Объединение модемного пула с Firewall

Многие сети разрешают доступ через модемы, размещенные в различных точках сети. Такой доступ сам является потенциально опасным и может свести на нет всю защиту, обеспечиваемую Firewall. Управлять модемами будет намного легче, если сосредоточить их в модемном пуле, а затем осуществлять безопасные соединения с этим пулом. Модемный пул состоит из терминального сервера, представляющего собой специальный компьютер, разработанный для соединения модемов с сетью. Пользователь по модему соединяется с терминальным сервером, а затем с его помощью осуществляет необходимые соединения (например, с помощью протокола TELNET) с другими системами. Некоторые терминальные серверы содержат средства обеспечения безопасности и могут ограничивать соединения с некоторыми системами или потребовать от пользователей применения аутентификации.

 

 

На рисунке показан модемный пул и Firewall с экранированным хостом. Поскольку к соединениям с модемами нужно относиться с тем же подозрением, как и к соединениям с Internet, размещение модемного пула на внешней стороне Firewall заставляет модемные соединения осуществляться через Firewall.

Для аутентификации пользователей, устанавливающих связи как по модему, так и через Internet, могут быть использованы средства усиленной аутентификации прикладного шлюза. Для предохранения внутренних систем от соединения непосредственно с модемным пулом можно использовать фильтрующий маршрутизатор.

Недостатком данной схемы является то, что модемный пул напрямую связан с Internet и, следовательно, подвержен атакам. Если нарушителю удастся проникнуть в модемный пул, то он может использовать его как базу для атаки других систем Internet. Для предотвращения этого кроме прикладного шлюза должен использоваться терминальный сервер, обладающий свойствами безопасности.

Firewall с двойным шлюзом и экранированной подсети реализует более безопасный метод управления модемными аулами. На рисунке изображен терминальный сервер, расположенный во внутренней экранированной подсети, где доступ к модемному пулу и от него можно тщательно контролировать с помощью маршрутизаторов и прикладных шлюзов. Маршрутизатор со стороны Internet предохраняет модемный пул от любого прямого доступа, кроме доступа от прикладного шлюза.

В случае Firewall экранированной подсети доступ к модемному пулу со стороны Internet и от систем сети запрещается соответствующими маршрутизаторами. В случае Firewall с простым шлюзом доступ к модемному пулу контролирует сам шлюз, в котором должны использоваться средства усиленной аутентификации.

 

Если сеть использует для защиты модемного доступа подобные средства, она должна строго придерживаться политики, предотвращающей подключение к модемам любого пользователя в любом месте защищенной подсети. Даже если модемы обладают свойствами безопасности, это усложняет схему защиты с помощью Firewall и тем«самым добавляет в цепь еще одно слабое звено.

Вопрос 22.