Межсетевые экраны
Межсетевой экран Это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую Что такое межсетевой экран? МСЭ Сеть 1 Сеть 2
NTUNIX Маршрутизатор Клиенты Назначение МСЭ Основное назначение МСЭ - воплощение политики безопасности, принятой в организации в вопросах обмена информацией с внешним миром
МСЭ как система защиты периметра Уровень 1 Уровень 3 Уровень 2 Контрольные точки Трафик как внутрь так и наружу проходит через контрольные точки Защищаемый периметр
Механизмы защиты, реализуемые МСЭ Фильтрация пакетов Шифрование (создание VPN) Трансляция адресов Аутентификация Противодействие некоторым видам атак Управление списками доступа на маршрутизаторах
Фильтрация пакетов IP-адрес отправителя IP-адрес получателя TCP/UDP-порт отправителя TCP/UDP-порт получателя Флаги ТСР Опции IP Правила фильтрации К внешней сети К внутренней сети МСЭ
Шифрование Незашифрованный трафик Зашифрованный трафик Функции шифрования позволяют защитить данные, передаваемые по общим каналам связи
Виртуальные частные сети Виртуальные частные сети (VPN) предназначены для безопасного обмена данными через сети общего пользования VPN-шлюз VPN-клиент
Организация виртуальных частных сетей с использованием МСЭ МСЭ + VPN модуль
Трансляция адресов Это замена в IP-пакете IP-адреса отправителя или получателя другим IP-адресом при прохождении пакета через устройство, осуществляющее трансляцию Обоснование Маскировка внутренних IP-адресов от внешнего мира Решение проблемы некорректности либо нехватки IP-адресов внутренней сети
Виды трансляции адресов Статическая Это задание однозначного соответствия между внутренним адресом ресурса и его адресом во внешней сети Динамическая Это отображение адресного пространства внутренней сети на один адрес из внешней сети
Статическая трансляция адресов Внутренние адреса Внешние адреса source dest source dest Позволяет иметь доступ к внутренним узлам извне Применяется в случае сложившегося распределения внутренних адресов
Динамическая трансляция адресов Внутренние адреса Внешний адрес source dest source dest адрес спорт 1305 х порт 2531 х адрес Не позволяет инициировать доступ к внутренним узлам извне Решает проблему нехватки адресов
Увеличение вероятности неверной адресации Невозможность или трудности запуска некоторых приложений Проблемы с SNMP, DNS и т. д. Трудность идентификации внутреннего узла извне Замедление работы Недостатки трансляции адресов
Типы межсетевых экранов Пакетный фильтр или экранирующий маршрутизатор Шлюз уровня соединения Шлюз прикладного уровня FTP TCP IP NIC TELNET HTTP FTP TCP IP TELNET HTTP Все три типа обычно реализованы в одном МСЭ К сети 1 К сети 2 Работа МСЭ основана на использовании информации разных уровней стека TCP/IP
Экранирующие маршрутизаторы или пакетные фильтры Фильтрация пакетов осуществляется на основе следующих данных IP - адрес отправителя и получателя TCP/UDP - порт отправителя и получателя TCP IP NIC TCP IP Внутренняя сеть
Преимущества Низкая стоимость Небольшая задержка прохождения пакетов Недостатки Открытость внутренней сети Трудность описания правил фильтрации Преимущества и недостатки пакетных фильтров
Технология «Proxy» Proxy - это приложение - посредник, выполняющееся на МСЭ и выполняющее следующие функции Приём и анализ запросов от клиентов Перенаправление запросов реальному серверу
Шлюзы уровня соединения Весь ТСР - трафик просто транслируется в обоих направлениях TCP IP NIC TCP IP Внутренняя сеть
Шлюзы прикладного уровня Внутренняя сеть TELNET - сервер FTP - сервер и др. FTP TELNET Пользователь устанавливает соединение с сервисом, запущенным на межсетевом экране Правила доступа формируются на основе названия сервиса, имени пользователя, времени работы и т. д. FTP TELNET HTTP FTP TELNET HTTP
Преимущества и недостатки технологии «PROXY» Преимущества Двухшаговая процедура для входа во внутреннюю сеть и выхода наружу Надёжная аутентификация Недостатки Закрытость внутренней сети Простые правила фильтрации Низкая производительность Высокая стоимость
Технология «Stateful Inspection» МСЭ должен уметь считывать информацию со всех семи уровней сетевой модели отслеживать состояние (предысторию) соединения отслеживать состояние приложения модифицировать передаваемую информацию Технология «Stateful Inspection» обеспечивает указанные требования к безопасности и решает проблемы пакетных фильтров и Proxy
Технология «Stateful Inspection» FTP TCP IP NIC TELNET HTTP FTP TCP IP TELNET HTTP Пакет перехватывается на сетевом уровне Специальный модуль анализирует информацию со всех уровней Информация сохраняется и используется для анализа последующих пакетов
Варианты расположения МСЭ Внутренняя сеть FTP WEB МСЭ, маршрутизатор Маршрутизатор является межсетевым экраном
Варианты расположения МСЭ Внутренняя сеть FTP WEB Маршрутизаторы Трафик с внешнего маршрутизатора перенаправляется на МСЭ, а затем на внутренний маршрутизатор МСЭ
Варианты расположения МСЭ Внутренняя сеть FTP WEB Маршрутизатор МСЭ является единственной видимой снаружи машиной МСЭ
Варианты расположения МСЭ Внутренняя сеть Маршрутизатор Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены МСЭ FTPWEB Незащищённые узлы
Варианты расположения МСЭ Внутренняя сеть Маршрутизатор Защищена не вся внутренняя сеть. Узлы, которые должны быть видимы снаружи, не защищены МСЭ FTPWEB Демилитаризованная зона
Варианты расположения МСЭ Внутренняя сеть Маршрутизатор FTP и WEB серверы подключены к отдельному интерфейсу МСЭ, что позволяет создать для них отдельную политику МСЭ FTPWEB Демилитаризованная зона
Недостатки МСЭ как средств защиты Не защищают от пользователей, прошедших авторизацию Не защищают соединения, установленные в обход МСЭ Не защищают от неправильной конфигурации Не гарантируют 100% защиты от вторжений
Пакетный фильтр на базе ОС Linux
Архитектура пакетного фильтра Сетевой уровень (IP Protocol) Input chain NIC1NIC2 Output chain маршрутизация forward chain Входящий трафик Исходящий трафик
Схема работы пакетного фильтра Пакет входящий ? Output chain Требуется маршрутизация ? Forward chain Input chain Да Нет Да Передача пакета на уровень выше DENY/REJECT DENY/REJECT DENY/REJECT Передача пакета в сеть
Межсетевой экран CheckPoint FireWall-1
Архитектура FireWall-1 Management Module Режим пользователя Режим ядра FireWall Module GUI клиент Management Server FireWall Daemon Security Servers Драйвер сетевого адаптера Интерфейс TDI Inspection Module Уровень IP
Inspection Module Реализован в виде драйвера Выполняет функции Контроль доступа Аутентификация сессии Клиентская аутентификация Трансляция адресов Аудит Драйвер сетевого адаптера Интерфейс TDI Inspection Module
Компоненты Inspection Module Драйвер сетевого адаптера Интерфейс TDI Inspection Module Kernel Attachment Kernel Virtual Machine Kernel Address Translation
Работа Inspection Module IP Protocol Inspection Module NIC
Работа Inspection Module IPTCPSessionApplication FW-1 Inspection Module Сетевой уровень Канальный уровень Есть правило для пакета? Log/Alert Пропустить пакет? Есть следующее правило? Send NACK Drop the Packet Да
Конфигурация FireWall-1 Management Module FireWall Module GUI клиент Management Server GUI клиент