Firewall — маршрутизатор с фильтрацией пакетов.

 

Firewall, основанный на фильтрации пакетов, вероятно является наиболее распространенным и самым легким для реализации. Однако он имеет множество недостатков и менее эффективен по сравнению со всеми остальными рассматриваемыми типами Firewall.

Как правило, Firewall данного типа состоит из фильтрующего маршрутизатора, расположенного между Internet и защищаемой подсетью, который сконфигурирован для блокирования или фильтрации соответствующих протоколов и адресов. При этом компьютеры, находящиеся в этой сети, как правило, имеют прямой доступ к Internet, тогда как большая часть доступа из Internet к ним блокируется. Обычно блокируются такие заведомо опасные службы как NIS, NFS и Х Windows.

Firewall, основанные на фильтрации пакетов имеют те же недостатки, что и фильтрующие маршрутизаторы, однако эти недостатки становятся все серьезнее по мере того, как требования к безопасности защищаемого объекта становятся более сложными и строгими. Перечислим некоторые из этих недостатков:

слабые, или вообще отсутствующие возможности регистрации события. Администратору трудно определить скомпрометирован ли маршрутизатор и не узнать подвергался ли он атаке;

исчерпывающее тестирование правил фильтрации очень трудоемко или невозможно. Это означает, сеть остается незащищенной от не протестированных типов атак;

достаточная сложность правил фильтрации. В определенных случаях совокупность этих правил может стать неуправляемой;

для каждого хоста, непосредственно связанного с Internet, требуются свои средства усиленной аутентификации.

Фильтрующий маршрутизатор может реализовать любую из политик безопасности, рассмотренных в третьей главе. Однако если маршрутизатор не фильтрует по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено" может быть затруднена. Если необходимо реализовать именно эту политику, то нужно использовать маршрутизатор, обеспечивающий наиболее гибкую стратегию фильтрации.

 

Firewall на основе шлюза.

Такая схема организации защиты лучше, чем Firewall на основе фильтрующего маршрутизатора. Firewall на основе шлюза состоит из хост-системы с двумя сетевыми интерфейсами, при передаче информации между которыми осуществляется фильтрация. Кроме того, для обеспечения дополнительной защиты между защищаемой сетью и internet, можно поместить фильтрующий маршрутизатор. Это создает между шлюзом и маршрутизатором внутреннюю экранированную подсеть, которую можно использовать для размещения систем, доступных извне, например, информационных серверов.

В отличие от фильтрующего маршрутизатора шлюз полностью блокирует трафик IP между сетью Internet и защищаемой сетью. Услуги и доступ предоставляются только полномочными серверами, расположенными на шлюзе. Это простая организация Firewall, но очень эффективная. Некоторые шлюзы не используют полномочных служб, зато требуют, чтобы пользователи осуществляли доступ к Internet только посредством регистрации на шлюзе. Этот тип шлюза менее предпочтителен, поскольку подключение к нему большого количества пользователей может привести к ошибкам, что может облегчить атаку для злоумышленника.

Этот тип Firewall реализует политику безопасности, при которой запрещено все, что не разрешено явно, поскольку делает недоступными все службы, кроме тех, для которых определены соответствующие полномочия. Шлюз игнорирует пакеты с маршрутизацией источника, поэтому передать в защищенную подсеть такие пакеты невозможно. Этим достигается высокий уровень безопасности, поскольку маршруты к защищенной подсети должны становятся известны только Firewall и скрыты от внешних систем, поскольку Firewall не будет передавать наружу информацию DNS.

Для простой настройки шлюза необходимо установить полномочные службы для TELNET и FTP, и централизованную электронную почту, с помощью которой Firewall будет получать всю почту, отправляемую в защищаемую сеть, а затем пересылать ее хостам сети. Этот Firewall может требовать от пользователей применения средств усиленной аутентификации, регистрировать доступ, а также попытки зондирования и атак системы нарушителем.

Firewall, использующий шлюз, как и Firewall с экранированной подсетью, который будет рассмотрен далее, предоставляет возможность отделить трафик, связанный с информационным сервером, от остального трафика между сетью и Internet. Информационный сервер можно разместить в подсети между шлюзом и маршрутизатором, как показано на рисунке. Предполагая, что шлюз предоставляет информационному серверу подходящие полномочные службы (например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ к Firewall и обеспечить, чтобы этот доступ осуществлялся только через Firewall. Если разрешен прямой доступ к информационному серверу (что менее безопасно), то его имя и IP адрес становятся известны посредством DNS. Размещение информационного сервера до шлюза увеличивает безопасность основной сети, поскольку даже проникнув в информационный сервер, нарушитель не сможет получить доступ к системам сети.

Недостаточная гибкость шлюза может оказаться неприемлемой для некоторых сетей. Поскольку блокируются все службы, кроме определенных, доступ к другим службам осуществить невозможно; системы, требующие доступа, нужно располагать до шлюза со стороны Internet. Однако, как видно из рисунка, маршрутизатор можно использовать для образования подсети между шлюзом и маршрутизатором, и здесь же можно поместить системы, требующие дополнительных служб.

Необходимо отметить, что безопасность хост-систем, используемых в качестве шлюза, должна поддерживаться на очень высоком уровне, поскольку любая брешь в его защите может привести к серьезным последствиям. Если шлюз скомпрометирован, нарушитель будет иметь возможность проникнуть в защищаемую сеть.

 

Экранированный шлюз.

Firewall на основе экранированного шлюза является более гибким решением, чем просто шлюз, однако эта гибкость достигается за счет некоторого понижения уровня безопасности. Firewall на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, размещенный со стороны защищаемой подсети. Прикладной шлюз можно также разместить до маршрутизатора со стороны Internet без ущерба для безопасности. Размещение прикладного шлюза на внешней стороне будет способствовать тому, что именно он будет подвергаться атакам и может служить для их исследования в качестве ложной цели.

Для прикладного шлюза необходим только один сетевой интерфейс. Полномочные службы прикладного шлюза должны обеспечивать сервис TELNET, FTP и других полномочных служб для систем защищаемой сети. Маршрутизатор фильтрует остальные протоколы, не позволяя им достигнуть прикладного шлюза и систем сети. Он запрещает (или разрешает) трафик согласно следующим правилам:

трафик из Internet к прикладному шлюзу разрешен,

весь остальной трафик из Internet запрещен,

маршрутизатор запрещает любой трафик из сети, кроме исходящего от прикладного шлюза.

В отличие от Firewall, основанного на обычном шлюзе, для прикладного шлюза требуется только один сетевой интерфейс и не требуется отдельной подсети между прикладным шлюзом и маршрутизатором. Это позволяет сделать Firewall более гибким, но менее безопасным, поскольку существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системам сети. Службы, не имеющие соответствующих полномочий, можно считать надежными в том смысле, что риск использования этих служб считается допустимым. Например, можно разрешить передавать через маршрутизатор к системам сети службы, подвергающиеся меньшему риску, например NTP. Если системы сети требуют доступа DNS к Internet, то его можно разрешить. В этом случае Firewall может реализовать обе политики безопасности одновременно, в зависимости от того, какие типы служб доступны системам сети.

При использовании Firewall с экранированным шлюзом возникают две проблемы.

Во-первых, теперь имеются две системы, маршрутизатор и прикладной шлюз, которые нужно тщательно конфигурировать. Как уже отмечалось, правила, которым подчиняется фильтрующий маршрутизатор, могут быть слишком сложными для осуществления конфигурации, трудными для проверки и могут приводить к появлению ошибок и "дыр" в системе защиты. Тем не менее, поскольку маршрутизатор требует разрешения прикладного трафика только для прикладного шлюза, набор правил может быть менее сложным, чем для сети, использующей Firewall только с фильтрующим маршрутизатором.

Вторая проблема заключается в том, что гибкость конфигурации допускает возможность нарушения политики безопасности (как это было указано для Firewall с фильтрующим маршрутизатором). Эта проблема более серьезна, чем в случае Firewall с простым шлюзом, поскольку имеется техническая возможность осуществлять трафик в обход шлюза.