н а б азе м ар ш р ути зато р о в
Ш л ю з с е а н с о в о го ур о в н я


след и т за устан овлен и ем и д оп усти м остью T C P соед и н ен и й
П осле этого п росто коп и рует и п ерен ап равляет
п акеты в об е сторон ы
Ш л ю з п р и кл а д н о го ур о в н я

ф ун кц и о н и рует в качеств е п о средн и ка (p roxy -сер в ер а)

п ро п ускает то лько п акеты , сген ери ро в ан н ы е тем и п р и ло ж ен и ям и , ко то ры е ем у п о ручен о о бслуж и в ать

п ро в еря ет со держ и м о е каж до го п ро хо дящ его ч ерез ш лю з п акета
Д о ст о и н ст в о :
в ы со ки й уро в ен ь защ и ты
Н ед о ст ат ки :

обра ботка тра ф и ка требует больш и х вы чи сли тельн ы х з а тра т

н а ли чи е п осредн и ка м еж ду кли ен том и сервером ча сто н е я в ляется п олн остью н еза м етн ы м для п ользова телей
П р и м ер ы
В la ck H ole ком п а н и и M ilkyw a y N etw orks
E a gle ком п а н и и R a ptor Systems
Б р а н д м а уэ р ы э кс п е р тн о го ур о в н я

м о гут ф и льтр о вать тр аф и к н а о сн о ван и и д ан н ы х п о лучен н ы х и з
заго ло вко в п акето в

м о гут ко н тр о ли р о вать устан о влен и е сеан со в

м о гут р аб о тать н а п р и клад н о м ур о вн е, вы п о лн яя о тб р ако вку
п акето в, ан али зи р уя и х со д ер ж и м о е.

устан авли ваю т п р я м ы е со еди н ен и я м еж д у кли ен там и и вн е ш н и м и х о стам и

вм есто p ro x y -сер вер о в и сп о льзую т сп ец и альн ы е алго р и тм ы
р асп о зн аван и я и о б р аб о тки д ан н ы х н а ур о вн е п р и ло ж ен и й

"п р о зр ачн ы " д ля п о льзо вателей

н е тр еб ую т вн есен и я и зм ен ен и й в кли ен тско е П О
О ди н и з сам ы х п оп у л ярн ы х ком м ерчески х бран дм ау эров эксп ертн ого
у ровн я F ireW all-1 ком п ан и и C heck P oint S oftw are T echnologies
О с н о в н ы е х а р а к те р и с ти к и м е ж с е те в ы х э к р а н о в
Х а р а кт е р и с т и ка
К ом п ан и я -п р ои зв од и т ел ь
О сн о вн ы е ф ун кц и и :
 ф и льтр ац и я п акето в
сетево го и тр ан сп о р тн о го ур о вн ей .
 о тслеж и ван и е сеан со в
FTP
 P ro x y -сер ви с
 А уд и т
 А утен ти ф и кац и я
 Ш и ф р о ван и е
F ire w a ll-1 S u n S c re e n
E a g le
F ire w a ll/P lu s
C h eck P oin t
S oftw are
S u n M icro system s
R ap tor
S ystem s
N etw ork -1
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
 О п ер ац и о н н ая ср ед а
S olaris,
H P -U X ,
S unO S ,
W indow s
NT
У сечен н ая
верси я
S olaris
 А п п ар атн ая п латф о р м а
S un
SPARC
С п ец и али з.
м од уль
S P F -100
на SPARC
 Ц ен а
+
+
+
+
+
В ерси и
U nix ,
W indow s N T
(д ля E agle
NT)
M S -D O S ,
W indow s N T
H P 9000
SPARC
R M -series
н а б азе
P entium
от 5 д о19
ты с. д олл
1 3 ты с. д олл.
П О и ап п ар атура
(тольк о
ПО)
 П р о и зво д и тельн о сть
вы сок ая
+
+
-
вы сок ая
вы сок ая
сред н яя
Взаимное расположение Firewall’а и VPN-шлюза
А) VPN-шлюз перед firewall’ом
Недостаток:
VPN-шлюз принимает на себя
все внешние атаки по
незашифрованному трафику
Взаимное расположение Firewall’а и VPN-шлюза
B) VPN-шлюз позади firewall’а
•Защищенность улучшается
•Firewall отражает все внешние атаки
•Firewall должен пропускать
зашифрованный трафик
Взаимное расположение Firewall’а и VPN-шлюза
С) VPN-шлюз совмещен с Firewall’ом
•Наиболее привлекательное решение
•Просто администрировать - единая
аутентификация
•Высокие требования к
производительности интегрированного
устройства
•Нельзя применить для standalone VPNшлюзов
Взаимное расположение Firewall’а и VPN-шлюза
D) VPN-шлюз «сбоку» Firewall’а
•Два канала с публичной сетью
•Зашифрованный трафик обрабатывается VPNшлюзом, а затем - Firewall’ом
•Высокая надежность защиты
•Высокая надежность соединения с публичной
сетью (резервирование каналов)
Взаимное расположение Firewall’а и VPN-шлюза
D) VPN-шлюз имеет параллельное соединение
с защищаемой сетью
•Недостаточная степень защиты зашифрованный трафик не проходит через
firewall
•Высокая надежность соединения с публичной
сетью (резервирование каналов)
Относительная вычислительная мощность, требуемая для
выполнения основных операций маршрутизатора,
брандмауэра и устройства VPN
Пример применения FireWall-1
MONK
Сервер-посредник (proxy-server)
Клиент
FTP
Клиент
Socks
Протокол Socks
Сервер
Сервер
Протокол FTP FTP
Socks
Internet
Сервер-посредник (proxy-server)
Клиент
FTP
Протокол Socks
Сервер
FTP
Клиент
Socks
Internet
Сервер
Socks
Протокол FTP